ケーススタディ 1 - Fabrikam, Inc
概要
Fabrikam, Inc は、ニューヨークに本社、シアトルに支社を構える製造会社です。
既存の環境
オンプレミスサーバー
オンプレミス ネットワークには、次の表に示すように、Windows Server を実行するサーバーが含まれています。
DC1 はすべての操作マスターの役割をホストします。
WEB1 と WEB2 は、Webapp1 という名前のインターネット インフォメーション サービス (IIS) Web アプリを実行します。
オンプレミスネットワーク
ニューヨークとシアトルのオフィスは、冗長 WAN リンクを使用して接続されています。
各オフィスのクライアント コンピュータは、ローカル DHCP サーバーから IP アドレスを取得します。
DHCP1 には、ニューヨーク オフィスのアドレスを持つ Scope1 という名前のスコープが含まれています。DHCP2 には、シアトル オフィスのアドレスを持つ Scope2 という名前のスコープが含まれています。
アイデンティティインフラストラクチャ
ネットワークには、corp.falbrikam.com という名前の単一のオンプレミス Active Directory ドメイン サービス (AD DS) ドメインが含まれています。現在、すべてのサービス アカウントは個別のドメイン ユーザー アカウントを使用します。
すべてのドメイン コントローラーには DNS サーバーの役割がインストールされており、corp.fabrikam.com の Active Directory 統合 DNS ゾーンのコピーをホストします。
corp.fabrikam.com AD DS ドメインは、Azure Active Directory (Azure AD) テナントと同期します。
グループ ポリシー オブジェクト (GPO)
corp.fabrikam.com ドメインには、次の表に示す組織単位 (OU) とカスタム グループ ポリシー オブジェクト (GPO) が含まれています。
要件
計画された変更
Fabrikam は、計画されている次の変更を特定します。
* Vnet1 という名前の単一の Azure 仮想ネットワークを含む、Sub1 という名前の単一の Azure サブスクリプションを作成します。
* Azure Virtual WAN と FxpressRoute を使用して、シアトルとニューヨークのオフィス間の WAN リンクを置き換えます。両方のオンプレミス オフィスは、ExpressRoute を使用して Vnet1 に接続されます。
* newyorkhiles、seattlefiles、companyfile という名前の 3 つの Azure ファイル共有を作成します。
* Vnet1 に dc3.corp.fabrikam.com という名前のドメイン コントローラーを作成します。
* Azure Virtual Desktop ホスト プールを Vnet1 にデプロイします。 Azure Virtual Desktop セッション ホストは、ハイブリッド Azure AD に参加します。
* サーバー用 Microsoft Defender のすべてのサーバーのライセンスを取得します。
* Azure Policy を使用して、Azure およびオンプレミスのサーバーに構成管理ポリシーを適用します。
ネットワーク要件
Fabrikam は、次のネットワーク要件を特定します。
* Virtual WAN を実装し、サイト間のすべてのネットワーク トラフィックが Virtual WAN を使用するようにします。すべての通信は ExpressRoute 経由で行われる必要があります。
* DHCP サーバーに障害が発生した場合、クライアント コンピュータが動的 IP アドレスを引き続き受信し、既存のリースを更新できることを確認してください。
* Vnet1 のリソースが corp.fabrikam.com ドメインのオンプレミス サーバーの名前を解決できることを確認します。
セキュリティ要件
Fabrikam は次のセキュリティ要件を特定します。
* GPO4 を Azure Virtual Desktop セッション ホストに適用します。 Azure Virtual Desktop ユーザー セッションが 10 分間アイドル状態になった後にロックされるようにします。ユーザーは、クライアント コンピュータからロックアウト時間を手動で制御できる必要があります。
* Azure 仮想マシンへのリモート デスクトップ接続を確立する前に、サーバー管理者が承認を要求していることを確認してください。リクエストが承認された場合は、2 時間以内に接続を確立する必要があります。
* ユーザーのパスワードに、Fab、f@br1kAm、fabr!| など、会社名に基づく単語の全部または一部が含まれないようにします。
* Webapp1 のすべてのインスタンスが同じサービス アカウントを使用していることを確認します。サービス アカウントのパスワードは 30 日ごとに自動的に変更する必要があります。
* ドメイン コントローラーがインターネット上のホストに直接接続できないようにします。
ファイル共有の要件
次の要件を満たすように Azure ファイルの同期を構成する必要があります。
* シアトルファイルが FS2 に同期していることを確認します。
* newyorkfiles が FS1 と同期していることを確認します。
* companyfile が FS1 と FS2 の両方に同期していることを確認します。
質問
ドラッグ アンド ドロップの質問
パスワードのセキュリティ要件を満たす必要があります。
Azure AD パスワード保護のコンポーネントはどこで構成すればよいですか?答えるには、適切なコンポーネントを正しい場所にドラッグします。各コンポーネントは 1 回使用することも、複数回使用することも、まったく使用しないこともできます。コンテンツを表示するには、ペイン間で分割バーをドラッグするか、スクロールする必要がある場合があります。
注: 正しく選択するたびに 1 ポイントの価値があります。
概要
Fabrikam, Inc は、ニューヨークに本社、シアトルに支社を構える製造会社です。
既存の環境
オンプレミスサーバー
オンプレミス ネットワークには、次の表に示すように、Windows Server を実行するサーバーが含まれています。
DC1 はすべての操作マスターの役割をホストします。
WEB1 と WEB2 は、Webapp1 という名前のインターネット インフォメーション サービス (IIS) Web アプリを実行します。
オンプレミスネットワーク
ニューヨークとシアトルのオフィスは、冗長 WAN リンクを使用して接続されています。
各オフィスのクライアント コンピュータは、ローカル DHCP サーバーから IP アドレスを取得します。
DHCP1 には、ニューヨーク オフィスのアドレスを持つ Scope1 という名前のスコープが含まれています。DHCP2 には、シアトル オフィスのアドレスを持つ Scope2 という名前のスコープが含まれています。
アイデンティティインフラストラクチャ
ネットワークには、corp.falbrikam.com という名前の単一のオンプレミス Active Directory ドメイン サービス (AD DS) ドメインが含まれています。現在、すべてのサービス アカウントは個別のドメイン ユーザー アカウントを使用します。
すべてのドメイン コントローラーには DNS サーバーの役割がインストールされており、corp.fabrikam.com の Active Directory 統合 DNS ゾーンのコピーをホストします。
corp.fabrikam.com AD DS ドメインは、Azure Active Directory (Azure AD) テナントと同期します。
グループ ポリシー オブジェクト (GPO)
corp.fabrikam.com ドメインには、次の表に示す組織単位 (OU) とカスタム グループ ポリシー オブジェクト (GPO) が含まれています。
要件
計画された変更
Fabrikam は、計画されている次の変更を特定します。
* Vnet1 という名前の単一の Azure 仮想ネットワークを含む、Sub1 という名前の単一の Azure サブスクリプションを作成します。
* Azure Virtual WAN と FxpressRoute を使用して、シアトルとニューヨークのオフィス間の WAN リンクを置き換えます。両方のオンプレミス オフィスは、ExpressRoute を使用して Vnet1 に接続されます。
* newyorkhiles、seattlefiles、companyfile という名前の 3 つの Azure ファイル共有を作成します。
* Vnet1 に dc3.corp.fabrikam.com という名前のドメイン コントローラーを作成します。
* Azure Virtual Desktop ホスト プールを Vnet1 にデプロイします。 Azure Virtual Desktop セッション ホストは、ハイブリッド Azure AD に参加します。
* サーバー用 Microsoft Defender のすべてのサーバーのライセンスを取得します。
* Azure Policy を使用して、Azure およびオンプレミスのサーバーに構成管理ポリシーを適用します。
ネットワーク要件
Fabrikam は、次のネットワーク要件を特定します。
* Virtual WAN を実装し、サイト間のすべてのネットワーク トラフィックが Virtual WAN を使用するようにします。すべての通信は ExpressRoute 経由で行われる必要があります。
* DHCP サーバーに障害が発生した場合、クライアント コンピュータが動的 IP アドレスを引き続き受信し、既存のリースを更新できることを確認してください。
* Vnet1 のリソースが corp.fabrikam.com ドメインのオンプレミス サーバーの名前を解決できることを確認します。
セキュリティ要件
Fabrikam は次のセキュリティ要件を特定します。
* GPO4 を Azure Virtual Desktop セッション ホストに適用します。 Azure Virtual Desktop ユーザー セッションが 10 分間アイドル状態になった後にロックされるようにします。ユーザーは、クライアント コンピュータからロックアウト時間を手動で制御できる必要があります。
* Azure 仮想マシンへのリモート デスクトップ接続を確立する前に、サーバー管理者が承認を要求していることを確認してください。リクエストが承認された場合は、2 時間以内に接続を確立する必要があります。
* ユーザーのパスワードに、Fab、f@br1kAm、fabr!| など、会社名に基づく単語の全部または一部が含まれないようにします。
* Webapp1 のすべてのインスタンスが同じサービス アカウントを使用していることを確認します。サービス アカウントのパスワードは 30 日ごとに自動的に変更する必要があります。
* ドメイン コントローラーがインターネット上のホストに直接接続できないようにします。
ファイル共有の要件
次の要件を満たすように Azure ファイルの同期を構成する必要があります。
* シアトルファイルが FS2 に同期していることを確認します。
* newyorkfiles が FS1 と同期していることを確認します。
* companyfile が FS1 と FS2 の両方に同期していることを確認します。
質問
ドラッグ アンド ドロップの質問
パスワードのセキュリティ要件を満たす必要があります。
Azure AD パスワード保護のコンポーネントはどこで構成すればよいですか?答えるには、適切なコンポーネントを正しい場所にドラッグします。各コンポーネントは 1 回使用することも、複数回使用することも、まったく使用しないこともできます。コンテンツを表示するには、ペイン間で分割バーをドラッグするか、スクロールする必要がある場合があります。
注: 正しく選択するたびに 1 ポイントの価値があります。
