Explanation:

参照：
https://docs.microsoft.com/en-us/azure/role-based-access-control/role-assignments-portal
https://docs.microsoft.com/en-us/azure/active-directory/roles/permissions-reference
トピック 3、A Datum Corp概要
Datum Corporation はモントリオールのコンサルティング会社です。
A Datum は最近、バンクーバーに拠点を置く Litware, Inc. という会社を買収しました。
データ環境
A Datum のオンプレミス ネットワークには、adatum.com という名前の Active Directory ドメイン サービス (AD DS) フォレストが含まれています。
A: Datum には、Microsoft 365 E5 サブスクリプションがあります。サブスクリプションには、Azure AD Connect を使用して adatum.com AD DS ドメインと同期する検証済みドメインが含まれています。A: Datum には、adatum.com という名前の Azure Active Directory (Azure AD) テナントがあります。テナントでは、セキュリティの既定値が無効になっています。
テナントには、次の表に示すユーザーが含まれます。
問題ステートメント
A: Datum では次の問題が特定されています。
* 営業部門の複数のユーザーは、最大 5 台のデバイスを所有しています。営業部門のユーザーからは、デバイス制限に達したため、サポート部門に連絡してデバイスを Azure AD テナントに参加させる必要がある場合があると報告されています。
* 最近のセキュリティインシデントでは、複数のユーザーが認証情報を漏洩し、サインインに疑わしいブラウザが使用され、匿名のIPアドレスからリソースにアクセスされたことが明らかになりました。
* デバイス管理者ロールを IT_Group1 に割り当てようとすると、選択リストにグループが表示されません。
* 組織内の誰でも、他のゲストや管理者以外のユーザーを含め、ゲスト ユーザーを招待できます。
* ヘルプデスクはユーザーのパスワードのリセットに時間がかかりすぎます。
* 現在、ユーザーは認証にパスワードのみを使用しています。
要件
A Datum は以下の変更を実施する予定です。
* セルフサービス パスワード リセット {SSPR} を構成します。
* すべてのユーザーに対して多要素認証 (MFA) を構成します。
* Package1 という名前のアクセス パッケージのアクセス レビューを構成します。
* 組織データへのアプリケーション アクセスには管理者の承認が必要です。
* AD DS ユーザーと groupsoflitware.com を Azure AD テナントと同期します。
* 特定の管理者ロールが割り当てられているユーザーのみがゲスト ユーザーを招待できるようにします。
* Azure AD に参加または登録できるデバイスの最大数を 10 に増やします。
技術要件
Datum では、次の技術要件が識別されます。
* ユーザー管理者ロールを割り当てられたユーザーは、最大 1 年間、必要に応じてロールを使用する権限を要求できる必要があります。
* ユーザーに対して MFA の登録を促すプロンプトを表示し、猶予期間中に登録をバイパスするオプションを提供する必要があります。
* ユーザーは、SSPR を使用してパスワードをリセットするために、1 つの認証方法を提供する必要があります。使用可能な方法には次のものが含まれます。
* メールアドレス
* 電話
* セキュリティに関する質問
* Microsoft Authenticator アプリ
* adatum.com と litware.com AD DS ドメイン間に信頼関係を確立してはなりません。
* 最小権限の原則を使用する必要があります。