AZ-305微軟包過考古題三題分享 

你有一個 Azure 訂閱，其中包含一個名為 Application1 的自定義應用程序。 Application1 由一家名為 Fabrikam, Ltd. 的外部公司開發。Fabrikam 的開發人員被分配了對 Application1 組件的基於角色的訪問控制 (RBAC) 權限。所有用戶都獲得了 Microsoft 365 E5 計劃的許可。
https://www.tyqas.com/AZ-305.html
您需要推荐一種解決方案來驗證 Fabrikam 開發人員是否仍需要對 Application1 的權限。解決方案必須滿足以下要求：

每月向開發人員的經理髮送一封電子郵件，其中列出了對 Application1 的訪問權限。
如果管理員未驗證訪問權限，則自動撤銷該權限。盡量減少開發工作。

你應該推薦什麼？

A.在 Azure Active Directory (Azure AD) 中，創建 Application1 的訪問審查。
B.創建運行 Get-AzRoleAssignment cmdlet 的 Azure 自動化 Runbook。
C.在 Azure Active Directory (Azure AD) Privileged Identity Management 中，為 Application1 資源創建自定義角色分配。
D.創建運行
獲取 AzureADUserAppRoleAssignment cmdlet。

正確答案：A

說明/參考：
參考：
https://docs.microsoft.com/en-us/azure/active-directory/governance/manage-user-access-with-access-reviews

問題2
你有一個 Azure 訂閱。訂閱有一個包含多個 blob 的 blob 容器。

貴公司財務部門的 10 名用戶計劃在 4 月份訪問 Blob。您需要推荐一種解決方案，以便僅在 4 月份啟用對 blob 的訪問。
您應該在建議中包含哪種安全解決方案？

A.共享訪問簽名（SAS）
B. 條件訪問策略
C.證書
D.訪問密鑰

正確答案：A

說明/參考：
解釋：
共享訪問簽名 (SAS) 允許對資源進行有限時間的細粒度訪問控制。因此，您可以生成 URL、指定持續時間（4 月份）並將 URL 傳播給 10 個團隊成員。 5 月 1 日，SAS 令牌自動失效，拒絕團隊成員繼續訪問。
 
參考：
https://docs.microsoft.com/en-us/azure/storage/common/storage-sas-overview

問題 3
你有一個與本地 Active Directory 域同步的 Azure Active Directory (Azure AD) 租戶。

您有一個名為 WebApp1 的內部 Web 應用程序，它在本地託管。 WebApp1 使用集成 Windows 身份驗證。

一些用戶遠程工作，沒有對本地網絡的 VPN 訪問權限。您需要為遠程用戶提供對 WebApp1 的單點登錄 (SSO) 訪問權限。
您應該在解決方案中包含哪兩個功能？每個正確答案都代表了解決方案的一部分。

注意：每個正確的選擇都值得一分。

A.Azure AD 應用程序代理
B.Azure AD 特權身份管理 (PIM)
C. 條件訪問策略
D.Azure Arc
E.Azure AD 企業應用
F.Azure 應用程序網關

正確答案：AC

說明/參考：
解釋：
答：應用程序代理是 Azure AD 的一項功能，使用戶能夠從遠程客戶端訪問本地 Web 應用程序。應用程序代理包括在雲中運行的應用程序代理服務和在本地服務器上運行的應用程序代理連接器。
您可以將單點登錄配置到應用程序代理應用程序。

C：Microsoft 建議使用具有預身份驗證和條件訪問策略的應用程序代理來從 Internet 進行遠程訪問。為 Intranet 使用提供條件訪問的一種方法是對應用程序進行現代化改造，以便它們可以直接使用 AAD 進行身份驗證。

參考：
https://docs.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy-config-sso-how-to

https://docs.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy-deployment-plan