Azure認定試験 AZ900のよく出る・よく間違うところメモ 〜その１〜

Azure AD Identity Protection

Azure AD の Identity Protection を利用してアカウント盗用の脅威に備える

• Azure ADのアカウント保護機能

• ユーザーリスクポリシーとサインインリスクポリシーの2つのポリシーが設定可能

ユーザーリスクポリシー

• ユーザーIDやパスワードがダークウェブなどに流出していないかを監視する。

• 流出が確認された場合、パスワードのリセットやアクセスブロックなどができる。

サインインリスクポリシー

• ユーザーがサインインした際のリスク（匿名IPでアクセスされた場合など）を検知し、MFAの要求やアクセスブロックが行える。

Azure Information Protection

コンテンツにラベルを付与し、ドキュメントやメールの分類、保護を行うことができる。

CapExとOpEx

CapEx（Capital Expenditure）

資本的支出。サーバーやストレージを購入したりする費用が該当する。

OpEx（Operating Expense）

運用費。現在サービスや製品に費やしているコスト。
使ったら使った分だけ課金なので柔軟。

Azure Resource Manager

Azure のデプロイおよび管理サービス。
リソースを作成、更新、および削除できる管理レイヤーを提供する。
アクセス制御、ロック、タグなどの管理機能を使用して、デプロイ後にリソースを保護および整理することもできる。
また、ARMテンプレートを作成しておけばリソース構成をjsonファイルで定義できる。

https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/management/overview

リージョンについて

• 日本の政府機関専用のリージョンはない。

• Azure Government（アメリカ）、Azure China（中国）、Azure Germany（ドイツ）がある。

Azure Policy

AzureのリソースがJSONで定義したルール（ポリシー定義）に則って作成されているかなどを制御できるサービス。
ポリシー定義では、評価のタイミングや評価時の対応などを制御可能。
例）リソースの変更を拒否する
 　   リソースへの変更をログに記録する
Azure Policyを適用する前に作成されたリソースには影響しない点には注意。

Azure Policy と Azure RBAC

Azure Policyはリソースの状態を評価するものであり、Azure Policyによってアクションが制限されることはない。
Azure Policy では、だれが変更を行ったかや、だれが変更を行うアクセス許可を持っているかに関係なく、リソースがルールに準拠した状態になる。
Azure RBACの目的はユーザー操作の管理である。そのため、アクションの制御が必要な場合はAzure RBACが必要となる。
組み合わせて使うと良い。

Azure Key Vault

シークレット（API キー、パスワード、証明書、暗号化キーなど）を安全に保管し、それにアクセスするためのクラウド サービス。

リソースのロック

サブスクリプション、リソース グループ、またはリソースをロックし、組織の他のユーザーが誤って重要なリソースを削除したり変更したりするのを防止することができる。
ロックは、ユーザーが持っている可能性のあるどのアクセス許可よりも優先される。
ロックレベルは、CanNotDeleteとReadOnlyの２種類。
CanNotDelete: 読み取りと変更は可能。削除はできない。
ReadOnly: 読み取りは可能。変更・削除はできない。

ロールベースのアクセス制御とは異なり、管理ロックを使用するとすべてのユーザーとロールに対して制限を適用することができる。
ロックは継承される。（ロックされたリソースを含むリソースグループを削除しようとすると、リソースグループの削除が拒否される。同じリソースグループ内のロックされていないリソースも消えない。）

Azure Security Center

クラウド構成全体に渡って弱点を抽出し、環境における全体的なセキュリティ体制を強化し、増大する脅威からマルチクラウドとハイブリッド環境全体に渡ってワークロードを保護できる。
無料枠と有料枠がある。

総保有コスト (TCO) 計算ツール

オンプレミスの構成をAzureに移行した際の時間経過に伴うコストを見積もるためのツール。

Azureサービスの公開の流れ

プライベートプレビュー → パブリックプレビュー → GA（一般公開）

プライベートプレビューでは一部のユーザーのみが利用可能。
パブリックプレビューの段階ではSLAは適用されない。

Azure DevTest Labs

テンプレートをもとにテスト・開発環境を素早く構築することができる。
自動シャットダウンの設定によりコスト節約も可能。
CI/CDパイプラインと統合し、必要に応じて環境を構築するなどのシナリオがある。