はじめに

この記事は、Microsoft Azure Administrator (AZ-104) の受験にあたり、個人的に学習した内容や重要だと感じたポイントをまとめたものです。AZ-900 (Azure Fundamentals) 取得済みであることを前提としていますが、基本的な概念の復習も含んでいます。

AZ-104 の試験範囲

公式のスキルアウトラインによると、試験範囲は以下の通りです。（比率は変更される可能性があるため、常に最新の情報を確認してください）

• Azure アイデンティティおよびガバナンスの管理 (15-20%)
• ストレージの作成と管理 (15-20%)
• Azure 計算資源の展開と管理 (20-25%)
• 仮想ネットワークの構成と管理 (25-30%)
• Azure 資源の監視とバックアップ (10-15%)

特にコンピューティングとネットワークの比重が高いことがわかります。

各項目で気になった部分のメモ

1. Azure アイデンティティおよびガバナンスの管理

Azure Active Directory (Azure AD)

• Azure AD vs Active Directory Domain Services (AD DS): Azure AD は HTTP/HTTPS ベースの認証（SAML, OAuth 2.0, OpenID Connect）に特化しており、オンプレミスの AD DS（Kerberos, NTLM）とは役割が異なります。
• Azure AD Connect: オンプレミスの AD DS と Azure AD を同期させるためのツール。パスワードハッシュ同期、パススルー認証、フェデレーションなどの同期オプションの違いを理解することが重要です。
• ロールベースのアクセス制御 (RBAC): 「どのユーザー（プリンシパル）が」「どのリソースに対して」「何を（ロール）できるか」を定義します。所有者 > 共同作成者 > 閲覧者 の基本ロールの違いは必須知識。カスタムロールも作成可能です。
• 管理グループ、サブスクリプション、リソースグループ: これらの階層構造と、ポリシーやRBACがどのように継承されるかを理解することが重要です。
• Azure Policy: リソースの作成ルールを定義し、組織のコンプライアンスを強制します。（例: 特定のリージョンにしかリソースを作成できないようにする、特定のVM SKUしか許可しないなど）。Deny, Append, Audit などの効果の違いを覚える。
• ロック: リソースグループやリソースの誤った削除・変更を防ぐための機能。CanNotDelete (削除ロック) と ReadOnly (読み取り専用ロック) の2種類。

2. ストレージの作成と管理

ストレージアカウント

• 冗長化オプション: LRS, ZRS, GRS, GZRS の違いを明確に理解する。コスト、可用性、データの保護レベルのトレードオフ。
  • LRS (ローカル冗長ストレージ): 1つのデータセンター内で3回コピー。最も安価。
  • ZRS (ゾーン冗長ストレージ): 1つのリージョン内の複数の可用性ゾーンにまたがって3回コピー。
  • GRS (geo冗長ストレージ): プライマリリージョンでLRS、セカンダリリージョンに非同期でコピー。
  • GZRS (geoゾーン冗長ストレージ): プライマリリージョンでZRS、セカンダリリージョンに非同期でコピー。最も高価で高可用性。
• アクセス層: ホット、クール、アーカイブの3種類。アクセス頻度とコストに応じて使い分ける。アーカイブ層は取り出しに時間がかかる（リハイドレート）。
• Shared Access Signature (SAS): ストレージリソースへの委任されたアクセスを、きめ細かく制御するための署名付きURI。アカウントSAS、サービスSAS、ユーザー委任SASの違い。
• Azure Files: SMB/NFS プロトコルをサポートする、フルマネージドのファイル共有サービス。オンプレミスのファイルサーバーの代替として利用可能。Azure File Sync を使うと、オンプレミスの Windows Server と Azure Files を同期できる。

3. Azure 計算資源の展開と管理

仮想マシン (VM)

• 可用性セット: 1つのデータセンター内での障害からVMを保護する。障害ドメイン (FD) と 更新ドメイン (UD) にVMを分散配置する。SLA 99.95%。
• 可用性ゾーン: 1つのリージョン内の物理的に分離された複数のデータセンター。ゾーン間の障害からVMを保護する。SLA 99.99%。
• ARM テンプレート: Azure リソースを宣言的に定義するJSONファイル。インフラのコード化 (IaC) を実現。
• カスタム スクリプト拡張機能: VMのデプロイ後に、スクリプト（PowerShell, Bash）を実行してソフトウェアのインストールや構成を自動化する。

App Service

• App Service プラン: App Service のコンピューティングリソース（CPU, メモリ, OS）を定義する。価格レベル（Free, Shared, Basic, Standard, Premium, Isolated）によって機能とスケーラビリティが異なる。
• デプロイ スロット: production スロットとは別に staging などのスロットを作成し、ダウンタイムなしでデプロイ（スワップ）が可能。

Azure Kubernetes Service (AKS)

• AKS はコントロールプレーンを Azure が管理するため無料。ワーカーノード（VM）に対してのみ課金される。

4. 仮想ネットワークの構成と管理

VNet とサブネット

• VNet は分離されたネットワーク空間。サブネットはVNetをさらに分割したもの。
• ネットワーク セキュリティ グループ (NSG): サブネットまたはNICレベルで適用されるステートフルなファイアウォール。インバウンド/アウトバウンドの通信ルールを優先度順に定義する。
• アプリケーション セキュリティ グループ (ASG): VMをグルーピングし、そのグループをNSGの送信元/宛先として指定できる。IPアドレスではなく、VMの役割に基づいてルールを定義できるため管理が容易になる。

ネットワーク接続

• VNet ピアリング: 2つのVNetをプライベートに接続する。リージョン内（VNetピアリング）とリージョン間（グローバルVNetピアリング）がある。
• VPN ゲートウェイ: オンプレミスとAzure VNetをインターネット経由で暗号化して接続する（サイト間VPN）。
• ExpressRoute: 専用のプライベート回線でオンプレミスとAzureを接続する。高スループットで安定した接続が必要な場合に利用。

DNS

• Azure DNS: ドメインのDNSレコードをホストするためのサービス。プライベートDNSゾーンとパブリックDNSゾーンがある。

5. Azure 資源の監視とバックアップ

Azure Monitor

• メトリック: 数値データ。CPU使用率など。
• ログ: イベントデータ。Application Insights や Log Analytics ワークスペースに収集される。
• アラート: メトリックやログが特定のしきい値を超えた場合に通知やアクション（Webhook, Azure Functionsの実行など）をトリガーする。

Azure Backup

• Recovery Services コンテナー: バックアップデータや復旧ポイントを格納するストレージエンティティ。VM、SQL Server、Azure Filesなどをバックアップ可能。

学習のポイント

• ハンズオンが最重要: 実際にAzure PortalやAzure CLIを操作してリソースを作成・設定してみることが、知識の定着に不可欠。
• ドキュメントを読む習慣: Microsoft Learn や公式ドキュメントには、試験に必要な情報が網羅されている。特定のサービスについて深く理解するためには必読。
• コマンドを覚える: az CLI や PowerShell のコマンドに慣れておくこと。試験では、特定のタスク実行するためにどのコマンドが必要か問われることがある。

---

この記事はAIによって修正・追記されました。