✨

AzureAZ900

2023/08/30に公開

Azure

tech

試験合格後、以下にまとめました。

以下は勉強中のノートです。

演習テスト①～④を90%まで実施すれば合格できます。

9/2 ノートの暗記、テスト①②③を90%以上２周はしたい。本読み。
9/3 ４章よむ、④を一回。あとは復習。acm blueprint 所有者、多層防御セキュリティ
9/4 　10:00-13:00 ノートの暗記、本読み。
　　　13:30 ログイン、14:00 シケンカイシ

Azure CLIではAzure PowerShellのコマンドを実行することはできません

たぶんpowerchell はazure cliをじっこう可能

Azure Advanced Threat Protection（ATP）は

Azureネットワーク全体のユーザーアクティビティを監視するサービスです。疑わしいユーザーアクティビティ、組織内の悪意のある攻撃を検出するためにも使用されます。また、Azure Active Directory（AD）のユーザーIDを保護するためにも使用されます。

仮想マシンのデータを保存するためのデータボリュームとして利用できるストレージは

azure blob storage

Microsoftが後継サービスを持たないAzureサービスのサポートを終了する予定の場合、

Microsoftは少なくとも１２か月前に通知を提供します。

IoT Centralは

IoTデバイスを中央管理するためのサービスです。IoT Centralは大量のIoTデバイスの接続、監視、管理を簡単かつ大規模に行うことができます。

Azure Storageでは次のタイプのストレージを利用できます。

Azure BLOB
テキストおよびバイナリデータのための高度にスケーラブルなオブジェクトストアです。 Data Lake Storage Gen2 によるビッグデータ分析のサポートも含まれています。
Azure Files
クラウドまたはオンプレミスのデプロイ用のマネージド型のファイル共有システムです。
Azure キュー
アプリケーションコンポーネント間の信頼性の高いメッセージングのためのメッセージングストアです。
上位種がazure service bus
Azure テーブル
構造化データのスキーマレスストレージのための NoSQLストアです。
上位種がazure cosmos db
Azure ディスク
Azure VM のためのブロックレベルのストレージボリュームです。

RBAC（代表的な組み込みロール）

所有者
リソースを管理するためのフルアクセス可能。他のユーザにRBACロールを割り当て可能
共同作成者
リソースを管理するためのフルアクセス可能。ただし他のユーザにRBACロールを割り当て不可能
閲覧者
すべてのリソースとその設定を表示することはできるが、変更はできない
上記以外はカスタムロールを作れる

Azure ADロール

Azure　AD　へのアクセスはRBACロールハツカワナイ

全体管理者
フルアクセス
ユーザ管理者
ユーザとグループを管理できる
パスワード管理者
ユーザのパスワードをリセットできる

Azureの最新のセキュリティ標準は

トラストセンター

コンプライアンスマネージャー

iso.
各種基準に準拠しているかを確認できる
コンプライアンスときたらこれにしよう

Microsoft Defender for Cloud

規制レポートをダウンロードできる

KeyVaultではSSL/TLS証明書の管理、展開を支援できる

鍵情報、証明書、シークレット情報などの機密情報をアプリケーション内から分離し、安全に管理するためのサービス。Vaultは保管庫という意味。

LinuxコンピューターからAzure PowerShellスクリプトを実行する準備

PowerShell Core （coreまで書いてあったら選ぶ.macとlinux正確にはcoreがつく
Azure PowerShell モジュール

リソースグループに付与したロックは属するリソースに継承される。

グローバルに利用されるアプリケーションをユーザーが多い多数のリージョンにデプロイすることで、

ユーザーエクスペリエンスを最適化することをGeoディストリビューション

クラウドを利用してアプリケーションやデータを複数のリージョンにデプロイできることを

地理的分散

adconnect

でオンプレミスのActive Directoryにあるユーザーアカウント情報をAzure adに同期できる
パスワードハッシュ同期と言われているのかも

課金は秒単位(以前は分単位）

Azure仮想ネットワークのサブネットにフィルタリングを実施するには、仮想アプライアンスとユーザ定義ルートが必要

Azure サービスの監査レポートとコンプライアンス関連情報を確認できるサービスはMicrosoft Service Trust Portal

Microsoft Service TrustPortalのマイライブラリ機能ではドキュメントとリソースを1か所に保存できる。

コンプライアンスマネージャーは、ユーザーがマイクロソフトサービスを利用する際のコンプライアンス遵守にかかる過程全体を支援するサービスです。

Azure Advisorはbackupの有無を教えてくれる（信頼性？）

複数リージョンに負荷分散可能

セキュリティトークンを取得するにはazure ad

オンプレミス環境からパブリッククラウドに移行することで得られる一般的なコストメリットはどれでしょうか？

capがさがって、opexが上がる。
opeも下がると思ったが一般的に上がるらしい

可用性ゾーンは仮想マシンの話と思われる

ストレージは関係ない

Azure MonitorにAzure Active Directory (Azure AD) アクティビティログを表示できる。

Azure Cost Managementは過去3か月の仮想マシンの使用状況を表示できる。

Azure の費用についての分析や予算管理を行うことができます。 Cost Management は「コスト分析」「予算」「コストのアラート」「アドバイザーの推奨事項」という4つの機能で、Azure の利用料金の管理と最適化を行うことができます

コストと使用状況データが Cost Management で利用可能になると、少なくとも 7 年間保持されます。ポータルからは、過去 13 か月分のみ利用できます。

リージョン間は専用線ではない

一方で、異なるリージョン間は専用線ではなく、 VNet ピアリングなどを利用して高帯域、低レイテンシに接続されています。

インターネットなんでしょう。

Azure Active Directory Domain Services （Azure AD DS ）はグループポリシー作成可能

可用性は、アプリケーションが重大なダウンタイムなしで正常な状態で実行される時間を表します。回復性とは、アプリケーションが障害から回復する速度を示します。

Azure Active Directory Identity Protection

Identity=IDのときもある
Azure Active Directory Identity Protection はユーザーのIDベースのリスク検出と多要素認証 (MFA) やパスワードの変更を強制するといったセキュリティ保護が可能なサービスです。ユーザーがIDを利用したアクセス時のセキュリティを強化するために利用します。

Azure AD Identity Protection

Identity=IDのときもある
Azure Active Directory (Azure AD) ユーザーが匿名のIPアドレスを使用してインターネットからAzure ADに接続すると、ユーザーに対してパスワードを変更することを自動的に要求する設定が必要です。

vpn = 暗号化

azure サービス正常性（Azure Service Health）

データセンターの障害、メンテナンス確認。アプリが停止する原因につながっているかも
サービスの障害もわかる

azure arc

azure ポータルからazureだけではなくオンプレのサーバ、別のクラウドのサーバも一元管理するサービス

Azure AD

クラウドの認証と承認のサービス

Active Directory Domain Service(AD DS)

オンプレの認証と承認のサービス。Azure ADと同期可能（azure connect?)

これをクラウドでも使いたい場合、方法１
Windows Serverの仮想マシンを作成し、ドメインコントローラーとして構成する。作業はユーザ側

これをクラウドでも使いたい場合、方法２
Azure AD Domain Service(Azure AD DS)を使う。これはマネージドなドメインコントローラーサービスなので管理不要、簡単

データ操作ツール

ストレージのデータを操作するツール

AzCopy

コマンド
win,lin,macで可能

azure Storage Explorer

AzcopyのUI版

負荷分散

azure load balancer
ip,port,protocolでふりわけ
azure application gateway
URLで振り分け
azure traffic manager
上記２つの組み合わせ

仮想マシンスケールセット

仮想マシンをまとめて管理、作成するサービス。自動スケーリング（増台減台）可能

可用性セット

- 複数の仮想マシンがデータセンター内同じ仮想化ホストや同じラックに配置されないようにするグループ

- サーバラック数（障害ドメイン）：３、共通の電源やネットワーク機器などを共有する範囲
- 仮想化ホストの数（更新ドメイン）：２０、Azureのメンテナンスリブートの際に影響を受ける範囲

管理グループ
- さぷスクリプションをまとめて管理するグループ
可用性セットはデータセンター内の障害に備える。データセンターの障害には耐えれない
可用性ゾーンはデータセンターの障害に耐えれる。こっちの方が設定は簡単

可用性ゾーン

複数の仮想マシーンを単一リージョン内の異なるデータセンターに分散配置する機能

azure app service

webアプリのホスティング環境
Web アプリを構築、デプロイ、スケーリングするためのフルマネージド型の開発プラットフォームです。

Azure DevOps

最新の一連の開発サービスを利用して、よりスマートに計画を立て、DevOps作業を可能にする開発・運用向けのサービスです。

Azure DevOps Servicesでは

Git リポジトリに開発コードを保存することができる。

Azure DevOps Servicesは

アプリケーション開発時のコード管理から、アプリケーションのデプロイまでをサポートしています。しかしながら、Azure DevOps Servicesはデプロイ後の環境は提供していません。したがって、実際に完成したコードをデプロイするためには、別途デプロイ先を指定することが求められます。例えば、デプロイ先としてAzure App Serviceなどを指定する必要があります。

Azure DevOps Servicesは

Azure内での開発作業を複数メンバーで効率的に共同で行うためのアジャイルツールや CI/CD などを利用するためのサービスです。CI/CDとはアプリケーション開発において、ビルドやテスト、リリース、デプロイなどの工程を専用のツールなどを用いて自動化して効率化することであり、DevOpsとはアプリケーションの開発と運用を分離しないで、統合的に行うことです。

Azure DevOps ServicesではAzure Pipelines機能により、CI/CDを実現するパイプラインを展開することができます。このパイプラインを使用して、ビルドとデプロイを自動化して、ビルド、テスト、およびデプロイを実行できます。Azure DevOps Servicesの特徴は以下の通りです。

azure logic app

アプリの実行環境をサーバレスでアプリケーション提供. UIでプログラムを作る。

azure function

アプリの実行環境をサーバレスでアプリケーション提供。プログラミング必要

azure containner service

コンテナ仮想環境

リソースのアクセス権

RBAC

認証

自分が誰であるか証明する手続き

承認

自分に何ができるのかを確認する手続き

仮想ネットワークの通信制限

firewall、サブネット全体を保護、アプリケーションルール（アウトバウンド接続、内から外）、ネットワークルール（アウトバウンド接続、内から外）、NATルール（インバウンド接続、外から内）
ネットワークセキュリティグループ（IP、サービスタグ、アプリケーションセキュリティグループ）、

microsoft defender for cloud（旧azure security center)

セキュリティの診断、保護、脅威の検出
有料、無料あり
awsやgｃｐ、オンプレにも使える
世界標準のコンプライアンス要件のチェックもできる

just in time vm アクセス

仮想マシンへのリモートアクセスへを許可制とし、さらにアクセス時間を制限するmicrosoft defender for cloudの機能

仮想ネットワークゲートウェイ

サイト間接続、expressRoute接続で使用

アプリケーションセキュリティグループ

仮想マシンのグループ.
ネットワークセキュリティグループに設定可能

仮想ネットワークピアリングは

2つ以上のAzure仮想ネットワーク間を接続するサービスです。
同じ Azure リージョン内の仮想ネットワークを接続します。

★グローバル仮想ネットワークピアリング

Azure リージョン間で仮想ネットワークを接続します。

仮想ネットワークと社内ネットワークをつなぐ

接続
仮想ネットワークゲートウェイ
ローカルネットワークゲートウェイ

azure expressroute

専用回線やWAN回線を用いてオンプレと仮想ネットワークをつなぐ
経路制御にBGPを使う

ポイント対サイト接続

個々のクライアントからインタネット経由で仮想ネットワークへVPNｓ接続
プライベートＩＰで接続できる。在宅勤務者に便利

サイト間接続

社内ネットワークー＞仮想ネットワークをＶＰＮ接続
ＶＰＮではなく専用線で接続がexpressroute

１つのストレージアカウントの最大サイズ

5PB
１つのデータの最大は無限；矛盾を感じる

ストレージアカウントの冗長オプション

ローカル冗長ストレージ（ＬＧＳ）、同じデータセンターで３重、１つのリージョン
ゾーン冗長ストレージ（ＺＲＳ）、異なるデータセンターで３重、１つのリージョン
geo冗長ストレージ（ＧＲＳ）、リージョンで３重、リージョンペアで３重、計６重
geoゾーン冗長ストレージ（ＧＺＲＳ）、各リージョンで６重

ストレージ

ＢＬＯＢ、ｈｔｔｐアクセス
ファイル共有、ＳＭＢ(win)、ＮＦＳ(linux,mac)

azure file

共有フォルダストレージ、どのＯＳからもアクセス

リージョン（東日本、西日本）

の中にデータセンターがある。データセンターは複数

azure ad参加デバイス

windows10or１１のデバイス

azure adへのサインインに条件を追加するセキュリティ強化する機能

条件付きアクセス

azure管理者の権限

割り当てには
azure adロールを使う

azure 多層防御

azure advisor

ベストプラクティスを提示するサービス
信頼性、セキュリティ、パフォーマンス、コスト、オペレーション
無料

azureモニター

監視サービス。仮想マシン停止したら通知できる

セキュリティ情報イベント管理（SIEM）

企業全体のさまざまなログを一元的に管理分析して、リアルタイムでセキュリティの脅威を検出するセキュリティ運用管理ソリューション
microsoft sentinelはSIEMのサービス。AIを使う.自動化にプレイブック（azure logic app）を使う

azure infomation protection

word,excelなどのデータや電子メールを保護するサービス
スキャナー診断ツールもある

azure application gateway

web向け負荷分散サービス

azure ddos protection

ddos攻撃を緩和するサービス

資本コスト（CAPEX）、運用コスト（OPEX）

初期費用
運用費

クラウドの弾力性

ニーズに合わせてリソースの割り当て変更、自動

規模の経済

製品の生産量が増えると生産単価が安くなること

★macでazure powershell(コマンド）を使うには

powershellパッケージのインストール
azure powershellモジュールをインストール
linuxでもつかえる

azure cloud shell

webツール、アンドロイドからそうさかのう

powershell,bashも使える

azure cli コマンドと　azure powershellコマンド

違うけどできることはほぼ同じだろう
azure cloud shellからできるはず

azure resource manage（ARM) が管理する機能

リソースグルーぷ、ロック、タグ

Azure Resource ManagerはAzure内でAzureリソースを管理する機能です。ユーザーはAzure Resource Managerを通して、Azureリソースを作成、更新、削除を管理して、Azure環境全体の一貫性を維持することができます。Azureリソースに対するアクセス制御、ロック、タグなどの管理機能を使用して、デプロイされたAzureリソースを保護します。 Azure Resource Managerはオブジェクトをクラウドインフラストラクチャにデプロイし、Azure環境全体に一貫性を維持します。

armテンプレート

リソースを自動作成。１００個の仮想マシンつくるとか

可用性ゾーン

データセンターを地理的に分割し他グループに、仮想マシンを分散

タグは１つのリソースに最大５０個

azureサービス正常性にはどのメニューからアクセスできますか

azure モニター
ヘルプとサポート

アクティブティログ

管理操作を記録するサービス。９０日保存

azure event hubs

webサイト、アプリケーション、デバイスなどのさまざまなソースからイベントをリアルタイムで取り込むことができるサービス、取り込んだデータをリポジトリ（保存場所）へ送信可能

azure data box

大量のデータを社内とazure storage間でオフライン転送するサービス

★azure data factory

大量のデータの統合、集計、変換を行うサービス

★azure log analytics

ハイブリッドクラウドやマルチクラウドに対応した監視と分析のサービス
仮想マシンと社内のデータセンターの物理サーバの監視まとめてできる
オンプレのコンピューターはazureモニターエージェントのインストールがいる

azure ポリシー（JSON)

リソース作成時にプロパティを制限できる（サブスクリプションにも適用かのう）
作成時のディスクの種類は制限可能。コンプライアンス強化に役立つ
仮想マシンの起動、停止を制限するのはrmacロール
タグを自動で作れる
イニシアティブ定義は複数のポリシーをグループ化したもの

★azure blueprints

成果物と呼ばれるazureポリシー、RBACロール、ARMテンプレート、リソースグループで構成
サブスクリプションへ割り当て

ロック

削除ロック、リソースの削除を禁止
読み取り専用ロック、リソースの上書きと削除を禁止

microsoft cloud adoption framework for azure（CAF)

戦略の定義
計画
導入の準備
採用

クラウド導入のためのベストプラクティスをまとめた文章とツール

コスト削減

予約、１年または３年のリソースの使用を確約することで割りびき
スポットは、データセンターの余剰リソースを利用で割引、仮想マシンのみ
ハイブリッド特典、windows serverなどのライセンスを持っている場合は、azureに持ち込む

予約とハイブリッド得点を組み合わせると最大８５％コスト削減

コスト計算ツール

料金計算ツール、azure製品や、サービスを使用した月次コストを見積もる

総保有コスト計算ツール（TCO)、オンプレからazureに移行するときのコスト削減額を見積もる。電力コストも含まれる。だれでも利用可能

コストのアラート

あらかじめ予算を設定し、超えたらメール通知すること
azure cost management?

ポータルURL

https://portal.azure.com

ローカルネットワークゲートウェイ

オンプレのIPを保持、azureのリソース
他はVPN装置（VPNデバイス、VPNゲートウェイ）

Azure AD Identity Protection

Azure Active Directory (Azure AD) ユーザーが匿名のIPアドレスを使用してインターネットからAzure ADに接続すると、ユーザーに対してパスワードを変更することを自動的に要求する設定が必要です。

Azure Active Directory Identity Protection

ユーザーのIDベースのリスク検出と多要素認証 (MFA) やパスワードの変更を強制するといったセキュリティ保護が可能なサービスです。ユーザーがIDを利用したアクセス時のセキュリティを強化するために利用します。

★ルートフィルターは、

Microsoftピアリングを介してサポートされているサービスのサブセットを利用する方法です。
?

★Microsoft Azure Service Busは、

メッセージキューとパブリッシュ/サブスクライブトピックを備えたフルマネージドエンタープライズメッセージブローカーです。

Azure Information Protection (AIP) は、

主にexcel,電子メールの保護

Microsoft Purview Information Protection (以前の Microsoft Information Protection (MIP)) の１つの機能として提供されています。 Microsoft Purview Information Protection は、機密情報がどこにあっても、移動しても、検出、分類、保護、管理するために利用する情報管理用のサービスです。Azure Information Protectionは、ユーザーが保存しているワードなどのコンテンツに対して、ラベルを付与することで、ドキュメントや電子メールの検出、分類、および保護を行うことができます。 Azure Information Protection は統合ラベル付けクライアントにより、ラベル付けを実施することができます。その際に、秘密度Aラベルの場合には、透かしの追加が可能です。

Azure Information Protection とは、情報漏洩対策ソリューションサービスです。主に電子メール、機密文書の情報を保護し、クラウドサービスとして利用することが可能です。

機密度レベルを設定し Microsoft 365 で作成した電子メール、 Word 、 Excel 、 Power Point といった Office ファイルのデータを保護することができます。具体的には、ファイルに対する編集、印刷、転送などの操作権限や有効期限を設定しポリシーを機密度レベルに応じたラベル付けすることでデータ管理を行い、情報漏洩を事前に防ぐ仕組みです。

Azure Key Vault は

ユーザー名やパスワードなどの資格情報などのシークレット情報を安全に格納して、それらへのアクセスを厳密に制御することができるサービスです。 Azure Key Vault を利用してパスワードなどの資格情報を安全に保存して、利用するための設定が可能となります。

Azure運営側に問い合わせをする場合は、

サポートリクエストを提出することが必要です。サポートリクエストはsupport.microsoft.comではなくAzure Portalから作成することができます。Azure portal の [ヘルプとサポート] セクションにアクセスして、サポート要求 (サポートチケットとも呼ばれる) を作成してリクエストを管理できます。また、 Azure サポートチケット REST API を使用して、プログラムによってサポートリクエストを作成して、管理することもできます。

ルートテーブルは

仮想ネットワークでパケットをルーティングする方法を指定する一連のルール（ルート）のテーブルです。これはネットワーク間の通信ルートを設定する機能であり、仮想マシンに対する通信制御には利用されません。

パブリックプレビューは、

マイクロソフトが新しいAzureサービスがリリース前に実施するユーザーが参加する試験利用期間のことです。パブリックプレビュー期間では、すべてのユーザーが対象サービスを利用することができます。この段階ではすべてのユーザーが新機能を評価できます。

プライベートプレビュー中のサービスは、

一部のユーザーのみが利用することができます。

★エンタープライズアグリーメント（EA）サブスクリプションは

一部のユーザーのみが利用できる特別な契約形態です。

フォールトトレランスは、

コンポーネントの1つに障害が発生した場合でもシステムが利用可能な状態を維持できるという性能のことです。

スケールの用語

スケールアウト・・・台数を増やす、減りそうだけど増える
スケールイン・・・台数を減らす、増えそうだけど減る
スケールアップ・・・性能を上げる
スケールダウン・・・性能を下げる
自動スケール・・・負荷の状態によって自動的に台数を増減すること

高可用性

可用性とは、システムやサービスを継続して利用できる度合いや能力のことです。英語では「アベイラビリティ（availability）」と呼びます。

そして、システムやサービスがいつでも利用できる（可用性が高い）ことを「高可用性（high availability）」と呼びます。

ディザスタリカバリ、

ディザスタリカバリ（disaster recovery）は「災害復旧」という意味で、自然災害などの大規模障害から迅速に復旧することを指します。頭文字を取って「DR」と略して呼ばれることもあります。

Azure site recovery

リージョン間で仮想マシンを複製（レプリケーション）、仮想マシンの移行や、災害復旧対策で
行われる。ダウンタイムはある。

スケーラビリティ拡張性

スケーラビリティは「拡張性」という意味で、自由にサーバの台数を増減させたり性能を上げ下げできる能力のことです。（特に台数を増やす、性能を上げる場面で用いられます）
手動っぽい、自分で自由にできること
スループットがキーワード

弾力性

弾力性とは、負荷に応じて自動的に調整する能力のことです。「伸縮性」と表現されることもあります。要は、自動スケールできる性質のことです。

機敏性

機敏性とは、変化に素早く対応できる能力のことです。「俊敏性」「アジリティ（agility）」とも呼びます。

まとめ

高可用性システムやサービスを継続して利用できる
フォールトトレランスシステムを構成する一部に障害があっても正常にサービスを継続できる
ディザスタリカバリ（DR）自然災害などの大規模障害から迅速に復旧できる
スケーラビリティ拡張性自由にサーバの台数を増減させたり性能を上げ下げできる
弾力性負荷に応じて自動的に調整できる
機敏性（アジリティ）変化に素早く対応できる

クラウドの拡張性

クラウドはインターネット介して、Web上で設定変更ができるため、利用するサーバーの数を増やすなどの環境に応じた変更を容易に、そして瞬時に実行することができます。これをクラウドの拡張性と呼んでいます。

クラウドの回復性

障害が発生してもサービスを継続できるのは、クラウドの回復性の一例

特定のリージョンに展開されているAzureリソースが他リージョンに対してDR（Disaster Recovery）構成を維持できることは、クラウドの回復性の一例となります。たとえば、Azureでは、Azure Site Recoveryを利用して、オンプレミスのプライマリーサイトにある仮想マシンや物理サーバーをAzure環境に継続的にレプリケートすることができます。それによって、障害発生時にセカンダリーサイトのサーバーにレプリケーションすることで障害から素早く復旧することができます。

Azure DevTest Labs は

Azure内にテスト環境を設定することができるサービスです。Azure DevTest Labsを利用して、ユーザーは高速に無駄のない開発/テスト環境を構築できます。Azure DevTest Labs では、事前に仮想マシン数と設定内容をセッティングしたAzure Resource Managerテンプレートを利用して、必要な仮想マシン数を展開することが可能となります。これにより、ユーザー独自のテスト環境などをテンプレート化して、いつでも起動して削除することを繰り返すことができます。

一度にたくさんのテスト用仮想マシンが作れたりする

Azure Reserved VM Instancesは

インスタンスを予約して購入価格を割り引くサービスです。予約したインスタンスサイズグループ内のサイズの仮想マシン（VM）を割引価格で利用することができます。

★Azure仮想マシンのスケールセットは、

仮想マシンのグループを作成および管理し、同一グループ内での負荷分散を可能にする機能です。大規模なサービスを構築する際に利用されます。

企業はパブリッククラウドを使用して内部ネットワークを拡張することができます。

Azure Cosmos DB は、

note:フルマネージドの NoSQL データベースサービス,json保存可能

IoTデータ処理などの最新の高速処理を必要となるアプリ開発に対応するフルマネージドの NoSQL データベースサービスです。Azure Cosmos DBは1 桁ミリ秒の応答時間と 99.999% の可用性が保証する高性能なデータベースであり、ドキュメント型の構成ではJSONドキュメントを保存することができます。

★Azure Synapseしなぷす Analyticsは、

note:フルマネージド型のクラウドのデータウェアハウス

フルマネージド型のクラウドのデータウェアハウスです。このデータベースはデテラバイト、ペタバイト級のデータに対して短時間でクエリ結果を得ることができます。
データウェアハウス（以下、DWH）とは、企業内のシステムやアプリ、クラウドサービスなどから定期的にデータを取得し、時系列に蓄積していくデータサーバーです。

Azure SQL Databaseは

フルマネージドのインテリジェントなリレーショナルクラウドデータベースです。

★Azure Cache for Redisは

高速でフルマネージドのインメモリデータストアです。これはJSONドキュメントの保存には適していません。

★特定のリソースグループに属しているリソースが、別のリソースグループ内のリソースにアクセスすることは可能であり、特に制限されていません。

リソースグループには複数のAzureリージョンのリソースを含めることができます。

AWSやAzureなどのパブリッククラウドを利用していると、

ゲストユーザーのアクセスは基本的には許可されないようになっています。通常はユーザーにアカウントを割り当てて、アカウント管理をすることが必要です。

Azure VMのSLAに基づくと2つの可用性ゾーンに少なくとも2つのVMをデプロイすることで、

99.99％の可用性が保証されています。したがって、最小の仮想マシン数は２となります。

。オペレーティングシステム操作の対話的な実行とは、

「オペレーティングシステムを操作する際に、入力したコマンドに応じて、即時に返答が返ってくること」を意味しています。そのためにはシェル・スクリプトなどのコマンドを利用します。

クラウドコンピューティングサービスにはIaaS、PaaS、SaaSの3種類がありますが、OSと対話的な操作が可能なサービスモデルはIaaSとなります。例えば、IaaSであるAzure仮想マシンに対しては、シェルスクリプトを利用したOS操作が可能です。

Azure ExpressRouteは

Azureとオンプレミス環境間の専用線接続サービスです。オンプレミスネットワークとAzure仮想ネットワークを高速なプライベートな専用回線によって接続します。これにより、オフィスネットワークからインターネットを介さずに、Azureネットワークにアクセスしてアプリケーション間を安全に連携させることができます。

VPN ゲートウェイは

Azureとオンプレミス環境とをVPN接続する際に利用するゲートウェイです。VPN ゲートウェイを利用してオンプレミスネットワークから Azure へのパブリックネットワークを介した暗号化されたVPN接続を実現します。VPNはVirtual Private Networkの略称であり、インターネット上で利用者専用の仮想的なプライベートネットワークを構築して、セキュリティを担保してネットワーク通信を行う技術のことです。Azureネットワークとオンプレミス環境とをインターネット回線で接続する際にVPNを構築します。

VPN ゲートウェイを利用して、Azure 仮想ネットワークとオンプレミスネットワークの間で、パブリックインターネットを介して暗号化されたトラフィックを送信します。また、Microsoft ネットワークを経由して Azure 仮想ネットワーク間で暗号化されたトラフィックを送信することもできます。

Active Directory とは

マイクロソフトによって開発されたオンプレミスにおけるディレクトリ・サービス・システムであり、主にマイクロソフト製品に関するユーザー管理に利用されます。Azure内のユーザー管理に利用されるのがAzure Active Directoryです。

オンプレミス環境のActive Directory ではドメインコントローラーをサーバーに設定することが必要となりますが、Azure ADはクラウドベースのマネージド型サービスであるため、仮想マシンにドメインコントローラーを実装せずに利用できます。Azure ADではAzureの認証だけではなく、オンプレミス環境のActive Directoryとも連携して、SSOや多要素認証などによって相互認証を実現します。

Azure ADを利用するにはテナントを作成して、それをサブスクリプションに連携させて認証を確立します。次のようにAzure portal から容易にAzure ADを設定することができます。

zure ADにおけるテナントとは

テナントとは、 Azure AD 内において、ユーザーやアプリケーションをひとまとめにした、グループのようなものを指します。テナントと呼ばれていることからわかるように、ビルのテナントに入るイメージをすると分かりやすいでしょう。

Azure という建物の中に自社を入居させたい場合、テナントとして自社の社員や使用するアプリケーションをひとまとめにする必要があります。管理者は、テナント内に組織のユーザーや使用するアプリをひとまとめにすることで、セキュリティやポリシーの設定をテナント単位で一括で行うことが可能になります。

既に読み取り専用ロックが設定されているAzure リソースに削除ロックを追加できる。

Azure 仮想マシンは、

仮想マシンをシャットダウンすると割り当てが解除状態となり、課金されなくなります。シャットダウンを開始すると実行中から割り当て解除中となります。割り当て解除中の状態から課金は発生しなくなります。停止 (割り当て解除) は、仮想マシンが稼働する物理ホストサーバーから割り当てられているリソースの割り当てを解除する操作であり、起動は物理ホストサーバーからリソースを割り当てる操作です。

UIで停止すると割り当て解除までいく、OS上でコマンドでシャットダウンすると停止になるらしい

停止では課金されるということ

リソースグループは

Azureアカウント内で１つのプロジェクトなどに関連するリソースを保持するためのコンテナーです。ユーザーはリソースグループにグループとして管理したいリソースを含めることで、まとめて制御することができます。

Azure Active DirectoryのDomain Services機能

を使用することで、ユーザーはグループポリシーの作成・管理を行うことができます。グループポリシーとはドメインに所属するコンピューターの利用環境を制限する機能です。ネットワーク上の攻撃による情報漏洩などを防ぐために、グループポリシーによってリソースの使用制限をかけることで、セキュリティをグループ単位で強化することができます

Active Directory (Azure AD) に参加済みデバイスは、

Azure AD に参加して、アクセス可能となるデバイスのことです。デバイスの Azure AD 参加は、ハイブリッド環境でも動作し、クラウドおよびオンプレミスアプリとリソースと両方にアクセスできるようになります。この参加済みデバイスはOSが限定されています。

すべての Windows 11 および Windows 10 デバイス (Home エディションを除く) で Azure AD 参加を構成できますが、Windows8は古いエディションであるため対象外となっています。

iOS、Android、macOS のデバイスはAzure ADに登録することはできますが、Azure ADに参加することができません。

AzureAD登録(AzureAD registered) ADドメインに参加できない個人所有のデバイスを組織で管理するために利用する機能
主にBring Your Own Device (BYOD) 利用時に使用することを想定。

※Bring Your Own Device (BYOD)とは？
従業員個人が所有しているスマートフォンやタブレット、ノートPCといったデバイスを業務でも利用すること

AzureAD参加(Azure AD joined) 組織で管理しているデバイスの中でオンプレADに参加していないデバイスを管理するために利用する機能
オンプレAD環境を持たない組織、あるいはオンプレAD環境からクラウドへの完全移行を進めている組織で利用することを想定。

★共通言語ランタイム（CLR）が利用可能なSQL ServerデータベースをAzureに移行する場合、

最も互換性が高く、移行コストが低いのはAzure SQL Managed Instanceです

Azureにおいて最も容易にSQLサーバーを利用する際は

Azure SQL Databaseを利用します

Azure App Service

もコンテナ動かせる

Azure使用制限（支出制限）は、設定したクレジット額を超過した時点で利用を自動停止することで、想定外の支出が発生しないように予防する機能です。

使用量が使用制限を使い果たす額に到達した場合に、利用中のサービスは請求の残りの期間は無効になります。

使用制限はクレジットの金額と等価です。使用制限の金額を変更することはできません。たとえば Azure 無料アカウントにサインアップした場合、使用制限は 200 ドルであり、500 ドルに変更することはできません。ただし、使用制限の削除はできます。この制限により、ほとんどの種類の支出を防ぐことができます。

AzureのサブスクリプションはAzureを利用する際の契約内容や支払方法、サポートプランに区分する単位です。

１つのAzureアカウントに複数のサブスクリプションを作成することができ、通常サブスクリプションは１つのアカウントの下部単位として関連付けられています。このサブスクリプションの所有権を譲渡するためには、課金管理者である必要があります。課金管理者のみがAzure portal にサインインして、サブスクリプションの移転操作を行うことができます。

Azure MonitorにAzure Active Directory (Azure AD) アクティビティログを表示できる。

Azure Monitorはクラウドおよびオンプレミス環境のメトリクスを収集、分析し、監視するためのソリューションです。

Azure Monitorでは、Azure Active Directoryユーザーに対してアラートを送信できますが、Azure Active DirectoryグループIDに対してはアラートを送信することができません。

【Azure Monitorの主な機能】

Application Insightsを使用して、アプリケーションと依存関係の問題を検出して診断します。
インフラストラクチャ上の問題をVM insights と Container insights に関連付けます。
トラブルシューティングや詳細な診断のために、Log Analytics を使用して監視データをドリルダウンします。
自動化されたアクションにより、大規模な運用をサポートします。
Azure のダッシュボードとブックにより視覚化します。
Azure Monitor メトリックを使用して、監視対象のリソースからデータを収集します。
定期的な監視や、変更分析を使用したインシデントのトリアージのために変更データを調査します。

Azure Cost Managementは、

Azureを利用した際のコストの分析、管理、最適化を可能にする一連のツールが提供されているサービスです。Azure Cost Managementでは、Azure の利用状況と請求金額に対する日単位の内訳を表示・ダウンロードすることができます。それにより、過去3か月の仮想マシンの使用状況を確認できます。

基本的には１つのリージョンは複数のデータセンターを含む地理的領域となっておりますが、

単一ゾーンのリージョンなど１つのデータセンターで構成されたリージョンもあります。

同じリージョン内のデータセンター間は低遅延の専用リージョンネットワークを使用して接続されています。

一方で、異なるリージョン間は専用線ではなく、 VNet ピアリングなどを利用して高帯域、低レイテンシに接続されています。

可用性ゾーンとは、Azureリージョン内の物理的に独立したゾーンのことです。

１つの可用性ゾーンは1つ以上のデータセンターで構成されています。可用性ゾーンがサポートされているAzure リージョンには、最低3 つの可用性ゾーンがあります。

★Azure API Management は

フルマネージド型の API ゲートウェイのサービスです。これは API を一括で管理することができます。これは電子メール処理を実行するようなアプリケーションを作成することはできません。

ユーザーに提供しているAzureサービスに障害が発生してSLAが未達となると、

Microsoft からサービスレベルアグリーメント (SLA) の未達状況に応じたクレジットがユーザーに提供されます。

Azure Information Protection（AIP）は、

ドキュメントやEメールの分類および保護を行うことができます。 Azure Information Protection (AIP) はAzure内のドキュメントを保護（暗号化も）するソリューションです。これにより、組織はコンテンツにラベルを適用してドキュメントや電子メールの検出、分類、および保護を行うことができます。AIP は、Microsoft Information Protection (MIP) ソリューションの一部です。これにより、Microsoft 365 で提供されるラベル付けおよび分類の機能が拡張されます。

AzureストレージアカウントにはBLOB、ファイル、キュー、テーブル、ディスクなど、Azure Information Protectionで暗号化できないAzureストレージデータオブジェクトが含まれています。 Azureは独自の暗号化サービスを利用してAzureストレージアカウントの保存データを暗号化します。

ストレージアカウントとは、Azureにてストレージを利用する際のストレージリソースを指します。主にログの保存領域として利用。

Azureでは、同じリージョン内のデータ転送に対してはデータ転送料金が発生しません。

しかしながら、可用性ゾーン間のデータ転送トラフィックへの課金が2023年7月から開始されます。つまり、リージョン内の同一の可用性ゾーン内のデータ転送は無料ですが、異なる可用性ゾーンにあるリソースへのデータ転送は有料となります。

リージョン同じでも可用性ゾーンを利用し、アベイラビリティゾーンが異なると課金

★Azure Application Insightsは

アプリケーションパフォーマンス管理（APM）を実施します。

Azure Application Insightsを利用することで、ユーザーは実行中のアプリケーションを監視して、パフォーマンスの異常を自動的に検出したり、組み込まれている分析ツールを使用してユーザーがアプリ上でどのような操作をしているかを把握することができます。

Application Insights とは、実行中のアプリケーションの使用状況やパフォーマンスなどを監視・分析できるサービスのことです。Azure Monitorの拡張機能の一つとして提供されています。

Application Insightsでは、オンプレミス上で動作しているアプリケーションや、Azure以外のクラウドサービスで稼働しているアプリケーションも監視できる点が特徴です。開発段階やテスト、運用環境など、様々なフェーズでアプリケーションのパフォーマンスを事前に確認したり、実行データを確認してインシデントの原因を特定したり、幅広い方法で活用できます。

パブリックプレビューは

試験的にユーザーに新規サービスを利用してもらう期間であるため、パブリックプレビュー対象のサービスはSLAから除外されています。これはMicrosoftが提供する契約条件に明確に記載されています。

★Azure Cognitive Services は、

開発者が直接的な人工知能 (AI) またはデータサイエンスのスキルや知識がなくてもコグニティブかつインテリジェントなアプリケーションを構築できる、クラウドベースの AI サービスです。

Azure PortalとAzure Cloud Shellは、iPhoneから使用できるAzure管理ツールです。

どちらのツールもiPhoneのオペレーティングシステムであるiOSをサポートしています。 Azure PortalもAzure Cloud ShellもWEBプラウザベースのツールであるため、WEBブラウザから利用できます。

Azure CLIはAzure リソースを作成して管理するためのコマンドラインツールです。

Azure CLI は、Windows、macOS、Linux で使用できます。iOSシステムにインストールできないため、不正解となります。

★Microsoft Azure Storage Explorerは、

Windows、macOS、およびLinuxでAzure Storageデータを簡単に操作できるスタンドアロンアプリです。このツールはiOSはサポートしていません。

★Azure Service Healthは、（E〇Sみたいなもん）

Azureサービスのインシデントと計画されたメンテナンスの実行時期や発生状況を通知するサービスです。Azure Service Healthを利用して、ユーザーはAzureサービスの障害発生時の通知を受け取ることができます。これによって、ユーザーはダウンタイムを軽減するためのアクションを実行することが可能となります。

Azure Service Healthでは、

ユーザーがカスタマイズしたアラートを構成することができます。それにより、パーソナライズされたダッシュボードを使用して、問題を分析し、クラウドリソースへの影響を監視することができます。

Azure 無料アカウントによって、

最初の 30 日間に使用できる 200 ドルの Azure クレジットと 12 か月の無料サービス (数に制限あり) が提供されます。利用できる数には制限があります。
無料利用版では使えないサービスがありませんが、１つのAzureリソースで作成できる起動数などには制限があります。
Azureでは1つのアカウントに対して１つの無料利用版サブスクリプションを登録することができます。

★Azure Machine Learning は

機械学習モデルをコーディングするための開発プラットフォームです。開発者やデータサイエンティストは開発支援用のStudioを活用しながら、ワークフロー形式で機械学習モデルを構築、トレーニング、デプロイすることができます。これを利用して、過去のユーザー行動データを利用した予測分析モデルを構築することができます。

機械学習モデルとは、AIを作成する際に機械学習という方式を利用して、入力データに対して結果(=出力)を導き出す仕組みのことです。

SLAが <99.95%となった場合は10％のクレジットがユーザーに提供されます。

電卓使えるらしい。
Azure仮想マシンに対するSLA上の稼働率と提供されるクレジットの関係は以下の通りです。

SLA <99.95%となった場合は、10％のクレジットがユーザーに提供される。
SLA <99%となった場合は、25％のクレジットがユーザーに提供される。
SLA <95%となった場合は、100％のクレジットがユーザーに提供される。

Azure Storageでは次のタイプのストレージを利用できます。

Azure BLOB
テキストおよびバイナリデータのための高度にスケーラブルなオブジェクトストアです。 Data Lake Storage Gen2 によるビッグデータ分析のサポートも含まれています。
Azure Files
クラウドまたはオンプレミスのデプロイ用のマネージド型のファイル共有システムです。
Azure キュー
アプリケーションコンポーネント間の信頼性の高いメッセージングのためのメッセージングストアです。
上位種がazure service bus
Azure テーブル
構造化データのスキーマレスストレージのための NoSQLストアです。
上位種がazure cosmos db
Azure ディスク
Azure VM のためのブロックレベルのストレージボリュームです。

Azureのリージョンごとに利用可能なAzureサービスに違いがある。

Azureでは第三者による監査によってデータセンターのセキュリティが検証されています。

この監査は世界で最も厳しいセキュリティとコンプライアンスの基準に基づいて実施されています。具体的には、監査ではデータセンターがISO 27001、ISO 27018、SOC 1、SOC 2、SOC3、FedRAMP、HITRUST、MTCS、IRAP、ENS のセキュリティコントロールに準拠していることを検証します。

クラウドではネットワークセキュリティグループやロードバランサーによるトラフィック制御機能がマネージド型で提供されています。

しかしながら、これによって需要変動時のコスト効率が良くなるわけではありませんし、ネットワークセキュリティグループは無料サービスであり、Azureコストには影響はありません。

クラウドを利用すると複数の可用性ゾーンを利用した冗長構成を実現できるため、コスト効率が良い

仮想マシンが増えるので。いいえ

★Enterprise Agreementサブスクリプションは

250台以上のPCを保有している職場、学校などの組織が効率的にマイクロソフトのライセンスを購入できるプログラムです。 Enterprise Agreementサブスクリプションを利用するためには、Azure エンタープライズポータルにおいてMicrosoft Azureアカウントを追加する必要があります。

★Microsoft Developer Network（MSDN）は、

マイクロソフトの開発者ネットワークであり同社が開発者向けに提供するサービスの総称です。マイクロソフトサービスを利用した開発者用のネットワークとなっています。MSDN Platformsはマイクロソフト開発者向けの支援プラットフォームです。

★MSDN Platformsでは、

各種プラットフォームとデバイスを利用した、運用スタッフや開発者がアプリケーションをテスト、展開、管理するために利用できる包括的なリソースが用意されています。Azureの従量課金制のサブスクリプションを利用すると、ユーザーはMSDN Platformsにアクセス可能となります。

MSDN フォーラムとは

マイクロソフトのサポートチームが運用しているフォーラムのことです。ここではAzureなどのマイクロソフト製品に対する質問ができます。MSDN フィーラムは誰でも利用可能なサイトとなってます。したがって、Azureの従量課金制のサブスクリプションを設定しなくても、MSDN フィーラムは利用可能です。

Azure Advisorは Microsoft Defender for Cloud と連携することで、包括的にAzureリソースに関するセキュリティの推奨事項を提供します。

Azure Advisor はユーザーのAzureリソースを評価するアドバイザリーサービスであり、Azureのベストプラクティスに従ってユーザーのAzure環境を支援します。

Azure Advisor はユーザーのリソース構成と利用状況を分析して、Azure リソースのコスト、パフォーマンス、信頼性 (以前の高可用性)、およびセキュリティに関する推奨事項を推奨されます。

Microsoft Defender for CloudはAzureリソースのセキュリティに関する分析を実施するサービスです。そのため、Azure Advisor はMicrosoft Defender for Cloudと連携して、セキュリティに関する評価とアドバイスを実施します。

PaaS型のソリューションは追加コストを支払うことでメモリを増強できる。

PaaS型ソリューションはIaaSが提供するインフラに加えて、アプリケーションを動かすためのミドルウェアなどが整備されたプラットフォームを提供するクラウドサービスです。

Azureでは、Azure SQL Databaseなどの「マネージド型で提供される設定済みのデータベースサービス」がPaaS型ソリューションとなります。Azure SQL Databaseでは価格レベルを変えることでCPU容量やメモリ容量を変更することができます。

PaaS型のソリューションは仮想マシンのインスタンス数を自動的にスケーリングできる。

Azure AD Multi-Factor Authentication は、次の認証方法のうち 2 つ以上を要求することで機能します。

ユーザーが知っているもの (通常はパスワード)。
ユーザーが持っているもの (携帯電話やハードウェアキーのように、簡単には複製できない信頼できるデバイスなど)。
ユーザー自身 (指紋スキャンや顔面認識などの生体認証)。

Azure Advisorは

Azure リソースに関して、費用対効果、パフォーマンス、信頼性、およびセキュリティを向上させるための推奨事項を提示するガイダンスサービスです。Azure Advisor はユーザーの利用状況を自動的に分析し、利用状況に基づいたベストプラクティスを提案してくれます。

利用している仮想マシンに対して、バックアップが設定されていない場合には、Azure Advisorはその仮想マシンを特定して、バックアップを有効化することを推奨します。

Azureのベストプラクティスでは、仮想マシンのデータが失われた場合に回復できるように、仮想マシンのバックアップを有効化することが推奨されています。Azure Advisorはベストプラクティスに基づいて、アドバイスをしてくれるサービスであるため、バックアップがされていない対象を特定してバックアップを推奨します。

Azure Backup は仮想マシンのバックアップを管理する機能です。

これはAzure Advisorとは別の機能となっています。したがって、Azure Advisorは、Azure Backup によって保護されているAzure 仮想マシンの一覧を生成することはできません。

Azure BackupはオンプレミスやAzure上の仮想マシンのバックアップ・リストアを管理するサービスです。これは基本的な機能がマネージド型として提供されているPaaS型のサービスです。バックアップの保管場所や容量制限を意識することなく、バックアップ対象を設定して、決められたスケジュールに従ってバックアップを取得することができます。

Azure RBAC （ロール）は、コンピューティングやストレージなどの Azure リソースに対するきめ細かなアクセス管理を提供する、Azure Resource Manager 上の承認システムです。

ロール＝RBACらしい。

Azureロールを用いることで、Azure リソースにアクセスできるユーザー、そのユーザーがそれらのリソースに対して実行できるアクション、そのユーザーがアクセスできる領域を管理することができます。

Azureロールには組み込みロールとカスタムロールがあります。組み込みロールはあらかじめAzureが定義したロールのことです。組み込みロールが組織の特定のニーズを満たさない場合は、ユーザーは独自のカスタムロールを作成することができます。組み込みロールと同様に、カスタムロールは、ユーザー、グループ、サービスプリンシパルの権限を管理します。これは管理グループ (プレビューのみ)、サブスクリプション、およびリソースグループのスコープで割り当てることができます。

管理者は1つのユーザーに対し、複数のロールを割り当てることができます。

逆に1つのユーザーアカウントを複数ロールに割り当てることができない

RBAC（代表的な組み込みロール）

所有者
リソースを管理するためのフルアクセス可能。他のユーザにRBACロールを割り当て可能
共同作成者
リソースを管理するためのフルアクセス可能。ただし他のユーザにRBACロールを割り当て不可能
閲覧者
すべてのリソースとその設定を表示することはできるが、変更はできない

上記以外はカスタムロールを作れる

Azure ADロール

Azure　AD　へのアクセスはRBACロールハツカワナイ

全体管理者
フルアクセス
ユーザ管理者
ユーザとグループを管理できる
パスワード管理者
ユーザのパスワードをリセットできる

Azure プライベート DNS は

Azure内の仮想ネットワークのための信頼性が高く安全な DNS サービスです。仮想ネットワーク内のドメインを名前解決するためのDNS機能となるため、仮想ネットワークに関連付けて利用します。
Azure プライベートDNSは仮想ネットワーク内でのみ利用することを目的として、独自のカスタムドメイン名を使うことができます。カスタムドメイン名の使用は、組織のニーズに最適な仮想ネットワークアーキテクチャを調整するのに役立ちます。

Azure File Sync エージェントを使用して、オンプレミス環境上のストレージにあるデータをAzureファイル共有に同期できる。

Azure File Sync はWindows ファイルサーバーの柔軟性、パフォーマンス、互換性を維持しながら、Azure Filesのファイル共有を一元化するサービスです。Azure File Syncを使用すると、ファイル共有に保存しているデータをオンプレミスなどのWindows Serverにキャッシュして利用できます。Windows ServerにAzure File Syncエージェントをインストールすることで、オンプレミス環境上の物理サーバーにあるデータをクラウド側のファイル共有に同期することができます。

すべてのAzure リージョンで可用性ゾーンを利用できない

全てのリージョンが可用性ゾーンを有しているわけではなく、可用性ゾーンに対応したリージョンに可用性ゾーンが存在します。例えば、日本国内には東日本と西日本の2つのリージョンがありますが、西日本（大阪）リージョンには可用性ゾーンが存在しません。

可用性ゾーンを利用して、データを複数リージョンにレプリケートすることができない

可用性ゾーンは特定の単一リージョン内の物理的に分離されたロケーションです。したがって、複数のリージョンをまたいでアプリケーションをレプリケートすることはできません。同一リージョン内の可用性ゾーン間でのレプリケーションは可能です。

Microsoft Service Trust Portal では、

Microsoft クラウドサービスのセキュリティ、プライバシー、コンプライアンスクラウドに関する情報が提供されています。ここを参照することで、Azureサービスの監査レポートやコンプライアンス関連情報を確認することができます。

クラウドサービスがデータを保護する方法 Microsoft と、組織のクラウドデータのセキュリティとコンプライアンスを管理する方法について説明します。

製品情報はなさそう

トラストセンターでは、

データ整合性を維持するための Microsoft 原則、Microsoftのクラウド製品およびセキュリティ、プライバシー、コンプライアンスに関する情報が提供されています。

違いがわからん

コンプライアンスマネージャーは、ユーザーがマイクロソフトサービスを利用する際のコンプライアンス遵守にかかる過程全体を支援するサービスです。

Azure以外にもOffice365などの製品にも適用されます。データ保護リスクのインベントリの作成から、複雑な制御の実装の管理、規制や認証の最新情報の入手、監査人への報告などを支援してくれます。

コンプライアンスマネージャーは、組織がコンプライアンス要件を満たすために役立つ機能を提供する管理ツールです。コンプライアンスリスクを評価（可視化）したり、改善アクションを推奨したり、その実行状況を測定することで、リスク評価を効率的に実施することができます。

コンプライアンスマネージャーはAzureだけではなく、 Microsoft 365 や Microsoft Dynamics 365 などMicrosoftクラウドサービスにおけるコンプライアンス管理を支援するためのサービスです。

Microsoft のプライバシーに関する声明では、

Microsoft によって処理される個人データの種類、処理方法、使用目的が明記されています。Microsoft はユーザーとのやり取りの中で、またMicrosoft 製品を経由して、ユーザーからデータを収集しています。その利用目的や処理方法が明記されているのがMicrosoft のプライバシーに関する声明です。

Microsoft コンプライアンスは、

国内の標準および規制に関する業界分野と準拠に関する Microsoft のガイダンスなどのリソースを提供しています。

##さービスレベル契約 (SLA) は、稼働時間および接続に関するマイクロソフトの確約内容について説明しています。

Microsoft 製品条項には、

マイクロソフトライセンスプログラムを通じて取得したマイクロソフト製品およびプロフェッショナルサービスの使用に関するすべての条項と条件がまとめられています。

azure cliはazure powershellを実行できない

azure cloud shell はブラウザのツールだからインストールできない

Azure コマンドラインインターフェイス (CLI) は、

Azure に接続して Azure リソースに対して管理コマンドを実行するためのコマンドラインツールです。Azure CLI は、Windows、macOS、および Linux 環境にインストールできます。 Docker コンテナーおよび Azure Cloud Shell でも実行できます。Windowsのローカル環境にAzure CLIをインストールした場合はコマンドプロンプト、または、Windows PowerShellを起動してコマンドを実行することができます。

オプション４が正解となります。macOSにAzure CLIをインストールした場合は、ターミナルを介して対話型のコマンドラインプロンプトを使用したさまざまなコマンドを実行できます。

Azure CLIは、Windows11にデフォルトでインストールされていない

データセンターに起因するサーバーの障害に対応するために、可用性セットに複数の仮想マシンを配置する。

これは間違い。
可用性セットはデータセンター内でどのラックに、どの仮想ホストに仮想マシンを振り分けるかの設定で、データセンターで障害がおきたら問題を回避できないので、データセンターに起因するサーバ障害には脆弱である。

マネージドディスク

マネージドディスクはAzure によって管理されているAzure Virtual Machines で使用されるブロックレベルの記憶域ボリュームです。マネージドディスクはオンプレミスサーバーの物理ディスクと似ていますが、仮想化された論理的なボリュームとなっています。マネージドディスクを使用した場合、ユーザーがすべきことは、サイズと種類を指定してディスクをプロビジョニングするだけです。ディスクのプロビジョニング後の作業は Azure 側が実施します。使用できるディスクの種類は、Ultra ディスク、Premium ソリッドステートドライブ (SSD)、Standard SSD、Standard ハードディスクドライブ (HDD) です。

非マネージドディスク（非管理対象ディスク）

非管理対象ディスクはAzure Storage アカウントのページ BLOB として格納された VHD ファイルです。ユーザー側でAzure StorageアカウントでページBLOBタイプのディスクを生成して、Azure仮想マシンのボリュームに設定することで利用できます。ユーザーが作成・追加したディスクであるため、管理上の自由度は高いものの、Azureによる管理対象とはなりません。

Azureでカスタムルート定義を実施するには

仮想アプライアンスが必要となります。仮想アプライアンスとは、一般にネットワークアプリケーション (ファイアウォールなど) が実行されている仮想マシンです。

特別なセキュリティフィルターをかけるために、サブネット間のルーティング（中継）を行う仮想マシンを構成してフィルタリングを実施します。こうした構成の仮想マシンを仮想アプライアンスと呼びます。Azureでは仮想アプライアンスを利用して、ユーザー定義ルートを設定することで、ユーザー独自のルーティング方式を設定することが可能となります。

★Azure Databricksは、

Apache Sparkを利用してエンタープライズグレードのデータソリューションを大規模に構築、デプロイ、共有、および保守するための統一されたツールセットを提供します。これはデータウェアハウスには利用できません。

Azure ★HDInsight は、

マネージドの、全範囲に対応した、クラウド上のオープンソースのエンタープライズ向け分析サービスです。 HDInsight を使用すると、Azure 環境で Hadoop、Apache Spark、Apache Hive、LLAP、Apache Kafka などのオープンソースフレームワークを使用できます。これはデータウェアハウスには利用できません。

Azure Cosmos DB は

最新のアプリ開発に対応するフルマネージドの NoSQL データベースです。数ミリ秒 (1 桁台) の応答時間と、自動および即時のスケーラビリティにより、あらゆるスケールで速度が保証されています。これはデータウェアハウスには利用できません。

低遅延、高速応答

Azure Synapse Analyticsは

データウェアハウスやビッグデータシステム全体にわたって、迅速なデータ分析が可能なエンタープライズ分析サービスです。

Basic Developer Standard Professional Direct

メール：basic developer
メールと電話：standard professional
仕様のレビューとかしてくれるpremiumのサポートプランが存在する
https://azure.microsoft.com/ja-jp/support/plans

99.99 スケールセット最大数１０００

負荷分散と自動スケールもある

。Azure HDInsightはオープンソースソフトウェアを利用したエンタープライズ向けの分析サービスです。 Hadoop

無料アカウント

利用クレジットを超えると停止する

演習テスト①～④を90%まで実施すれば合格できます。

Azure CLIではAzure PowerShellのコマンドを実行することはできません

Azure Advanced Threat Protection（ATP）は

仮想マシンのデータを保存するためのデータボリュームとして利用できるストレージは

Microsoftが後継サービスを持たないAzureサービスのサポートを終了する予定の場合、

IoT Centralは

Azure Storageでは次のタイプのストレージを利用できます。

RBAC（代表的な組み込みロール）

Azure ADロール

Azureの最新のセキュリティ標準は

コンプライアンスマネージャー

Microsoft Defender for Cloud

KeyVaultではSSL/TLS証明書の管理、展開を支援できる

LinuxコンピューターからAzure PowerShellスクリプトを実行する準備

リソースグループに付与したロックは属するリソースに継承される。

グローバルに利用されるアプリケーションをユーザーが多い多数のリージョンにデプロイすることで、

クラウドを利用してアプリケーションやデータを複数のリージョンにデプロイできることを

adconnect

課金は秒単位(以前は分単位）

Azure仮想ネットワークのサブネットにフィルタリングを実施するには、仮想アプライアンスとユーザ定義ルートが必要

Azure サービスの監査レポートとコンプライアンス関連情報を確認できるサービスはMicrosoft Service Trust Portal

Microsoft Service TrustPortalのマイライブラリ機能ではドキュメントとリソースを1か所に保存できる。

コンプライアンス マネージャーは、ユーザーがマイクロソフトサービスを利用する際のコンプライアンス遵守にかかる過程全体を支援するサービスです。

Azure Advisorはbackupの有無を教えてくれる（信頼性？）

複数リージョンに負荷分散可能

セキュリティトークンを取得するにはazure ad

オンプレミス環境からパブリッククラウドに移行することで得られる一般的なコストメリットはどれでしょうか？

可用性ゾーンは仮想マシンの話と思われる

Azure MonitorにAzure Active Directory (Azure AD) アクティビティログを表示できる。

Azure Cost Managementは過去3か月の仮想マシンの使用状況を表示できる。

リージョン間は専用線ではない

Azure Active Directory Domain Services （Azure AD DS ）はグループポリシー作成可能

可用性は、アプリケーションが重大なダウンタイムなしで正常な状態で実行される時間を表します。 回復性とは、アプリケーションが障害から回復する速度を示します。

Azure Active Directory Identity Protection

Azure AD Identity Protection

vpn = 暗号化

azure サービス正常性（Azure Service Health）

azure arc

Azure AD

Active Directory Domain Service(AD DS)

データ操作ツール

AzCopy

azure Storage Explorer

負荷分散

仮想マシンスケールセット

可用性セット

可用性ゾーン

azure app service

Azure DevOps

Azure DevOps Servicesでは

Azure DevOps Servicesは

Azure DevOps Servicesは

azure logic app

azure function

azure containner service

リソースのアクセス権

認証

承認

仮想ネットワークの通信制限

microsoft defender for cloud（旧azure security center)

just in time vm アクセス

仮想ネットワークゲートウェイ

アプリケーションセキュリティグループ

仮想ネットワークピアリングは

★グローバル仮想ネットワーク ピアリング

仮想ネットワークと社内ネットワークをつなぐ

azure expressroute

ポイント対サイト接続

サイト間接続

１つのストレージアカウントの最大サイズ

ストレージアカウントの冗長オプション

ストレージ

azure file

リージョン（東日本、西日本）

azure ad参加デバイス

azure adへのサインインに条件を追加するセキュリティ強化する機能

azure管理者の権限

azure 多層防御

azure advisor

azureモニター

コンプライアンスマネージャーは、ユーザーがマイクロソフトサービスを利用する際のコンプライアンス遵守にかかる過程全体を支援するサービスです。

可用性は、アプリケーションが重大なダウンタイムなしで正常な状態で実行される時間を表します。回復性とは、アプリケーションが障害から回復する速度を示します。

★グローバル仮想ネットワークピアリング

azure cli コマンドと　azure powershellコマンド