AZURE AZ-500 PDF

**AZURE AZ-500** Este estudio de caso contiene una serie de preguntas que presentan el mismo escenario. Cada pregunta en la serie contiene una solución única que podría cumplir con los objetivos establecidos. Algunos conjuntos de preguntas pueden tener más de una solución correcta, mientras que otros pueden no tener una solución correcta. Nota: No puedes volver atrás ni revisar preguntas de este tipo en el examen de certificación real. Una organización tiene una suscripción que aloja recursos para múltiples aplicaciones en Azure. La suscripción es parte de un inquilino que tiene habilitada la sincronización utilizando Microsoft Entra Connect con los Servicios de Dominio de Active Directory locales (AD DS). Los recursos para cada aplicación están contenidos en grupos de recursos individuales. A medida que se agregan usuarios adicionales a los equipos de aplicaciones, se añaden roles para esos usuarios a nivel de grupo de recursos. Los usuarios pueden gestionar múltiples aplicaciones. Se necesita **gestionar eficientemente los permisos asignados** a los usuarios de Microsoft Entra para que puedan **acceder** a estos **grupos de recursos**. **Solución**: Se crean **grupos** de **Microsoft Entra** para cada aplicación, se añaden usuarios a estos grupos y se asignan roles a los grupos a nivel de grupo de recursos. Pregunta: ¿La solución cumple con el objetivo? **Esta solución** cumple con el objetivo**.** - **Crear grupos** de **Microsoft Entra** proporciona **una gestión centralizada** de usuarios en grupos en lugar de usuarios individuales. Cuando se otorgan **permisos al grupo a nivel de grupo de recursos**, todos los usuarios del **grupo heredan los permisos** otorgados al grupo. Para agregar o eliminar permisos para un usuario determinado, simplemente lo agregarías o eliminarías del grupo correspondiente de Microsoft Entra. **Los roles** son una **colección de permisos**, mientras que los grupos son una colección de usuarios. Con **los grupos**, puedes **gestionar una colección de permisos** para una **colección de usuarios**, lo que facilita la gestión tanto de los permisos como de los usuarios. Una organización tiene una suscripción que aloja recursos para múltiples aplicaciones en Azure. La suscripción es parte de un inquilino que tiene habilitada la sincronización mediante Microsoft Entra Connect con los Servicios de Dominio de Active Directory (AD DS) locales. Los recursos para cada aplicación están contenidos en grupos de recursos individuales. A medida que se agregan usuarios adicionales a los equipos de aplicaciones, se agregan roles para esos usuarios a nivel de grupo de recursos. Los usuarios pueden gestionar múltiples aplicaciones. Se **necesita gestionar de manera eficiente los permisos asignados** a los usuarios de **Microsoft Entra** para que puedan acceder a estos grupos de recursos. Solución: Se crean grupos de seguridad en AD DS, se agregan usuarios a estos grupos y se asignan roles a los grupos a nivel de grupo de recursos. Pregunta: ¿La solución cumple con el objetivo? Esta solución **cumple con el objetivo**. La creación de grupos de seguridad de **Active Directory Domain Services (AD DS)** proporciona una **gestión centralizada** de usuarios en su directorio activo local. Dado que **estos grupos** se sincronizan con **Microsoft Entra Connect**, están disponibles en Microsoft Entra para asignar permisos. Cuando se otorgan permisos a un grupo a **nivel de grupo** de recursos, todos los usuarios del grupo **heredan los permisos** otorgados al grupo. Para agregar o eliminar permisos para un usuario determinado, simplemente debe agregarlos o eliminarlos del grupo **AD DS** correspondiente. **Los roles** son una colección de permisos, mientras que **los grupos** son una colección de usuarios. Con los grupos, puede gestionar una colección de permisos para una colección de usuarios, lo que facilita la gestión tanto de los permisos como de los usuarios. Una organización tiene una suscripción que aloja recursos para múltiples aplicaciones en Azure, con sincronización habilitada mediante **Microsoft Entra** **Connect** con **Active Directory Domain Services (AD DS**) local. Los recursos para cada aplicación están contenidos en grupos de recursos individuales. A medida que se agregan usuarios a los equipos de aplicaciones, se les asignan roles a nivel de grupo de recursos. Los usuarios pueden gestionar múltiples aplicaciones. El problema plantea la necesidad de gestionar eficientemente los permisos asignados a los usuarios de **Microsoft Entra** para acceder a estos grupos de recursos. La solución propuesta es eliminar los permisos de los usuarios a nivel de grupo de recursos y aplicar los mismos permisos para cada usuario individual a nivel de suscripción. La pregunta final es si esta solución cumple con el objetivo. ¿Cumple la solución con el objetivo? Esta **solución no cumple** con el objetivo. **No debe asignar permisos de usuario a nivel de suscripción**. Aunque puede agregar y eliminar permisos fácilmente a usuarios individuales, **agregar permisos de usuario a nivel de suscripción** les proporcionaría permisos para todos los grupos de recursos. Los permisos deben gestionarse **a nivel de grupo de recursos**, ya que cada grupo de recursos contiene los recursos para una aplicación diferente, y solo los usuarios que gestionan una aplicación determinada necesitarían tener permiso para esos recursos. **Los roles** son una colección de permisos, mientras que **los grupos** son una colección de usuarios. Con **los grupos**, puede **gestionar una colección de permisos para una colección de usuarios**, lo que facilita la gestión tanto de los permisos como de los usuarios. **CASO ESTUDIO** **Company1** es una empresa financiera que se especializa en criptomonedas. Las aplicaciones de Company1 se desarrollan en contenedores Docker y se implementan en máquinas virtuales (VM) de Azure en una suscripción de Azure llamada **Cloud**. **Cloud** está asociada con un **inquilino de Microsoft Entra** llamado **company1.net** **Cloud** contiene los recursos aprovisionados en cuatro grupos de recursos, como se muestra en la tabla a continuación: **Nombre** **Grupo de Recursos** **Descripción** ------------ ----------------------- ------------------------------------------------------------------------- VM1 RG1 Máquina virtual de Azure para el entorno de producción VM2 RG2 Máquina virtual de Azure para el entorno de desarrollo VM3 RG3 Máquina virtual de Azure con base de datos MySQL para producción VM4 RG3 Máquina virtual de Azure con base de datos MySQL para desarrollo Registry1 RG4 Registro de contenedores de Azure para todas las imágenes Storage1 RG3 Cuenta de almacenamiento para producción Storage2 RG3 Cuenta de almacenamiento para desarrollo VNET1 RG1 Red virtual de Azure con espacio de direcciones 10.0.0.0/16 Sub1 RG1 Subred de VNET1 para el entorno de producción con dirección 10.0.0.0/24 Sub2 RG1 Subred de VNET1 para el entorno de desarrollo con dirección 10.0.1.0/24 La primera tabla asocia las máquinas virtuales con sus respectivas interfaces de red y subredes. **Primera tabla:** Virtual Machine \| Network interface \| Subnet VM1 \| NIC1 \| Sub1 VM2 \| NIC2 \| Sub2 VM3 \| NIC3 \| Sub1 VM4 \| NIC4 \| Sub2 **La segunda tabla** muestra los usuarios en el inquilino company1.netjunto con sus roles asignados en la nube. **Segunda tabla:** User \| Role User1 \| Contributor User2 \| AcrPull User3 \| AcrPush User4 \| AcrImageSigner La primera tabla enumera los bloqueos de grupos de recursos, indicando el nombre del bloqueo, el grupo de recursos en el que se establece y el tipo de bloqueo (Eliminar o Solo lectura). Name Set on Lock type Lock1 RG1 Delete Lock2 RG3 Delete Lock3 RG3 Read-only Lock4 RG4 Delete La segunda tabla enumera las políticas de Azure, especificando el tipo de política, el tipo de recurso al que se aplica y el alcance de la política. **Policy** **Resource type** **Scope** ---------------------------- ------------------- ----------- Not allowed resource types registries RG1 Allowed resource types virtualMachines RG2 Not allowed resource types registries RG3 Not allowed resource types virtualMachines RG4 Esta información es relevante para la administración y seguridad de los recursos en la nube. Además, se **menciona que Storage2 tiene su firewall habilitado.** **REQUISITOS** - **Un nuevo usuario llamado User5 se crea en company1.net.Este usuario necesita permiso para enviar y extraer imágenes de confianza a un registro de contenedores.** - **Un nuevo usuario llamado User6 se crea en company1.net.Este usuario tiene el rol de Propietario en la Nube.** - **Registry1 necesita ser privado y protegido por autenticación.** - **La operación de envío en Registry1 necesita ser auditada a nivel de usuario.** - **Las imágenes en Registry1 necesitan ser escaneadas frecuentemente en busca de vulnerabilidades.** - **Los servicios gestionados por Azure necesitan ser utilizados siempre que sea posible para reducir los esfuerzos administrativos.** - **El** acceso a la red **a VM3 necesita ser restringido solo a VM1.** - **El acceso a la red a Storage1 necesita ser restringido solo a Sub1.** - **Las restricciones de acceso a la red necesitan ser aplicadas solo a nivel de recurso.** Debes determinar qué usuarios pueden **subir y descargar** las imágenes de contenedores almacenadas en **Registry1**, según el rol adjunto para cada usuario. ¿Qué usuarios deberías elegir? Para responder, selecciona las opciones apropiadas de los menús desplegables. Interfaz de usuario gráfica, Texto Descripción generada automáticamente con confianza media Necesitas asegurarte de que los **contenedores Docker** que se ejecutan en VM2 puedan acceder a Storage2 solo a través de la **red de backbone** de **Microsoft.** ¿Qué debes hacer antes de crear un contenedor Docker en VM2? Crear un grupo de seguridad de aplicaciones (ASG) y un grupo de seguridad de red (NSG). **Crear un punto final privado para Storage2 y conectarlo a Sub2.** Necesitas restringir el acceso a la red a los recursos en la nube según lo especificado en los requisitos. ¿Qué servicio de red deberías usar para restringir el acceso a la red para Storage1 y VM3? Para responder, arrastra el servicio de red apropiado a cada recurso. Un servicio de red puede ser usado una vez, más de una vez, o no ser usado en absoluto. ![Interfaz de usuario gráfica, Texto, Aplicación, Correo electrónico Descripción generada automáticamente](media/image2.png) Creas User6 y le asignas el **rol de Propietario** a nivel de **suscripción** de Cloud. ¿En qué grupos de recursos podría User6 crear una nueva máquina virtual de Azure? **Explicación** Incluso si un usuario tiene el rol d**e Propietario** en una suscripción, se aplican los **bloqueos de grupo de recursos y la Política de Azure**. **User6** podría aprovisionar una máquina virtual de Azure en los grupos de recursos RG1 y RG2 únicamente. La política de Azure en RG2 permite aprovisionar solo máquinas virtuales, y la política en RG1 solo restringe el aprovisionamiento del registro de contenedores. **User6** no podría aprovisionar ningún recurso en RG3 porque hay un bloqueo de solo lectura habilitado en este grupo de recursos. El tipo de bloqueo de eliminación aplicado a otros grupos de recursos no restringe el aprovisionamiento de nuevos recursos. Solo se restringe la eliminación de los recursos existentes. **CASO DE ESTUDIO** Instrucciones Este estudio de caso contiene una serie de preguntas que presentan el mismo escenario. Cada pregunta de la serie contiene una solución única que podría cumplir con los objetivos establecidos. Algunos conjuntos de preguntas pueden tener más de una solución correcta, mientras que otros pueden no tener una solución correcta. Nota: No puede volver atrás ni revisar preguntas de este tipo en el examen de certificación real. Tienes una **configuración híbrida** de Microsoft Entra ID. Tienes una cuenta de almacenamiento de Azure con un recurso compartido de archivos llamado fileshare01. Planeas permitir que los usuarios se autentiquen en fileshare01 utilizando sus credenciales de Microsoft Entra. Necesitas configurar el entorno para admitir la autenticación planificada. Solución: Despliegas la puerta de enlace de datos local en la red local. ¿Esta solución cumple con el objetivo? ![Interfaz de usuario gráfica Descripción generada automáticamente](media/image4.png) La solución **no cumple con el objetivo**. No debe implementar una puerta de enlace de datos local en la red local. Una puerta de enlace de datos local proporciona una transferencia de datos rápida y segura entre los datos locales y varios servicios en la nube de Microsoft, como Power BI, PowerApps y Azure Logic Apps.\" Tienes una configuración híbrida de Microsoft Entra ID. Tienes una cuenta de almacenamiento de Azure con un recurso compartido de archivos llamado fileshare01. Planeas permitir que los usuarios se autentiquen en fileshare01 utilizando sus credenciales de Microsoft Entra. Necesitas configurar el entorno para admitir la autenticación planificada. Solución: Despliegas Microsoft Entra Application Proxy. ¿Esta solución cumple con el objetivo? Interfaz de usuario gráfica, Aplicación Descripción generada automáticamente La solución **no cumple con el objetivo**. **No debe implementar un gateway de datos local en la red local.** Un gateway de datos local proporciona una transferencia de datos rápida y segura entre los datos locales y varios servicios en la nube de Microsoft, como Power BI, PowerApps y Azure Logic Apps. Tienes una configuración híbrida de Microsoft Entra ID. Tienes una cuenta de almacenamiento de Azure con un recurso compartido de archivos llamado fileshare01. Planeas permitir que los usuarios se autentiquen en fileshare01 utilizando sus credenciales de Microsoft Entra. Necesitas configurar el entorno para admitir la autenticación planificada. Solución: Asignas el rol de Colaborador de recursos compartidos SMB de datos de archivos de almacenamiento a los usuarios. ¿Esta solución cumple con el objetivo?\" ![Interfaz de usuario gráfica, Aplicación Descripción generada automáticamente](media/image6.png) Esta solución **cumple con el objetivo**. **Azure Storage** admite el acceso a recursos de almacenamiento de archivos de Azure **utilizando** credenciales de Microsoft Entra. Para autorizar a sus usuarios, debe asignar a su cuenta uno de los siguientes roles de control de acceso basado en roles (RBAC): - **Lector de uso compartido** de archivos SMB de datos de almacenamiento: este rol permite a los usuarios leer archivos y directorios en recursos compartidos de archivos a través de SMB. - **Colaborador de uso compartido de archivos SMB** de datos de almacenamiento: este rol permite a los usuarios leer, escribir y eliminar archivos y directorios en recursos compartidos de archivos a través de SMB. - **Colaborador elevado de uso compartido de archivos SMB** de datos de almacenamiento: este rol permite a los usuarios leer, escribir, eliminar y modificar ACL de Windows en recursos compartidos de archivos a través de SMB. **CASO DE ESTUDIO** Este caso de estudio contiene una serie de preguntas que presentan el mismo escenario. Cada pregunta en la serie tiene una solución única que podría cumplir con los objetivos establecidos. Algunos conjuntos de preguntas pueden tener más de una solución correcta, mientras que otros pueden no tener una solución correcta. Además, no puedes volver atrás ni revisar las preguntas de este tipo en el examen de certificación real. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_ Tiene una instancia de Azure SQL Server en su suscripción. Las contraseñas de la instancia de SQL Server **se almacenan en un almacén de claves**. Su organización tiene políticas de **rotación de contraseñas** que exigen que todas las contraseñas de SQL **caduquen cada tres meses.** Usted decide **automatizar la rotación de contraseñas en su almacén de claves** tres días antes de que la contraseña esté a punto de caducar. **Necesitas implementar esta automatización.** **Solución**: **crea una función** de Azure con un **desencadenador** **de Event Grid** y **configura Key Vault Event Grid** como **origen.** ¿La solución cumple el objetivo? Interfaz de usuario gráfica Esta **solución cumple con el objetivo**. Para **automatizar la rotación de claves**, debes **escribir una función personalizada** que primero cree una **nueva clave** en el **almacén de claves** y luego **actualice la contraseña de SQL**. Dado que la contraseña **antigua aún no habría expirado**, las **aplicaciones que usan SQL Serve**r como fuente de datos seguirían **funcionando** siempre que tengan la **contraseña en caché**. **Una vez que se rota la contraseña**, las aplicaciones recuperarían la **nueva contraseña** del almacén de claves. Tienes una instancia de Azure SQL Server en tu **suscripción**. Tus contraseñas para la instancia de SQL Server se **almacenan** en un **key vault.** Tu organización tiene **políticas de rotación de contraseñas** que requieren que todas las contraseñas de SQL **expiren cada tres meses**. Decides **automatizar** la **rotación** de contraseñas en tu **key vault tres días** antes de que la contraseña esté a punto de expirar. **Necesitas implementar esta automatización.** **Solución:** Envías un correo electrónico al **administrador de SQL** cuando la contraseña esté a punto de expirar. El administrador actualizará tanto el key vault como el servidor SQL con la **nueva contraseña** utilizando la **Interfaz de Línea de Comandos de Azure (CLI).** ¿Cumple la solución con el objetivo? ![Interfaz de usuario gráfica Descripción generada automáticamente](media/image8.png) La solución no cumple con el objetivo. Los requisitos establecen automatizar el proceso de rotación de contraseñas. Aunque esta solución **automatizará la notificación de la expiración**, no automatizará la rotación de contraseñas. **El CLI de Azure** tendría que ser **ejecutado por el administrador de SQL Server**. Tiene una **instancia** de Azure SQL Server en su suscripción. Las **contraseñas** de la **instancia** de SQL Server se almacenan en un **almacén de claves**. Su organización tiene **políticas de rotación de contraseñas** que exigen que todas las contraseñas de SQL **caduquen cada tres meses**. Usted decide **automatizar** la rotación de contraseñas en **su almacén de claves tres días antes** de que la contraseña esté a punto de caducar. **Necesitas implementar esta automatización.** Solución: crea un **runbook de PowerShell** en una cuenta de **Azure Automation** y prográmalo para que se ejecute cada 90 días. ¿La solución cumple el objetivo? Interfaz de usuario gráfica Descripción generada automáticamente Esta **solución no cumple con el objetivo**. El runbook de PowerShell **proporcionaría la automatización** necesaria para rotar la contraseña, **pero el disparador está fijado en 90 días**. Dado que **decides rotar** la contraseña **tres días antes** de la fecha de vencimiento, **no siempre será un intervalo** de 90 días. Eres un ingeniero de seguridad en tu empresa. La empresa ha creado una aplicación móvil interna para iOS que está registrada en tu inquilino de Microsoft Entra. Un grupo de usuarios en tu empresa utiliza la aplicación para editar los atributos de usuario en tu inquilino de Microsoft Entra. Necesitas asegurarte de que la aplicación pueda editar los atributos de usuario en nombre de los usuarios de la aplicación. ¿Qué deberías configurar? ![Imagen que contiene Texto Descripción generada automáticamente](media/image10.png) Eres el administrador del entorno de Azure de tu organización y trabajas desde tu oficina en casa. Tu cuenta de almacenamiento de Azure y el control de acceso basado en roles (RBAC) están configurados como se muestra en los anexos. Quieres crear una clave de delegación de usuario para proporcionar a un contratista acceso temporal a un contenedor de blobs llamado az500container dentro de la cuenta de almacenamiento de Azure az500store1, pero recibes un mensaje de error como se muestra en el anexo. Necesitas solucionar el problema. ¿Cuáles dos acciones podrías realizar? Cada respuesta correcta presenta una solución completa.\" ¿Hay algo más en lo que pueda ayudarte? **Elija las respuestas correctas** 1. **Cambiar la configuración de la cuenta de almacenamiento a Todas las redes.** 2. Marque la casilla de verificación **Agregar su dirección IP de cliente.** **EXPLICACION** Describe cómo configurar la seguridad en una cuenta de almacenamiento de Azure: El modelo de seguridad en capas de **la cuenta de almacenamiento de Azure** proporciona la posibilidad de establecer **un control de acceso granular** a los **datos dentro de una cuenta de almacenamiento**: en la capa de **red (capa 3)** o en la capa de **aplicación (capa 7**) del modelo de interconexión de sistemas abiertos (OSI). Si activas las reglas de **firewall (capa OSI 3**) para tu cuenta de almacenamiento, todas las solicitudes de datos **entrantes (incluida la generación de tokens SAS)** se bloquean por defecto. En este escenario, **Admin1** tiene permisos de propietario de operaciones de plano de control, lo que les permite **gestionar el recurso az500store1** y configurar las **reglas del firewall**. Debes **cambiar la configuración de la cuenta de almacenamiento** a Todas las redes o marcar la casilla **Agregar la dirección IP de tu cliente**. Para poder gestionar y acceder a los datos dentro de la cuenta de almacenamiento en este escenario, **Admin1** tiene que configurar **el firewall de** az500store1 para **permitir el acceso** a los datos desde la **dirección IP del cliente** de **Admin1** o desactivar el firewall de az500store1 permitiendo el acceso desde todas las redes. **No debes** agregar el propietario de RBAC a la cuenta de Admin1. El propietario de la cuenta de Admin1 ya tiene permisos de RBAC establecidos. Este permiso proporciona acceso completo a Admin1 para gestionar az500store1, incluida la capacidad de asignar roles en Azure RBAC. En este escenario, la regla del firewall impide que Admin1 acceda a los datos dentro de la cuenta de almacenamiento. **No debes** agregar una VNet existente. Agregar una VNet proporcionaría acceso a az500store1 desde dentro de la máquina virtual (VM) de la infraestructura de Azure instalada dentro de una VNet. En este escenario, Admin1 está accediendo a az500store1 desde su oficina en casa, lo que significa que Admin1 tiene que configurar el firewall de az500store1 para permitir el acceso desde la dirección IP del cliente de Admin1, o desactivar el firewall de az500store1 permitiendo el acceso desde todas las redes. Su organización posee un inquilino de Microsoft Entra que tiene una suscripción llamada Subscription1. Tiene un libro de jugadas de seguridad llamado SentinelPlay1 en Microsoft Sentinel que responde a amenazas identificadas por las reglas de Microsoft Sentinel. SentinelPlay1 ha sido configurado para bloquear direcciones IP. Necesita modificar SentinelPlay1 para enviar correos electrónicos cuando se bloquee una dirección IP. ¿Qué herramienta debe usar para modificar el libro de jugadas? Imagen que contiene Texto Descripción generada automáticamente **Explicación** Deberías usar **Azure Logic Apps Designer**. Los playbooks de seguridad de Sentinel están **configurados** como **Logic Apps**. Para editar el comportamiento del proceso de **detección de amenazas**, necesitas abrir el **playbook** en **Logic Apps Designer** y **agregar** pasos adicionales al **evento desencadenado**. **No deberías** usar **Microsoft Defender for Cloud**. En este escenario, quieres editar un playbook de seguridad existente de **Microsoft Sentinel**. No estás configurando ninguna alerta de seguridad. No deberías usar **Log Analytics.** Log Analytics se **puede usar** para ver los **registros** que son generados por varias **fuentes en Azure**. No podrías configurar **ninguna acción** en un playbook usando **Azure Log Analytics.** **No deberías** usar **Azure Functions**. Los **playbooks de seguridad** en Microsoft Sentinel están configurados como **Logic Apps. No podrías usar el diseñador de Azure Function para editar Logic Apps**. Estás administrando un inquilino de **Microsoft Entra**. En tu inquilino de Microsoft Entra tienes una suscripción vinculada llamada **Suscripción1**. Para fines de facturación, tu organización necesita **etiquetar cada recurso creado** en la suscripción con **información del centro de costos y del nombre del producto**. Aunque has comunicado este requisito a tus administradores, notas que muchos recursos no tienen los valores de etiqueta requeridos completados. Necesitas hacer cumplir las etiquetas requeridas para el centro de costos y el nombre del producto que se deben establecer durante la creación de cada recurso con la menor cantidad de esfuerzo administrativo. **Creas dos** definiciones de **políticas de Azure**: costcenterTag1 y productnameTag1. ¿Qué **tres acciones** debes realizar en secuencia? Para responder, mueve las acciones apropiadas de la lista de acciones posibles al área de respuesta y ordénalas en el orden correcto. Las acciones son las siguientes: 1. Crear una definición de Iniciativa. 2. Agregar costcenterTag1 y productnameTag1 a la definición de Iniciativa. 3. Asignar la definición de Iniciativa a Subscription1. Primero, debe crear una definición de Iniciativa. Una definición de Iniciativa es una **colección o grupo de definiciones de Políticas hacia un objetivo o propósito específico**. Agrupar definiciones de Políticas en una definición de Iniciativa puede **simplificar** esencialmente el **esfuerzo administrativo**, ya que puede **mejorar y asignar** múltiples definiciones de **Políticas en un solo paso**. A continuación, debe **agregar costcenterTag1 y productnameTag1** a **la definición** **de Iniciativa recién creada**. Al hacerlo, define los múltiples requisitos que deben cumplirse para lograr un objetivo común. Finalmente, debe **asignar** la **definición de Iniciativa** recién creada a **Subscription1.** Este paso pone en efecto las políticas deseadas. No debe asignar la definición de Iniciativa a grupos de recursos. Aunque ayudaría a lograr el objetivo de hacer cumplir la configuración de las etiquetas requeridas, no sería el menor esfuerzo administrativo. En contraste con la asignación única a nivel de suscripción, tendría que asignar la definición de Iniciativa cada vez que los administradores creen un grupo de recursos. **No debe asignar** costcenterTag1 y productnameTag1 a Subscription1. Esta acción podría ayudar a lograr el objetivo de hacer cumplir la configuración de las etiquetas requeridas, pero en este caso el esfuerzo administrativo no se minimizaría. Esta solución requiere manejar cada definición de política por separado, y por lo tanto se requerirá más esfuerzo administrativo. Tu empresa está planeando migrar una aplicación web IIS a Azure. La aplicación web está alojada en un servidor Windows Server 2012 R2 llamado WEB01. Es accesada por algunos de los socios de tu empresa. Necesitas evaluar la migración de la aplicación web a Azure y recomendar una línea base de seguridad para la aplicación web. ¿**Qué características de seguridad deberías implementar**? Para responder, arrastra la característica de seguridad apropiada a cada requisito. Una característica de seguridad puede ser usada una vez, más de una vez, o no ser usada en absoluto. Microsoft Defender for Cloud: Restricciones de acceso - Identidad administrada - **Explicación** Debes usar **Microsoft Defender for Cloud** para **ejecutar automáticamente evaluaciones de seguridad** periódicas en todo el inquilino y proporcionar recomendaciones de seguridad para tus recursos. Microsoft Defender for Cloud puede **identificar ataques en aplicaciones de App Service** y **utiliza análisis y modelos de aprendizaje automático** para cubrir todas **las interfaces** que permiten **la interacción** **con la aplicación web.** Debes usar **restricciones de acceso** para restringir el acceso a la aplicación web basándote en una **lista de direcciones IP**. Las restricciones de acceso procesan el tráfico entrante a una aplicación web y se procesan de arriba hacia abajo. Si el tráfico coincide con una regla, el tráfico será permitido o denegado. **Hay una denegación implícita en la parte inferior**, que **se aplica** a cualquier tráfico que no coincida con las **reglas más arriba**. Debes usar **una identidad gestionada** para proteger los recursos de back-end con **acceso autenticado**. Una identidad gestionada se puede usar para aplicar permisos de control de acceso basado en **roles (RBAC)** directamente a la aplicación web. Por ejemplo, podrías otorgar a la propia aplicación web permiso para cualquier recurso de Azure que soporte RBAC. **No debes usar SAML**. Security Assertion Markup Language (SAML) se usa para intercambiar datos de autenticación y autorización entre partes. Se usa para el inicio de sesión único de Azure, entre otras cosas. No debes usar **Microsoft Best Practices Analyzer (BPA).** Microsoft BPA se utiliza para varios productos de Microsoft para escanear un sistema e informar sobre cualquier violación de las mejores prácticas, para que puedan ser remediadas. Por ejemplo, en **Windows Server 2016**, **Microsoft BPA crea** un informe detallado que explica cualquier violación, su gravedad y cómo pueden ser remediadas. Sin embargo, **Microsoft BPA no** ejecuta **evaluaciones de seguridad automáticamente** y los resultados no restringen el acceso a una lista de direcciones IP ni protegen los recursos de back-end con acceso autenticado. Estás gestionando un entorno de **Azure** para una empresa en Europa. La Agencia de la **Unión Europea para la Ciberseguridad** aprobó recientemente nuevas políticas de seguridad que consisten en múltiples ámbitos de acción. Se te ha pedido que evalúes el cumplimiento de tu entorno con base en la nueva regulación. Verificas las políticas de seguridad integradas en **Microsoft Defender** **for Cloud**; sin embargo, no encuentras ninguna política que cumpla con todos los nuevos requisitos. Necesitas asegurarte de que la empresa cumpla con las nuevas regulaciones de la Agencia de la Unión Europea para la Ciberseguridad y que los requisitos se implementen de manera más eficiente. ¿Qué se debe hacer? ![Imagen que contiene Texto Descripción generada automáticamente](media/image12.png) Deberías **crear una nueva iniciativa de seguridad**. Una Iniciativa de Seguridad de Azure es una **compilación de definiciones o reglas de Políticas de Azure** que se organizan juntas para lograr un objetivo particular. **Al agrupar una serie de políticas** en un solo elemento unificado, **las Iniciativas de Seguridad** facilitan la **gestión de políticas** de una manera más simplificada. Debido a que la nueva regulación consiste en múltiples ámbitos de acción, se deben crear múltiples definiciones de políticas de seguridad de Azure y estas, a su vez, deben compilarse en una nueva iniciativa de seguridad de Azure. \'Ha sido designado para asumir el rol de administrador de seguridad para un inquilino de Azure de Company1. Recibe una queja de User1, diciendo que no pueden crear una máquina virtual (VM) en el inquilino. Consulte el documento adjunto para obtener detalles del mensaje de error. Ha identificado que la siguiente definición de rol personalizado, Role1, está asignada a User1. Texto Descripción generada automáticamente Debes resolver el error, satisfaciendo el principio de menor privilegio y causando la menor cantidad de esfuerzo administrativo. ¿Qué paso debes tomar para cumplir con este requisito? ![Texto Descripción generada automáticamente con confianza media](media/image14.png) Debes agregar el permiso **Microsoft.Network//write** a la **sección de Acciones**. Si los roles integrados de Azure no satisfacen tus necesidades, puedes **crear roles personalizados y asignarlos** a los usuarios mediante un procedimiento similar al utilizado para los roles integrados. Con los **roles personalizados**, puedes **limitar el nivel de permisos** a aquellos que el usuario necesita para realizar su trabajo. Proporcionar solo el nivel de permisos requerido por el usuario para realizar su trabajo se llama **el principio de privilegio mínimo.** Para crear una máquina virtual (VM), **User1** solo necesita **permisos de Compute**, **Resourcegroups y Network**. La configuración del rol personalizado se puede definir en un archivo de **configuración JSON**, en el cual puedes usar **la sección de Acciones** para **proporcionar permisos y la sección de notActions** para eliminarlos. En la definición del rol personalizado de **User1**, falta el permiso **Microsoft.Network//write,** lo que impide la creación de una LAN virtual (VLAN) y una tarjeta de interfaz de red (NIC). La solución de agregar la línea de escritura **Microsoft.Network/\*/write** satisface ambos requisitos: **el principio de privilegio mínimo y el menor esfuerzo administrativo.** Eres el administrador de Azure para tu empresa. **Los usuarios** tienen asignada una licencia **Microsoft Entra ID P1**. Actualmente, **los cambios** en las cuentas de **Microsoft Entra** solo se **almacenan** durante **90 días**. Necesitas **asegurarte** de que los **cambios en las cuentas de usuario** se registren y se mantengan **durante 180 días**. La solución debe ser la más rentable y eficiente. ¿Qué deberías hacer?\" Cree un espacio de trabajo de **Log Analytics** con una retención de **180 días** y configure los **ajustes de exportación de datos** para que **Microsoft Entra** envíe **registros de auditoría** al espacio de trabajo **de Log Analytics**. **Explicación** Debe crear un espacio de trabajo de **Log Analytics** con una retención de 180 días y configurar los ajustes de exportación de datos para que **Microsoft Entra** envíe **registros de auditoría** al espacio de trabajo de **Log Analytics**. De forma predeterminada, los registros de auditoría de **Microsoft Entra** se almacenan **durante 90 días.** Si desea **conservar** los datos durante **más tiempo**, puede **exportarlos automáticamente a un espacio de trabajo de Log Analytics.** No debe utilizar el cmdlet Set-MsolUser. No existen configuraciones de retención de registros de actividad del usuario que se puedan configurar para las cuentas de usuario. No debe asignar a los usuarios una licencia Microsoft Entra ID P2. No existe ninguna funcionalidad de registro adicional con respecto a una licencia Microsoft Entra ID P1. Usted es el administrador de Azure de su empresa. La empresa tiene una suscripción denominada **Producción** en su inquilino existente. Usted hospeda **una aplicación web** www.mycorp.com en la **máquina virtual** **MYCORPVM** conectada a **una subred** denominada **prod-subnet** dentro de **la red** virtual (VNet) **VNET01.** Se le **solicita limitar el acceso** a Internet para las máquinas virtuales (VM) dentro de **VNΕΤΟ1**. Necesita **implementar y configurar** una solución de Azure que **restrinja el acceso** a Internet a **www.mycorp.com**. ¿Cómo se debe configurar esta solución? Para responder, seleccione las opciones adecuadas en los menús desplegables. Imagen que contiene Gráfico Descripción generada automáticamente Su empresa implementa una **máquina virtual (VM)** de Windows Server 2019 denominada **VM01** en Azure. **VM01** aloja un sitio web que se ejecuta en **IIS.** VM01 tiene un **único controlador de interfaz de red** (NIC) conectado, llamado **NIC01**, con un grupo de seguridad de red (**NSG**) asignado. El NSG tiene una regla de entrada que permite el puerto **TCP 443** desde la red **192.168.1.0/24.** Su empresa está probando un **clúster** de **Azure Kubernetes Service** (AKS) llamado **AKS01** como **reemplazo del sitio web** en VM01. Debe configurar una **política de red** para aplicarla a **AKS01**. La política debe coincidir con la configuración actual de **NSG** para **VM01**. ¿Qué ajustes de configuración debería utilizar? ![](media/image16.png)Para responder, seleccione las soluciones adecuadas en los menús desplegables. Tu empresa completó recientemente una **migración** a Office 365 y está utilizando **Microsoft Entra Connect** para sincronizar el **Active Directory** local con **Microsoft Entra ID**. Después de un **incidente de seguridad**, el equipo de seguridad de tu **empresa habilitó y aplicó la autenticación** multifactor **(MFA)** en un **servidor local** para todos los representantes **de ventas externos.** El director de ventas no puede acceder a su cuenta ni a una presentación importante porque la aplicación **Microsoft Authenticator** no se inicia. Necesitas asegurarte de que el director pueda acceder a su presentación lo más rápido posible sin comprometer la política de seguridad de la empresa. ¿Qué deberías hacer?\" ![](media/image18.png) **Explicación** Debe crear una **omisión única para la cuenta de usuario del director de ventas**. Las omisiones únicas se utilizan como una solución temporal a los problemas de **MFA**, por ejemplo, cuando un usuario no recibe una notificación o una llamada telefónica. Tienen un límite de tiempo y permiten **una omisión única** para que el usuario **pueda acceder al recurso deseado**. **No debe desactivar** la autenticación multifactor en la cuenta del director de ventas en Usuarios y equipos de AD. La autenticación multifactor **no se controla** a través **de AD local,** sino en **Microsoft Entra ID.** No debe utilizar el cmdlet Set-MsolUser. El cmdlet Set-MsolUser se utiliza para configurar MFA y no para deshabilitarla. **No debe iniciar** la aplicación Azure Portal y deshabilitar la autenticación multifactor en la cuenta de usuario del director de ventas. Si bien esto otorgaría acceso al recurso, la autenticación multifactor quedaría deshabilitada para cualquier inicio de sesión posterior. Creas una **aplicación** llamada **App1** para gestionar datos de clientes en un centro de llamadas. **App1** utiliza una **base de datos SQL** llamada **DB1** para almacenar datos de clientes. Con la ayuda de App1, los **empleados** del centro de **llamadas verifican la identidad** de los clientes con los últimos **cuatro números** de sus tarjetas de crédito. La **regulación de información personal identificable (PII)** prohíbe exponer números completos de tarjetas de crédito a los empleados del centro de llamadas. Para cumplir con la regulación, implementas una solución de **enmascaramiento de datos dinámico (DDM)** y **creas la regla** para la columna de tarjetas de crédito en **la tabla az500table1**, como se muestra en el gráfico llamado **regla DDM.** Los empleados del centro de llamadas comienzan a probar tu recién creada **App1** e informan que no pueden ver los valores de las tarjetas de crédito en absoluto, como se muestra en el gráfico llamado comentarios de empleados. Necesitas implementar una solución para cumplir con el requisito regulatorio y proporcionar a los empleados del centro de llamadas la información requerida. ¿Qué deberías hacer? Implemente el enmascaramiento dinámico de datos (DDM) con formato de campo de enmascaramiento personalizado. Debes implementar el **enmascaramiento dinámico de datos (DDM)** con un **formato de campo** de **enmascaramiento personalizado**. El enmascaramiento dinámico de datos (DDM**) oculta partes de información** sensible de usuarios no autorizados. **DDM se basa en políticas**. Si un usuario no autorizado ejecuta una consulta **T-SQL**, la información sensible se oculta en los datos devueltos según la definición de la política DDM. Puedes **ocultar la información por columna**, sin cambiar los datos en sí. DDM proporciona cuatro tipos de formatos de enmascaramiento: **Predeterminado**: Este método proporciona un enmascaramiento completo, que se define en este caso y evita que los empleados del centro de llamadas vean la parte requerida de la tarjeta de crédito. **Correo electrónico**: Este método de enmascaramiento expone la primera letra de una dirección de correo electrónico y el sufijo constante. Ejemplo: aXXX\@XXXXX.de **Aleatorio:** Este método enmascara con un valor aleatorio dentro de un rango especificado. **Personalizado:** Este método expone la primera y la última letra y agrega una cadena de relleno personalizada en el medio. Esta solución puede satisfacer los requisitos en este escenario. Al definir la regla para establecer el número de letras iniciales en cero y el número de letras finales en cuatro, puedes enmascarar solo la parte requerida. Esta solución cumple con el objetivo. Tu empresa tiene una **suscripción de Azure** asociada con un inquilino de **Microsoft Entra** llamado **company.net**. La empresa está desarrollando una aplicación llamada **App1** que se ejecuta en un **servidor Linux Ubuntu** aprovisionado en esta **suscripción de Azure**. **App1** se **ejecuta** como un **servicio en segundo plano** y no necesita un usuario registrado para ejecutarse. App1 necesita acceder a **la API de Microsoft Graph** de **company.net** para exportar datos de usuario en este inquilino. Necesitas **delegar los permisos** requeridos a **App1** utilizando el principio de **privilegio mínimo.** ¿Qué **tres acciones** deberías realizar en secuencia? Para responder, mueve las acciones apropiadas de la lista de posibles acciones al área de respuesta y ordénalas en el orden correcto. 1. Crear un registro de aplicación 2. Agregar un permiso de aplicación 3. Otorgar permisos Tu empresa tiene un inquilino de Microsoft Entra. Puedes configurar usuarios en el inquilino con membresía de grupo y un estado de autenticación multifactor (MFA), como se muestra en la siguiente tabla: ![Tabla Descripción generada automáticamente](media/image20.png) Creas una política de riesgo de inicio de sesión de Microsoft Entra ID Protection y la aplicas en tu inquilino. La política tiene las siguientes configuraciones: **Asignaciones**: Incluir Grupo1, excluir Grupo2 **Condiciones**: Nivel de riesgo de inicio de sesión: Medio y superior **Acceso**: Permitir acceso, Requerir MFA Necesitas determinar cómo cada usuario **experimentará el inicio de sesión** en tu inquilino de Microsoft Entra. ¿Qué comportamiento de inicio de sesión ocurriría en cada escenario? Para responder, selecciona las opciones apropiadas de los menús desplegables. Imagen que contiene Escala de tiempo Descripción generada automáticamente Se describen tres escenarios específicos: ![Imagen que contiene Rectángulo Descripción generada automáticamente](media/image22.png) Cuando **User1** inicia sesión desde una ubicación desconocida, será bloqueado. User1 es parte de Group1, y ese grupo tiene asignada una política de riesgo de inicio de sesión de Microsoft Entra ID Protection con un nivel de riesgo de inicio de sesión de Medio o superior. **Dado que iniciar sesión desde una ubicación desconocida** se considera un **riesgo de nivel medio** y la autenticación multifactor **(MFA)** **no está habilitada**, el usuario será bloqueado. Cuando **User2** inicia sesión desde una **dirección IP anónima**, se le pedirá **MFA.** User2 pertenece a Group1, que está incluido en la política de riesgo de inicio de sesión, y a Group2, que está excluido de la política de riesgo de inicio de sesión. En esta situación conflictiva**, la exclusión anulará la inclusión**, por lo tanto, la **política de riesgo** de inicio de sesión **no se activará para User2**. Sin embargo, User2 está **inscrito en una autenticación multifactor de Microsoft Entra** por usuario con el estado **Habilitado**. Cuando se le da este estado, los usuarios inician sesión, **completan el proceso de registro** y su estado **cambia a Aplicado**. Como tal, se le pedirá a User2 que **complete** el proceso de inscripción de MFA. ![](media/image24.png) Cuando **User3** inicia sesión desde **un dispositivo infectado**, será bloqueado. User3 es parte de Group1, y ese grupo tiene asignada una política de riesgo de inicio de sesión de Microsoft Entra ID Protection con un nivel de riesgo de inicio de sesión de Medio o superior. Dado que iniciar sesión desde un dispositivo infectado se considera un **riesgo de nivel medio** y la MFA no está habilitada, el usuario será **bloqueado**. Tu organización tiene una **suscripción** existente a Azure y actualmente usa **diferentes servicios en la nube**, incluyendo máquinas virtuales, bases de datos y almacenamiento. Recientemente has configurado una red virtual y habilitado un punto de conexión de **servicio VNet** para **Azure Storage** a través de un script de **PowerShell**. Tu gerente te ha pedido que crees un **punto de conexión** de servicio para **Azure Storage** y restrinjas **el acceso a la red** a través de un **grupo de seguridad de red** **(NSG)** para la subred con tres reglas con los siguientes requisitos: Permitir el **acceso saliente** a la dirección IP pública asignada **al servicio de Azure** **Storage**. **Denegar** el **acceso a todas las direcciones IP públicas**, **excepto el servicio** de **Azure Storage**. Permitir **el tráfico entrante** de **Protocolo de Escritorio Remoto (RDP)** a la **subred** desde **cualquier ubicación**. Necesitas usar PowerShell para configurar tres reglas que coincidan con los requisitos anteriores. ¿Qué cmdlets deberías usar? Para responder, completa los comandos seleccionando las partes correctas de los menús desplegables. Interfaz de usuario gráfica, Texto, Aplicación, Correo electrónico Descripción generada automáticamente Eres el **administrador de Azure** para tu empresa. **Replicas** una base de datos financiera a una **base de datos SQL** de Azure que contiene **datos sensibles** que actualmente están almacenados en texto claro. Necesitas proporcionar una **solución** que asegure que los datos en la **base de datos** de Azure estén **encriptados en reposo**, en **uso y durante** cualquier **comunicación** entre el **cliente final y la base de datos**. También debes asegurar que los **datos puedan ser agrupados y ordenados y que las columnas puedan ser indexadas.** ¿Qué dos acciones debes realizar? Cada respuesta correcta presenta parte de la solución. **Elija las respuestas correctas** - **Use el tipo de cifrado determinista.** - Habilite el cifrado BitLocker. - **Conéctese a la base de datos de Azure usando SQL Server Management Studio y habilite la función de cifrado de columnas.** - Use el tipo de cifrado aleatorio. Debes conectarte a la base de datos de **Azure usando SQL Server Management Studio** y habilitar **la función de cifrado de columnas**, y luego especificar el tipo de cifrado determinista. Cuando habilitas el cifrado de columnas, debes asegurarte de seleccionar el tipo de cifrado correcto para tus requisitos. En este caso, debes asegurarte de que los datos **puedan agruparse y ordenarse y que las columnas puedan indexarse. El cifrado determinista es el único tipo de cifrado que admite estas características**. Su empresa tiene una **aplicación web** llamada **CorpIntrane**t que utiliza la **autenticación de Microsoft Entra**. Configura la **sincronización de hash de contraseñas (PHS)** en Microsoft Entra Connect para **replicar las cuentas** de usuario de **Active Directory** locales en **Microsoft Entra ID**. Necesita imponer la **autenticación de dos pasos** para todos los **usuarios** de **Microsoft Entra.** ¿Qué debería usar? ![Imagen que contiene Diagrama Descripción generada automáticamente](media/image26.png) **Explicación** Para hacer cumplir la verificación en dos pasos, también llamada autenticación **multifactor (MFA**), debes **implementar una política de acceso condicional** que requiera el registro en MFA. **Microsoft Entra Conditional Access** aplica políticas después de que el usuario proporciona la autenticación de **primer factor (contraseña**). Aunque las políticas de acceso condicional **pueden \"moldear**\" completamente el entorno de autenticación del usuario, en este caso solo **necesitas configurar la política** para **otorgar acceso y requerir MFA.** Si el usuario aún no se ha registrado **en Azure** **MFA**, se le pedirá que lo haga. Los usuarios que **ya están registrados** recibirán un **desafío de MFA** como **su autenticación de segundo factor**. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_ Su organización tiene una suscripción existente a Azure que aloja máquinas virtuales, almacenamiento y bases de datos. Tiene las siguientes máquinas virtuales (VM) dentro de este entorno para las cuales necesita habilitar el acceso JIT: Tabla Descripción generada automáticamente **Server05** contiene **datos altamente sensibles**; está detrás de un Firewall de Azure que es controlado por **Azure Firewall Manager** para seguridad adicional. Todos los demás servidores se conectan directamente a internet. Necesita **habilitar** **JIT** para los servidores que soportan esta característica. ¿Qué tres servidores de la tabla soportan JIT? Cada respuesta correcta presenta una solución completa. ![Interfaz de usuario gráfica, Texto, Aplicación Descripción generada automáticamente](media/image28.png) **Servidor02, Servidor03 y Servidor04** cumplen con los requisitos para soportar la función JIT, ya que todos están **desplegados a través de Azure Resource Manager** y no se integran con Azure Firewall, que es gestionado y controlado por Azure Firewall Manager. **Servidor01** no cumple con los requisitos para soportar JIT, ya que JIT no soporta máquinas virtuales que se despliegan con el método de implementación clásico. Aunque Servidor05 está desplegado a través de Azure Resource Manager, se integra con Azure Firewall, que es **controlado** por Azure Firewall Manager. JIT no soporta máquinas virtuales protegidas de esta manera. Configuras **Microsoft Sentinel** en la suscripción de Azure de tu empresa. El equipo de seguridad de tu empresa necesita **monitorear eventos** en tu **suscripción y en el inquilino** de Microsoft Entra creando **alertas y libros de jugadas.** Necesitas identificar los conectores de datos para monitorear cada uno de los eventos. ¿Qué conector de datos deberías usar para cada caso? Para responder, selecciona el conector de datos apropiado de los menús desplegables. Los requisitos y conectores de datos son los siguientes: \-\-\-\-\-\-\-\-\-\-- **Azure Activity** Deberías usar el **conector de Actividad de Azure** para alertar cuando se elimina un bloqueo de recurso de una máquina virtual (VM). Puedes usar este conector para monitorear cualquier operación de escritura realizada en los recursos de tu suscripción, incluyendo la eliminación de un bloqueo de recurso \-\-\-\-\-\-\-\-\-\-- **Microsoft Entra** Deberías usar el conector de Microsoft Entra para ejecutar un playbook cuando un usuario es eliminado. El conector de Microsoft Entra puede recopilar registros de los registros de auditoría y los registros de inicio de sesión en tu inquilino de Microsoft Entra. Puedes usar los registros de auditoría para monitorear cuando un usuario es eliminado. \-\-\-\-- **Azure Activity** Deberías usar el **conector de Actividad de Azure** para monitorear cuando un usuario es asignado el **permiso de propietario en un grupo de recursos**. Cuando asocias cualquier permiso a un grupo de recursos en tu suscripción, se envía una **operación de escritura** a Azure Resource Manager, la cual puede ser **monitoreada** por **Microsoft Sentinel** usando el conector de **Actividad de Azure**. No deberías usar el conector de **Protección de Identidad de Microsoft Entra**. Puedes usar este **conector para recopilar intentos de inicio** de sesión de riesgo desde **Protección de Identidad de Microsoft Entra**. Tu empresa utiliza el plan **Premium de Azure Functions** para permitir que su equipo de desarrollo cree aplicaciones en una **zona de aterrizaje de Azure** sin necesidad de desplegar servidores e infraestructura adicional. Actualmente, utilizas la función de **integración de red virtual** con un **App Service Environment** para permitir que las aplicaciones de Functions accedan a recursos dentro de una VNet. **El gerente** del **equipo de desarrollo** te ha informado que el equipo de desarrollo ahora necesita **acceder a recursos de aplicaciones en otras redes**. Necesitas recomendar una característica y un servicio para facilitar este requisito. ¿Qué deberías recomendar? Interfaz de usuario gráfica Descripción generada automáticamente **Conexiones Híbridas de Azure Relay** Se recomienda el uso de la característica de **Conexiones Híbridas de Azure Relay** para acceder a recursos de aplicaciones en otras redes. También se menciona que no se deben recomendar los **Grupos de Seguridad de Red (NSG**), los puntos finales privados y los puntos finales de servicio para este escenario específico. Debes recomendar la característica de **Conexiones Híbridas de Azure Relay**. Esto se recomienda porque las **Conexiones Híbridas** se pueden usar para acceder a recursos de aplicaciones en otras redes. **Permite el acceso** **desde tu** **aplicación de Funciones a un punto final de la aplicación**, pero **no se puede** usar para acceder a la aplicación. Solo está disponible para funciones que se ejecutan en un plan de Consumo de Windows. Cuando usas un **plan de Consumo**, las instancias de un host de **Azure Functions** se agregan y eliminan dinámicamente según la cantidad de **eventos entrantes**. No debes recomendar los **Grupos de Seguridad de Red (NSG).** Estos se utilizan para bloquear el tráfico entrante y saliente a recursos en una VNet. Por ejemplo, si una aplicación está utilizando la integración de **VNet,** puede usar un NSG para bloquear el tráfico saliente a recursos en tu **VNet** o en Internet. Sin embargo, requeriría el emparejamiento de **VNet** para comunicarse con otras **VNets**, lo cual no es parte de este escenario. **No debes** recomendar **puntos finales privados endpoint private**. Un punto final privado es una interfaz de red que te permite conectarte de forma privada a un proveedor de servicios a través de **Azure Private Link**. Utiliza una **dirección IP** privada de tu **VNet,** lo que esencialmente trae el servicio a tu **VNet**. No debes recomendar **puntos finales de servicio service endpoint**. Al usar puntos finales de servicio con aplicaciones de Azure Functions, **puedes restringir múltiples servicios de Azure a subredes específicas de VNet** para habilitar un nivel mucho más alto de seguridad. Gestionas el entorno de Infraestructura como Servicio (IaaS) de Azure de Company1. El equipo global de administración de Company1 está compuesto por múltiples divisiones más pequeñas ubicadas en todo el mundo. Recientemente, una de las máquinas virtuales (VM) de la empresa fue eliminada accidentalmente. Necesitas usar Azure Monitor para identificar qué administrador eliminó accidentalmente la VM. ¿Qué registro deberías evaluar?\" ![Interfaz de usuario gráfica, Aplicación Descripción generada automáticamente](media/image30.png) Estás utilizando **Microsoft Defender for Cloud** para monitorear el entorno de **Azure** de tu empresa. Has identificado que **hay software no licenciado** ejecutándose en tus máquinas **virtuales (VMs**). Te han pedido **mejorar el cumplimiento de las políticas de seguridad** locales para asegurarte de que solo se **ejecute software licenciado** en tus VMs. Necesitas implementar una solución para cumplir con esta solicitud con el menor esfuerzo administrativo posible. ¿Qué deberías configurar? Forma Descripción generada automáticamente con confianza media **Explicación** Deberías configurar **controles de aplicaciones adaptativos**. Los controles de aplicaciones adaptativos son una característica de seguridad en **Microsoft Defender for Cloud** que ayuda a proteger tus máquinas **virtuales (VM)** y servidores **controlando las aplicaciones** que pueden ejecutarse en ellos. Esta característica **utiliza aprendizaje automático e inteligencia artificial** para crear y **aplicar automáticamente políticas de control de aplicaciones** que se adaptan a tu entorno y a las aplicaciones que se ejecutan en tus VM y servidores. Este enfoque es más automatizado y se adapta a los cambios en tu entorno, y **requiere menos intervención manual que las políticas de control de aplicaciones** tradicionales. Su empresa está desarrollando una aplicación web de Azure App Service llamada App1. App1 escribe datos de ventas en una base de datos de Azure SQL. **Necesita permitir** que los usuarios **se autentiquen** en la base de datos de **Azure** **SQL** proporcionando credenciales de Microsoft Entra. ¿Qué debe hacer primero?\" ![](media/image32.png) Para **admitir la autenticación** de Microsoft Entra en Azure SQL Database y Azure SQL Database Managed Instance, primero debe **crear un administrador de Microsoft Entra para el servidor Azure SQL.** A continuación, debe implementar la **Biblioteca de Autenticación de Microsoft Entra para SQL Server (ADALSQL.DLL)** en sus computadoras cliente. Por último, debe **crear usuarios de base de datos contenidos para sus usuarios**. Un usuario de base de datos contenido no tiene un inicio de sesión definido en la base de datos MASTER, pero está mapeado a una identidad de **Microsoft Entra**. Tu empresa tiene una oficina en San Francisco que utiliza la subred 192.168.1.0/24. La oficina se conecta a Azure a través de una VPN de sitio a sitio. El equipo de desarrollo almacena **imágenes de Docker** en sus máquinas y también las copia en un recurso compartido de archivos. La política de la empresa establece que todos los usuarios deben tener habilitada la **autenticación multifactor** **(MFA)** y **aplicadas** las políticas de acceso condicional. Necesitas **crear** un **registro de contenedores de Azure para pruebas**, asegurándote de que la política de la empresa se siga aplicando. También debes asegurarte de que el registro de contenedores solo pueda ser **accedido desde** la oficina de **San Francisco.** ¿Cómo deberías configurar el registro de contenedores? Para responder, arrastra el valor de configuración apropiado a cada propiedad del registro de contenedores. Un valor de configuración puede ser usado una vez, más de una vez, o no ser usado en absoluto. Interfaz de usuario gráfica Descripción generada automáticamente **Explicación** **No debes habilitar** la **cuenta de administrador**. Al crear un registro de contenedores, el **usuario administrador está deshabilitado por defecto**. Dado que **todos los usuarios deben tener habilitada la autenticación multifactor (MFA),** puedes iniciar sesión usando el **comando az login** y **permitir** que el equipo de **desarrollo** **inicie sesión** en el registro de **contenedores** para realizar una solicitud de **push o pull**. El comando **az login solicitará la MFA**. Debes configurar el acceso a la red utilizando un firewall de ACR. El acceso a un **registro de contenedores** puede controlarse utilizando la pestaña **Firewall** en el propio registro de contenedores y puede permitirse para todas las redes, redes virtuales específicas (**VNETs)** o subredes notadas en **CIDR**. Debes configurar el firewall en el propio registro de contenedores para **permitir el acceso** solo desde la red 192.168.1.0/24 Tu empresa tiene una suscripción existente de Azure donde alojas múltiples servicios IaaS, incluidos máquinas virtuales, almacenamiento y bases de datos. Actualmente tienes cuatro oficinas diferentes en las siguientes ubicaciones: ![Tabla Descripción generada automáticamente](media/image34.png) Actualmente, solo **las oficinas de Leeds y Londres** pueden **acceder** a los **recursos compartidos** de **Azure IaaS**. Sin embargo, ahora hay un **requisito** para **acceder a los recursos tanto de París como de Nueva York**. Necesitas **configurar la conectividad** de red entre las oficinas del **Reino Unido y París y Nueva York.** No hay una red de **Multiprotocol Label Switching (MPLS)** existente. Tu solución debe minimizar la sobrecarga administrativa. ¿Qué método de conectividad deberías usar? Interfaz de usuario gráfica, Texto, Aplicación Descripción generada automáticamente con confianza media **Explicación** Describe el uso de la **conexión de red virtual global en Azure**. El texto explica que esta función permite **conectar múltiples redes virtuales en Azure** que están situadas en **diferentes regiones de Azure**. En este escenario, se mencionan tres regiones que necesitan ser conectadas: UK South, France Central y East US. Tu organización tiene una **suscripción** existente a Azure, que utiliza para alojar **servicios de IaaS,** incluidos máquinas virtuales, almacenamiento y servicios de aplicaciones. Una auditoría de seguridad reciente ha destacado que **las cuentas de almacenamiento** existentes solo tienen un **cifrado simple habilitado** y necesitan tener **un cifrado doble** para cumplir con los estándares de seguridad de la organización. Recomiendas habilitar el cifrado de infraestructura en todas las cuentas de almacenamiento para remediar y resolver este problema de la auditoría de seguridad. Necesitas habilitar el cifrado de infraestructura en todas las cuentas de almacenamiento dentro del inquilino. ¿Qué debes hacer? **Recrear todas las cuentas de almacenamiento**. ![Interfaz de usuario gráfica, Texto, Aplicación, Correo electrónico Descripción generada automáticamente](media/image36.png) Debes **volver a crear todas las cuentas de almacenamiento** y **habilitar el cifrado de infraestructura durante este proceso**. Solo puedes habilitar el cifrado de infraestructura en una cuenta de almacenamiento durante el proceso de creación inicial y no se puede deshabilitar ni habilitar después de ese punto. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_ Eres el **administrador** del entorno en la nube de Company1, que se ejecuta en la nube de Azure. Todos los recursos de **Company1** en la nube de Azure están **protegidos** con las funciones de **seguridad mejoradas de Microsoft Defender for Cloud**. Recientemente, Company1 se **fusionó** con Company2. Se te ha pedido que **asegures** que los **100 servidores** existentes de **Company1**, y todos **los servidores** recién creados de **Company2,** que se ejecutan en Amazon Web Services (**AWS) cloud**, estén protegidos usando tu instancia **de Microsoft Defender for Cloud.** Necesitas **implementar una solución** para cumplir con este requisito con la menor cantidad de esfuerzo administrativo. ¿Qué deberías hacer primero? Interfaz de usuario gráfica, Texto, Aplicación Descripción generada automáticamente **Explicación** Primero debes **configurar un conector.** **Microsoft Defender for Cloud** es una solución de seguridad nativa en la nube que puede ayudar a **proteger las cargas de trabajo** y **servicios de Amazon Web** **Services (AWS).** Para extender la protección de Defender for Cloud a tu entorno de AWS, primero debes **configurar un conector**. Una vez que hayas configurado el conector, debes **desactivar cualquier plan que no necesites**, configurar los ajustes de **aprovisionamiento automático**, **autenticar y desplegar los ajustes** en **AWS.** Tan pronto como **el conector esté configurado, todos los servidores existentes** **y nuevos se incluirán automáticamente** en la protección de **Microsoft Defender for Cloud**, lo que minimizará los esfuerzos administrativos requeridos. Una empresa manufacturera tiene recursos ejecutándose en una única **región de Azure**. Los usuarios se conectan a Azure desde cada una de sus oficinas a través de una conexión **VPN** de **sitio a sitio** y utilizan una **conexión VPN de punto a sitio** cuando trabajan desde **casa.** Un **contratista externo** se conecta a una **máquina virtual** llamada **JumpHost01** a través del **Protocolo de Escritorio Remoto RDP.** Para cumplir con la política de seguridad de la empresa, solo se permite **el tráfico** **saliente desde JumpHost01** al **servidor de aplicaciones compatible**, y todo el demás tráfico está bloqueado. El contratista necesita **descargar** una **actualización de seguridad** crítica desde el dominio **update.myapp.com**, pero no puede hacerlo. El **equipo de seguridad** acuerda **permitir el acceso** al dominio update.myapp.com solo desde **JumpHost01**. **Necesitas** permitir que el contratista **descargue el archivo** desde JumpHost01. ¿Qué solución deberías usar? ![Interfaz de usuario gráfica, Texto, Aplicación Descripción generada automáticamente](media/image38.png) Necesitas una **base de** **datos SQL de Azure** para una aplicación personalizada. Primero, creas un servidor **SQL de Azure** llamado **SQLServer1** y luego lo configuras para que admita la autenticación de **Microsoft Entra**. Después de eso, creas una **base de datos SQL** llamada **SQLDB1**. Para tu inquilino de **Microsoft Entra**, configuras **Microsoft Entra Connect** para sincronizar cuentas de usuario desde los **Servicios de dominio** **de Active** **Directory (AD DS)** locales e implementas la unión de **Microsoft Entra** para todos tus clientes de **Windows 10**. Necesitas usar un método para **conectarte** a **SQLServer1** y **SQLDB1** desde **Microsoft SQL** **Server Management Studio (SSMS).** La solución debe eliminar los mensajes de autenticación. ¿Qué método de autenticación deberías usar? Interfaz de usuario gráfica Descripción generada automáticamente con confianza media **EXPLICACION** El método de autenticación integrado de **Active Directory (AD)** para acceder a una instancia de **Azure SQL** utilizando credenciales de AD. Para implementar este método, se **debe implementar** **Microsoft Entra Seamless Single Sign-On** (**Microsoft Entra Seamless SSO**). **Microsoft Entra Seamless SSO** puede **iniciar sesión automáticamente** a los usuarios desde sus **dispositivos corporativos** **conectados a las redes** **corporativas de los usuarios**. La implementación de Microsoft Entra Seamless **SSO** consiste en dos tareas principales descritas en este escenario: **Sincronizar cuentas de AD a Microsoft Entra ID** Implementar **Microsoft Entra join** para clientes de **Windows 10** No se debe usar el método **de autenticación Active Directory - Universal** con **soporte de MFA**. La autenticación multifactor (MFA) **requiere autenticarse con un segundo factor**, lo que interrumpe brevemente el proceso de autenticación y no cumple con el requisito **de eliminar los mensajes de autenticación**. Tu empresa tiene una suscripción existente de Azure que aloja servicios **IaaS**, incluidos máquinas virtuales (VMs), almacenamiento y bases de datos SQL. **Tu rol** dentro de la organización es **asegurar que los recursos** dentro de la **suscripción de Azure** estén **protegidos por copias de seguridad** y puedan **ser restaurados fácilmente**. Actualmente usas **Azure Backup** para gestionar copias de seguridad y restauraciones dentro del entorno. **Una auditoría** reciente de la suscripción de Azure ha concluido que los **discos de** **las VMs** existentes deben tener habilitado el cifrado de discos de **Azure (ADE).** Tu **patrimonio actual de Azure** aloja tanto **discos gestionados** como **no gestionados** y **tres servidores** de archivos: FileServer01, FileServer02 y FileServer03. **Necesitas identificar** si todos los discos **soportarán ADE** y que no habrá problemas para recuperar datos de los servidores de archivos una vez que esté habilitado. Para cada una de las siguientes afirmaciones, selecciona Sí si la afirmación es verdadera, de lo contrario selecciona No. ![Texto, Tabla Descripción generada automáticamente](media/image44.png) **EXPLICACION** **Azure Backup** no admite la recuperación de archivos y carpetas en discos que están cifrados con **Azure Disk Encryption (ADE**). Si necesita recuperar archivos específicos de una máquina virtual (VM) que tiene ADE habilitado en sus discos, debe **restaurar toda la VM** y **recuperar los archivos** de esa manera. **Azure Backup** admite discos administrados y no administrados que están cifrados con ADE. **ADE** se integra con **Azure Key Vault** para gestionar las claves y secretos de cifrado de discos. Puede agregar **una capa adicional** de cifrado configurando **Key Vault** **Key Encryption Keys (KEKs**), que cifran los secretos de cifrado antes de escribirlos en Key Vault. Su empresa tiene una suscripción existente de Azure, que utiliza para alojar recursos y datos para los diversos equipos dentro del negocio. El **equipo de ingeniería** ha solicitado **permisos** para varias **tablas de Azure** que se alojan dentro del inquilino. Los detalles de los recursos de las tablas de Azure son los siguientes: Tabla Descripción generada automáticamente El **equipo de ingeniería** ha **solicitado acceso** a AzTable-A, AzTable-B y AzTable-C. Necesita **asignar el rol de Colaborador** **de Cuenta de Almacenamiento** a las **tablas de Azure** relevantes. Su solución debe minimizar el esfuerzo administrativo y seguir el principio de menor privilegio. ¿A qué nivel debería asignar los permisos al equipo de ingeniería? ![Interfaz de usuario gráfica, Texto, Aplicación Descripción generada automáticamente](media/image53.png) **Explicación** Deberías asignar los permisos a nivel de grupo de recursos. Las tres tablas relevantes de Azure residen en rgaz-a y rgaz-c, lo que significa que necesitarías asignar los permisos solo a dos recursos. Esto tampoco otorgaría acceso a ninguna otra tabla de Azure. Esto cumple con el requisito de mínimo esfuerzo administrativo y se adhiere al principio de privilegio mínimo, ya que el tiempo de gestión se minimiza y no hay otras tablas en estos dos grupos de recursos. No deberías asignar los permisos a nivel de tabla individual. No deberías asignar los permisos a nivel de cuenta de almacenamiento. Su empresa quiere revisar regularmente la **membresía del grupo** **Microsoft Entra**. Todos los **usuarios** han sido asignados una licencia de **Microsoft Entra ID P1.** Necesita crear **una nueva revisión de acceso** para todos los usuarios en el grupo de **marketing**. La revisión de acceso debe ser **realizada por el propietario** del **grupo** cada semana. ¿Cuáles son las **cuatro acciones** que debe **realizar en secuencia**? Para responder, mueva las acciones apropiadas de la lista de posibles acciones al área de respuesta y arréglelas en el orden correcto. 1. Asignar al propietario del grupo de marketing una licencia de **Microsoft Entra ID P2**. 2. Seleccionar el grupo de marketing para la revisión de acceso. 3. Delimitar los usuarios de la revisión de acceso a Todos los usuarios. 4. Especificar la recurrencia de la revisión. Su empresa utiliza **Azure Web Application Firewall (WAF)** en **Azure Front Door** para proporcionar protección centralizada para sus **aplicaciones web**. La organización ha visto recientemente un aumento en los **ataques de bots** a diferentes aplicaciones web que son utilizadas por el equipo de desarrollo. Necesita configurar la **protección contra bots** para el **WAF** usando **PowerShell.** ¿**Qué cmdlets debería usar**? Para responder, complete los comandos seleccionando las partes correctas de los menús desplegables. ![Interfaz de usuario gráfica, Texto, Aplicación Descripción generada automáticamente](media/image55.png) **Eres un profesional de seguridad en tu organización.** Tus analistas de seguridad **no han podido investigar y mitigar múltiples** **ciberataques recientes** bien conocidos debido a un **Centro de Operaciones de** **Seguridad (SOC)** constantemente sobrecargado y un aumento en la cantidad de notificaciones de alertas de seguridad. Como resultado, tu organización ha sufrido varias brechas de seguridad. Necesitas **usar** la **automatización del flujo de trabajo** de Microsoft Defender for Cloud para **automatizar la investigación y respuesta a amenazas de seguridad** específicas bien conocidas. ¿Qué deberías hacer primero? Interfaz de usuario gráfica, Texto, Aplicación Descripción generada automáticamente Tu organización tiene **un inquilino de Azure** existente donde aloja una serie de aplicaciones de procesamiento de datos en la nube. Se utilizan **Azure Storage** y **bases de datos de Azure SQL** para alojar **terabytes de datos**, que son accedidos por las aplicaciones de procesamiento a diario. Una auditoría reciente del **inquilino de Azure** ha identificado que **no se está implementando cumplimiento ni gobernanza en los terabytes** de datos que se están **almacenando y accediendo**. Tu gerente te ha pedido que **recomiendes un servicio nativo de la nube** que pueda **mitigar** esto y cumplir con los siguientes requisitos: - Poder encontrar fuentes de datos confiables navegando y buscando tus activos de datos. - **Alinear tus datos con tus activos** con términos **comerciales amigables** y **clasificación de datos** para identificar fuentes de datos. - Poder **buscar y filtrar** fácilmente los **datos descubiertos.** Necesitas **recomendar una solución** **que mitigue** los hallazgos **de cumplimiento y gobernanza en la auditoría y cumpla con estos requisitos**. ¿Qué solución deberías recomendar? ![Interfaz de usuario gráfica, Texto, Aplicación, Chat o mensaje de texto Descripción generada automáticamente](media/image57.png) **Explicación** Deberías recomendar el **Catálogo de Datos de Microsoft Purview**. Este es un servicio nativo en la nube **accesible a través del portal de cumplimiento** de **Microsoft Purview**. El servicio de Catálogo de Datos dentro de Microsoft Purview te permite **localizar fuentes de datos confiables** buscando en tus **activos de datos**. El **catálogo de datos** empareja tus activos **con términos comerciales fáciles de entender para identificar las fuentes de datos**. Además, puedes **buscar y filtrar fácilmente todos los datos descubiertos**, **cumpliendo** así con todos los requisitos del escenario. Necesitas **configurar** **revisiones periódicas de acceso** para tu empresa para **aplicaciones y grupos**. Las revisiones de acceso deben ser **administradas rutinariamente** por los equipos de aplicaciones. Todos los **miembros del equipo** de una **aplicación** son parte del mismo **grupo de** **Microsoft Entra**. El propietario del grupo es responsable de asegurar que el acceso sea eliminado cuando un miembro del equipo cambia de rol. Necesitas **configurar la sección de usuarios** y **revisores de la revisión de acceso.** Para cada una de las siguientes afirmaciones, selecciona SÍ si la afirmación es verdadera. De lo contrario, selecciona NO. Tabla Descripción generada automáticamente **Explicación** Debes seleccionar los **miembros de un grupo para la configuración de revisión de usuarios**. Dado que los miembros del equipo de la aplicación **pertenecen** a un **grupo de Microsoft Entra**, puedes seleccionar el grupo que debe revisar su acceso. No debes seleccionar solo **usuarios invitados** como alcance. Los requisitos son **revisar el acceso de todos los usuarios**. El alcance debe establecerse en \"Todos los usuarios\" para garantizar que se revise el acceso de todos los usuarios que pertenecen al grupo. No debes seleccionar \"**Usuarios seleccionados**\" como **revisores**. En este caso, quieres **asegurarte de que el propietario del grupo** sea responsable del acceso adecuado para el equipo de la aplicación. Debes seleccionar \"**Propietarios del grupo\" como revisores.** Eres el **administrador de Azure** para tu empresa. Te han pedido que diseñes los **permisos de acceso** adecuados para los equipos de **finanzas, soporte técnico y desarrollo**. El inquilino de tu empresa contiene un **único grupo de administración** llamado **Grupo IT**. Dentro del grupo de administración, hay **dos suscripciones** llamadas **Producción y Desarrollo.** El equipo de finanzas necesita **acceso de lectura** a todas las suscripciones del inquilino. El equipo de soporte técnico necesita **acceso completo** a la suscripción de Producción. El equipo no debería poder otorgar acceso a ningún recurso. El equipo de desarrollo necesita **acceso completo a la suscripción** de Desarrollo únicamente, **incluyendo la capacidad de otorgar acceso a otros usuarios a los recursos.** ¿Qué rol deberías asignar a cada recurso para cumplir con los requisitos? Para responder, selecciona los roles apropiados de los menús desplegables. ![Interfaz de usuario gráfica Descripción generada automáticamente](media/image60.png) Eres el administrador de Azure de tu empresa. La empresa tiene **una aplicación** empresarial que **se conecta a la API** de **Microsoft Graph.** La aplicación sincroniza **datos de perfil** desde **Microsoft Entra ID** y debe poder leer todas las propiedades de usuario dentro del inquilino. Necesitas configurar los permisos de la aplicación utilizando el principio de **privilegio mínimo**. ¿**Cómo deberías configurar el espacio de trabajo**? Para responder, arrastra el valor de configuración apropiado a cada propiedad del espacio de trabajo. Un valor de configuración puede usarse una vez, más de una vez, o no usarse en absoluto. Diagrama Descripción generada automáticamente **Explicación** Deberías usar el alcance de permiso **Directory.Read.All** porque esto otorgará a la aplicación **acceso de lectura** a todos los datos en el directorio, incluidos los usuarios. Deberías establecer **el tipo de alcance** a solo aplicación. Los alcances solo de aplicación ofrecen el conjunto completo de permisos ofrecidos por el alcance, en este caso, **Directory.Read.All** acceso a todos los objetos en el directorio. Los **alcances solo de aplicación** son utilizados por aplicaciones **que funcionan como un servicio sin que haya un usuario conectado presente**. Algunos permisos **requieren consentimiento administrativo** cuando se asignan a la aplicación. En este caso, Directory.Read.All requiere consentimiento administrativo. Tu organización planea **mover cargas de trabajo** desde un **centro de** **datos local** a la plataforma **Azure Cloud** con el método **de lift and shift**. Muchos servicios que planeas migrar utilizan **el servicio de compartición** **de archivos de Windows** o **Network File System (NFS**). Quieres minimizar el esfuerzo **cambiando** tu aplicación a un **método de autenticación moderno**. Decides configurar **Azure file** shares con **control de acceso** basado en **identidad.** Necesitas evaluar las posibilidades de autenticación. Para cada una de las siguientes afirmaciones, selecciona Sí si la afirmación es verdadera. De lo contrario, selecciona No. ![Tabla Descripción generada automáticamente](media/image64.png) **No se puede** sustituir **NFS local con Azure Files NFS** y usar un método de autenticación basado en identidad. Para Azure Files NFS no se puede usar el método de autenticación basado en identidad, porque no es compatible con los recursos compartidos del Sistema de Archivos de Red (NFS). **NFS es un protocolo de sistema de archivos distribuido. Originalmente se usó para proporcionar un servicio de intercambio de archivos en entornos Unix y Linux.** Eres el administrador de Azure para tu empresa. La empresa migró a Office 365 el año pasado y está **sincronizando identidades con Azure** a través de **Microsoft Entra Connect**. Todos los usuarios tienen una licencia de **Microsoft 365 E5.** Necesitas activar y configurar Microsoft Entra **Privileged Identity Management** **(PIM)** para tu inquilino. PIM debe configurarse para garantizar lo siguiente: **Cualquier rol asignado solo debe estar activo durante una hora.** Los usuarios deben **autenticarse** con autenticación multifactor **(MFA**) antes de usar sus roles. ¿Qué deberías hacer? Interfaz de usuario gráfica, Texto, Aplicación, Correo electrónico Descripción generada automáticamente Debes **configurar las activaciones** a una hora en la **Gestión de Identidad con** **Privilegios (PIM**) y habilitar la autenticación **multifactor (MFA) en PIM.** Al **configurar PIM**, **los roles pueden asignarse permanentemente** o ser **elegibles** **para asignación**. Los roles elegibles pueden configurarse para expirar entre una y 72 horas después de la activación. Si **MFA está habilitado en PIM**, el usuario debe autenticarse **usando MFA** antes de poder comenzar a usar sus roles. Eres el administrador de Azure para tu empresa. La empresa tiene una aplicación empresarial que se conecta a la **API de** **Microsoft Graph.** La aplicación sincroniza los **datos de perfil de Microsoft Entra ID** y debe **poder leer** todas las **propiedades de usuario** dentro del inquilino. Necesitas configurar los permisos de la aplicación utilizando el principio **de menor** **privilegio.** ¿Cómo debes configurar el espacio de trabajo? Para responder, arrastra el valor de configuración apropiado a cada propiedad del espacio de trabajo. Un valor de configuración puede usarse una vez, más de una vez o no usarse en absoluto.\" ![Interfaz de usuario gráfica, Texto Descripción generada automáticamente](media/image66.png) Eres el administrador de Azure de tu empresa. La empresa tiene **varias aplicaciones** empresariales de **Azure,** algunas de las cuales **funcionan** de **manera interactiva y otras no**. **Aplicaciones:** **APP1:** Esta aplicación está **disponible** para todos los usuarios para ingresar **reclamaciones de gastos de manera interactiva** utilizando sus dispositivos móviles. **APP2:** Esta aplicación se utiliza para **sincronizar identidades** con un sistema de terceros y **no implica** ninguna acción **interactiva** con ningún **usuario**. **APP3:** Esta aplicación permite a los **usuarios avanzados** modificar atributos personalizados **de usuario** de manera interactiva en **Microsoft Entra ID**. Selecciona \"Sí\" si la afirmación es verdadera o \"No\" si la afirmación es falsa para cada una de las siguientes declaraciones. Tabla Descripción generada automáticamente **Explicación** **APP1** debe asignarse permisos delegados porque es utilizada interactivamente por los usuarios para ingresar sus reclamaciones de gastos. Los permisos delegados son utilizados por las aplicaciones cuando el usuario que ha iniciado sesión está presente. En este caso, los usuarios habrán iniciado sesión y estarán utilizando la aplicación. Al usar permisos delegados, la aplicación actúa como el usuario que ha iniciado sesión y utiliza los permisos que el usuario ya ha sido asignado. **APP2** no debe asignarse permisos delegados, debe asignarse **permisos de** **aplicación** porque se utiliza para **sincronizar identidades** con un tercero. No es interactiva y, por lo tanto, no necesita tener un usuario con sesión iniciada presente. **Los permisos de aplicación** se utilizan cuando una aplicación se ejecuta sin que un usuario haya iniciado sesión y, generalmente, cuando **se requieren** permisos explícitos de alto nivel. **APP3** no debe asignarse permisos de aplicación. Es utilizada **interactivamente** por **usuarios avanzados** para **modificar atributos** personalizados de **Microsoft Entra** y, por lo tanto, debe asignarse permisos delegados. Eres el **administrador global del inquilino** de **Microsoft Entra** de tu empresa. La empresa quiere **asignar** a los **usuarios recién añadidos** a un **grupo específico**, basado en sus **atributos** como **departamento y rol**, **sin aumentar la carga de trabajo del equipo de operaciones.** Necesitas asignar estos usuarios a grupos de Microsoft Entra automáticamente. **¿Qué deberías usar?** ![Interfaz de usuario gráfica, Texto, Aplicación Descripción generada automáticamente](media/image70.png) **Explicación** Deberías usar **reglas de membresía dinámica**. Puedes crear reglas de membresía dinámica en tus **grupos de Microsoft Entra** para asignar **automáticamente usuarios a esos grupos** basándote en los atributos de los **usuarios, como el departamento o el rol**. Esto también **reduce la carga operativa** para los equipos de soporte técnico. Para usar **reglas de membresía** **dinámica**, debes tener al menos una licencia **de Microsoft Entra P1**. Tu empresa tiene una aplicación web en Azure llamada webapp01, desplegada en el grupo de recursos production-rg. Webapp01 recibió una **dirección IP pública** al momento del despliegue. Para aumentar la seguridad de webapp01, necesitas **configurar y permitir** solo el tráfico **HTTPS.** ¿**Qué cmdlets deberías usar**? Para responder, completa los cmdlets seleccionando las partes correctas de los menús desplegables.\" Interfaz de usuario gráfica, Texto, Aplicación, Correo electrónico Descripción generada automáticamente Tienes una **suscripción de Azure** en el inquilino de **Microsoft Entra** de tu empresa. Tienes una **cuenta de almacenamiento** con **múltiples contenedores de blobs** y **archivos utilizados por varios usuarios y aplicaciones**. Todo **el acceso** a los datos almacenados se proporciona **mediante firmas de acceso compartido (SAS**) y **políticas de acceso almacenadas**. **Microsoft Defender for Cloud** informa de una anomalía en el acceso a la cuenta de almacenamiento. Necesitas asegurarte de que se revoque todo acceso no autorizado a la **cuenta de almacenamiento**. La solución debe causar la **mínima interrupción posible.** ¿Qué deberías hacer? ![Interfaz de usuario gráfica, Texto Descripción generada automáticamente](media/image72.png) Debes regenerar la clave de acceso de la cuenta de almacenamiento. Esta clave también se **utiliza para firmar el SAS.** Regenerar la clave de acceso **revocará** todo tipo de acceso a la cuenta de almacenamiento. Eres un administrador de seguridad en un **entorno híbrido** de la nube de **Azure**. Quieres activar **Microsoft Defender for Servers** en todos tus servidores en la **nube de Azure** y **en las instalaciones,** y configurar las funciones de **seguridad mejoradas** de **Microsoft Defender for Cloud** como se muestra en el gráfico. Necesitas desplegar **Microsoft Monitoring Agent (MMA)** en los **servicios locales** para **extender** su **visibilidad y las capacidades de Defender for Cloud**, tales como **evaluación continua**, **recomendaciones de seguridad actualizadas**, etc. ¿Qué dos valores debes especificar? Cada respuesta correcta presenta una parte de la solución.\" Interfaz de usuario gráfica, Aplicación Descripción generada automáticamente La imagen muestra un texto explicativo sobre cómo especificar una **clave secreta** **de espacio de trabajo y un ID de espacio de trabajo** para **integrar servidores** locales en **Microsoft Defender for Cloud**. Es necesario instalar el **Agente de Monitoreo de Microsoft (MMA),** que recopila **los registros y métricas de rendimiento** necesarios y los envía a **Microsoft** **Defender for Cloud**. Microsoft Defender for Cloud evalúa estos registros y proporciona **recomendaciones sobre el estado de salud y seguridad de los** **servidores**, como la **falta de actualizaciones** de seguridad. Se debe **proporcionar** una **clave secreta de espacio de trabajo** y **un ID de** **espacio de trabajo durante la instalación** y **configuración del MMA** para proporcionar al MMA información sobre su inquilino de Azure y dónde guardar los datos recopilados dentro de su inquilino. La **reciente auditoría** descubrió **una vulnerabilidad** en su aplicación, lo que podría **comprometer potencialmente** las cuentas de sus usuarios. Se le ha pedido que **configure la aplicación** para que automáticamente **evite que** **se usen cuentas comprometidas**. Usted incorpora **Microsoft Sentinel** y lo conecta a **Microsoft Defender for Cloud**. Necesita **automatizar** la **mitigación de incidentes** en Microsoft Sentinel. La solución debe minimizar el esfuerzo administrativo. ¿Qué solución debería crear para cumplir con este requisito? ![Interfaz de usuario gráfica, Aplicación Descripción generada automáticamente](media/image74.png) Eres administrador de Infraestructura como **Servicio (IaaS**) en **Azure** para la empresa Company1, que tiene **100 máquinas virtuales (VMs)** ejecutando el sistema operativo Linux. Las VMs están desplegadas en un **grupo de recursos llamado Company1RG**. Necesitas desplegar **la extensión de análisis de registros** en todas las VMs Linux. El despliegue debe ser automatizado usando PowerShell. Como primer paso, **creas una regla de política** y la guardas en **LogAnalyticsExtension.json**. ¿Qué **cmdlets** deberías usar para automatizar el despliegue? Para responder, completa los comandos seleccionando las partes correctas de los menús desplegables. **New-AzPolicyDefinition** -Name \'LogAnalyticsExtLinux\' -DisplayName \'Install Log Analytics ext on Linux VMs\' -Policy \'LogAnalyticsExtension.json\' \$rg = **Get-AzResourceGroup** -Name \'Company1RG\': This command retrieves the resource group named \'Company1RG\' and stores it in the variable \$rg. \$policy = **Get-AzPolicyDefinition** -Name \'LogAnalyticsExtLinux\': This command retrieves the policy definition named \'LogAnalyticsExtLinux\' and stores it in the variable \$policy. **New-AzPolicyAssignment** -Name \'LogAnalyticsExtLinux\' -PolicyDefinition \$policy -Scope \$rg.ResourceId Usted incorpora **Microsoft Sentinel** para el inquilino **de Microsoft Entra** de su organización. Su equipo de seguridad le proporciona una lista de diferentes **eventos** para los cuales desean poder **crear alertas y manuales**. Necesita identificar qué **fuentes de datos** deben habilitarse para cumplir con cada uno de **los requisitos proporcionados** por su equipo de seguridad. ¿Qué conector de datos debe usar para cada requisito? Para responder, arrastre el conector de datos apropiado a cada requisito. Diagrama Descripción generada automáticamente Una reciente **prueba de penetración** reveló que sus instancias administradas de **Azure SQL** son vulnerables a un ataque de **inyección SQL.** Necesita mitigar la vulnerabilidad y activar alertas de alta severidad para advertir al equipo de respuesta a incidentes. ¿Qué cuatro acciones debe realizar en secuencia? Para responder, mueva las acciones apropiadas de la lista de posibles acciones al área de respuesta y ordénelas en el orden correcto. ACCIONES EN ORDEN: 1. Habilitar Microsoft Defender para Cloud en tu suscripción. 2. Habilitar Microsoft Defender para SQL en todas tus instancias administradas de Azure SQL. 3. Configurar la Protección Avanzada contra Amenazas para la configuración de SQL. 4. Agregar las direcciones de correo electrónico del equipo de respuesta a incidentes en el campo de direcciones de correo electrónico adicionales. Su empresa quiere iniciar un **nuevo proyecto de diseño** y necesita **compartir algunos dibujos** confidenciales con **un cliente**. Necesita **permitir acceso de lectura** a los dibujos y asegurarse de que solo sean **accesibles para el cliente** por **un corto período desde la oficina del cliente**. La oficina del cliente se **conecta a Internet** a través de una dirección **IP estática.** Necesita proporcionar la solución más rentable y segura. ¿Qué debería hacer?\" ![Texto Descripción generada automáticamente](media/image76.png) Crear un contenedor de blobs y generar un nuevo SAS que permita el acceso de lectura desde la IP del cliente. Luego, se debe proporcionar al cliente final la URL que contiene el SAS. Cada **cuenta de almacenamiento tiene dos claves** de cuenta de almacenamiento. **Una debe usarse** como clave principal y la otra como respaldo. Las claves de cuenta de almacenamiento se utilizan para **firmar un SAS** y asegurar que no haya sido manipulado. Al usar un SAS, **se puede limitar** qué acceso se otorga (en este caso, lectura), por cuánto tiempo y desde qué ubicación (en este caso, la dirección IP del cliente). Eres **el administrador** de Azure para tu empresa. Has creado un almacén de claves llamado **key-vault1** y lo usas para **almacenar secretos**. Una **aplicación web** se conecta al almacén de claves y usa un secreto llamado **DBPassword** para autenticarse contra un **servidor SQL local.** Para cada una de las siguientes afirmaciones, selecciona SÍ si la afirmación es verdadera. De lo contrario, selecciona NO. Gestionas **cinco máquinas virtuales** (VMs) de Azure y una red virtual (VNet) llamada VNet1. VNet1 tiene la siguiente configuración de subred: - subnet-1: vacía - subnet-2: 3 Azure VMs - subnet-3: 2 Azure VMs Necesitas desplegar un Azure Firewall en VNet1. ¿Cuáles dos acciones deberías realizar? Cada respuesta correcta presenta parte de la solución.\" Interfaz de usuario gráfica, Texto, Aplicación Descripción generada automáticamente Eres el **administrador del entorno de Azure** en una institución financiera. Una de las cargas de trabajo que estás administrando es **Azure SQL Server SQLServer1**, que aloja bases de datos que contienen datos financieros **confidenciales** (DBFin1), datos comerciales (DBBiz1), así como una base de datos con **datos públicos** (DBPub1). De acuerdo con los requisitos de **seguridad y cumplimiento**, el uso y acceso a los datos financieros y **comerciales deben ser auditados**. Activaste la **auditoría para SQLServer1**, con el destino del registro de auditoría en **sqlserver1audits**. Además, activaste la auditoría a nivel de base de datos como se muestra en la siguiente tabla: ![Tabla Descripción generada automáticamente](media/image82.png) El almacenamiento para el destino del registro de auditoría se configura como se muestra en la siguiente tabla: Tabla Descripción generada automáticamente Debe identificar qué eventos de auditoría se **escribirán** en qué **destinos** del registro de auditoría. Para cada una de las siguientes afirmaciones, seleccione Sí si la afirmación es verdadera. De lo contrario, seleccione No. ![Tabla Descripción generada automáticamente](media/image90.png) **Explicación** Los eventos de auditoría para DBFin1 no se pueden escribir en storeauditfin1. En Azure SQL Server, puedes activar la auditoría para rastrear eventos de la base de datos. La información de seguimiento, en forma de registros de auditoría, se puede escribir en una cuenta de almacenamiento de Azure, un espacio de trabajo de **Log Analytics o Event Hub**. Si **configuras** para escribir registros de auditoría en una cuenta de almacenamiento de Azure, debes considerar **las limitaciones** de **auditoría de Microsoft**. Una de ellas es que actualmente no se admite el almacenamiento premium. En este escenario, el destino del registro para DBFin1 no se puede configurar para escribir registros de auditoría en storeauditfin1, porque esta cuenta de **almacenamiento es una cuenta premium**. Los eventos de auditoría **para DBBiz1 se escriben** en storeauditbiz1 y sqlserver1audits. La **política de auditoría** se puede definir como predeterminada en el nivel del servidor SQL. La política de auditoría también se puede configurar específicamente en el nivel de la base de datos. Si la **auditoría** se establece en el nivel del servidor SQL **como predeterminada**, se aplica a todas las bases de datos existentes y recién creadas, independientemente de la configuración en el nivel de la base de datos. Si la auditoría se establece en el nivel de la base de datos, además de la configuración predeterminada del **servidor SQL**, entonces ambas auditorías **existirán** lado a lado. La **configuración de auditoría** en el nivel de la **base de datos** no anula la configuración predeterminada del servidor SQL. En este escenario, los registros de auditoría predeterminados se **escribirán en sqlserver1audits** y las auditorías de la base de datos se escribirán en storeauditbiz1. Los **eventos de auditoría** para DBPub1 se **escriben en sqlserver1audits**. La configuración **predeterminada de auditoría** del servidor SQL se aplica a todas las bases de **datos existentes y recién creadas**, independientemente de la configuración en el nivel de la base de datos. En este escenario, la auditoría en el nivel de la base de **datos para DBPub1 está desactivada**. Por lo tanto, los registros de **auditoría para DBPub1** se escribirán en **el destino predeterminado** sqlserver1audits. Eres el administrador de Azure para tu empresa. Despliegas una cuenta de almacenamiento de propósito general v1 llamada storageaccount1. Varios usuarios externos se conectan a un contenedor llamado container1 en storageaccount1 para gestionar imágenes. Los usuarios externos se autentican en container1 con tokens de Firma de Acceso Compartido (SAS). Necesitas permitir que los usuarios externos usen Microsoft Entra ID para autenticarse en container1. Para cada una de las siguientes afirmaciones, selecciona Sí si la afirmación es verdadera. De lo contrario, selecciona No. Tabla Descripción generada automáticamente **Explicación** **No es necesario actualizar storageaccount1** a una cuenta de Storage V2. Se puede **usar Microsoft Entra ID** para **autenticar** tanto **cuentas de Storage V1 como V2.** Los **usuarios externos** deberán ser **añadidos al rol de Storage Blob Contributor** con **alcance a storageaccount1**. Este rol les permitirá leer, escribir y eliminar datos en **el contenedor** usando la **cuenta de Microsoft Entra.** Los usuarios externos **no necesitan** ser añadidos al **rol de Contributor** con alcance a **storageaccount**1. El **rol de Contributor** permitirá leer, escribir y eliminar acceso al contenedor en sí a nivel del plano de control. **No les pe

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue