。

问 101

您有两个 Azure 订阅，分别名为 Sub1 和 Sub2。

管理员创建一个自定义角色，该角色具有可分配到 Sub1 中名为 RG1 的资源组的作用域。

您需要确保可以将自定义角色应用于 Sub1 和 Sub2 中的任何资源组。解决方案必须最大限度地减少管理工作量。

你应该怎么做？

A.. 选择自定义角色，并将 Sub1 和 Sub2 添加到可分配范围。从可分配范围中移除 RG1。
B.. 为 Sub1 创建一个新的自定义角色。为 Sub2 创建一个新的自定义角色。从 RG1 中删除该角色。
C.. 为 Sub1 创建一个新的自定义角色，并将 Sub2 添加到可分配范围。从 RG1 中移除该角色。
D.. 选择自定义角色，并将 Sub1 添加到可分配范围。从可分配范围中移除 RG1。为 Sub2 创建一个新的自定义角色。

建议答案：

正确答案：

A.. 选择自定义角色，并将 Sub1 和 Sub2 添加到可分配范围。从可分配范围中移除 RG1。

说明： 要将自定义角色应用于 Sub1 和 Sub2 中的所有资源组，必须将角色的 可分配范围设置为这两个订阅的订阅级别。这样，就可以将角色分配给这两个订阅中的任何资源组。将 RG1 从可分配范围中移除可确保角色不仅限于该资源组。此方法还通过使用单个角色定义 来最大限度地减少管理工作量。

-----------------

其他选项：

B.. 为 Sub1 创建一个新的自定义角色。为 Sub2 创建一个新的自定义角色。从 RG1 中删除该角色。

这是可行的，但由于要维护两个独立的角色而不是一个，因此增加了管理开销。

C.. 为 Sub1 创建一个新的自定义角色，并将 Sub2 添加到可分配范围。从 RG1 中移除该角色。

这是矛盾的——为 Sub1 创建一个新角色，并将 Sub2 添加到其范围，这在逻辑上是不一致的。此外，这意味着不必要地创建一个新角色。

D.. 选择自定义角色，并将 Sub1 添加到可分配范围。从可分配范围中移除 RG1。为 Sub2 创建一个新的自定义角色。

这又导致了两个角色的出现，增加了管理工作量，这违背了尽量减少管理工作量的要求。

问 102

您有一个 Azure 订阅，其中包含一个名为 storageacct1234 的存储帐户和两个名为 User1 和 User2 的用户。

您为 User1 分配下图所示的角色。

用户1可以执行哪两个操作？每个正确答案都代表一个完整的解决方案。

注意：每个正确选择值一分。

A.. 为 storageacct1234 分配角色给 User2。
B.. 将 blob 数据上传到 storageacct1234。
C.. 修改storageacct1234的防火墙。
D.. 查看 storageacct1234 中的 blob 数据。
E.. 查看 storageacct1234 中的文件共享。

建议答案：

正确答案：

B.. 将 blob 数据上传到 storageacct1234。

D.. 查看 storageacct1234 中的 blob 数据。

说明： User1 在存储帐户级别具有 “存储 Blob 数据贡献者”角色，该角色允许其 读取、写入和删除 Blob 数据 。此外，在资源组级别继承的 “读者”角色允许 User1 查看 Azure 资源元数据 ，但不能修改它。因此，User1 可以上传和查看 Blob 数据。

-----------------

其他选项：

A.. 为 storageacct1234 分配角色给 User2。

这需要 用户访问管理员 或 所有者 角色，但 User1 没有该角色。

C..修改storageacct1234的防火墙。

这需要 对存储帐户配置的写访问权限 ，而读取者或存储 Blob 数据贡献者角色均未授予该访问权限。

E.. 查看 storageacct1234 中的文件共享。

存储 Blob 数据贡献者 角色仅适用于 Blob 数据 ，不适用于文件共享。因此，需要一个单独的角色，例如 存储文件数据读取者。

问 103

您有一个名为 Subscription1 的 Azure 订阅，其中包含一个名为 Workspace1 的 Azure Log Analytics 工作区。

您需要从名为 Event 的表中查看错误事件。

您应该在 Workspace1 中运行哪个查询？

A.. 从事件中选择*，其中EventType ==“错误”
B.. 事件 | 搜索“错误”
C.. 事件|其中EventType为“错误”
D.. 获取事件事件 | 其中 {$_.EventType == "error"}

建议答案：

正确答案：

B.. 事件 | 搜索“错误”

说明： 在 Azure Log Analytics 中，正确的查询语言是 Kusto 查询语言 (KQL) 。查询 Event | search "error"是有效的 KQL 语法，会在 Event 表的所有列中搜索术语“error” 。这是查找与错误相关的事件最直接的方法。

-----------------

其他选项：

A..从事件中选择*，其中EventType ==“错误”

这是 SQL 语法，而不是 KQL，并且在 Log Analytics 中无效。

C..事件|其中EventType为“错误”

这很接近，但正确的 KQL 语法使用 == 来表示相等，而不是 is 。

D..获取事件事件 | 其中 {$_.EventType == "error"}

这是 PowerShell 语法，而不是 KQL，不能在 Log Analytics 查询中使用。

问 104

您有一个名为 App1 的 Azure 应用服务 Web 应用。

您计划使用 Web Deploy 来部署 App1。

您需要确保 App1 的开发人员可以使用其 Azure AD 凭据将内容部署到 App1。解决方案必须使用最小特权原则。

你应该怎么做？

A.. 将所有者角色分配给开发人员
B.. 为 FTPS 配置应用程序级凭据
C.. 将网站贡献者角色分配给开发人员
D.. 为 FTPS 配置用户级凭证

建议答案：

正确答案：

C.. 将网站贡献者角色分配给开发人员

说明： 网站 参与者 角色允许用户管理 Web 应用，包括使用 Web Deploy 等工具部署内容。它支持使用 Azure AD 凭据 ，并遵循 最小特权原则 ，仅授予部署和管理 Web 应用所需的必要权限，而无需授予对订阅或其他资源的更广泛访问权限。

-----------------

其他选项：

A.. 将所有者角色分配给开发人员

这授予了对所有资源的完全访问权限，违反了 最小特权原则 。

B.. 为 FTPS 配置应用程序级凭据

这不使用 Azure AD 凭据，安全性较低且难以管理。

D.. 为 FTPS 配置用户级凭证

与选项 B 类似，这不利用 Azure AD 并且不符合使用 Azure AD 凭据的要求。

问 105

注意：本题是一系列呈现相同场景的题目之一。该系列题目中的每个题目都包含一个可能符合既定目标的独特答案。有些题目集可能包含多个正确答案，而有些题目集可能没有正确答案。

回答完本部分的问题后，您将无法返回该部分。因此，这些问题不会出现在复习屏幕上。

您有一个名为 contoso.com 的 Azure Active Directory (Azure AD) 租户。

您有一个 CSV 文件，其中包含 500 个外部用户的姓名和电子邮件地址。

您需要在 contoso.com 中为 500 个外部用户中的每一个创建一个来宾用户帐户。

解决方案：从 Azure 门户中的 Azure AD，使用批量邀请用户操作。

这达到目标了吗？

答：是的
B.. 没有

建议答案：

正确答案：

答：是的

说明： Azure Active Directory 中的批量 邀请用户 操作允许您导入包含外部用户详细信息（例如姓名和电子邮件地址）的 CSV 文件，以批量创建 来宾用户帐户 。此方法专门针对高效邀请多个外部用户等场景而设计，并且符合问题中提出的目标。

-----------------

其他选项：

B.. 没有

这是不正确的，因为 批量邀请用户 功能是使用 Azure AD 中的 CSV 文件邀请多个外部用户的正确且受支持的方法。

示例流程：

步骤 1： 准备一个具有以下格式的 CSV 文件：

电子邮件，显示名称

user1@example.com,用户一

user2@example.com,用户二

步骤 2： 转到 Azure 门户 → Azure Active Directory → 用户

步骤3： 点击 批量操作 → 批量邀请

步骤 4： 上传您的 CSV 文件

步骤 5： 点击 “提交” 开始批量邀请流程

步骤 6：监视 批量操作结果 下的状态

-----------------

笔记：

- 受邀用户将收到加入您的目录的电子邮件邀请。

- 如果需要，您可以自定义邀请消息和重定向 URL。

- 确保 CSV 文件格式正确并以 UTF-8 编码保存。

问 106

热点 -

你有一个链接到 Azure AD 租户的 Azure 订阅。该租户包含下表所示的自定义基于角色的访问控制 (RBAC) 角色。

在 Azure 门户中，需要创建两个自定义角色，分别名为 Role3 和 Role4。Role3 将是 Azure 订阅角色。Role4 将是 Azure AD 角色。

您可以克隆哪些角色来创建新角色？请在答案区域中选择相应的选项来回答。

注意：每个正确选择值一分。

建议答案：

正确答案：

Role3： 仅限 Role1 和内置 Azure 订阅角色

角色 4： 仅限内置 Azure AD 角色

说明： 在 Azure 中创建自定义角色时：

- Role3 是 Azure 订阅角色，因此可以从其他 Azure 订阅角色 （例如 Role1 或内置订阅角色）克隆。

- Role4 是 Azure AD 角色。但是， 自定义 Azure AD 角色（例如 Role2）无法克隆 。只有 内置 Azure AD 角色 可以用作创建新 Azure AD 自定义角色的模板。

这可确保角色创建符合正确的范围和支持的克隆功能。

-----------------

其他选项：

角色3：

- 仅限角色1

太有限；内置订阅角色也是有效来源。

- 仅限内置 Azure 订阅角色

排除有效的自定义角色（如 Role1）。

- Role1、Role2、内置 Azure 订阅角色和内置 Azure AD 角色

不正确，因为 Role2 和 Azure AD 角色不能用于创建订阅级别角色。

角色4：

- 仅限角色2

无效，因为无法克隆自定义 Azure AD 角色。

- 仅限 Role2 和内置 Azure AD 角色

包括 Role2，它不是有效的克隆源。

- Role1、Role2、内置 Azure AD 和内置 Azure 订阅角色

包括 Role1 和 Role2，它们不是 Azure AD 角色创建的有效来源。

问 107

拖放

-

您有一个名为 Sub1 的 Azure 订阅，其中包含两个名为 User1 和 User2 的用户。

您需要为 User1 和 User2 分配基于角色的访问控制 (RBAC) 角色。这些用户必须能够在 Sub1 中执行以下任务：

• User1 必须查看任意存储帐户中的数据。

• User2 必须为用户分配存储帐户的贡献者角色。

解决方案必须使用最小特权原则。

您应该为每个用户分配哪个 RBAC 角色？要回答这个问题，请将相应的角色拖到正确的用户。每个角色可以使用一次、多次或根本不使用。您可能需要拖动窗格之间的分隔条或滚动查看内容。

注意：每个正确选择值一分。

建议答案：

正确答案：

用户1： 读者和数据访问

用户2： 所有者

解释：

- User1 查看任意存储帐户中的数据。 “读者和数据访问” 角色允许读取存储帐户资源及其中的数据（例如，blob、文件），这符合 最小特权原则的 要求。

- User2 为用户分配存储帐户的贡献者角色。这需要 角色分配权限 ，这些权限只能通过 所有者 或 用户访问管理员 角色获得。由于 所有者 拥有包括角色分配在内的完全访问权限，因此此处选择所有者是正确的。

-----------------

其他选项：

- 贡献者 ：授予对资源的完全管理访问权限，但不允许角色分配，因此对于用户 2 来说不够用。

- 存储帐户贡献者 ：允许管理存储帐户，但不允许访问数据或角色分配，因此在这种情况下它不适合任何用户。

问 108

你有一个 Azure 订阅，其中包含 10 台虚拟机、一个名为 Vault1 的密钥保管库和一个名为 NSG1 的网络安全组 (NSG)。所有资源都部署到美国东部 Azure 区域。

虚拟机使用 NSG1 进行保护。NSG1 配置为阻止所有流向 Internet 的出站流量。

您需要确保虚拟机能够访问 Vault1。解决方案必须遵循最小权限原则，并尽量减少管理工作量

您应该将什么配置为 NSG1 的出站安全规则的目标？

A.. 应用程序安全组
B.. 服务标签
C.. IP 地址范围

建议答案：

正确答案：

B.. 服务标签

说明： 为了允许虚拟机访问 Azure Key Vault， 同时最大限度地减少管理工作量并遵循 最小权限原则 ，应在 NSG 出站规则中使用 服务标记。服务标记 AzureKeyVault 表示 Key Vault 服务使用的 IP 范围，使用它可确保只允许流向 Key Vault 的流量，而无需手动管理 IP 地址。

-----------------

其他选项：

A.. 应用程序安全组

这用于根据 NSG 规则对虚拟机进行分组，而不是用于针对 Key Vault 等 Azure 服务。

C.. IP 地址范围

这需要手动管理 Key Vault 服务的 IP，这很容易出错且不可扩展。这也违背了最小化管理工作量的目标。

问 109

您有一个名为 adatum.com 的 Azure AD 租户，其中包含下表所示的组。

Adatum.com 包含下表所示的用户。

您将 Azure Active Directory Premium Plan 2 许可证分配给 Group1 和 User4。

哪些用户分配了 Azure Active Directory Premium Plan 2 许可证？

A.. 仅限用户4
B.. 仅限用户 1 和用户 4
C.. 仅限用户 1、用户 2 和用户 4
D.. 用户 1、用户 2、用户 3 和用户 4

建议答案：

正确答案：

B.. 仅限用户 1 和用户 4

说明： 通过组进行的 Azure AD 许可证分配 不具有传递性 。这意味着，如果将许可证分配给 Group1 ，则只有Group1 的 直接成员 才能收到该许可证。在本例中：

- User1 是 Group1 的直接成员 → 获得许可证

- 用户 2 是组 2 的成员，而组 2 又是组 1 的成员 → 不会收到许可证

- User3 是 Group3 的成员 → 不会收到许可证

- 用户4 直接被分配许可证→接收许可证

-----------------

其他选项：

A..仅限用户4

不正确，因为 User1 也通过直接组成员身份获得许可证。

C.. 仅限用户 1、用户 2 和用户 4

不正确，因为 User2 不是 Group1 的直接成员。

D..用户 1、用户 2、用户 3 和用户 4

不正确，因为只有 User1 和 User4 符合许可证分配的标准。

-----------------

附加信息：

根据微软文档： “基于组的许可目前不支持包含其他组（嵌套组）的组。如果将许可证应用于嵌套组，则只有该组的直接第一级用户成员才能应用许可证。” 这证实了嵌套组成员（如 User2 和 User3）不会从 Group1 获得许可证。

问 110

热点 -

您有一个名为 contoso.com 的 Azure AD 租户。

您有两个外部合作伙伴组织，分别名为 fabrikam.com 和 litwareinc.com。Fabrikam.com 配置为连接组织。

按照访问包图示所示，创建一个访问包。（单击“访问包”选项卡。）

您可以按照“生命周期”图示配置外部用户生命周期设置。（单击“生命周期”选项卡。）

对于以下每个陈述，如果其为真，请选择“是”。否则，请选择“否”。

注意：每个正确选择值一分。

建议答案：

问题 2-70

1. Litwareinc.com 用户可分配至 package1。- 否

2. 365 天后，fabrikam.com 用户将从 Group1 中删除。- 否

3. 395 天后，fabrikam.com 用户将从 contoso.com 租户中删除 。- 是

-----------------

正确选项解释：

3. 395 天后，fabrikam.com 用户将从 contoso.com 租户中删除。

这是正确的，因为生命周期设置指定外部用户在 365 天后被阻止，并在 30 天后被删除。因此，他们会在 395 天后 被删除。

其他选项说明：

1. Litwareinc.com 用户可以被分配到 package1。

这是不正确的，因为只有 fabrikam.com 配置为已连接组织。litwareinc.com 的用户没有资格分配到访问包。

2. 365 天后，fabrikam.com 用户将从 Group1 中删除。

这是不正确的，因为生命周期设置并未指定从群组中移除。它们仅定义了阻止登录并最终从目录中移除，而不是从特定群组中移除。

问 111

你有一个名为“Subscription1”的 Azure 订阅，其中包含一个名为“VNet1”的虚拟网络。VNet1 位于名为“RG1”的资源组中。

订阅 1 有一个名为 User1 的用户。User1 具有以下角色：

• 阅读器

• 安全管理员

• 安全读取器

您需要确保 User1 可以将 VNet1 的读者角色分配给其他用户。

你应该怎么做？

A.. 为 User1 分配 VNet1 的网络贡献者角色。
B.. 将 User1 从 Subscription1 的安全读者角色中移除。为 User1 分配 RG1 的贡献者角色。
C.. 为用户 1 分配 VNet1 的所有者角色。
D.. 为 User1 分配 RG1 的网络贡献者角色。

建议答案：

正确答案：

C. 为用户 1 分配 VNet1 的 所有者 角色。

说明： 所有者角色授予管理所有资源的完全访问权限，包括将角色分配给其他人的能力，这是 User1 为 VNet1分配 读者角色所必需的。

-----------------

其他选项说明：

A. 为 User1 分配 VNet1的 网络参与者 角色。此角色允许管理网络资源，但不包含分配角色的权限，因此不符合要求。

B. 从订阅 1 的 安全读者 角色中移除用户 1。为用户 1 分配 RG1的 贡献者 角色。贡献者角色允许管理资源，但不允许角色分配，因此移除安全读者角色无关紧要。

D. 为 User1 分配 RG1 的 网络参与者 角色。与选项 A 类似，此角色允许管理网络资源，但不授予向其他人分配角色的权限。

问 112

热点

-

您有一个 Azure 订阅，其中包含下表所示的用户。

各组的配置如下表所示。

您有一个名为 RG1 的资源组，如下图所示。

对于以下每个陈述，如果其为真，请选择“是”。否则，请选择“否”。

注意：每个正确选择值一分。

建议答案：

正确答案（已更新）：

您可以通过将 Group2 添加为 Group1 的成员来为 User2 分配 RG1 的所有者角色。— 否

您可以通过将 Group3 添加为 Group1 的成员来为 User3 分配 RG1 的所有者角色。— 否

您可以通过将所有者角色分配给 RG1 的 Group3 来将 RG1 的所有者角色分配给 User3。— 是

说明： Azure 不允许 在可分配 角色的组 中 嵌套组 ，因此，如果 Group1 可分配角色，则无法将 Group2 添加到 Group1。此外， Microsoft 365 组 （例如 Group3）无法添加到安全组（例如 Group1）。但是，由于 Group3 已标记为 可分配角色 ，因此将 RG1 的 Owner 角色直接分配给 Group3 将授予 User3 Owner 角色。

-----------------

其他选项说明：

您可以通过将 Group2 添加为 Group1 的成员来为 User2 分配 RG1 的所有者角色。— 不行。可分配角色的组不支持组嵌套，因此不允许这种配置。

您可以通过将 Group3 添加为 Group1 的成员来为 User3 分配 RG1 的所有者角色。— 不可以 。Microsoft 365 组无法添加到安全组，因此无法进行这种嵌套。

您可以通过将所有者角色分配给 RG1 的 Group3 来为 User3 分配 RG1 的所有者角色。— 是的。Group3 是可分配角色的，因此将所有者角色分配给它就会直接将该角色授予其成员，包括 User3。

问 113

你有一个名为“Subscription1”的 Azure 订阅，其中包含一个名为“VNet1”的虚拟网络。VNet1 位于名为“RG1”的资源组中。

订阅 1 有一个名为 User1 的用户。User1 具有以下角色：

• 阅读器

• 安全管理员

• 安全读取器

您需要确保 User1 可以将 VNet1 的读者角色分配给其他用户。

你应该怎么做？

A.. 从 1 的下标的安全读者角色中删除 User1。为 User1 分配 RG1 的贡献者角色。
B.. 为 User1 分配 VNet1 的所有者角色。
C.. 将 User1 从订阅 1 的安全读者和读者角色中移除。为 User1 分配订阅 1 的贡献者角色。
D.. 为 User1 分配 VNet1 的贡献者角色。

建议答案：

正确答案：

B. 为 User1 分配 VNet1的 所有者 角色。

说明： 所有者 角色包括管理资源和分配角色的完全访问权限，这是 User1 将读者角色分配给 VNet1 的其他人所必需的。

-----------------

其他选项说明：

A. 将 User1 从 Subscription1 的 安全读者角色中移除。为 User1 分配 RG1 的 贡献者 角色。——贡献者角色允许管理资源，但不允许分配角色，因此这不符合要求。

C. 将 User1 从 Subscription1 的 安全读者 和 读者角色中移除。将 User1 分配给 Subscription1 的 贡献者 角色。——贡献者角色仍然缺乏分配角色的权限，因此这还不够。

D. 为 User1 分配VNet1 的 贡献者 角色。——这允许管理资源但 不允许 分配角色，因此不符合要求。

-----------------

额外的：

在 Azure 中，只有 所有者 和 用户访问管理员 角色才具有将角色分配给其他用户所需的权限。 In Azure, only the Owner and User Access Administrator roles have the necessary permissions to assign roles to other users. 这些角色可以使用 Azure RBAC 管理访问权限并创建角色分配。

问 114

您的本地网络包含 VPN 网关。

您有一个 Azure 订阅，其中包含下表所示的资源。

您需要确保从 VM1 到 storage1 的所有流量都通过 Microsoft 主干网络传输。

您应该配置什么？

答： Azure 应用程序网关
B.. 私有端点
C.. 网络安全组（NSG）
D.. Azure 虚拟广域网

建议答案：

正确答案：

B. 私有端点

说明： 为了确保从 VM1 到 storage1的流量能够通过 Microsoft 主干网络 传输，请为存储帐户配置一个 专用终结点 。这会将 VNet 中的专用 IP 映射到存储帐户，即使启用了强制隧道，流量也能保持在 Microsoft 网络内。

-----------------

其他选项说明：

A. Azure 应用程序网关 - 用于 Web 流量负载平衡，而不是用于路由 VM 到存储的流量。

C. 网络安全组 (NSG) — 控制流量但不影响路由路径或确保主干网的使用。

D. Azure 虚拟 WAN — 专为大规模分支连接而设计，不需要在同一区域内进行 VM 到存储路由。

-----------------

额外的：

为了确保从虚拟机到存储帐户的所有流量都保留在 Microsoft 主干网内，您可以使用 虚拟网络 (VNet) 服务端点 或 Azure 专用链接 。服务端点允许从 VNet 安全地访问存储帐户，而专用链接则将 VNet 中的专用 IP 分配给存储帐户，从而确保所有流量都保留在 Azure 主干网上。这两个选项都提供安全且优化的路由。

问 115

热点

-

您有一个 Azure 订阅，其中包含名为 User1 的用户和下表所示的资源。

NSG1 与网络接口 1 关联。

User1 具有 NSG1 的角色分配，如下表所示。

对于以下每个陈述，如果其为真，请选择“是”。否则，请选择“否”。

注意：每个正确选择值一分。

建议答案：

正确答案：

User1 可以在 RG1 中创建存储帐户。— 否

User1 可以修改 networkinterface1 的 DNS 设置。— 否

User1 可以创建入站安全规则来过滤到网络接口 1 的入站流量。— 是的

说明： User1在 NSG1 上具有 “贡献者” 角色，该角色允许对该资源进行完全管理，包括创建入站安全规则。但是，User1在 RG1 或 networkinterface1上 没有 “贡献者”权限，因此他们无法在 RG1 中创建存储帐户，也无法修改 networkinterface1 上的 DNS 设置。

-----------------

其他选项说明：

User1 可以在 RG1 中创建存储帐户。— 不可以 。 存储帐户贡献者 角色允许管理存储帐户，但不允许创建存储帐户；创建存储帐户需要资源组级别的 贡献者或更高级别。

User1 可以修改 networkinterface1 的 DNS 设置。— 不可以 。User1 在网络接口或其父范围上缺少任何角色分配，因此他们无法修改其设置。

User1 可以创建入站安全规则来过滤到网络接口 1 的入站流量。— 是的。User1对与网络接口关联的 NSG1 具有 贡献者权限，允许他们管理其安全规则。

-----------------

额外的：

存储帐户参与者 角色允许管理存储帐户设置，例如更新配置、读取和重新生成访问密钥以及删除存储帐户。但是，它不授予以下权限：

• 创建新的存储帐户

• 分配角色或管理访问控制（RBAC）

• 通过 Azure AD 访问 Blob 或队列数据（数据访问需要额外的角色，例如 存储 Blob 数据读取器 或 存储 Blob 数据贡献者 ）

• 管理存储帐户之外的资源

问 116

你有一个名为“Subscription1”的 Azure 订阅，其中包含一个名为“VNet1”的虚拟网络。VNet1 位于名为“RG1”的资源组中。

订阅 1 有一个名为 User1 的用户。User1 具有以下角色：

• 阅读器

• 安全管理员

• 安全读取器

您需要确保 User1 可以将 VNet1 的读者角色分配给其他用户。

你应该怎么做？

A.. 将 User1 从 Subscription1 的安全读者角色中移除。为 User1 分配 RG1 的贡献者角色。
B.. 为用户 1 分配 VNet1 的访问管理员角色。
C.. 将 User1 从 Subscription1 的安全读者和读者角色中移除。为 User1 分配 Subscription1 的贡献者角色。
D.. 为 User1 分配 RG1 的网络贡献者角色。

建议答案：

正确答案：

B. 为 User1 分配 VNet1的 访问管理员 角色。

说明： 访问管理员 角色（也称为 用户访问管理员 ）允许管理用户对 Azure 资源的访问权限，包括分配角色。这使 User1 能够将VNet1 的 “读者” 角色分配给其他人。

-----------------

其他选项说明：

A. 将 User1 从 Subscription1 的 安全读者角色中移除。为 User1 分配 RG1 的 贡献者 角色。——贡献者角色允许管理资源，但不允许分配角色，因此这不符合要求。

C. 从订阅的 安全读者 和读者角色中移除用户 1。为用户 1 分配订阅的 贡献者 角色。——贡献者角色仍然缺乏分配角色的权限，因此这还不够。

D. 为 User1 分配RG1 的 网络贡献者 角色。——此角色允许管理网络资源但 不允许 分配角色，因此不符合要求。

问 117

热点

-

您有三个 Azure 订阅，分别名为 Sub1、Sub2 和 Sub3，它们链接到一个 Azure AD 租户。

该租户包含一个名为 User1 的用户、一个名为 Group1 的安全组和一个名为 MG1 的管理组。User 是 Group1 的成员。

Sub1 和 Sub2 是 MG1 的成员。Sub1 包含一个名为 RG1 的资源组。RG1 包含五个 Azure 函数。

您为 MG1 创建以下角色分配：

• 第 1 组：读者

• 用户 1：用户访问管理员

您为用户分配 Sub1 和 Sub2 的虚拟机贡献者角色。

建议答案：

正确答案：

Group1 成员可以查看 Azure 函数的配置。— 是

User1 可以为 RG1 分配所有者角色。— 是的

User1 可以创建一个新的资源组并将虚拟机部署到新组。— 否

说明： Group1 在 MG1级别拥有 “读者” 角色，该角色级联到 Sub1 和 RG1，允许成员查看 Azure 功能配置。User1 在 MG1 拥有 “用户访问管理员” 角色，使其能够在 MG1 下的任何范围内分配“所有者”等角色。但是，User1 在 Sub1 和 Sub2 上仅拥有 “虚拟机贡献者” 角色，该角色允许管理虚拟机，但不能创建资源组——这需要 贡献者 或更高级别的角色。

-----------------

其他选项说明：

Group1 成员可以查看 Azure 函数的配置。— 是的。MG1 中的 Reader 角色向下级联到 Sub1 和 RG1，授予对 Azure 函数的只读访问权限。

User1 可以为 RG1 分配所有者角色。— 是的。MG1 上的用户访问管理员角色允许用户 1 在 MG1 下的任何范围内分配角色，包括 RG1。

User1 可以创建一个新的资源组并将虚拟机部署到新组。— 不可以 。虚拟机贡献者角色允许管理虚拟机但不允许创建资源组；这需要贡献者或所有者权限。

问 118

您有一个 Azure 订阅，其中包含下表所示的资源。

您需要为 User1 分配 share1 的存储文件数据 SMB 共享贡献者角色。

您首先应该做什么？

A.. 为存储 1 中的文件共享启用基于身份的数据访问。
B.. 修改 storage1 中文件共享的安全配置文件。
C.. 在 Azure 门户中为 storage1 选择默认为 Azure Active Directory 授权。
D.. 为 share1 配置访问控制 (IAM)。

建议答案：

正确答案：

A.为 storage1 中的文件 共享启用基于身份的数据访问 。

说明： 要将 “存储文件数据 SMB 共享贡献者” 角色分配给 share1 的 User1，必须首先在存储帐户上启用 基于身份的访问。这允许基于 Azure AD 的身份验证和授权进行文件共享访问。

-----------------

其他选项说明：

B. 修改 storage1 中文件共享的安全配置文件。—— 不正确 。启用基于 Azure AD 的访问或分配角色不需要执行此操作。

C. 在 Azure 门户中为 storage1 选择“默认 Azure Active Directory 授权”。— 不正确 。此步骤是流程的一部分，但在启用基于身份的访问之后进行。

D. 为 share1 配置访问控制 (IAM)。—— 不正确 。在存储帐户上启用基于身份的访问之前，您无法分配角色。

问 119

你有一个名为“Subscription1”的 Azure 订阅，其中包含一个名为“VNet1”的虚拟网络。VNet1 位于名为“RG1”的资源组中。

订阅 1 有一个名为 User1 的用户。User1 具有以下角色：

• 阅读器

• 安全管理员

• 安全读取器

您需要确保 User1 可以将 VNet1 的读者角色分配给其他用户。

你应该怎么做？

A.. 将 User1 从 Subscription1 的安全读者角色中移除。为 User1 分配 RG1 的贡献者角色。
B.. 为 User1 分配 VNet1 的用户访问管理员角色。
C.. 从 Subscription1 的安全读者和读者角色中删除 User1。
D.. 为 User1 分配 VNet1 的贡献者角色。

建议答案：

正确答案：

B. 为 User1 分配 VNet1的 用户访问管理员 角色。

说明： 用户访问管理员 角色允许管理用户对 Azure 资源的访问权限，包括分配角色。将此角色分配给 VNet1 上的 User1，使他们能够将 “读者” 角色分配给该资源的其他人。

-----------------

其他选项说明：

A. 将 User1 从 Subscription1 的 安全读者角色中移除。将 User1 分配给 RG1 的 贡献者 角色。—— 错误。贡献者角色允许管理资源，但不允许分配角色。

C. 将 User1 从 “安全读者” 和“订阅”的 “读者” 角色中移除。—— 错误。这不会授予任何额外的权限，也不会对角色分配有任何帮助。

D. 分配用户... — 未完成 。该选项被截断，无法评估。

问 120

热点 -

您有一个名为 adatum.com 的 Azure AD 租户，其中包含下表所示的组。

Adatum.com 包含下表所示的用户。

您将 Azure Active Directory Premium P2 许可证分配给 Group1，如下图所示。

Group2 未直接分配许可证。

对于以下每个陈述，如果其为真，请选择“是”。否则，请选择“否”。

注意：每个正确选择值一分。

建议答案：

问题 2-80

1. 您可以为 User1 分配 Microsoft Defender for Cloud Apps Discovery 许可证。- 否。

2. 您可以从 User1 中删除 Azure Active Directory Premium P2 许可证。- 不可以。

3. User2 被分配了 Azure Active Directory Premium P2。- 是的。

-----------------

解释：

1. 你可以为 User1 分配 Microsoft Defender for Cloud Apps Discovery 许可证。— 这是不正确的，因为分配此许可证需要合格计划，例如 Microsoft 365 E5、Microsoft 365 E5 Security 或 EMS E5。该场景并未表明 User1 拥有这些许可证中的任何一个，因此无法假定分配。

2. 您可以移除 User1 的 Azure Active Directory Premium P2 许可证。—— 这是不正确的，因为 User1 是通过基于组的分配（Group1）接收许可证的。从组继承的许可证无法单独从用户移除；您需要从组中移除用户或从组中取消分配许可证。

3. 用户 2 被分配了 Azure Active Directory Premium P2。—— 这是正确的，因为用户 2 是组 2 的成员，而组 2 又是组 1 的成员。由于组 1 被分配了许可证，并且许可证继承是通过嵌套组进行的，因此用户 2 将从组 1 继承许可证。

问 121

热点

-

您有一个 Azure Active Directory (Azure AD) 混合部署，其中包含下表中显示的用户。

您需要修改用户的 JobTitle 和 UsageLocation 属性。

您可以从 Azure AD 修改哪些用户的属性？要回答这个问题，请在答案区域中选择相应的选项。

注意：每个正确选择值一分。

建议答案：

问题 2-81

职位： 仅限用户 1 和用户 3

使用位置： 仅限用户 1 和用户 3

-----------------

正确答案：JobTitle：仅限 User1 和 User3 | UsageLocation：仅限 User1 和 User3

仅限用户 1 和用户 3 — 这种情况是正确的，因为用户 1（仅限云成员）和用户 3（来宾）均直接在 Azure AD 中管理。管理员可以在 Azure AD 中修改他们的属性，例如 JobTitle 和 UsageLocation 。用户 2 是从本地同步的，因此这些属性必须从本地目录管理，而不能直接在 Azure AD 中修改。

其他选项说明：

仅限用户 1 — 不正确，因为它排除了用户 3，用户 3 也在 Azure AD 中管理，并且可以由管理员修改属性。

User1、User2 和 User3 — 不正确，因为 User2 是从本地同步的，并且无法在 Azure AD 中直接修改这些属性。

问 122

注意：本题是一系列呈现相同场景的题目之一。该系列题目中的每个题目都包含一个可能符合既定目标的独特答案。有些题目集可能包含多个正确答案，而有些题目集可能没有正确答案。

回答完本部分的问题后，您将无法返回该部分。因此，这些问题不会出现在复习屏幕上。

您有一个名为 contoso.com 的 Azure Active Directory (Azure AD) 租户。

您有一个 CSV 文件，其中包含 500 个外部用户的姓名和电子邮件地址。

您需要在 contoso.com 中为 500 个外部用户中的每一个创建一个来宾用户帐户。

解决方案：创建一个 PowerShell 脚本，为每个外部用户运行 New-MgUser cmdlet。

这达到目标了吗？

答：是的
B.. 没有

建议答案：

正确答案：B

否 — 答案是肯定的，因为 New-MgUser cmdlet 用于创建成员用户，而不是来宾用户。要在 Azure AD 中创建来宾用户，应使用 New-MgInvitation cmdlet，它会发送邀请并创建来宾帐户。

其他选项说明：

是 - 不正确，因为 New-MgUser 不支持创建来宾用户。它缺少 B2B 协作场景所需的邀请流程。

问 123

注意：本题是一系列呈现相同场景的题目之一。该系列题目中的每个题目都包含一个可能符合既定目标的独特答案。有些题目集可能包含多个正确答案，而有些题目集可能没有正确答案。

回答完本部分的问题后，您将无法返回该部分。因此，这些问题不会出现在复习屏幕上。

您有一个名为 contoso.com 的 Azure Active Directory (Azure AD) 租户。

您有一个 CSV 文件，其中包含 500 个外部用户的姓名和电子邮件地址。

您需要在 contoso.com 中为 500 个外部用户中的每一个创建一个来宾用户帐户。

解决方案：创建一个 PowerShell 脚本，为每个外部用户运行 New-MgInvitation cmdlet。

这达到目标了吗？

答：是的
B.. 没有

建议答案：

正确答案：A

是的 — 答案是肯定的，因为 New-MgInvitation cmdlet 专门用于通过发送邀请在 Azure AD 中创建来宾用户。它支持通过脚本进行批量操作，是将外部用户作为来宾加入的合适方法。

其他选项说明：

否 — 不正确，因为使用 New-MgInvitation 是在 Azure AD 中创建来宾用户帐户的正确且受支持的方法。

问 124

你有一个名为“Subscription1”的 Azure 订阅，其中包含名为“VNet1”的虚拟网络。VNet1 位于名为“RG1”的资源组中。

名为 User1 的用户对于 Subscription1 具有以下角色：

• 阅读器

• 安全管理员

• 安全读取器

您需要确保 User1 可以将 VNet1 的读者角色分配给其他用户。

你应该怎么做？

A.. 为 User1 分配 VNet1 的贡献者角色。
B.. 为 User1 分配 VNet1 的网络贡献者角色。
C.. 为 User1 分配 VNet1 的用户访问管理员角色。
D.. 将 User1 从 Subscription1 的安全读者和读者角色中移除。为 User1 分配 Subscription1 的贡献者角色。

建议答案：

正确答案：C

为 User2 分配 VNet1 的用户访问管理员角色。—— 这是正确的，因为只有具有 用户访问管理员 角色（或同等权限）的用户才能将“读者”等角色分配给其他用户。由于 User1 没有此角色，因此将其分配给另一个用户（User2）是一个有效的解决方案。

其他选项说明：

A. 为 User1 分配 VNet1 的“贡献者”角色。—— 错误，因为“贡献者”角色允许管理资源，但不允许分配角色。由于没有用户访问管理员权限，User1 无法分配“读者”角色。

B. 为 User1 分配 VNet1 的网络参与者角色。—— 不正确，因为该角色仅限于管理网络资源，不包括分配角色的权限。

D. 将用户 1 从订阅 1 的安全读者角色中移除。将用户 2 分配给订阅 2 的贡献者角色。—— 不正确且不相关。这些更改不会影响用户 1 在 VNet1 上分配角色的能力。

问 125

你有一个名为“Subscription1”的 Azure 订阅，其中包含名为“VNet1”的虚拟网络。VNet1 位于名为“RG1”的资源组中。

名为 User1 的用户对于 Subscription1 具有以下角色：

• 阅读器

• 安全管理员

• 安全读取器

您需要确保 User1 可以将 VNet1 的读者角色分配给其他用户。

你应该怎么做？

A.. 将 User1 从 Subscription1 的安全读者和读者角色中移除。为 User1 分配 Subscription1 的贡献者角色。
B.. 将 User1 从 Subscription1 的安全读者角色中移除。为 User1 分配 RG1 的贡献者角色。
C.. 为 User1 分配 VNet1 的网络参与者角色。
D.. 为 User1 分配 VNet1 的用户访问管理员角色。

建议答案：

正确答案：D

为 User1 分配 VNet1 的用户访问管理员角色。— 这是正确的，因为只有具有 用户访问管理员 角色（或同等权限）的用户才能将“读者”等角色分配给其他用户。此角色授予管理用户对 Azure 资源的访问权限的能力。

其他选项说明：

A. 从订阅 1 的安全读者和读者角色中移除用户 1。为用户 1 分配订阅 1 的贡献者角色。—— 此操作错误，因为贡献者角色允许管理资源，但不允许分配角色。由于没有用户访问管理员权限，用户 1 仍然无法分配读者角色。

B. 将 User1 从 Subscription1 的安全读者角色中移除。将 User1 分配给 RG1 的贡献者角色。—— 同样错误，原因如下：贡献者未授予分配角色的权限。

C. 为 User1 分配 VNet1 的网络参与者角色。—— 不正确，因为网络参与者仅限于管理网络资源，不包括角色分配功能。

问 126

热点

-

您有一个名为 storage1 的 Azure 存储帐户，该帐户使用 Azure Blob 存储和 Azure 文件存储。

您需要使用 AzCopy 将数据复制到 storage1 中的 blob 存储和文件存储。

对于每种类型的存储，您应该使用哪种身份验证方法？请在答案区域中选择相应的选项来回答。

注意：每个正确选择值一分。

建议答案：

正确答案：

Blob 存储：Azure AD 和共享访问签名 (SAS) — 这是正确的，因为 AzCopy 支持 Azure AD 和 SAS 令牌身份验证来访问 Azure Blob 存储。

文件存储：仅共享访问签名 (SAS) — 这是正确的，因为 AzCopy 支持 Azure 文件存储的 SAS 令牌，但 AzCopy 的文件存储不支持 Azure AD 身份验证 。

其他选项说明：

仅限 Azure AD — 对于 Blob 和文件存储都是不正确的，因为虽然 Azure AD 支持 Blob，但它不是唯一的方法；并且它不支持使用 AzCopy 的文件存储。

仅限共享访问签名 (SAS) — 对于 Blob 存储不正确，因为 Azure AD 也受支持。

Azure AD 和共享访问签名 (SAS) — 对于文件存储来说不正确，因为 Azure AD 不支持使用 AzCopy 进行文件共享。

问 127

热点

-

您有一个 Azure AD 租户，其中包含一个名为“外部用户”的用户。

外部用户使用[email protected] 向租户进行身份验证。

您需要确保外部用户使用[email protected] 向租户进行身份验证。

您应该从“概览”边栏选项卡配置哪两个设置？要回答这个问题，请在答案区域中选择相应的设置。

注意：每个正确答案值一分。

建议答案：

解释

步骤 1：修改身份中的电子邮件地址 — 此步骤涉及更新来宾用户的身份（例如，在 Azure AD 中的“身份”部分下更改电子邮件地址）。如果用户将使用新的电子邮件进行身份验证，则此步骤是必需的。

第 2 步：点击“重置兑换状态” ——这将清除之前的邀请，并允许访客使用更新后的身份重新兑换邀请。此操作可确保使用新的电子邮件进行身份验证。

以上步骤允许来宾用户使用新的电子邮件地址登录，而无需删除并重新邀请他们。但是，这需要身份提供商（例如 Microsoft 帐户、Google 帐户）能够识别新的电子邮件地址，并且用户可以使用该电子邮件地址进行身份验证。

问 128

您有一个 Azure 订阅，其中包含下表所示的资源。

您需要为 Workspace1 分配一个角色，以允许对存储在 storage1 的容器中的数据进行读取、写入和删除操作。

您应该分配哪个角色？

A.. 存储帐户参与者
B.. 贡献者
C.. 存储 Blob 数据贡献者
D.. 读取器和数据访问

建议答案：

正确答案：C

存储 Blob 数据贡献者 ——这是正确的，因为此角色授予对存储帐户中的 Blob 容器和数据的读取、写入和删除访问权限，这正是 Workspace1 与 storage1 中的数据交互所需要的。

其他选项说明：

A. 存储帐户贡献者 ——不正确，因为此角色允许管理存储帐户本身（例如配置），但不允许访问容器内的数据。

B. 贡献者 ——不正确，因为虽然它允许管理 Azure 资源，但它不授予对存储容器内数据的访问权限。

D. 读者和数据访问 ——不正确，因为此角色允许对数据和资源进行只读访问，但不允许进行写入或删除操作。

问 129

你有一个名为“Subscription1”的 Azure 订阅，其中包含名为“VNet1”的虚拟网络。VNet1 位于名为“RG1”的资源组中。

名为 User1 的用户对于 Subscription1 具有以下角色：

• 阅读器

• 安全管理员

• 安全读取器

您需要确保 User1 可以将 VNet1 的读者角色分配给其他用户。

你应该怎么做？

A.. 将 User1 从 Subscription1 的安全读者和读者角色中移除。为 User1 分配 Subscription1 的贡献者角色。
B.. 为 User1 分配 VNet1 的贡献者角色。
C.. 为用户 1 分配 VNet1 的所有者角色。
D.. 为 User1 分配 RG1 的网络贡献者角色。

建议答案：

正确答案：C

为 User1 分配 VNet1 的 Owner 角色。—— 这是正确的，因为 Owner 角色包含 Contributor 角色的所有权限，以及将角色分配给其他用户的能力。这满足了 User1 将 Reader 角色分配给其他人的要求。

其他选项说明：

A. 将 User1 从 Subscription1 的安全读者和读者角色中移除。将 User1 分配给 Subscription1 的贡献者角色。—— 不正确，因为贡献者角色不包含分配角色的权限。

B. 为 User1 分配 VNet1 的贡献者角色。—— 不正确，因为贡献者允许资源管理但不允许角色分配。

D. 为 User1 分配 RG1 的网络贡献者角色。—— 不正确，因为网络贡献者仅限于管理网络资源，而不包括分配角色的权限。

问 130

您有一个 Azure AD 租户，其中包含下表所示的组。

您购买 Azure Active Directory Premium P2 许可证。

您可以向哪些组分配许可证？

A.. 仅限第 1 组
B.. 仅限 Group1 和 Group3
C.. 仅限 Group3 和 Group4
D.. 仅限组 1、组 2 和组 3
E.. 组 1、组 2、组 3 和组 4

建议答案：

正确答案：D

仅限 Group1、Group2 和 Group3 — 这是正确的，因为 Azure AD 允许将许可证分配给 安全组 、 启用邮件的安全组 和 Microsoft 365 组 （只要它们处于 启用状态） 。 Group4 是 Microsoft 365 组，但已被禁用，因此不能用于许可证分配。

其他选项说明：

A. 仅限 Group1 — 不正确，因为它排除了 Group2 和 Group3，而这两个组也有资格获得许可证分配。

B. 仅限 Group1 和 Group3 — 不正确，因为它排除了 Group2，而 Group2 是启用邮件的安全组并且也符合条件。

E. Group1、Group2、Group3 和 Group4 — 不正确，因为 Group4 已被禁用，不能用于许可证分配。

问 131

热点

-

您有一个 Azure AD 租户。

您需要创建一个仅包含法国营销部门成员的 Microsoft 365 组。

您应该如何完成动态成员资格规则？请在答案区域中选择相应的选项进行回答。

注意：每个正确答案值一分。

建议答案：

正确答案：user.department | and | -eq

user.department — 这是正确的，因为该规则根据用户的部门（即“市场营销”）来定位用户。

并且 — 这是正确的，因为两个条件（部门和国家）都必须满足，用户才能被纳入该组。

-eq — 这是正确的，因为它检查是否完全相等，这适合匹配国家值“法国”。

其他选项说明：

device.managementType 和 device.organizationalUnit — 不正确，因为该规则针对的是用户属性，而不是设备属性。

user.usageLocation — 不正确，因为使用地点与实际国家不同，可能无法反映用户的实际部门位置。

或 — 不正确，因为它会包括营销部门或法国的用户，而不一定同时包括两者。

typeof — 不正确，因为它不是 Azure AD 动态成员资格规则中的有效运算符。

-in 和 -match — 不正确，因为 -eq 是此上下文中用于精确字符串比较的适当运算符。

问 132

热点

-

您有一个 Azure AD 租户。

您需要修改租户的默认用户角色权限设置。解决方案必须满足以下要求：

• 必须阻止标准用户创建新的服务主体。

• 标准用户只能使用 PowerShell 或 Microsoft Graph 来管理自己的 Azure 资源。

您应该修改哪两个设置？要回答这个问题，请在答案区域中选择相应的设置。

注意：每个正确答案值一分。

建议答案：

正确答案：

用户可以注册应用程序 ——这是正确的，因为将其设置为“否”可以阻止标准用户创建服务主体，这直接解决了阻止应用程序注册的要求。

限制对 Azure AD 管理门户的访问 ——这是正确的，因为启用此限制可确保标准用户只能通过 PowerShell 或 Microsoft Graph 管理自己的 Azure 资源，而不能通过 Azure 门户管理。

其他选项说明：

用户可以创建安全组 - 不正确，因为此设置控制组创建，而不是应用程序注册或门户访问。

来宾用户访问限制 ——不正确，因为问题是关于标准用户，而不是来宾用户。

链接帐户连接 - 不正确，因为此设置与服务主体创建或资源管理无关。

问 133

热点 -

您有一个名为 Sub1 的 Azure 订阅，其中包含下表所示的 Blob 容器。

Sub1 包含两个用户，分别为 User1 和 User2。这两个用户均在 Sub1 范围内分配了“读者”角色。

您有一个名为 Condition1 的条件，如下图所示。

您有一个名为 Condition2 的条件，如下图所示。

您为用户 1 和用户 2 分配角色，如下表所示。

对于以下每个陈述，如果其为真，请选择“是”。否则，请选择“否”。

注意：每个正确选择值一分。

建议答案：

回答：

User1 可以读取 blob2。 | 否

User1 可以读取 blob3。 | 否

User2 可以读取 blob1。 | 是

-----------------

正确选项解释：

User2 可以读取 blob1。| 是

User2 具有 “存储 Blob 数据所有者” 角色，且 条件为 2 ，即如果操作为“写入”或资源路径等于 'cont1' ，则允许访问。由于 blob1 位于 cont1 中，因此满足条件并授予访问权限。

-----------------

错误选项解释：

User1 可以读取 blob2。| 否

User1 具有 “存储 Blob 数据读取者” 角色，且 条件为 1 ，该角色要求操作与 read 匹配，或资源路径等于 'cont1' 。 User1 has the Storage Blob Data Reader role with Condition 1 , which requires the action to match read or the resource path to equal 'cont1' . Blob2 位于 cont2 中，虽然操作匹配，但条件不满足，因此访问被拒绝。

User1 可以读取 blob3。| 否

Blob3 位于 cont3中，与所需资源路径 'cont1' 不匹配。即使操作匹配，条件也不满足，因此角色不适用，访问被拒绝。

额外的：

具有读取角色 的用户可以查看存储帐户资源，但不能读取 Azure 存储中的数据，例如 blob 。

问 134

注意：本题是一系列呈现相同场景的题目之一。该系列题目中的每个题目都包含一个可能符合既定目标的独特答案。有些题目集可能包含多个正确答案，而有些题目集可能没有正确答案。

回答完本部分的问题后，您将无法返回该部分。因此，这些问题不会出现在复习屏幕上。

您有一个名为 contoso.com 的 Azure Active Directory (Azure AD) 租户。

您有一个 CSV 文件，其中包含 500 个外部用户的姓名和电子邮件地址。

您需要在 contoso.com 中为 500 个外部用户中的每一个创建一个来宾用户帐户。

解决方案：创建一个 PowerShell 脚本，为每个用户运行 New-MgUser cmdlet。

这达到目标了吗？

答：是的
B.. 没有

建议答案：

回答：

不

-----------------

正确选项解释：

B. 否

New-MgUser cmdlet 主要用于创建内部用户，需要手动配置所有来宾用户属性。它不会自动处理来宾邀请或发送电子邮件。邀请外部用户的正确且推荐的方法是使用 New-MgInvitation cmdlet，该命令通过将 UserType 设置为 Guest 、发送邀请电子邮件以及所需的最少输入来简化流程。这使得它成为从 CSV 文件加入 500 位外部用户的可行且可扩展的解决方案。

-----------------

错误选项解释：

答：是的

这是不正确的，因为尽管 New-MgUser从技术上来说可以创建来宾用户，但它并不是为此目的而设计的，并且缺乏 New-MgInvitation 提供的自动化和简单性，因此不适合批量来宾入职。

问 135

热点 -

您购买了新的 Azure 订阅。

您创建一个名为 deploy.json 的 Azure 资源管理器 (ARM) 模板，如下图所示。

您连接到订阅并运行以下命令。

New-AzDeployment –Location westus –TemplateFile “deploy.json”

对于以下每个陈述，如果其为真，请选择“是”。否则，请选择“否”。

注意：每个正确选择值一分。

建议答案：

回答：

1. 运行脚本时会创建三个资源组。 | 否

2. 创建名为 RGroup5 的资源组。 | 否

3. 所有资源组均在美国东部 Azure 区域创建。 | 是

-----------------

正确选项解释：

没有任何

根据模板和部署命令，没有任何陈述是正确的。

-----------------

错误选项解释：

1. 运行脚本时会创建三个资源组。| 否

复制循环依赖于parameters('obj').list 的长度，默认情况下该数组为空。因此，它会创建 0 个资源组。此外，还会使用 parameters('_n4bB_') 的长度（该长度为空字符串）创建一个额外的资源组，结果为 RG0 。最终只会创建一个资源组。

2. 创建名为 RGroup5 的资源组。| 否

没有生成这样的名称。唯一创建的组是 RG0 。

3. 所有资源组均在美国东部 Azure 区域创建。| 是

尽管部署是使用 -Location westus 运行的，但是资源组是在 Eest Us 区域而不是 West US 中创建的，因为模板不使用硬编码应用 Location 参数。

问 136

您的本地网络包含 VPN 网关。

您有一个 Azure 订阅，其中包含下表所示的资源。

您需要确保从 VM1 到 storage1 的所有流量都通过 Microsoft 主干网络传输。

您应该配置什么？

答： Azure AD 应用程序代理
B.. 私有端点
C.. 网络安全组（NSG）
D.. Azure 对等互连服务

建议答案：

正确答案：

B. 私有端点

因为使用存储帐户的 专用终结点可确保从 VM1 到 storage1 的 流量保持在 Microsoft 主干网络 内。 专用终结点会从 VNet 向存储帐户分配专用 IP 地址，从而实现安全且私密的连接。

-----------------

其他选项说明：

答：Azure AD 应用程序代理 用于提供对本地 Web 应用程序的安全远程访问，而不是用于在 Azure 资源之间路由流量。

C. 网络安全组 (NSG) 在子网或 NIC 级别控制入站和出站流量，但不影响路由路径或确保使用 Microsoft 主干网 。

D. Azure 对等互连服务 旨在优化本地网络与公共互联网上的 Microsoft 服务之间的连接，而不是用于内部 Azure 流量路由。

问 137

您的本地网络包含 VPN 网关。

您有一个 Azure 订阅，其中包含下表所示的资源。

您需要确保从 VM1 到 storage1 的所有流量都通过 Microsoft 主干网络传输。

您应该配置什么？

答： Azure AD 应用程序代理
B.. 服务端点
C.. 网络安全组（NSG）
D.. Azure 防火墙

建议答案：

正确答案：

B. 服务端点

服务终结点 通过 Microsoft 主干网络将虚拟网络专用地址空间扩展到 Azure 服务。这可确保从 VM1 到 存储 1 的 流量仍保留在 Microsoft 主干网络上，从而提高安全性和性能。

-----------------

其他选项说明：

答：Azure AD 应用程序代理 用于提供对本地 Web 应用程序的安全远程访问，而不是用于在 Azure 资源之间路由流量。

C. 网络安全组 (NSG) 用于过滤网络流量，但不控制路由路径或确保使用 Microsoft 主干网。

D. Azure 防火墙 是一种网络安全服务，它保护 Azure 虚拟网络资源，但不确保流量使用 Microsoft 主干网络。

问 138

您的本地网络包含 VPN 网关。

您有一个 Azure 订阅，其中包含下表所示的资源。

您需要确保从 VM1 到 storage1 的所有流量都通过 Microsoft 主干网络传输。

您应该配置什么？

答： Azure 应用程序网关
B.. 服务端点
C.. 网络安全组（NSG）
D.. Azure 对等互连服务

建议答案：

正确答案：

B. Azure 端点

服务终结点 （此处称为“Azure 终结点”）允许从 VM1 到 storage1 的流量保留在 Microsoft 主干网络 上。它们将虚拟网络扩展到 Azure 服务，避免暴露在公共互联网上，从而提高安全性和性能。

-----------------

其他选项说明：

答：Azure 应用程序网关 是一个在应用程序层（OSI 第 7 层）运行的 Web 流量负载均衡器。它不用于在 VM 和存储帐户之间路由流量。

C. 网络安全组 (NSG) 用于过滤流量，但不控制路由路径或确保使用 Microsoft 主干网。

D. Azure 对等互连服务 旨在增强本地网络与公共互联网上的 Microsoft 服务之间的连接，而不是用于内部 Azure 流量路由。

问 139

您有一个名为 Sub1 的 Azure 订阅，其中包含下表所示的资源。

您创建一个名为 Admin1 的用户。

您可以将 Admin1 添加为共同管理员吗？

A..RG1
B.. MG1
C.. Sub1
D.. VM1

建议答案：

正确答案：

C. Sub1

您可以在 订阅级别 (Sub1)添加 Admin1 作为 共同管理员 。共同管理员拥有与服务管理员相同的访问权限，但他们无法更改服务管理员。此角色通过 Azure 经典部署模型进行管理。

-----------------

其他选项说明：

答：RG1 是一个资源组，虽然您可以在此级别分配 RBAC 角色，但 共同管理员 角色不适用于资源组级别。

B. MG1 是一个管理组，用于管理跨多个订阅的访问和策略，但 共同管理员 角色不适用于此。

D. VM1 是一台虚拟机，您可以为其分配 RBAC 角色，但不能分配 共同管理员 角色，该角色仅适用于订阅级别。

共同管理员角色的简要说明：

Azure 中的共同管理员 角色是 经典部署模型 中的遗留角色。 共同管理员拥有与 服务管理员 相同的管理权限，但 不能更改服务管理员。此角色允许完全管理 订阅中的所有资源，并且仅在 订阅级别 分配。它通过 Azure 帐户中心 或 经典门户 进行管理，而不是通过 RBAC 进行管理。

问 140

热点 -

您有一个 Microsoft Entra 租户，其中包含下表所示的组。

租户包含下表所示的用户。

您可以删除哪些用户和群组？请在答案区域中选择相应的选项来回答。

注意：每个正确选择值一分。

建议答案：

正确答案（根据 Microsoft Entra 行为更新）：

用户：用户 1、用户 2、用户 3 和用户 4

组：仅限 Group2 和 Group4

在 Microsoft Entra 中， 无论许可证状态如何，都可以删除用户 。这包括拥有 直接许可证的用户和从组 继承许可证的 用户。因此，所有列出的用户（ 用户 1 、 用户 2 、 用户 3 和 用户 4 ）都可以删除。

对于组，可以删除 Group2 ，因为其成员拥有直接许可证，并且不依赖组进行许可。可以删除 Group4 ，因为其未分配任何许可证。

-----------------

其他选项说明：

仅 User4 不正确，因为无论许可证状态如何，所有用户都可以被删除。

由于同样的原因， 仅 User1 和 User4是不正确的 — User2 和 User3 也是可删除的。

仅 User2 和 User4 是基于许可证感知清理的保守答案，但从技术上讲所有用户都是可删除的。

仅 Group2 是不正确的，因为 Group4 也可以删除。

仅限 Group2 和 Group3 是不正确的，因为 Group3 拥有许可证并且其成员可能依赖它。

Group1、Group2、Groups3 和 Groups4 不正确，因为 Group1 和 Group3 可能仍在使用中或存在许可证问题。

问 141

您有一个 Azure 订阅，其中包含下表所示的资源。

您需要确保 storage1 和 VM1 之间的数据传输不会经过互联网

您应该为 storage1 配置什么？

A.. 数据保护
B.. 私有端点
C.. 防火墙和虚拟网络设置中的公共网络访问
D.. 共享访问签名（SAS）

建议答案：

正确答案：

B. 私有端点

为了确保 VM1 和 storage1 之间的数据传输不 经过 Internet ，应为 storage1配置 专用终结点 。专用终结点会将 VNet 中的专用 IP 地址分配给存储帐户，从而通过 Microsoft 主干网络 实现安全的专用连接。

-----------------

其他选项说明：

A. 数据保护 是指备份和恢复功能，而不是网络路由或连接。

C.防火墙和虚拟网络设置中的公共网络访问 可以限制访问，但本身并不能确保私有连接——它必须与私有端点或服务端点结合使用。

D. 共享访问签名 (SAS) 提供对存储资源的委托访问，但不控制网络路径或阻止互联网遍历。

问 142

热点

-

您有一个 Microsoft Entra 租户，它链接到下表所示的订阅。

您拥有下表所示的资源组。

您可以按下表所示为用户分配角色。

对于以下每个陈述，如果其为真，请选择“是”。否则，请选择“否”。

注意：每个正确选择值一分。

建议答案：

正确答案：

User1 可以调整 VM1 的大小：是

User2 可以创建新的存储帐户：否

用户 3 可以将 RG3 的所有者角色分配给用户 1：是

User1 在 MG2 范围内拥有 贡献者 角色。由于 Sub3 （包含 RG2 和 VM1 ）位于 MG2 之下，因此 User1 可以管理资源，例如 调整 VM1 的大小 ，这是贡献者角色所允许的。

User2 未在角色表中列出，因此 没有分配角色 。 User2 没有贡献者或所有者等角色，因此无法创建存储帐户等资源。

User3 拥有 租户根组 级别的 用户访问管理员 角色。此角色允许将角色分配给租户内任何范围内的其他用户，包括将 RG3 的 所有者 角色分配给 User1

问 143

您的本地网络包含 VPN 网关。

您有一个 Azure 订阅，其中包含下表所示的资源。

您需要确保从 VM1 到 storage1 的所有流量都通过 Microsoft 主干网络传输。

您应该配置什么？

网络安全组（NSG ）
B.. 私有端点
C.. Microsoft Entra 应用程序代理
D.. Azure 虚拟广域网

建议答案：

正确答案：

B. 私有端点

为了确保从 VM1 到 storage1的流量能够通过 Microsoft 主干网络 传输，应为存储帐户配置 专用终结点 。这会将存储帐户映射到 Vnet1 内的专用 IP 地址，从而确保安全且私密的连接，而无需遍历公共 Internet。

-----------------

其他选项说明：

A. 网络安全组 (NSG) 控制子网或 NIC 级别的流量，但不影响路由路径或确保使用 Microsoft 主干网。

C. Microsoft Entree 应用程序代理 （可能是“Entra”的拼写错误）用于对本地 Web 应用程序进行安全远程访问，而不是用于路由 Azure VM 到存储的流量。

D. Azure 虚拟 WAN 用于将分支机构和本地网络连接到 Azure，但它不能确保 VM1 和 storage1 之间的流量停留在 Microsoft 主干网上。

问 144

您有一个 Microsoft Entra 租户。

您计划执行批量用户导入。

您需要确保导入的用户对象根据每个用户的部门自动添加为特定组的成员。该解决方案必须最大限度地减少管理工作量。

您应该执行哪两个操作？每个正确答案都代表了解决方案的一部分。

注意：每个正确选择值一分。

A.. 创建使用已分配成员资格类型的组。
B.. 创建 Azure 资源管理器 (ARM) 模板。
C.. 创建使用动态用户成员资格类型的组。
D.. 编写一个解析导入文件的 PowerShell 脚本。
E.. 创建一个包含用户信息和适当属性的 XML 文件。
F.. 创建一个包含用户信息和适当属性的 CSV 文件。

建议答案：

正确答案：

C.C. 创建使用动态用户成员身份类型的组

F. 创建包含用户信息和相应属性的 CSV 文件

动态用户成员资格允许根据 部门等属性自动将用户添加到组中，从而最大限度地减少管理工作量。CSV 文件是 Microsoft Entra 支持的标准格式，可用于 批量导入用户 （包括属性映射）。

-----------------

其他选项说明：

答：创建使用已分配成员资格类型的组 需要手动分配用户，这不符合尽量减少管理工作量的要求。

B. 创建 Azure 资源管理器 (ARM) 模板 用于部署 Azure 资源，而不是用于导入用户或管理组成员资格。

D. 编写一个解析导入文件的 PowerShell 脚本 可以工作，但比使用内置动态组功能需要更多的管理工作。

E. 创建包含用户信息和适当属性的 XML 文件 不是 Microsoft Entra 中批量用户导入支持的格式——CSV 是正确的格式。

问 145

您有一个 Azure 订阅，其中包含一个名为 storage1 的存储帐户。

您需要确保 storage1 的访问密钥自动轮换。

您应该配置什么？

A.. 备份库
B.. 存储冗余1
C.. 存储生命周期管理1
D.. Azure 密钥保管库
E.. 恢复服务保管库

建议答案：

正确答案（附扩展解释）：

D. Azure 密钥保管库

为了确保 storage1 的 访问密钥 自动轮换，应配置 Azure Key Vault 。虽然 Key Vault 本身不会自动轮换 存储帐户访问密钥 ，但它在安全、自动化的密钥轮换解决方案中起着核心作用。

要实现自动旋转，通常需要：

• 将访问密钥作为机密存储在 Azure Key Vault中。

• 使用 Azure 自动化 、 逻辑应用 或 自定义脚本 来：

- 重新生成存储帐户访问密钥。

- 更新 Key Vault 中存储的值。

- 自动化旋转过程。

这种方法最大限度地减少了人工并增强了安全性。

-----------------

其他选项说明：

A. 备份库 用于管理备份数据，而不是用于密钥管理或轮换。

B. 存储1的冗余 确保数据的持久性和可用性，但不影响密钥轮换。

C. 存储1的生命周期管理 用于管理层之间的数据保留和移动，而不是用于密钥轮换。

E. 恢复服务保管库 用于备份和灾难恢复，而不是用于管理或轮换访问密钥。

问 146

您有一个 Azure 订阅，其中包含下表所示的 Microsoft Entra 标识。

您需要启用自助密码重置（SSPR）。

您可以在 Azure 门户中为哪些身份启用 SSPR？

A.. 仅限用户1
B.. 仅限第 1 组
C.. 仅限用户 1 和组 1
D.. 仅限 Group1 和 Group2
E.. 用户 1、组 1 和组 2

建议答案：

正确答案：

A. 仅限用户 1

自助密码重置 (SSPR) 是 Microsoft Entra (Azure AD) 中一项 特定于用户的功能 。它无法直接为组（包括 安全组 和 Microsoft 365 组 ）启用。相反，组用于确定SSPR 适用的 用户范围 ，但该功能本身始终应用于 单个用户帐户 [1](https://learn.microsoft.com/en-us/entra/identity/authentication/tutorial-enable-sspr)。

-----------------

其他选项说明：

B. 仅 Group1 不正确，因为无法为组本身启用 SSPR。

C. 仅 User1 和 Group1 是不正确的，因为 Group1 不是启用 SSPR 的有效目标。

D. 仅 Group1 和 Group2 是不正确的，因为两种组类型都不能直接启用 SSPR。

E.由于同样的原因， User1、Group1 和 Group2都是不正确的 — — 只有 User1 有资格直接启用 SSPR。

[1]（https://learn.microsoft.com/en-us/entra/identity/authentication/tutorial-enable-sspr）：https://learn.microsoft.com/en-us/entra/identity/authentication/tutorial-enable-sspr

问 147

拖放 -

您有一个 Microsoft Entra 租户。

您需要确保在创建新的 Microsoft 365 组时，组名称会自动格式化如下：

在 Microsoft Entra 管理中心中，您应该按顺序执行哪三个操作？要回答这个问题，请将相应的操作从操作列表移动到答案区域，并按正确的顺序排列它们。

建议答案：

正确答案：

1.创建组命名策略

2. 设置属性添加前缀

3. 将选择类型设置为部门

要自动将 Microsoft 365 组名称格式化为 <Department><Group name> ，必须首先 创建组命名策略 。然后，将策略配置为基于属性 添加前缀 ，最后指定要用作前缀的 Department属性。

-----------------

其他选项说明：

设置“为属性添加后缀” 是不正确的，因为要求是添加前缀，而不是后缀。

将“添加前缀”设置为“字符串” 是不正确的，因为前缀应该是基于部门属性的动态前缀，而不是静态字符串。

自定义公司品牌 与群组命名策略无关，并且会影响登录体验，而不是群组名称格式。

问 148

热点

-

您有一个 Microsoft Entra 租户，其中包含下表所示的用户。

租户包含下表所示的组。

哪些用户和组可以删除？请在答案区域中选择相应的选项来回答。

注意：每个正确选择值一分。

建议答案：

正确答案：

用户： 用户 1、用户 2、用户 3 和用户 4

群组： 仅限 Group1

-----------------

正确选项解释：

用户 1、用户 2、用户 3 和用户 4 ：

所有用户帐户均可删除，无论其是否分配有许可证。许可证不会阻止删除。但是，删除已获得许可的用户将撤销其对服务的访问权限。

仅限 Group1 ：

Group1 没有许可证，并且不是任何其他组的父组或子组。可以安全删除该组，而不会影响其他组或用户。

-----------------

其他选项说明：

仅限用户1 ：

虽然可以删除 User1，但此选项排除了其他同样有资格删除的用户。

仅限用户 3 和用户 4 ：

这不包括用户 1 和用户 2，他们两个都可以被删除。

仅限用户 2 和用户 4 ：

再次，这排除了用户 1 和用户 3，他们也有资格被删除。

仅限第 4 组 ：

组 4 已分配 Microsoft Entra ID P2 许可证。已获得许可的组无法删除。

仅限 Group3 和 Group4 ：

组 3 是组 2 的父组，组 4 拥有许可证。两者都无法删除。

组 1、组 2、组 3 和组 4 ：

组 2 和组 4 均拥有许可证，组 3 属于嵌套组结构。只有组 1 可以安全删除。

问 149

热点 -

您有一个 Azure 订阅，其中包含下表所示的资源。

您计划使用 Azure 密钥保管库向 app1 提供机密。

您应该为 app1 创建什么来访问密钥保管库？可以从哪个密钥保管库使用机密？要回答此问题，请在答案区域中选择相应的选项。

注意：每个正确选择值一分。

建议答案：

正确答案：

创建： 托管标识

使用来自Vault1、Vault2 或 Vault3 的 密钥

-----------------

正确选项解释：

托管身份 ：

托管标识是 Azure 资源（如容器应用）安全访问其他 Azure 服务（包括 Key Vault）的推荐方式，无需管理凭据。

Vault1、Vault2 或 Vault3 ：

只要 App1 拥有正确的权限，它就可以访问同一区域（美国东部）中的任何 Key Vault。资源组不会限制访问；重要的是区域和访问策略或角色分配。

-----------------

其他选项说明：

专用端点 ：

这用于通过虚拟网络内的私有 IP 访问 Key Vault，但不授予身份或访问权限。

服务主体 ：

服务主体用于应用程序注册，并且比 Azure 资源的托管标识更复杂。

用户帐户 ：

在生产场景中，用户帐户不用于应用到服务的身份验证。

仅限 Vault1 ：

这不必要地将应用程序限制在单个保险库中，即使其他保险库可以访问。

仅限 Vault1 和 Vault3 ：

如果所有 Vault2 都位于同一区域并且可以访问，则没有理由排除 Vault2。

仅限 RG2 中的保险库 ：

资源组不限制访问；权限和区域才限制访问。

问 150

您有一个名为 contoso.com 的 Microsoft Entra 租户。

您与名为 fabrikam.com 的外部合作伙伴进行合作。

您计划邀请 fabrikam.com 中的用户加入 contoso.com 租户。

您需要确保邀请只能发送给 fabrikam.com 用户。

您应该在 Microsoft Entra 管理中心做什么？

A.. 从跨租户访问设置中，配置租户限制设置。
B.. 从跨租户访问设置中，配置 Microsoft 云设置。
C.. 从外部协作设置中，配置来宾用户访问限制设置。
D.. 从外部协作设置中，配置协作限制设置。

建议答案：

正确答案：

D. 从外部协作设置中，配置协作限制设置。

-----------------

正确选项解释：

D. 从外部协作设置中，配置协作限制设置。 ：

这是在 Microsoft Entra 管理中心中配置访客邀请的域允许/阻止列表的正确位置。Microsoft 文档确认，基于域的邀请限制是在“协作限制”下管理的，您可以在其中指定允许列表（例如 fabrikam.com）来限制可以邀请的人员。

-----------------

其他选项说明：

A. 从跨租户访问设置中，配置租户限制设置。 ：

此设置控制对外部租户的访问，而不是控制谁可以被邀请进入您的租户。

B. 从跨租户访问设置中，配置 Microsoft 云设置。 ：

这用于管理跨不同 Microsoft 云环境的协作，而不是特定于域的邀请控制。

C. 从外部协作设置中，配置来宾用户访问限制设置。 ：

此设置控制来宾用户被邀请后可以做什么，而不是控制哪些域被允许或阻止邀请。

问 151

你有一个 Azure 订阅，其中包含名为 storage1 的存储帐户。storage1 帐户包含 Blob 数据。

您需要为名为 User1 的用户分配一个角色，以确保该用户可以访问 storage1 中的 blob 数据。角色分配必须支持条件。

你能为 User1 分配哪两个角色？每个正确答案都代表一个完整的解决方案。

注意：每个正确选择值一分。

A.. 业主
B.. 存储帐户参与者
C.. 存储帐户备份参与者
D.. 存储 Blob 数据贡献者
E.. 存储 Blob 数据所有者
F.. 存储 Blob 委托人

建议答案：

正确答案：

D.存储 Blob 数据贡献者

E.存储 Blob 数据所有者

-----------------

正确选项解释：

D.存储Blob数据贡献者 ：

此角色允许对 Blob 数据进行读取、写入和删除访问，并支持 Azure 基于角色的访问控制 (RBAC) 和条件。它特别适合授予对 Blob 数据的访问权限。

E. 存储 Blob 数据所有者 ：

此角色提供对 Blob 数据的完全访问权限，包括设置访问控制，并支持 RBAC 条件。当用户需要完全控制 Blob 数据时，此角色是理想之选。

-----------------

其他选项说明：

A. 业主 ：

此角色授予对所有 Azure 资源的完全管理访问权限，包括分配角色的能力，但其范围并不专门针对 Blob 数据，也不支持 Blob 访问的数据操作或 RBAC 条件。

B.存储帐户贡献者 ：

此角色允许管理存储帐户，但不允许访问 Blob 数据本身。它不支持 Blob 数据的数据平面访问或 RBAC 条件。

C.存储帐户备份贡献者 ：

此角色适用于备份场景，不提供一般的 Blob 数据访问或条件访问支持。

F.存储Blob委托人 ：

此角色用于通过共享访问签名 (SAS) 进行基于 Azure AD 的身份验证，不用于直接 Blob 数据访问或条件角色分配。

问 152

热点 -

案例研究 -

这是一项案例研究。案例研究不单独计时。您可以根据需要使用任意考试时间完成每个案例。但是，本考试可能包含其他案例研究和部分内容。您必须合理安排时间，确保能够在规定时间内完成本考试的所有题目。

要回答案例研究中的问题，您需要参考案例研究中提供的信息。案例研究可能包含一些附件和其他资源，这些资源可以提供更多关于案例研究中所述场景的信息。每个问题都与案例研究中的其他问题相互独立。

本案例研究结束后，将出现一个复习界面。您可以在此界面查看答案，并在进入考试的下一部分之前进行修改。开始新部分后，您将无法返回此部分。

开始案例研究 -

要显示此案例研究中的第一个问题，请点击“下一步”按钮。在回答问题之前，请使用左侧窗格中的按钮浏览案例研究的内容。点击这些按钮将显示业务需求、现有环境和问题陈述等信息。如果案例研究包含“所有信息”选项卡，请注意，显示的信息与后续选项卡中显示的信息相同。当您准备好回答问题时，请点击“问题”按钮返回该问题。

概述 -

ADatum Corporation 是一家咨询公司，总部位于蒙特利尔，在西雅图和纽约设有分公司。

现有环境 -

Azure 环境 -

ADatum 有一个 Azure 订阅，其中包含三个资源组，分别为 RG1、RG2 和 RG3。

订阅包含下表所示的存储帐户。

订阅包含下表所示的虚拟机。

订阅具有一个 Azure 容器注册表，其中包含下表所示的图像。

订阅包含下表所示的资源。

Azure 密钥保管库 -

订阅包含一个名为 Vault1 的 Azure 密钥保管库。

Vault1 包含下表所示的证书。

Vault1 包含下表所示的密钥。

Microsoft Entra 环境 -

ADatum 有一个名为 adatum.com 的 Microsoft Entra 租户，该租户链接到 Azure 订阅并包含下表中显示的用户。

租户包含下表所示的组。

adatum.com 租户有一个名为 Attribute1 的自定义安全属性。

计划变更 -

ADatum 计划实施以下变更：

• 配置名为DCR1 的数据收集规则(DCR)，以仅收集来自VM2 和VM4 的事件ID 为4648 的系统事件。

• 在 storage1 中，创建一个名为 cont2 的新容器，该容器具有以下访问策略：o 三个存储访问策略，分别名为 Stored1、Stored2 和 Stored3 o 对不可变 Blob 存储的合法保留

• 尽可能使用目录来组织存储帐户内容。

• 授予User1 将Zone1 链接到VNet1 所需的权限。

• 将属性 1 分配给支持的 adatum.com 资源。

• 在storage2 中，创建一个名为Scope1 的加密范围。

• 使用Image1或Image2部署新容器。

技术要求 -

ADatum 必须满足以下技术要求：

• 对 WebApp1 使用 TLS。

• 遵循最小特权原则。

• 仅授予所需范围内的权限。

• 确保Scope1 用于加密存储服务。

• 使用 Azure Backup 尽可能频繁地备份 cont1 和 share1。

• 尽可能使用 Azure 磁盘加密和密钥加密密钥 (KEK) 来加密虚拟机。

您需要针对属性 1 实施计划的更改。

对于以下每个陈述，如果其为真，请选择“是”。否则，请选择“否”。

注意：每个正确选择值一分。

建议答案：

正确答案：

1. 管理员 1 可以将属性 1 分配给组 1。 否

2. Admin2 可以将 Attribute1 分配给 User1。 否

3. 管理员3可以将属性1分配给组2。 是

-----------------

正确选项解释：

3. Admin3 可以将 Attribute1 分配给 Group2 。：

Admin3 具有 属性分配管理员 角色，该角色允许将自定义安全属性分配给受支持的对象。Group2 是一个 Microsoft 365 组 ，支持属性分配。因此，这是有效的。

-----------------

其他选项说明：

1. Admin1 可以将 Attribute1 分配给 Group1 。：

Admin1 是 全局管理员 ，但属性分配需要 属性分配管理员 角色。此外， Group1 是 安全组 ，不支持自定义安全属性。

2. Admin2 可以将 Attribute1 分配给 User1 。：

Admin2 是 特权角色管理员 ，负责管理角色分配，但不授予分配自定义属性的权限。只有 属性分配管理员 角色可以执行此操作。

问 153

您有一个 Microsoft Entra 租户，其配置如下图所示。

租户包含下表所示的身份。

您购买了 Microsoft Fabric 许可证。

您可以将许可证分配给哪些身份？

A.. 仅限用户1
B.. 仅限用户 1 和组 1
C.. 仅限用户 1 和组 2
D.. 用户 1、组 1 和组 2

建议答案：

正确答案：

B. 仅限用户 1 和组 1

-----------------

正确选项解释：

B. 仅限用户 1 和组 1 ：

Microsoft Entra ID 中的许可证可以分配给单个用户和安全组。Group1 是一个 安全组 ，支持基于组的许可。User1是一个用户帐户，也可以直接为其分配许可证。

-----------------

其他选项说明：

A. 仅限用户 1 ：

此选项忽略了向 Group1 等安全组分配许可证的有效能力。

C. 用户 1、组 1 和组 2 ：

Group2 是 Microsoft 365 组 ， 不能用于 Microsoft Entra ID 中基于组的许可证分配。仅支持使用安全组来实现此目的。

问 154

你有一个 Azure 订阅，其中包含名为 storage 的存储帐户。该存储帐户包含一个用于存储图像的 Blob。

使用共享访问签名 (SAS) 授予客户端对 storage1 的访问权限。

您需要确保用户在生成超过七天时间段的 SAS 时收到警告消息。

您应该如何进行存储？

A.. 启用只读锁。
B.. 配置警报规则。
C.. 添加生命周期管理规则。
D.. 将“允许共享访问签名 (SAS) 到期间隔的建议上限”设置为“启用”。

建议答案：

正确答案：

D. 将“允许共享访问签名 (SAS) 到期间隔的建议上限”设置为“启用”。

-----------------

正确选项解释：

D. 将“允许共享访问签名 (SAS) 到期间隔的建议上限”设置为“启用”。 ：

此设置强制执行建议的 SAS 令牌到期上限（例如 7 天）。 This setting forces a recommended upper limit (such as 7 days) for SAS token expiry. 启用后，如果用户尝试生成超过此限制的 SAS，则会收到警告，这直接满足了问题中的要求。

-----------------

其他选项说明：

A. 启用只读锁。 ：

这可以防止对存储帐户进行更改，但不会影响 SAS 生成或到期设置。

B.配置警报策略。 ：

警报可以通知某些活动，但不会在 SAS 创建期间提供警告或强制执行到期限制。

C.添加生命周期管理规则。 ：

生命周期规则管理 blob 数据（例如，删除、分层），但不控制或警告 SAS 到期时间。

问 155

您有一个名为 Subscription1 的 Azure 订阅，其中包含下表所示的存储帐户：

您计划使用 Azure 导入/导出服务从 Subscription1 导出数据。

您需要确定哪个存储帐户可用于导出数据。

你应该识别什么？

A.. 存储1
B.. 存储2
C.. 存储3
D.. 存储4

建议答案：

正确答案： D.storage4

-----------------

解释：

D. 存储4 ：

这是一个 BlobStorage 帐户，现已确认受 Azure 导入/导出服务支持。

A. 存储1 ：

带有 Azure 文件的经典存储帐户 — 不支持 Azure 文件。

B. 存储2 ：

虽然它是一个 StorageV2 帐户，但它只包含 文件和表 数据 - 不支持 Azure 文件。

C. 存储3 ：

仅包含队列数据 — 不支持导入/导出。

额外的：

>据最新消息：

Azure 导入/导出服务支持：

- 标准通用 v2 存储帐户（StorageV2）

- BlobStorage 帐户

- 通用 v1 存储帐户

不支持导出：

- 不支持 Azure 文件
- 不支持从存档层导出

问 156

热点 -

您拥有 Azure 存储帐户，如下图所示。

使用下拉菜单根据图形中显示的信息选择完成每个陈述的答案选项。

注意：每个正确选择值一分。

热点区域：

建议答案：

您可以将 [答案选择] 用于 Azure 表存储。

storageaccount1 和 storageaccount2

您可以将 [答案选择] 用于 Azure Blob 存储。

所有三个存储账户

额外的：

存储帐户类型说明 通用 v2 (GPv2)帐户是支持 blob 、文件、队列和表的所有最新功能的存储帐户。

Blob 存储帐户支持与 GPv2 相同的所有 块 Blob 功能，但仅限于支持 块 Blob 。

通用 v1 (GPv1) 帐户提供对所有 Azure 存储 服务的访问权限，但可能没有最新功能或每 GB 价格最低。

问 157

您拥有包含以下位置的数据的 Azure 订阅：

您计划使用名为 Export1 的 Azure 导入/导出作业导出数据。

您需要识别可以使用 Export1 导出的数据。

您应该识别哪些数据？

A.. DB1
B.. 容器1
C.. 分享1
D.. 表1

建议答案：

B. 容器1

-----------------

答：DB1 – 不正确，因为无法使用 Azure 导入/导出导出 SQL 数据库。此服务旨在与 Azure Blob 存储 进行大规模数据传输。

C. share1 – 不正确，因为 Azure Import/Export 不支持 Azure Files 。该服务仅支持 Blob Storage 。

D. Table1 – 不正确，因为 导入/导出 不支持 Azure 表存储 。此方法只能导出 Blob 数据。

问 158

热点 -

您有一个名为 storage1 的 Azure 存储帐户。

你有一个名为 App1 的 Azure 应用服务应用和一个名为 App2 的应用，它们在 Azure 容器实例中运行。每个应用都使用一个托管标识。

您需要确保 App1 和 App2 可以从 storage1 读取 blob。该解决方案必须满足以下要求：

✑ 尽量减少使用的秘密数量。

✑ 确保 App2 在接下来的 30 天内只能从 storage1 读取数据。

您应该为每个应用在存储1中配置什么？请在答案区域中选择相应的选项来回答。

注意：每个正确选择值一分。

热点区域：

建议答案：

您应该在 storage1 中为每个应用程序配置什么？

App1：访问控制（IAM）

App2：共享访问签名 (SAS)

-----------------

App1：访问密钥 ——不正确，因为使用 访问密钥 涉及秘密，这违反了最小化秘密数量的要求。

App1：高级安全性 ——不正确，因为它不是授予对 blob 的访问权限的方法。

App1：共享访问签名 (SAS) – 不正确，因为 SAS 涉及生成和管理机密，这对于使用托管身份的长期访问来说并不理想。

App2：访问密钥 ——不正确，因为它使用秘密并且不允许限时访问控制。

App2：高级安全性 ——不正确，因为它不直接控制访问权限。

App2：访问控制（IAM） ——不正确，因为 IAM 不支持 30 天要求等限时访问；SAS 更适合临时访问。

问 159

热点 -

您需要创建一个满足以下要求的 Azure 存储帐户：

✑ 降低成本

✑ 支持热、冷和存档 blob 层

✑ 如果灾难影响帐户所在的 Azure 区域，则提供容错功能

你应该如何完成这个命令？请在答案区域中选择相应的选项来回答。

注意：每个正确选择值一分。

热点区域：

建议答案：

您应该如何完成该命令？

--kind 存储V2

--sku 标准_GRS

-----------------

--kind FileStorage – 不正确，因为 FileStorage 帐户针对文件共享进行了优化，并且不支持热、冷和存档等 blob 层。

--kind 存储 – 不正确，因为这是一种遗留类型，不支持所有功能，包括分层和存档。

--sku Standard_LRS – 不正确，因为 LRS （本地冗余存储）不提供 区域容错 。

--sku Standard_RAGRS – 不正确，因为尽管它提供了 读取访问地理冗余，但它比 Standard_GRS 更昂贵，并且要求尽量 减少成本 。

--sku Premium_LRS – 不正确，因为高级存储更昂贵，通常用于高性能工作负载，而不是成本最小化。

问 160

您有一个 Azure 订阅，其中包含下表中的资源。

Store1 包含一个名为 data 的文件共享。Data 包含 5,000 个文件。

您需要将名为 data 的文件共享中的文件同步到名为 Server1 的本地服务器。

您应该执行哪三个操作？每个正确答案都代表了解决方案的一部分。

注意：每个正确选择值一分。

A.. 创建容器实例
B.. 注册服务器1
C.. 在 Server1 上安装 Azure 文件同步代理
D.. 下载自动化脚本
E.. 创建同步组

建议答案：

正确答案

B. 注册Server1

C. 在 Server1 上安装 Azure 文件同步代理

E. 创建同步组

-----------------

C. 在 Server1 上安装 Azure 文件同步代理 – 这是第一步。必须在本地服务器上安装代理才能启用 Azure 文件同步功能。安装结束时，将启动服务器注册过程。

B. 注册服务器 1 – 安装代理后，将服务器注册到 Azure 存储同步服务。此步骤将服务器连接到 Azure 进行同步。

E. 创建同步组 – 同步组定义 Azure 文件共享和注册服务器之间的同步关系，实现文件同步。

A. 创建容器实例 ——不正确，因为容器实例与 Azure 文件同步无关，并且用于运行容器化应用程序。

D. 下载自动化脚本 ——不正确，因为自动化脚本不是标准 Azure 文件同步设置过程的一部分。

问 161

热点 -

您有一个 Azure 订阅，其中包含下表所示的资源。

VM1的状态为正在运行。

如下图所示，您分配了一个 Azure 策略。（单击“图表”选项卡。）

您可以使用以下参数分配策略：

Microsoft.ClassicNetwork/虚拟网络

Microsoft.Network/虚拟网络

Microsoft.Compute/虚拟机

对于以下每个陈述，如果其为真，请选择“是”。否则，请选择“否”。

注意：每个正确选择值一分。

热点区域：

建议答案：

正确答案

1. 管理员可以将 VNET1 移动到 RG2：否

2. VM1的状态变为已释放：否

3. 管理员可以修改VNET2的地址空间：否

-----------------

1. 管理员可以将 VNET1 移动到 RG2：否 – 分配给 RG2 的策略阻止了资源类型 Microsoft.Network/virtualNetworks 。将 VNET1 移动到 RG2 会违反此策略，因此不允许。

2. VM1 的状态更改为已解除分配：否 – 该策略不影响虚拟机的运行状态。它仅限制与指定资源类型（虚拟网络）相关的操作。

3. 管理员可以修改 VNET2 的地址空间：否 – 由于 VNET2 位于 RG2 中，并且策略阻止 Microsoft.Network/virtualNetworks ，因此不允许修改 VNET2（包括其地址空间）。

问 162

拖放 -

您有一个包含存储帐户的 Azure 订阅。

您有一个名为 Server1 的本地服务器，运行 Windows Server 2016。Server1 有 2 TB 的数据。

您需要使用 Azure 导入/导出服务将数据传输到存储帐户。

你应该按照什么顺序执行这些操作？要回答这个问题，请将所有操作从操作列表移到答案区域，并按正确的顺序排列它们。

注意：答案选项的正确顺序不止一个。您将根据您选择的任何正确顺序获得分数。

选择并放置：

建议答案：

Azure 导入/导出的正确操作顺序

1. 将外部磁盘连接到 Server1，然后运行 waimportexport.exe

2. 从 Azure 门户创建导入作业

3. 从 Server1 上拆下外部磁盘，然后将磁盘运送到 Azure 数据中心

4. 从 Azure 门户更新导入作业

-----------------

步骤 1：将外部磁盘连接到 Server1，然后运行 waimportexport.exe 。此工具通过加密和复制数据来准备磁盘。它还会生成导入作业所需的日志文件。

步骤 2：从 Azure 门户创建导入作业 - 准备好磁盘后，创建导入作业并上传日志文件。这将注册该作业并提供运送详细信息。

步骤 3：从 Server1 分离外部磁盘，然后将磁盘运送到 Azure 数据中心 - 物理磁盘被发送到 Microsoft 进行数据提取。

步骤 4：从 Azure 门户更新导入作业 – 使用运输和跟踪信息更新作业以完成该过程。

问 163

热点 -

您拥有包含以下 Azure 文件共享的 Azure 订阅：

您拥有以下本地服务器：

您创建一个名为 Sync1 的存储同步服务和一个名为 Group1 的 Azure 文件同步组。Group1 使用 share1 作为云终结点。

您在 Sync1 中注册了 Server1 和 Server2。您将 Server1 上的 D:\Folder1 添加为 Group1 的服务器端点。

对于以下每个陈述，如果其为真，请选择“是”。否则，请选择“否”。

注意：每个正确选择值一分。

热点区域：

建议答案：

正确答案

share2 可以添加为组 1 的云端点：否

服务器 1 上的 E:\Folder2 可以添加为组 1 的服务器端点：否

可以将服务器 2 上的 D:\Data 添加为组 1 的服务器端点：是

-----------------

share2 是否可以添加为组 1 的云端点：否 – 一个同步组只能有一个 云端点 ，并且 share1 已被使用。您无法将 share2 添加到同一组。

服务器 1 上的 E:\Folder2 可以添加为组 1 的服务器终结点：否 –每个同步组只能有一个 服务器终结点。由于 D:\Folder1 已从服务器 1 添加，因此无法将 E:\Folder2 添加到同一组。

可以将服务器 2 上的 D:\Data 添加为组 1 的服务器终结点：是 - 已注册的服务器可以支持跨不同同步组的多个 服务器终结点 。由于服务器 2 已在组 1 中注册但尚未使用，因此它可以将 D:\Data 添加为该组中的服务器终结点。

额外的：

Azure 文件同步服务器端点规则

✔ 一个注册服务器可以支持多个服务器端点

✔ 每个同步组可以有一个服务器终结点

✔ 一个服务器可以参与多个同步组

-----------------

这意味着：

✅ 一个服务器可以同步多个文件夹，但每个文件夹必须属于不同的 同步组 。

✅ 在单个 同步组 内，一个服务器只能提供 一个文件夹 作为服务器端点。

✅ 所以是的，一个注册的服务器可以有多个文件夹作为服务器端点，但每个文件夹必须属于不同的同步组。

问 164

拖放 -

您有一个名为 Subscription1 的 Azure 订阅。

创建一个名为 contosostorage 的 Azure 存储帐户，然后创建一个名为 data 的文件共享。

您应该在引用数据文件共享中文件的脚本中包含哪个 UNC 路径？要回答这个问题，请将相应的值拖动到正确的目标。每个值可以使用一次、多次或根本不使用。您可能需要在窗格之间拖动拆分条或滚动查看内容。

注意：每个正确选择值一分。

选择并放置：

建议答案：

正确的 UNC 路径

\\contosostorage.file.core.windows.net\数据

-----------------

contosostorage – 这是 Azure 存储帐户的名称。

文件 – 这表明该资源是文件共享，而不是 blob 容器。

files.core.windows.net – 这是用于访问 Azure 文件共享的域。

数据 – 这是在存储帐户中创建的文件共享的名称。

blob – 不正确，因为它指的是 blob 存储，而不是文件共享。

portal.azure.com – 不正确，因为它是 Azure 管理门户，未在 UNC 路径中使用。

subscription1 – 不正确，因为订阅名称不是 UNC 路径的一部分。

问 165

热点 -

您有一个包含 Azure 存储帐户的 Azure 订阅。

您计划将本地虚拟机映像复制到名为 vmimages 的容器中。

您需要为计划的图像创建容器。

您应该运行哪个命令？要回答这个问题，请在答案区域中选择相应的选项。

注意：每个正确选择值一分。

热点区域：

建议答案：

创建容器的正确命令

azcopy 制作“https://mystorageaccount.blob.core.windows.net/vmimages”

-----------------

azcopy make – 正确，因为 make 命令用于在 Azure 存储中创建容器或目录。

azcopy sync – 不正确，因为同步用于在源和目标之间同步文件，而不是用于创建容器。

azcopy copy – 不正确，因为 copy 用于复制文件，而不是创建容器。

blob – 正确，因为 blob.core.windows.net 是访问 Azure 存储中的 blob 容器的正确域。

dfs 、 queue 、 table 、 images 、 file – 不正确，因为在此上下文中，这些不是用于创建 Blob 容器的有效域或服务。

问 166

热点 -

您有一个 Azure 文件同步组，其终结点如下表所示。

已为 Endpoint3 启用云分层。

您将名为 File1 的文件添加到 Endpoint1，并将名为 File2 的文件添加到 Endpoint2。

在添加文件后的 24 小时内，File1 和 File2 将在哪些端点上可用？请在答案区域中选择相应的选项来回答。

注意：每个正确选择值一分。

热点区域：

建议答案：

正确答案：

文件 1：仅端点 1

文件 2：端点 1、端点 2 和端点 3

-----------------

解释：

当 File1 添加到 云端点 (Endpoint1) 时，它不会立即出现在服务器端点上。Azure 文件同步依靠 检测作业 来扫描云端点，此作业每 24 小时 运行一次。

因此，在添加 File1 后的 24 小时内，保证它仅在Endpoint1 上可用。它可能会在下次计划扫描后出现在 Endpoint2 和 Endpoint3 上，但不一定在 24 小时内出现。

文件 2：端点 1、端点 2 和端点 3 – 当文件添加到 服务器端点 （端点 2）时，它会同步到 云端点 （端点 1），然后通过云端同步到其他 服务器端点 （端点 3）。同样，端点 3 可能会对文件进行分层，但该文件仍然可见且可访问。

问 167

热点 -

您在名为 VNet1 的虚拟网络上拥有多个 Azure 虚拟机。

您可以配置 Azure 存储帐户，如下图所示。

使用下拉菜单根据图形中显示的信息选择完成每个陈述的答案选项。

注意：每个正确选择值一分。

热点区域：

建议答案：

问题 3-13

1. 10.2.9.0/24 子网上的虚拟机将具有对存储帐户中的文件共享的 ________ 访问权限

答案：C.从不

2. Azure Backup 将能够备份存储帐户中所有虚拟机的非托管硬盘

答案：C.从不

-----------------

正确选项解释：

C. 从不 （针对问题 1）— 尽管子网已在防火墙规则中列出，但访问文件共享需要启用私有端点或启用网络路由。由于两者都未配置，因此访问被拒绝。

C. 从不 （针对问题 2）— Azure Backup 是受信任的 Microsoft 服务。由于未启用允许受信任服务的复选框，因此即使在备份操作期间也无法访问存储帐户。

其他选项说明：

A. 总是 （对于 Q1）——不正确，因为如果没有私有端点或正确的路由配置，则不授予访问权限。

B. 在备份期间 （对于 Q1）——不正确，因为特定于备份的访问不适用于对文件共享的一般 VM 访问。

A. 始终 （对于 Q2）— 不正确，因为 Azure Backup 没有持久访问权限，并且不允许使用受信任的服务。

B. 在备份期间 （对于 Q2）——不正确，因为当不允许受信任的 Microsoft 服务时，即使是临时访问也会被阻止。

问 168

热点 -

你有一个名为 Sync1 的同步组，该组包含一个云端点。该云端点包含一个名为 File1.txt 的文件。

您的本地网络包含运行 Windows Server 2016 的服务器。服务器的配置如下表所示。

您将 Share1 添加为 Sync1 的端点。一小时后，您将 Share2 添加为 Sync1 的端点。

对于以下每个陈述，如果其为真，请选择“是”。否则，请选择“否”。

注意：每个正确选择值一分。

热点区域：

建议答案：

问题 3-14

1. 在云端点，File1.txt 被 Share1 中的 File1.txt 覆盖

答案：否

2. 在 Server1 上，File1.txt 被来自云端点的 File1.txt 覆盖

答案：否

3. File2.txt 从 Share1 复制到 Share2

答案：是的

-----------------

正确选项解释：

否（针对问题 1）— 在添加 Share1 之前，云终结点中已存在 File1.txt。添加新的服务器终结点时，Azure 文件同步不会 覆盖云终结点中的现有文件， 除非该文件较新或存在冲突解决方案。

否（对于 Q2）— 由于 File1.txt 已经存在于 Server1 和云端点中，并且没有引入较新的版本，因此不会发生覆盖。

是（对于 Q3）— File2.txt 存在于 Share1 中，并已复制到云端点。添加 Share2 后，它会与云端点同步，因此 File2.txt 会被复制到 Share2。

其他选项说明：

是（对于 Q1）— 不正确，因为除非存在版本冲突，否则 Azure File Sync 在添加新的服务器端点时不会自动覆盖云端点中的文件。

是（对于 Q2）——不正确，因为除非云版本较新或存在同步冲突，否则不会发生覆盖。

否（对于 Q3）— 不正确，因为 File2.txt 同时存在于 Share1 和云端点中，并且添加后它将同步到 Share2。

Azure 文件同步冲突解决

Azure File Sync 使用简单的 冲突解决策略 ：当同时回显到两个端点时，两个更改都会被保留。

最近写入的更改 保留原始文件名。

较旧的文件 （由 LastWriteTime 确定）具有附加到文件名 的端点名称 和 冲突编号。

对于 服务器端点 ，端点名称就是 服务器的名称 。

对于 云端点 ，端点名称是 Cloud 。

命名格式为： <FilenameWithoutExtension>-<endpointName>(#)

问 169

您有一个 Azure 订阅，其中包含下表所示的存储帐户。

您需要通过向 Azure 支持请求实时迁移来确定哪个存储帐户可以转换为区域冗余存储 (ZRS) 复制。

你应该识别什么？

A.. 存储1
B.. 存储2
C.. 存储3
D.. 存储4

建议答案：

问题 3-15

答案：B.Storage2

-----------------

正确选项解释：

B.Storage2 — 这是一个具有标准性能和 LRS复制功能的 StorageV2 帐户，满足实时迁移到 ZRS 的 要求。Azure 支持符合条件的 StorageV2 帐户从 LRS 实时迁移到 ZRS。

其他选项说明：

A. Storage1 — 不正确，因为它是 通用 v1 帐户，并且使用 Premium 性能。此配置不支持实时迁移到 ZRS。

C. Storage3 — 不正确，因为它使用了高级性能和 RA-GRS 复制。RA-GRS 或高级性能层不支持实时迁移到 ZRS。

D. Storage4 — 不正确，因为它是一个 BlobStorage 帐户，而不是通用 v2 帐户。BlobStorage 帐户不符合实时迁移到 ZRS 的条件。

ZRS 支持和转换规则

ZRS 支持以下 存储帐户类型 ：

- 标准通用 v2 帐户

- 高级文件共享帐户

- 高级 Block Blob 帐户

仅GPv2 和 高级文件共享 存储帐户支持转换（不支持 Blob 帐户 ）。

要从GRS/RA-GRS 转换为 ZRS ，您必须先切换到 LRS （无法从 RA-GRS 直接转换）。

问 170

您有一个 Azure 订阅，其中包含一个名为 account1 的存储帐户。

您计划将虚拟机的磁盘文件从本地网络上传到 account1。本地网络使用以下公网 IP 地址空间：

131.107.1.0/24。

你计划使用磁盘文件预配名为 VM1 的 Azure 虚拟机。VM1 将连接到名为 VNet1 的虚拟网络。VNet1 使用的 IP 地址空间为 192.168.0.0/24。

您需要配置account1满足以下要求：

✑ 确保您可以将磁盘文件上传到帐户1。

✑ 确保您可以将磁盘连接到 VM1。

✑ 阻止所有其他用户访问 account1。

您应该执行哪两个操作？每个正确答案都代表了解决方案的一部分。

注意：每个正确选择值一分。

A.. 从 account1 的网络边栏选项卡中，选择选定的网络。
B.. 从 account1 的网络边栏选项卡中，选择允许受信任的 Microsoft 服务访问此存储帐户。
C.. 从 account1 的网络边栏选项卡中，添加 131.107.1.0/24 IP 地址范围。
D.. 从 account1 的网络边栏选项卡中添加 VNet1。
E.. 从 VNet1 的服务终结点边栏选项卡添加服务终结点。

建议答案：

答案：A. 从 account1 的网络边栏选项卡中，选择选定的网络。

答案：C。从您的本地网络添加 131.107.0.0/24 IP 地址范围。

-----------------

正确选项解释：

A. 选定网络 - 这是强制执行网络级访问控制的关键设置。它确保只有明确允许的 IP 范围和 VNet 才能访问存储帐户，从而满足阻止所有其他访问的要求。

C. 添加 131.107.0.0/24 — 这允许本地网络将磁盘文件上传到存储帐户，这是核心要求之一。

其他选项说明：

B. 允许受信任的 Microsoft 服务 ——不正确，因为它允许来自 Microsoft 服务的更广泛的访问，这违反了阻止所有其他访问的要求。

D. 添加 VNet1 — 仅此一项还不够。虽然它定义了网络范围，但它不支持在没有服务端点的情况下路由到存储帐户。

E. 添加服务终结点 - 将磁盘附加到 VM1 时无需添加服务终结点。Azure 会在内部处理磁盘附加操作，VM1 无需通过网络直接访问存储帐户即可执行此操作。

问 171

拖放 -

您有一个名为 Server1 的本地文件服务器，运行 Windows Server 2016。

您有一个包含 Azure 文件共享的 Azure 订阅。

您部署 Azure 文件同步存储同步服务，并创建同步组。

您需要将文件从 Server1 同步到 Azure。

你应该按顺序执行哪三个操作？要回答这个问题，请将相应的操作从操作列表中移到答案区域，并按正确的顺序排列它们。

选择并放置：

建议答案：

问题 3-17

答案：1. 在 Server1 上安装 Azure 文件同步代理

答案：2.注册Server1

答案：3.添加服务器端点

-----------------

正确选项解释：

在 Server1 上安装 Azure 文件同步代理 — 这将安装必要的软件以使 Server1 能够参与 Azure 文件同步。

注册服务器 1 — 安装代理后，您必须向 Azure 中的存储同步服务注册该服务器。

添加服务器端点 — 这会将 Server1 上的本地文件夹链接到同步组，从而实现与 Azure 文件共享的同步。

其他选项说明：

创建 Azure 本地数据网关 - 与 Azure 文件同步无关；用于 Power BI、Logic Apps 等。

创建恢复服务保管库 - 用于备份和恢复，而不是用于文件同步。

在 Server1 上安装 DFS 复制服务器角色 — Azure 文件同步不需要；DFS 是一种单独的复制技术。

问 172

热点 -

您计划在美国东部 2 的 Azure 区域创建一个 Azure 存储帐户。

您需要创建一个满足以下要求的存储帐户：

✑ 同步复制。

✑ 如果区域中的单个数据中心发生故障，仍然可用。

您应该如何配置存储帐户？请在答案区域中选择相应的选项来回答。

注意：每个正确选择值一分。

热点区域：

建议答案：

问题 3-18

答案：4.区域冗余存储（ZRS）

答案：3.StorageV2（通用v2）

-----------------

正确选项解释：

区域冗余存储 (ZRS) - ZRS 在一个区域内的三个可用区之间同步复制数据，即使一个数据中心发生故障也能确保高可用性。

StorageV2（通用 v2） ——这是推荐的、最灵活的帐户类型，支持 ZRS 和所有现代功能。

其他选项说明：

地理冗余存储 (GRS) — 异步复制到辅助区域，不适合同步复制。

本地冗余存储 (LRS) — 同步复制但仅在单个数据中心内进行，因此不符合可用性要求。

读取访问地理冗余存储 (RA GRS) — 与 GRS 一样，它是异步的，不适合要求。

Blob 存储 ——仅限于 Blob 工作负载，不支持所有冗余选项。

StorageV1（通用 v1） ——传统账户类型，功能较少，不支持 ZRS。

问 173

您计划使用 Azure 导入/导出服务将文件复制到存储帐户。

在准备驱动器进行导入作业之前，您应该创建哪两个文件？每个正确答案都代表了解决方案的一部分。

注意：每个正确选择值一分。

A.. XML 清单文件
B.. 数据集 CSV 文件
C.. JSON 配置文件
D.. 一个 PowerShell PS1 文件
E.. 驱动器集 CSV 文件

建议答案：

答案：B.数据集 CSV 文件

答案：E. 驱动器集 CSV 文件

-----------------

正确选项解释：

B. 数据集 CSV 文件 — 此文件指定要导入到 Azure 的文件和文件夹列表。它定义了数据布局，并且是导入作业所必需的。

E. 驱动器集 CSV 文件 — 该文件包含有关导入作业中使用的驱动器的元数据，包括驱动器 ID 和目标存储帐户信息。

其他选项说明：

A. XML 清单文件 - 未在 Azure 导入/导出中使用；这不是所需文件集的一部分。

C. JSON 配置文件 - 导入过程不需要；Azure 导入/导出使用 CSV 文件，而不是 JSON。

D. PowerShell PS1 文件 — 虽然 PowerShell 脚本可用于自动执行任务，但它们不是准备导入作业所需的文件。

问 174

您有一个用于测试备份的恢复服务保管库。测试备份包含两个受保护的虚拟机。

您需要删除恢复服务保管库。

您首先应该做什么？

A.. 从恢复服务保管库中删除备份数据。
B.. 修改每个虚拟机的灾难恢复属性。
C.. 修改每个虚拟机的锁。
D.. 从恢复服务保管库中停止每个备份项的备份。

建议答案：

答案：D. 从恢复服务保管库中停止每个备份项的备份。

-----------------

正确选项解释：

D. 停止每个备份项的备份 — 删除恢复服务保管库之前，必须先停止所有受保护项的备份。此操作将取消注册这些项，并准备删除保管库。

其他选项说明：

A. 删除备份数据 — 备份停止后才能删除备份数据。此步骤在停止备份后执行。

B. 修改灾难恢复属性 - 与删除恢复服务保管库无关。此设置与复制相关，而非备份。

C. 修改每个虚拟机的锁 — 虚拟机锁不会影响删除恢复服务保管库的功能。这与备份配置无关。

恢复服务保管库删除要求

您有一个用于测试备份的 恢复服务保管库。测试备份包含两个 受保护的虚拟机 。

您需要 删除恢复服务保管库 。

您首先应该做什么？

A. 从恢复服务保管库中删除备份数据。

B.修改每个虚拟机的灾难恢复属性。

C.修改各个虚拟机的锁。

D. 从恢复服务保管库中 停止每个备份项的备份 。

问 175

热点 -

您有一个名为 Subscription1 的 Azure 订阅，其中包含下表所示的资源。

在 storage1 中，创建一个名为 blob1 的 blob 容器和一个名为 share1 的文件共享。

哪些资源可以备份到Vault1和Vault2？请在答案区域中选择相应的选项进行回答。

注意：每个正确选择值一分。

热点区域：

建议答案：

问题 3-21

可以使用 Vault1 进行备份：

答案：仅限 VM1

可以使用 Vault2 进行备份：

答案：仅限 storage1

-----------------

正确选项解释：

Vault1 – 仅限 VM1 — VM1 位于美国中部，Vault1 也位于美国中部。Azure 备份要求恢复服务保管库和资源位于同一区域，因此此设置有效。

Vault2 – 仅限 storage1 — storage1 位于美国西部，Vault2 也位于美国西部。当两者位于同一区域时，支持文件共享备份。

其他选项说明：

仅限 VM1 和 storage1 — 对于任何一个保管库来说都是不正确的，因为 VM1 和 storage1 分别位于与 Vault2 和 Vault1 不同的区域。

仅 VM1 和 SQL1 — 不正确，因为 SQL1 位于美国东部，与 Vault1 和 Vault2 位于不同的区域。

仅 VM1、storage1 和 SQL1 — 不正确，因为 SQL1 位于美国东部，无法备份到任何一个保管库。

仅限 blob1 和 share01 — 在此上下文中，blob1 未列为可备份项目。

仅限 storage01 和 SQL01 — SQL01 位于美国东部，无法备份到美国西部的 Vault2。

问 176

您有一个名为 Subscription1 的 Azure 订阅。

您有 5 TB 的数据需要传输到 Subscription1。

您计划使用 Azure 导入/导出作业。

您可以使用什么作为导入数据的目的地？

虚拟机
B.. Azure Cosmos DB 数据库
C.. Azure 文件存储
D.. Azure 文件同步存储同步服务

建议答案：

正确答案：

C..Azure 文件存储

说明： Azure 导入/导出支持将数据导入 Azure Blob 存储 和 Azure 文件存储 ，使其适合使用物理驱动器传输 5 TB 等大型数据集。

-----------------

虚拟机

这是不正确的，因为 Azure 导入/导出无法将数据直接导入虚拟机；必须先将数据导入存储，然后手动移动到虚拟机。

B..一个 Azure Cosmos DB 数据库

Azure 导入/导出不支持直接导入 Azure Cosmos DB；必须使用 Azure 数据工厂等工具转换和提取数据。

D..Azure 文件同步存储同步服务

此服务将本地文件服务器与 Azure 文件存储同步，但不是导入/导出作业的直接目的地。

问 177

热点 -

您有一个 Azure 订阅。

您创建如下图所示的 Azure 存储帐户。

使用下拉菜单根据图形中显示的信息选择完成每个陈述的答案选项。

注意：每个正确选择值一分。

热点区域：

建议答案：

正确答案：

存储帐户的最小副本数为：3

如果此帐户中不经常访问的数据，为了降低成本，您必须修改：访问层

说明： 本地冗余存储 (LRS) 会在单个数据中心内保留 3 个数据副本，以确保持久性。 访问层 设置会根据数据访问频率确定成本模型；从 “热” 切换到 “冷” 或 “归档” 可以降低不频繁访问的成本。

-----------------

GRS 或 ZRS 等其他复制选项 提供了更多的冗余，但这里不使用；LRS 是最基本的，具有 3 个本地副本。

其他设置 （例如性能、帐户类型或网络）不会直接影响不经常访问的数据的成本；只有 访问层 设置才会影响。

问 178

您有一个名为 storage1 的 Azure 存储帐户。

您计划使用 AzCopy 将数据复制到存储 1。

您需要识别 storage1 中可以将数据复制到的存储服务。

您应该识别哪些存储服务？

Blob 、文件、表和队列
B.. 仅限 blob 和文件
仅限C.. 文件和表
仅限D.. 文件
E.. 仅限 blob、表和队列

建议答案：

正确答案：

仅限 B..blob 和文件

说明： AzCopy 仅支持在 Azure Blob 存储 和 Azure 文件存储 之间传输数据；它不支持表或队列服务。

-----------------

A..blob、文件、表和队列

这是不正确的，因为 AzCopy 不支持表或队列服务 - 仅支持 Blob 和文件。

仅限 C..文件和表

这是不正确的，因为 AzCopy 不支持 Table，而 Blob 受支持但在这里缺失。

仅限 D..文件

仅限 E..blob、表和队列

这是不正确的，因为 AzCopy 不支持 Table 和 Queue；只有 Blob 和 File 受支持。

问 179

热点 -

您有一个名为 storage1 的 Azure 存储帐户，该帐户使用 Azure Blob 存储和 Azure 文件存储。

您需要使用 AzCopy 将数据复制到 storage1 中的 blob 存储和文件存储。

对于每种类型的存储，您应该使用哪种身份验证方法？请在答案区域中选择相应的选项来回答。

注意：每个正确选择值一分。

热点区域：

建议答案：

问题 3-25 答案：

Blob 存储： 5. Azure Active Directory (Azure AD)、访问密钥和共享访问签名 (SAS)

文件存储： 3.访问密钥和共享访问签名（SAS）

-----------------

正确选项解释：

Blob 存储 - D： Blob 存储支持所有三种身份验证方法： Azure AD 用于基于角色的访问控制、 访问密钥 用于完全访问，以及 SAS 用于委托访问。因此，选项 D 是最全面、最正确的。

文件存储 - C： Azure Files 支持使用 访问密钥 和 SAS 进行身份验证。 Azure AD 仅在特定配置中受支持，因此 C 通常是正确的。

其他选项说明：

Blob 存储 - A： 仅 Azure AD 是不正确的，因为虽然受支持，但它不是唯一的方法。

Blob 存储 - B： SAS 太有限；访问密钥和 Azure AD 也有效。

Blob 存储 - C： 访问密钥和 SAS 有效，但省略了 Azure AD（也受支持）。

文件存储 - A： 仅 Azure AD 是不正确的，因为它并不总是受支持或配置。

文件存储 - B： SAS 太有限；访问密钥也有效。

文件存储 - D： 包括 Azure AD 会使其范围过于广泛，除非配置了域服务，但情况并非总是如此。

Azure AD 仅在特定配置中受支持 - 说明

Azure Files仅在与特定身份服务（例如 Active Directory 域服务 (AD DS) 、 Microsoft Entra 域服务 或用于混合身份的 Microsoft Entra Kerberos） 集成时才支持 基于 Azure AD 的身份验证[1](https://learn.microsoft.com/en-us/azure/storage/files/storage-files-active-directory-overview)。

这意味着要使用 Azure AD 对 Azure 文件进行身份验证，您的环境必须配置为支持通过 SMB 进行 基于 Kerberos 的身份验证 ，并且您的用户或应用程序必须加入域或混合加入。

如果没有这些配置，Azure Files 将不会直接接受 Azure AD 凭据，而必须依赖 访问密钥 或 共享访问签名 (SAS) 。

-----------------

重要性： 许多组织尚未设置 Azure AD DS 或混合身份，因此 Azure AD 身份验证并非普遍适用 于 Azure 文件存储。因此，除非已建立特定的身份基础结构，否则更广泛适用的方案是使用 访问密钥和 SAS 。

问 180

您有一个包含 Azure 存储帐户的 Azure 订阅。

您计划创建一个名为 container1 的 Azure 容器实例，该实例将使用名为 Image1 的 Docker 映像。Image1 包含需要持久存储的 Microsoft SQL Server 实例。

您需要为Container1配置存储服务。

你应该使用什么？

答： Azure 文件
B.. Azure Blob 存储
C.. Azure 队列存储
D.. Azure 表存储

建议答案：

问题 3-26 答案：

正确答案： A. Azure 文件

-----------------

正确选项解释：

Azure 文件 在云中提供完全托管的文件共享，可由 Azure 容器实例使用 SMB 协议或 NFS 装载。它支持持久存储场景，例如在容器内托管 SQL Server 数据库，使其成为此用例的最佳选择。

其他选项说明：

B. Azure Blob 存储： Blob 存储针对文档、图像和备份等非结构化数据进行了优化。它不支持 SQL Server 所需的文件系统语义。

C. Azure 队列存储： 队列存储用于应用程序组件之间的消息传递，而不是用于持久文件存储。

D. Azure 表存储： 表存储是 NoSQL 键值存储，不适合存储文件或数据库。

问 181

您有一个名为 App1 的应用程序，它在名为 VM1 和 VM2 的两个 Azure 虚拟机上运行。

您计划为 App1 实现 Azure 可用性集。该解决方案必须确保 App1 在硬件托管的计划维护期间可用

VM1 和 VM2。

可用性集中应包括什么？

A.. 一个更新域
B.. 两个故障域
C.. 一个故障域
D.. 两个更新域

建议答案：

问题 3-27 答案：

正确答案： D.两个更新域

-----------------

正确选项解释：

更新域 可确保在计划内维护期间，并非所有虚拟机都会同时重启。通过将 VM1 和 VM2 放置在不同的更新域中，可以确保维护期间至少有一台 VM 保持可用，从而满足要求。

其他选项说明：

A. 一个更新域： 如果两个虚拟机位于同一个更新域中，则它们可能会在维护期间一起重新启动，从而导致停机。

B. 两个故障域： 故障域用于防范计划外硬件故障，而非计划内维护。这不符合要求。

C. 一个故障域： 这不提供针对计划外故障的冗余，也不解决计划内维护场景。

问 182

您有一个名为 Subscription1 的 Azure 订阅。

您有 5 TB 的数据需要传输到 Subscription1。

您计划使用 Azure 导入/导出作业。

您可以使用什么作为导入数据的目的地？

Azure Cosmos DB 数据库
B.. Azure Blob 存储
C.. Azure 数据湖存储
D.. Azure 文件同步存储同步服务

建议答案：

问题 3-28 答案：

正确答案： B. Azure Blob 存储

-----------------

正确选项解释：

Azure 导入/导出 服务旨在使用硬盘驱动器在 Azure Blob 存储 之间传输大量数据。它支持将数据直接导入 Blob 容器，使其成为导入的 5 TB 数据的正确目标。

其他选项说明：

答：Azure Cosmos DB 数据库： Azure Import/Export 不支持。Cosmos DB 需要不同的数据迁移工具，例如数据迁移工具或 Azure 数据工厂。

C. Azure Data Lake Store： Azure Import/Export 不支持直接导入到 Data Lake Store。您需要先导入到 Blob 存储，然后再移动数据。

D. Azure File Sync 存储同步服务： 此服务用于将本地文件服务器与 Azure Files 同步，而不是用于通过导入/导出进行批量数据导入。

问 183

拖放 -

您有一个包含 Azure 文件共享的 Azure 订阅。

您有一个名为 Server1 的本地服务器，运行 Windows Server 2016。

您计划在 Server1 和 Azure 文件共享之间设置 Azure 文件同步。

您需要为计划的 Azure 文件同步准备订阅。

您应该在 Azure 订阅中执行哪两项操作？要回答这个问题，请将相应的操作拖到正确的目标。每个操作可以使用一次、多次或根本不使用。您可能需要拖动窗格之间的拆分条或滚动查看内容。

注意：每个正确选择值一分。

选择并放置：

建议答案：

问题 3-29 答案：

第一步： 创建存储同步服务

第二步： 创建同步组

-----------------

正确选项解释：

创建存储同步服务： 这是管理 Azure 文件共享和 Windows 服务器之间的同步关系所需的基础 Azure 资源。必须先在 Azure 订阅中创建它。

创建同步组： 同步组定义同步拓扑。它连接 Azure 文件共享和已注册的服务器，从而实现它们之间的同步。

其他选项说明：

安装 Azure 文件同步代理： 此操作在本地服务器 (Server1) 上完成，而不是在 Azure 订阅中完成。它允许服务器参与同步。

运行服务器注册： 安装代理后，也在本地服务器上执行。它会将服务器注册到 Azure 中的存储同步服务。

问 184

热点 -

您有一个 Azure 订阅，其中包含下表中显示的文件共享。

您拥有下表所示的本地文件共享。

创建一个名为 Sync1 的 Azure 文件同步组并执行以下操作：

✑ 添加 share1 作为 Sync1 的云端点。

✑ 将 data1 添加为 Sync1 的服务器端点。

✑ 将 Server1 和 Server2 注册到 Sync1。

对于以下每个陈述，如果其为真，请选择“是”。否则，请选择“否”。

注意：每个正确选择值一分。

热点区域：

建议答案：

问题 3-30 答案：

您可以将 share3 添加为 Sync1 的附加云端点： 否

您可以将 data2 添加为 Sync1 的附加服务器端点： 是

您可以将 data3 添加为 Sync1 的附加服务器端点： 否

-----------------

正确选项解释：

share3 - 否： Azure 文件同步不支持同一同步组内不同 Azure 区域中的多个云端点。由于 share1 位于美国西部，而 share3 位于美国东部，因此无法将 share3 添加到 Sync1。

data2 - 是： Server2 已注册到 Sync1，并且 Azure 文件同步支持同一同步组中的多个服务器终结点，只要它们位于不同的路径或服务器上。

data3 - 否： Server3 未注册到 Sync1，只有已注册的服务器才能添加为服务器端点。因此，除非先注册 Server3，否则无法添加 data3。

问 185

热点 -

您有一个名为 Subscription1 的 Azure 订阅，其中包含下表所示的资源：

您计划为 Vault1 配置 Azure 备份报告。

您正在配置 AzureBackupReports 日志的诊断设置。

您可以使用哪些存储帐户和哪些 Log Analytics 工作区来存储 Vault1 的 Azure 备份报告？要回答此问题，请在答案区域中选择相应的选项。

注意：每个正确选择值一分。

热点区域：

建议答案：

存储帐户：

仅限 storage3

Log Analytics 工作区：

Analytics1、Analytics2 和 Analytics3

-----------------

正确选项解释：

仅限 storage3 ：对于 Azure 备份报告，存储帐户必须与恢复服务保管库位于 同一区域 。Vault1 位于西欧，因此只有 storage3 （位于西欧）有效。

Analytics1、Analytics2 和 Analytics3 ：在大多数情况下，Log Analytics 工作区 不需要 与恢复服务保管库位于同一区域。因此，所有三个工作区（美国东部的 Analytics1、美国西部的 Analytics2 和西欧的 Analytics3）都是存储 Vault1 的 Azure 备份报告的有效选项。

-----------------

其他选项说明：

仅限 storage1： storage1 位于 美国东部 ，而不是西欧，因此不能与 Vault1 一起使用。

仅限 storage2： storage2 位于 美国西部 ，而不是西欧，因此对 Vault1 无效。

storage1、storage2、storage3：只有 storage3 与Vault1在同一个地域，storage1和storage2在不同地域，无法使用。

仅 Analytics1：虽然 Analytics1 有效，但它并不是唯一有效的选择，因为根据当前 Azure 规则，所有三个工作区均受支持。

仅限 Analytics2： Analytics2 有效，但不是唯一有效的工作区。

仅限 Analytics3： Analytics3 有效，但当前规则允许选择任何工作区，而不仅仅是 Analytics3。

问 186

热点 -

您有一个 Azure 订阅，其中包含下图所示的存储帐户。

使用下拉菜单根据图形中显示的信息选择完成每个陈述的答案选项。

注意：每个正确选择值一分。

热点区域：

建议答案：

您可以在

仅限 contoso104

您可以使用存档访问层

仅限 contoso101 或仅限 contoso103

-----------------

正确选项解释：

仅限 contoso104 ：高级文件共享仅在 FileStorage 帐户中受支持。从列表中可以看出，只有 contoso104 属于 FileStorage 类型，因此只有此帐户支持高级文件共享。

仅限 contoso101 或仅限 contoso103 ：存档访问层仅在 通用 v2（StorageV2） 和 BlobStorage 帐户中受支持。contoso101 （ StorageV2）和 contoso103 （BlobStorage）符合此条件。contoso102 （存储，通用 v1）和 contoso104 （ FileStorage）不支持存档层。

-----------------

其他选项说明：

仅限 contoso101： contoso101 是 StorageV2，但不支持高级文件共享；只有 FileStorage 才支持，所以这是不正确的。

仅限 contoso104：这对于高级文件共享是正确的，但对于存档访问层是不正确的，因为 FileStorage 不支持存档层。

仅限 contoso101 或 contoso104： contoso101 不是 FileStorage（它是 StorageV2），因此只有 contoso104 支持高级文件共享。

仅限 contoso101、contoso102 或 contoso104： contoso102 是存储 (v1)， contoso104 是文件存储，但只有 contoso104 支持高级文件共享，并且只有 StorageV2/BlobStorage 支持存档层。

contoso101、contoso102、contoso103 或 contoso104：仅 contoso104 支持高级文件共享，并且仅 contoso101 和 contoso103 支持存档层。

仅 contoso101 或仅 contoso103：这是存档层的正确选择，因为两者都支持它。

仅限 contoso101、contoso102 或 contoso103：这对于存档层来说是不正确的，因为 contoso102 （通用 v1）不支持存档。

仅限 contoso101、contoso102 和 contoso103：这对于存档层来说是不正确的，因为 contoso102 （存储 v1）不支持存档层。

仅限 contoso101、contoso102、contoso103 和 contoso104： contoso104 是 FileStorage，不支持存档层， contoso102 是 Storage v1，也不支持存档层。

问 187

热点 -

您有一个名为 Subscription1 的 Azure 订阅。

在 Subscription1 中，创建一个名为 share1 的 Azure 文件共享。

您创建一个名为 SAS1 的共享访问签名 (SAS)，如下图所示：

要回答，请在答案区域中选择适当的选项。

注意：每个正确选择值一分。

热点区域：

建议答案：

如果在 2018 年 9 月 2 日，您在 IP 地址为 193.77.134.1 的计算机上运行 Microsoft Azure 存储资源管理器，并使用 SAS1 连接到存储帐户，则您 [答案选择]。

将无法访问

如果在 2018 年 9 月 10 日，您在 IP 地址为 193.77.134.50 的计算机上运行 net use 命令，并使用 SAS1 作为密码连接到 share1，则您 [答案选择]。

将无法访问

-----------------

正确选项解释：

将无法访问 ：对于第一种情况，IP 地址 193.77.134.1 不在允许的 IP 范围内（193.77.134.10–193.77.134.50），因此无论其他设置如何，访问都会被拒绝。

将无法访问 ：对于第二种情况，即使 193.77.134.50 在允许的 IP 范围内，SAS 令牌也只允许 HTTPS 协议，但 net use 命令不支持 HTTPS（它使用 TCP 上的 SMB），因此访问被拒绝。

-----------------

其他选项说明：

将提示输入凭据：SAS 限制在网络/服务层，因此不会显示任何身份验证提示 - 访问被拒绝。

将具有读取、写入和删除访问权限：IP 或协议限制会在评估权限之前阻止访问，因此不会授予这些权限。

将具有读取、写入和列表访问权限：SAS 不授予列表权限，并且由于 IP/协议限制而拒绝访问。

将具有只读访问权限：即使 SAS 包含读取权限，由于 IP/协议限制，访问也会被拒绝。

问 188

您有两台 Azure 虚拟机，分别名为 VM1 和 VM2。您有两个恢复服务保管库，分别名为 RSV1 和 RSV2。

VM2 备份到 RSV1。

您需要将 VM2 备份到 RSV2。

您首先应该做什么？

A.. 从 RSV1 边栏选项卡中，单击“备份项目”并停止 VM2 备份
B.. 在 RSV2 边栏选项卡中，单击“备份”。在“备份”边栏选项卡中，选择虚拟机的备份，然后单击“备份”
C.. 从 VM2 边栏选项卡中，单击“灾难恢复”，单击“复制设置”，然后选择 RSV2 作为恢复服务保管库
D.. 从 RSV1 边栏选项卡中，单击“备份作业”并导出 VM2 作业

建议答案：

您应该做的第一件事是：

A..从 RSV1 刀片中，单击备份项目并停止 VM2 备份

-----------------

正确选项解释：

答：在 RSV1 边栏选项卡中，单击“备份项”并停止 VM2 备份 ：Azure VM 一次只能备份到一个恢复服务保管库。在将 VM2 备份到 RSV2 之前，必须先停止（删除）从 RSV1 备份 VM2。

-----------------

其他选项说明：

B..在 RSV2 边栏选项卡中，单击“备份”。在“备份”边栏选项卡中，选择虚拟机的备份，然后单击“备份”：当虚拟机仍在另一个保管库 (RSV1) 中备份时，您无法在新保管库 (RSV2) 中为其配置新的备份。

C..从 VM2 边栏选项卡中，单击“灾难恢复”，单击“复制设置”，然后选择 RSV2 作为恢复服务保管库：此选项用于灾难恢复（复制），而不是备份。

D..从 RSV1 边栏选项卡中，单击“备份作业”并导出 VM2 作业：导出备份作业不会移动或停止 VM2 的备份；您必须先停止备份，然后才能在 RSV2 中配置新的备份。

如果要更改恢复服务保管库，则需要取消关联之前的 RSV 并删除备份数据。要删除备份数据，您需要先停止备份。
所以：

1.停止RSV1中的备份（D）

2.删除备份数据。

3. 解除 RSV1 中的 VM 关联。

4. 在 RSV2 中关联 VM。

问 189

您有一个名为 storage1 的通用 v1 Azure 存储帐户，该帐户使用本地冗余存储 (LRS)。

您需要确保当区域发生故障时，存储帐户中的数据能够得到保护。解决方案必须最大限度地降低成本和管理工作量。

您首先应该做什么？

A.. 创建一个新的存储帐户。
B.. 配置对象复制规则。
C.. 将帐户升级到通用 v2。
D.. 修改storage1的Replication设置。

建议答案：

您应该做的第一件事是：

C..将帐户升级到通用 v2。

-----------------

正确选项解释：

C..将帐户升级到通用版本 v2。： 为了保护数据免受区域故障的影响，您需要使用区域冗余存储 (ZRS) 或异地冗余存储 (GRS)，这些存储仅在通用版本 v2 帐户上受支持。升级到 v2 后，您无需创建新的存储帐户即可选择这些复制选项，从而最大限度地降低成本和管理工作量。

-----------------

其他选项说明：

A..创建一个新的存储帐户：这不是必需的，因为您可以将现有帐户升级到 v2。

B..配置对象复制规则：对象复制用于同步帐户之间的 blob，而不是用于区域故障保护。

D..修改 storage1 的复制设置：您无法在 v1 帐户上将复制类型更改为 ZRS 或 GRS；您必须先升级到 v2。

额外的：

标准通用 v1 = LRS/GRS/RA-GRS
Blob 存储 = LRS/GRS/RA-GRS
标准通用 v2 = LRS/ZRS/GRS/RA-GRS/GZRS/RA-GZRS
高级块 blob = LRS/ZRS
高级页面 blob = LRS/ZRS
高级文件共享 = LRS/ZRS

问 190

您有一个 Azure 订阅，其中包含下表所示的存储帐户。

您计划使用生命周期管理规则来管理存储在帐户中的数据。

您可以将生命周期管理规则应用于哪些存储帐户？

A.. 仅限 storage1
B.. 仅限 storage1 和 storage2
C.. 仅限 storage3 和 storage4
D.. 仅限 storage1、storage2 和 storage3
E..storage1 、storage2、storage3 和 storage4

建议答案：

仅限 D..storage1、storage2 和 storage3

正确选项解释：

storage1 (StorageV2) 、 storage2 (BlobStorage) 和 storage3 (BlockBlobStorage) 支持生命周期管理规则，可让您使用定义的策略自动管理 Blob 数据。FileStorage 帐户不支持此功能。

-----------------

其他选项说明：

A..仅限storage1 – 不正确，因为BlobStorage和BlockBlobStorage帐户也支持生命周期管理。

B..storage1 和 storage2 仅 – 不正确，因为 BlockBlobStorage 也受支持。

C..storage3 和 storage4 仅 – 不正确，因为 FileStorage（storage4）不支持生命周期管理规则，并且省略了 StorageV2 和 BlobStorage。

E..storage1、storage2、storage3 和 storage4 – 不正确，因为 FileStorage（storage4）不支持生命周期管理规则。

额外的：

生命周期管理功能适用于所有 Azure 区域，适用于 通用 v2 (GPv2) 帐户、 Blob 存储 帐户、 高级块 Blob 存储 帐户和 Azure Data Lake Storage Gen2 帐户。

问 191

创建一个名为 contosostorage 的 Azure 存储帐户。

您计划创建一个名为数据的文件共享。

用户需要将驱动器从运行 Windows 10 的家用计算机映射到数据文件共享。

您应该在家庭计算机和数据文件共享之间打开哪个出站端口？

答.. 80
B.. 443
C.. 445
D.. 3389

建议答案：

C..445

正确选项解释：

端口 445 用于将网络驱动器从 Windows 计算机映射到 Azure 文件共享所需的 SMB 协议。此端口支持通过网络与 Azure 文件进行通信。

-----------------

其他选项说明：

A..80 – 不正确，因为端口 80 用于 HTTP 流量，而不是用于 SMB 或文件共享。

B..443 – 不正确，因为端口 443 用于 HTTPS 流量，而不是 SMB。

D..3389 – 不正确，因为端口 3389 用于远程桌面协议 (RDP)，而不是用于映射文件共享。

问 192

您有一个名为 Subscription1 的 Azure 订阅。

您有 5 TB 的数据需要传输到 Subscription1。

您计划使用 Azure 导入/导出作业。

您可以使用什么作为导入数据的目的地？

A.. Azure 文件存储
B.. Azure Cosmos DB 数据库
C.. Azure 数据工厂
D.. Azure SQL 数据库

建议答案：

A..Azure 文件存储

正确选项解释：

Azure 导入/导出 作业旨在与 Azure 存储帐户 （包括 Azure 文件存储 和 Azure Blob 存储） 之间传输大量数据。您可以使用 Azure 文件存储作为导入作业的目标。

-----------------

其他选项说明：

B..Azure Cosmos DB 数据库 – 不正确，因为 Azure 导入/导出不支持 Cosmos DB 作为直接目标。

C..Azure 数据工厂 – 不正确，因为 Azure 数据工厂是一种数据集成服务，而不是存储目标。

D..Azure SQL 数据库 – 不正确，因为 Azure 导入/导出作业无法将数据直接导入 SQL 数据库。

问 193

热点 -

您有一个 Azure 订阅，其中包含一个名为 storageaccount1 的 Azure 存储帐户。

将 storageaccount1 导出为 Azure 资源管理器模板。该模板包含以下部分。

对于以下每个陈述，如果其为真，请选择“是”。否则，请选择“否”。

注意：每个正确选择值一分

热点区域：

建议答案：

正确选项解释：

1. 是 – networkAcls 部分有“defaultAction”：“Allow”，表示除非特别限制，否则所有 IP 地址（包括公共 IP 地址）都是允许的。

2. 是的 – storageaccount1 属于“StorageV2”类型，它支持包括热、冷和存档在内的 Blob 层，因此可以将单个 Blob 设置为存档层。

3. 否 – Azure 文件共享不支持使用 Azure AD 全局管理员凭据进行直接 SMB 访问；基于 AD 的身份验证需要 Azure AD DS 集成。

-----------------

其他选项说明：

1. 否——这是不正确的，因为公共 IP 访问不受限制。

2. 否 – 不正确，因为 StorageV2 blob 支持存档。

3. 是的 – 这是不正确的，因为仅 Azure AD 凭据无法直接验证 SMB 对 Azure 文件共享的访问。

额外的：

Azure AD 角色（如全局管理员）不提供对资源的访问权限。

问 194

您有一个 Azure 订阅，其中包含一个名为 storage1 的存储帐户。

您拥有下表所示的设备。

您可以使用 AzCopy 从哪些设备将数据复制到存储 1？

A.. 仅限设备 1
B.. 设备 1、设备 2 和设备 3
C.. 仅限设备 1 和设备 2
D.. 仅限设备 1 和设备 3

建议答案：

B..设备1、设备2和设备3

正确选项解释：

Windows、Linux 和 macOS 均支持 AzCopy，因此您可以使用 AzCopy 将数据从所有三个设备复制到存储 1。

-----------------

其他选项说明：

A..仅限 Device1 – 不正确，因为 AzCopy 也适用于 Linux 和 macOS。

C..仅限设备 1 和设备 2 – 不正确，因为 AzCopy 也可在 macOS 上使用。

D..仅限设备 1 和设备 3 – 不正确，因为 AzCopy 也可在 Linux 上使用。

问 195

您有一个名为 storage1 的 Azure 存储帐户，其中包含一个名为 container1 的 Blob 容器。

您需要防止添加到容器1的新内容在一年内被修改。

您应该配置什么？

A.. 访问层
B.. 访问策略
C.. 访问控制（IAM）设置
D.. 访问级别

建议答案：

B..访问策略

正确选项解释：

若要防止在指定期限（例如一年）内修改新内容，必须使用不可变策略或 法定保留— 两者都配置为容器上的访问策略。 To prevent new content from being modified for a specified period (such as one year), you must use an immutability policy or legal hold —both configured as access policies on the container. 这些策略可防止修改或删除 Blob。

-----------------

其他选项说明：

A..访问层——不正确，因为访问层控制存储成本和性能，而不是不变性。

C..访问控制（IAM）设置——不正确，因为 IAM 控制谁可以访问，但不控制是否可以在一段时间内修改内容。

D..访问级别——不正确，因为访问级别设置了公共读取访问权限，而不是修改保护。

额外的：

存储访问策略为服务器端的服务级共享访问签名 (SAS) 提供了额外的控制。建立存储访问策略可以对共享访问签名进行分组，并为受该策略约束的签名提供额外的限制。

您可以使用存储访问策略来更改签名的 开始时间、到期时间或权限。

您还可以使用存储访问策略在签名发出后撤销签名。

以下存储资源支持存储访问策略：
- Blob 容器
- 文件共享
- 尾巴
- 表格

问 196

热点 -

你有一个名为 storage1 的 Azure 存储帐户，其中包含一个 Blob 容器。该 Blob 容器的默认访问层级为“热”。Storage1 包含一个名为 conainer1 的容器。

您在 storage1 中创建生命周期管理规则，如下表所示。

您执行下表中显示的操作。

对于以下每个陈述，如果其为真，请选择“是”。否则，请选择“否”。

注意：每个正确选择值一分。

热点区域：

建议答案：

正确选项解释：

不

对于 Dep1File1.docx： 规则 1 适用于前缀为 container1/Dep1 的 blob。Dep1File1.docx 的最后修改时间为 10 月 2 日。截至 10 月 10 日，该文件已 8 天未修改；规则 1 规定，如果 2 天未修改，则移至存档层；如果 9 天未修改，则删除该文件。10 月 10 日，该文件尚未被删除，但它位于 存档层 ，这意味着除非进行“rehydrated”（重新水化），否则无法读取。

是的

对于 File2.docx： 规则 2 适用于所有 Blob。File2.docx 的最后修改时间为 10 月 5 日，因此截至 10 月 10 日，它只有 5 天的历史。规则 2 规定 Blob 在 3 天后移至冷存储，并在 9 天后归档，因此 File2.docx 处于 冷存储 状态，仍然可以读取。

是的

对于 File3.docx： 规则 2 适用。File3.docx 的最后修改时间为 10 月 2 日，因此到 10 月 10 日，它已经存在 8 天了。3 天后，它应该会被移至冷存储，但尚未归档（归档时间为 9 天）。它仍然可以阅读。

-----------------

其他选项说明：

对于 Dep1File1.docx 来说，是的——不正确，因为它位于存档层，无法直接读取。

File2.docx 为否 – 不正确，因为 File2.docx 仅处于冷存储中并且可以读取。

File3.docx 不是 – 不正确，因为 File3.docx 也仅处于冷存储中并且可以读取。

问 197

您正在为名为 storage1 的 Azure 存储帐户配置 Azure Active Directory (Azure AD) 身份验证。

您需要确保名为 Group1 的组的成员可以使用 Azure 门户上传文件。解决方案必须使用最小权限原则。

您应该为 Storage1 配置哪两个角色？每个正确答案都代表了解决方案的一部分。

注意：每个正确选择值一分。

A.. 存储帐户参与者
Correct B.. 存储 Blob 数据贡献者
Correct C.. 读者
D.. 贡献者
E.. 存储 Blob 数据读取器

建议答案：

B..存储 Blob 数据贡献者
C..阅读器

正确选项解释：

B..存储 Blob 数据贡献者： 允许用户读取、写入和删除 Blob 数据，这是使用 Azure 门户上传文件所必需的。

C..Reader：允许用户在 Azure 门户中查看存储帐户资源设置，从而可以导航到 Blob 容器。与存储 Blob 数据贡献者结合使用，它可以在遵循最小权限的同时启用导航和上传功能。

-----------------

其他选项说明：

A..存储帐户贡献者——不正确，因为它允许管理存储帐户，但不 授予读取或写入 其中数据的权限。

D..贡献者——不正确，因为它提供了比必要更广泛的权限，包括所有资源类型的资源管理，违反了最小特权。

E..存储 Blob 数据读取器 – 不正确，因为它仅允许对 Blob 进行读取访问，而不允许上传（写入）权限。

问 198

热点 -

您有一个名为 storage1 的 Azure 存储帐户，用于存储图像。

您需要创建一个新的存储帐户，并使用对象复制将storage1中的图像复制到新帐户。

您应该如何配置新帐户？请在答案区域中选择相应的选项进行回答。

注意：每个正确选择值一分。

热点区域：

建议答案：

帐户类型： 仅限 StorageV2

新帐户中创建的对象类型：容器

正确选项解释：

帐户类型： 仅限 StorageV2 – 仅 StorageV2 帐户支持 Blob 的对象复制，StorageV2 帐户支持对象复制等高级功能。

对象类型：容器 - 要复制图像（blob），您必须在新帐户中创建一个容器，因为 blob 数据存储在容器内。

-----------------

其他选项说明：

仅 StorageV2 或 FileStorage、仅 StorageV2 或 BlobStorage、StorageV2、BlobStorage 或 FileStorage – 不正确，因为只有 StorageV2 支持对象复制；FileStorage 和 BlobStorage 帐户缺少所需的功能。

文件共享、表、队列——不正确，因为对象复制仅适用于存储在容器中的 Blob，而不是存储在文件共享、表或队列中的 Blob。

额外的：

通用 v2 存储 帐户和 高级块 Blob 帐户 支持对象复制。源帐户和目标帐户都必须是通用 v2 或高级块 Blob 帐户。对象复制仅支持块 Blob；不支持追加 Blob 和页 Blob。

问 199

您有一个本地服务器，其中包含一个名为 D:\Folder1 的文件夹。

您需要将 D:\Folder1 的内容复制到名为 contosodata 的 Azure 存储帐户中的公共容器。

您应该运行哪个命令？

答：https: //contosodata.blob.core.windows.net/public
B.. azcopy 同步 D:\folder1 https://contosodata.blob.core.windows.net/public --snapshot
Correct C.. azcopy 复制 D:\folder1 https://contosodata.blob.core.windows.net/public --recursive
D.. az 存储 blob 复制启动批处理 D:\Folder1 https://contosodata.blob.core.windows.net/public

建议答案：

C. .azcopy 复制 D:\folder1 https://contosodata.blob.core.windows.net/public --recursive

正确选项解释：

C..azcopy copy D:\folder1 https://contosodata.blob.core.windows.net/public --recursive：这是将本地文件夹的所有内容复制到 Azure Blob 容器的正确命令。带有 --recursive标志的 azcopy copy 命令会将文件夹及其所有内容上传到目标容器。

-----------------

其他选项说明：

A..https://contosodata.blob.core.windows.net/public – 不正确，因为这只是一个 URL，而不是一个命令。

B..azcopy sync D:\folder1 https://contosodata.blob.core.windows.net/public --snapshot – 不正确，因为 azcopy sync 通常用于同步更改，而不是用于初始完整文件夹复制，并且 --snapshot 在这里不相关。

D..az storage blob copy start-batch D:\Folder1 https://contosodata.blob.core.windows.net/public – 不正确，因为 az storage blob copy start-batch 不是将整个本地文件夹上传到 blob 容器的推荐或最简单的方法； azcopy 针对这种情况进行了优化。

问 200

您有一个 Azure 订阅。

在 Azure 门户中，您计划创建一个名为 storage1 的存储帐户，该帐户将具有以下设置：

✑ 性能：标准

✑ 复制：区域冗余存储（ZRS）

✑ 访问层（默认）：Cool

✑ 分层命名空间：已禁用

您需要确保可以将 storage1 的帐户类型设置为 BlockBlobStorage。

您应该首先修改哪个设置？

Correct A.. 性能
B.. 复制
C.. 访问层（默认）
D.. 分层命名空间

建议答案：

A..性能

正确选项解释：

答：性能： 要将帐户类型设置为 BlockBlobStorage，存储帐户必须将“性能”设置为“高级”。由于当前设置为“标准”，因此必须先修改“性能”。

-----------------

其他选项说明：

B..复制 – 不正确，因为 BlockBlobStorage 可以使用 LRS 或 ZRS。

C..访问层（默认）——不正确，因为这不会影响选择 BlockBlobStorage 的能力。

D..分层命名空间——不正确，因为它不是 BlockBlobStorage 的要求。