# AZ-900  # pay as you go  https://azure.microsoft.com/en-us/support/plans/ # VM   :::info 您可以使用同一個帳戶來管理多個訂閱。您可以在 Azure 門戶中為您的帳戶創建額外的訂閱。您可能需要額外的訂閱以避免達到訂閱限制、創建單獨的安全環境或出於合規性原因隔離數據。 框 2：否 - 您不能將兩個訂閱合併為一個訂閱。但是，您可以將某些 Azure 資源從一個訂閱移動到另一個訂閱。您還可以轉讓訂閱的所有權並更改訂閱的計費類型。 方框 3：是 - 一個公司可以有多個訂閱並在不同的訂閱中存儲資源。但是，一個資源實例只能存在於一個訂閱中。 如果您最初在個人訂閱中創建了一個 VM，現在想將其移動到您公司的訂閱中以繼續您的工作，那麼在訂閱之間移動會很方便。您不需要啟動 VM 來移動它，它應該在移動過程中繼續運行。 ::: ----------------------------------------- # AZURE容器 PaaS  ---------    ----------------------------------------- # site to site 網站架構   :::info 這是一個site to site 網站架構，雲端上的虛擬機會有虛擬網路，還要有一個gateway 連結VPN 通道 到 本地端客戶的內部網路，客戶端內部網路也有VPN GATEWAY 。所以需要虛擬網路閘道，虛擬網路(好讓虛擬網路閘道獨立到另一個子網，不跟VM同個子網)，VPN通道，本地端閘道。 ::: https://learn.microsoft.com/zh-tw/azure/vpn-gateway/tutorial-site-to-site-portal -----------------------------------------   ----------------------------------------- # 雲端責任模型類型     -----------------------------------------  https://softwarearchitect.ca/azure-paas-vs-iaas-vs-saas/ # IAAS  https://azure.microsoft.com/en-us/resources/cloud-computing-dictionary/what-is-azure/azure-iaas/?#updates-announcements Azure Storage accounts IAAS  ----------------------------------------- # SQL PAAS    https://learn.microsoft.com/en-us/azure/azure-sql/database/sql-database-paas-overview?view=azuresql https://learn.microsoft.com/en-us/azure/azure-sql/azure-sql-iaas-vs-paas-what-is-overview?view=azuresql https://learn.microsoft.com/zh-tw/training/modules/describe-cloud-service-types/3-describe-platform-service :::info PaaS 解決方案不提供對操作系統的訪問。 Azure Web Apps 服務為您提供了一個環境來託管您的 Web 應用程序。在幕後，Web 應用託管在運行 IIS 的虛擬機上。但是，您無法直接訪問虛擬機、操作系統或 IIS。 :::  ----------------------------------------- # SAAS    ----------------------------------------- 部署客製化APP到雲端安裝運行，需要基礎設施服務  -----------------------------------------  ---------------------------------------- 營運支出 例如租車 資本支出 例如買車  ----------------------------------------- 軟體更新  ----------------------------------------- # VM  ----------------------------------------- 雲端虛擬化技術提供服務給多個使用者  ----------------------------------------- # 雲端策略  https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/overview -----------------------------------------  :::info 您不能將物理服務器添加到公共雲。您只能在公共雲中部署虛擬服務器。您可以通過在公共雲中部署虛擬服務器來擴展私有云。這將創建一個混合雲。 框 2：否 - 私有云存在於網絡空間中，可通過互聯網訪問。 專欄 3：是的。 ::: https://azure.microsoft.com/en-gb/overview/what-are-private-public-hybrid-clouds/ ----------------------------------------- # 資源群組      https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/overview  -------------------------------------  ----------------------------------------- # 管理群組  -----------------------------    https://learn.microsoft.com/zh-tw/azure/virtual-network/virtual-network-peering-overview ----------------------------------------- # Azure 虛擬網路     通訊  :::info You have an Azure environment that contains multiple Azure virtual machines. You plan to implement a solution that enables the client computers on your on-premises network to communicate to the Azure virtual machines. You need to recommend which Azure resources must be created for the planned solution. Which two Azure resources should you include in the recommendation? Each correct answer presents part of the solution. NOTE: Each correct selection is worth one point. A. a virtual network gateway B. a load balancer C. an application gateway D. a virtual network E. a gateway subnet Correct Answer: AD 這是一個site to site 網站架構，雲端上的虛擬機會有虛擬網路，還要有一個gatEway 連結VPN 通道 到 本地端客戶的內部網路，客戶端內部網路也有VPN GATEWAY 。所以需要虛擬網路閘道，虛擬網路(好讓虛擬網路閘道獨立到另一個子網，不跟VM同個子網)，VPN通道，本地端閘道。 ::: https://learn.microsoft.com/zh-tw/azure/vpn-gateway/tutorial-site-to-site-portal -------------------------------- # Peering 對等虛擬網路  ----------------------------------------- # Azure ExpressRoute  ------------------------------------------- # Azure DNS  ----------------------------------------------   :::info 本地網絡網關是 Azure 中的一個對象，代表你的本地 VPN 設備。虛擬網絡網關是 VPN 對象 蔚藍的盡頭 VPN。 “連接”是連接本地網絡網關和虛擬網絡網關以啟動 VPN 的連接。本地網絡網關通常是指您的本地位置。您為站點提供一個名稱，Azure 可以通過該名稱引用它，然後指定您將創建連接的本地 VPN 設備的 IP 地址。您還可以指定將通過 VPN 網關路由到 VPN 設備的 IP 地址前綴。您指定的地址前綴是位於本地網絡上的前綴。如果您的本地網絡發生變化或者您需要更改 VPN 設備的公共 IP 地址，您可以稍後輕鬆更新這些值。 ::: ---------------------------------------------- # GEO-DISTRIBUTION 地理分佈 :::info 由於地理分佈，您可以將應用程序和數據部署到全球的區域數據中心，從而確保您的客戶 總是在他們的地區有最好的表現。 ::: ----------------------------------------- AZURE 一個 Azure AD 租戶可以有多個訂閱，但一個 Azure 訂閱只能與一個 Azure AD 租戶相關聯。方框 2：是 - 框 3：否 - 如果您的訂閱到期，您將無法訪問與該訂閱關聯的所有其他資源。但是，Azure AD 目錄保留在 Azure 中。您可以使用不同的 Azure 訂閱關聯和管理目錄。   ------------------------------------------------------ # Azure Policy Azure 原則    ----------------------------------------- 管理部門 訂閱帳戶 資源群組   -----------------------------------------  ----------------------------------------- # 區域     # Azure AD -----------------------------------------    ------------------------------------------- 外部身分識別  ---------------------------------------- # Azure 角色型存取控制 Azure RBAC   :::success The solution does not meet the goal because requiring Azure Multi-Factor Authentication (MFA) does not directly address the need to reduce the effect on users after the migration of network resources to Azure and retirement of the on-premises data center. Azure MFA is a security feature that provides an additional layer of authentication by requiring users to verify their identity using a second factor, such as a phone call, text message, or mobile app notification. To reduce the effect on users after the migration, you should consider implementing a hybrid identity solution using Azure Active Directory (Azure AD) Connect. This would synchronize your on-premises Active Directory with Azure AD, allowing users to continue using their existing credentials for authentication and access to resources in both environments. A hybrid identity solution would minimize disruption and ensure a seamless transition for users as network resources are migrated to Azure and the on-premises data center is retired. 該解決方案不符合目標，因為要求 Azure 多重身份驗證 (MFA) 並不能直接解決在網絡資源遷移到 Azure 和本地數據中心退役後減少對用戶影響的需求。 Azure MFA 是一項安全功能，它通過要求用戶使用第二個因素（例如電話、短信或移動應用程序通知）驗證其身份來提供額外的身份驗證層。 為了減少遷移後對用戶的影響，您應該考慮使用 Azure Active Directory (Azure AD) Connect 實施混合身份解決方案。 這會將您的本地 Active Directory 與 Azure AD 同步，允許用戶繼續使用他們現有的憑據進行身份驗證和訪問兩種環境中的資源。 混合身份解決方案將最大限度地減少中斷並確保用戶在網絡資源遷移到 Azure 和本地數據中心退役時無縫過渡。 ::: ---------------------------------------- # Microsoft Defender  ---------------------------------------- PAAS 問題  ---------------------------------------- Opex (Operational Expenditure) VS CapEx (Captial Expenditure)  ---------------------------------------  75正確答案是YES NO NO ----------------------------------- # Microsoft Intune    ------------------------------------ Microsoft Cloud Adoption Framework for Azure  ------------------------------------- Azure Site Recovery provides resilience and disaster recovery for apps and workloads running on on-premises machines, or Azure IaaS VMs --------------------------------------  :::info Azure 訂閱是 Azure 資源的容器。它也是資源權限和計費的邊界。您需要按月為訂閱中的所有資源付費。單個 Azure 租戶 (Azure Active Directory) 可以包含多個 Azure 訂閱。資源組是一個容器，其中包含 Azure 解決方案的相關資源。資源組可以包含解決方案的所有資源，或僅包含您希望作為一個組進行管理的那些資源。 要使每個部門管理員能夠管理該部門使用的 Azure 資源，您需要為每個部門創建一個單獨的訂閱。然後，您可以將每個部門管理員分配為訂閱管理員，使他們能夠管理該訂閱中的所有資源。 ::: ------------------------------------------- :::info You attempt to create several managed Microsoft SQL Server instances in an Azure environment and receive a message that you must increase your Azure subscription limits. What should you do to increase the limits? ** Create a new support request** Many Azure resource have quote limits. The purpose of the quota limits is to help you control your Azure costs. However, it is common to require an increase to the default quota. You can request a quota limit increase by opening a support request. In the support request, select 'Service and subscription limits (quotas)' for the Issue type, select your subscription and the service you want to increase the quota for. For this question, you would select 'SQL Database Managed Instance' as the quote type. Reference: ::: https://docs.microsoft.com/en-us/azure/sql-database/sql-database-managed-instance-resource-limits#obtaining-a-larger-quota-for-sql managed-instance :::info Community vote distribution 許多 Azure 資源都有報價限制。配額限制的目的是幫助你控制 Azure 成本。但是，通常需要增加默認配額。 您可以通過打開支持請求來請求提高配額限制。在支持請求中，為問題類型選擇“服務和訂閱限制（配額）”，選擇您的訂閱和您要增加配額的服務。對於這個問題，您將選擇“SQL 數據庫託管實例”作為報價類型。 ::: ----------------------------------------------------  :::info 框 1：否 - 您可以在 Azure 門戶中分配服務管理員和共同管理員，但只能有一個帳戶管理員。 框 2：否 - 您需要一個 Azure Active Directory 帳戶來管理訂閱，而不是 Microsoft 帳戶。 創建訂閱時，會在 Azure Active Directory 中創建一個帳戶。可以在 Azure Active Directory 中創建更多帳戶來管理訂閱。 框 3：否 - 資源組是 Azure 資源的邏輯容器。但是，資源組不包含訂閱。訂閱包含資源組。 ::: ------------------------------------------- 可用性區域是單個 Azure 區域內的唯一物理位置。  -------------------------------------------- # Azure 容器  :::info Azure 容器是 Azure IaaS 虛擬磁盤平台的支柱。 Azure OS 和數據磁盤都實現為虛擬磁盤 數據持久保存在 Azure 存儲平台中，然後傳送到虛擬機以獲得最佳性能。 Azure 磁盤以 Hyper-V VHD 格式保留，並作為頁 blob 存儲在 Azure 存儲中。 ::: ----------------------------------------------------------------- # Azure Files  :::info Azure Files 是 Microsoft 易於使用的雲文件系統。 Azure 文件共享可以在 Windows 和 Windows Server 中無縫使用。要在 Windows 中使用 Azure 文件共享，您必須掛載它，這意味著為其分配一個驅動器號或掛載點路徑，或者通過其 UNC 路徑訪問它。 與您可能與之交互的其他 SMB 共享不同，例如託管在 Windows Server、Linux Samba 服務器或 NAS 設備上的那些共享，Azure 文件共享目前不支持使用 Active Directory (AD) 或 Azure Active Directory (AAD) 進行 Kerberos 身份驗證身份，儘管這是我們正在努力的功能。 相反，您必須使用包含您的 Azure 文件共享的存儲帳戶的存儲帳戶密鑰訪問您的 Azure 文件共享。存儲帳戶密鑰是存儲帳戶的管理員密鑰，包括對您正在訪問的文件共享中的所有文件和文件夾的管理員權限，以及對其中包含的所有文件共享和其他存儲資源（blob、隊列、表等）的管理員權限您的存儲帳戶。參考： ::: ------------------------------------------------------------------------- # Azure Cosmos DB  :::info Azure Cosmos DB is Microsoft's globally distributed, multi-model database service. With a click of a button, Cosmos DB enables you to elastically and independently scale throughput and storage across any number of Azure regions worldwide. Azure Cosmos DB is a great way to store unstructured and JSON data. Combined with Azure Functions, Cosmos DB makes storing data quick and easy with much less code than required for storing data in a relational database. Azure Cosmos DB 是 Microsoft 的全球分佈式多模型數據庫服務。只需單擊一個按鈕，Cosmos DB 使您能夠跨全球任意數量的 Azure 區域彈性且獨立地擴展吞吐量和存儲。 Azure Cosmos DB 是存儲非結構化數據和 JSON 數據的絕佳方式。與 Azure Functions 相結合，Cosmos DB 使用比在關係數據庫中存儲數據所需的代碼少得多的代碼來快速輕鬆地存儲數據。 ::: ---------------------------------------------------------------  :::info 框 1：否 - 部署到單個資源組的 Azure 資源可以位於不同的區域。 資源組僅包含有關其所含資源的元數據。 創建資源組時，您需要為該資源組提供一個位置。 您可能想知道，“為什麼資源組需要位置？ 而且，如果資源可以與資源組有不同的位置，為什麼資源組位置很重要？”資源組存儲有關資源的元數據。當您為資源組指定位置時，您指定了資源組的位置 metadata is stored. 出於合規性原因，您可能需要確保您的數據存儲在特定區域。 框 2：否 - 默認情況下，資源標籤不會從其資源組繼承 方框 3：是 - 資源組可用於確定管理操作的訪問控制範圍。 默認情況下，在資源級別設置的權限由資源組中的資源繼承。 ::: ----------------------------------  :::info Azure storage offers different access tiers: hot, cool and archive. The archive access tier has the lowest storage cost. But it has higher data retrieval costs compared to the hot and cool tiers. Data in the archive tier can take several hours to retrieve. While a blob is in archive storage, the blob data is offline and can't be read, overwritten, or modified. To read or download a blob in archive, you must first rehydrate it to an online tier. Example usage scenarios for the archive access tier include: * ✑ Long-term backup, secondary backup, and archival datasets * ✑ Original (raw) data that must be preserved, even after it has been processed into final usable form. * ✑ Compliance and archival data that needs to be stored for a long time and is hardly ever accessed. ::: ------------------------------------   ------------------------------------   :::info 可用性區域是一種高可用性產品，可保護您的應用程序和數據免受數據中心故障的影響。 可用區是 Azure 區域內唯一的物理位置。 ::: -----------------------------------  :::info 框 1：是 - 存儲帳戶有不同的複制選項。 “最小”複製選項是本地冗餘存儲 (LRS)。 使用 LRS，數據在主要區域內同步複製 3 次。 框 2：否 - 數據不會自動備份到另一個 Azure 數據中心，儘管它可能取決於為帳戶配置的複制選項。 在本地 冗餘存儲 (LRS) 是默認設置，它在數據中心維護三個數據副本。 異地冗餘存儲 (GRS) 具有跨區域複製功能，可防止區域中斷。 數據在主區域同步複製三次，然後異步複製到次區域。 框 3：否 - 限制遠高於此。 美國和歐洲的當前存儲限制為 2 PB，所有其他地區（包括英國）為 500 TB，文件數量沒有限制。 ::: -------------------------------------------------------------------------------  NO NO NO ---------------------------------------  ----------------------------------------- # Azure 服務健康狀態   :::info Azure 服務運行狀況提供您正在使用的 Azure 服務和區域的運行狀況的個性化視圖。 這是尋找有關中斷、計劃維護活動和其他健康建議的服務影響通信的最佳位置，因為經過身份驗證的服務健康體驗知道您當前使用的服務和資源。 ::: -------------------------------------------- IOT  ----------------------------------------------  ----------------------------------------------  :::info 可用性區域擴展了您為維護 VM 上的應用程序和數據的可用性而必須進行的控制級別。 可用區是 Azure 區域內唯一的物理位置。 每個區域由一個或多個配備獨立電源、冷卻和網絡的數據中心組成。 為確保彈性，在所有啟用的區域中至少有三個獨立的區域。 區域內可用區的物理分離可保護應用程序和數據免受數據中心故障的影響。 借助可用性區域，Azure 提供業界最佳的 99.99% VM 正常運行時間 SLA。 通過設計您的解決方案以在區域中使用複制的 VM，您可以保護您的應用程序和數據免受數據中心丟失的影響。 如果一個區域遭到破壞，則復制的應用程序和數據會立即在另一個區域可用。 ::: -----------------------------------------  :::info 框 1：否 - 訂閱可以有多個管理員，但只能有一個帳戶管理員。 框 3：否 - 一個訂閱可以包含多個資源組，但一個資源組只能屬於一個訂閱。 資源組可以包含多個資源。 ::: --------------------------------------------------------  --------------------------------------------------  :::info Azure 自動在虛擬網絡中的子網之間路由流量。 因此，虛擬網絡中的所有虛擬機都可以連接到同一虛擬網絡中的其他虛擬機。 即使虛擬機位於虛擬網絡中的不同子網上，它們仍然可以相互通信。 為確保虛擬機無法連接到其他虛擬機，必須將虛擬機部署到單獨的虛擬網絡。 ::: -----------------------------------------------------  ---------------------------------------------------   :::info Hot : Optimized for storing data that is accessed frequently. Cool : Optimized for storing data that is infrequently accessed and stored for at least 30 days. Archive : Optimized for storing data that is rarely accessed and stored for at least 180 days with flexible latency requirements, on the order of hours. from Azure document: "Only the hot and cool access tiers can be set at the account level. The archive access tier can only be set at the blob level." ::: --------------------------------------------  :::info 專欄 1：Azure Functions - Azure Functions 允許你將系統的邏輯實現到稱為“函數”的現成代碼塊中。 您可以隨時運行不同的功能來響應關鍵事件。 專欄 2：Azure Functions - Azure 邏輯應用程序可以具有多個有狀態和無狀態工作流。 專欄 3：Azure 邏輯應用程序 - Azure Logic Apps 是一個基於雲的平台，用於創建和運行集成應用程序、數據、服務和系統的自動化工作流。 ::: ----------------------------  -------------------------------------  ---------------------------------------  -------------------------------------  :::info Box：可以將虛擬機移動到新訂閱。 可以使用 Azure 門戶將 VM 及其關聯資源移動到不同的訂閱。 注意：對包含 VM 的每個資源組重複以下過程。 1. 到Azure 門戶管理包含要移動的VM 的資源組。 搜索並選擇資源組。 2. 選擇包含您要移動的 VM 的資源組。 3. 在資源組頁面的頂部，選擇“移動”，然後選擇“移動到另一個訂閱”。 移動資源頁面打開。 4. 選擇每個要移動的資源。 在大多數情況下，您應該移動列出的所有相關資源。 5. 選擇要將 VM 移動到的訂閱。 6. 選擇現有資源組，或輸入名稱以創建新資源組。 7. 完成後，選擇您了解將創建新資源 ID 並且新 ID 需要在移動 VM 後使用，然後選擇確定。 Box: The virtual machines can be moved to the new subscription. You can move a VM and its associated resources to a different subscription by using the Azure portal. Note: Repeat the process below for each Resource Group containing the VMs. 1. Go to the Azure portal to manage the resource group containing the VM to move. Search for and select Resource groups. 2. Choose the resource group containing the VM that you would like to move. 3. At the top of the page for the resource group, select Move and then select Move to another subscription. The Move resources page opens. 4. Select each of the resources to move. In most cases, you should move all of the related resources that are listed. 5. Select the Subscription where you want the VM to be moved. 6. Select an existing Resource group, or enter a name to have a new resource group created. 7. When you are done, select that you understand that new resource IDs will be created and that the new IDs will need to be used with the VM after it is moved, and then select OK. ::: ---------------------------------------------------  :::info Microsoft 的 Azure Sphere 硬件和服務旨在更好地保護物聯網 (IoT) 設備。 Azure Sphere 由 Microsoft 認證的微控制器“具有處理器、存儲、內存和物聯網功能的單芯片計算機”加上 Azure Sphere 基於 Linux 的操作系統和 Azure Sphere 雲安全服務。 :::  # IOT central  ----------------------------------  在本地端有雲端磁碟 ------------------------------------  站點到站點 VPN 網關連接用於通過 IPsec/IKE（IKEv1 或 IKEv2）VPN 隧道將本地網絡連接到 Azure 虛擬網絡。 這種類型的連接需要位於本地的 VPN 設備，該設備具有分配給它的面向外部的公共 IP 地址。 -------------------------  :::info 專欄 1：基礎設施即服務 (IaaS) Azure 文件是一種簡單、安全且無服務器的企業級雲文件共享。 基礎架構即服務 (IaaS) 是一種雲計算服務，它以即用即付的方式按需提供基本的計算、存儲和網絡資源。 專欄 2：軟件即服務 (SaaS) Dynamics 365 是一組互連的模塊化軟件即服務 (SaaS) 應用程序和服務，旨在轉變和支持您的核心客戶、員工和業務活動。 它包括 Dynamics 365 Finance：使用基於規則的指導性會計科目表和無代碼配置服務來簡化監管報告、電子發票和全球支付。 專欄 3：平台即服務 (PaaS) 平台即服務 (PaaS) 是雲中完整的開發和部署環境，其資源使您能夠交付從簡單的基於雲的應用程序到復雜的支持雲的企業應用程序的一切內容。 ::: -----------------------------------  :::info 在託管的無服務器 Azure 環境中按需運行 Docker 容器。 Azure 容器實例是一種解決方案，適用於無需編排即可在隔離容器中運行的任何場景。 運行事件驅動的應用程序，從您的容器開發管道快速部署，並運行數據處理和構建作業。 您可以使用與 Azure Active 集成的完全託管的 Kubernetes 容器管理和編排服務來大規模管理容器目錄。 Azure Kubernetes 服務是一種強大且經濟高效的容器編排服務，可幫助你在幾秒鐘內部署和管理容器化應用程序，其中會自動分配額外的資源，而無需管理額外的服務器。 ::: -------------------------------------------  :::info 資源組是 Azure 資源的邏輯容器。 資源組使 Azure 資源的管理更加容易。 通過資源組，您可以允許用戶管理資源組中的所有資源，例如虛擬機、網站和子網。 您應用於資源組的權限適用於資源組中包含的所有資源。 ::: -----------------------------------------------  ------------------------------- # Azure Synapse Analytics (Azure 數據倉庫)  :::info Azure 數據倉庫（現在稱為 Azure Synapse Analytics）是 Microsoft 提供的 PaaS 產品。 與 Microsoft 的所有 PaaS 服務一樣，SQL Data Warehouse 提供 99.9% 的可用性 SLA。 Microsoft 可以提供 99.9% 的可用性，因為它在平台中內置了高可用性功能。 ::: ----------------------------------  :::info 術語計算是指您的應用程序在其上運行的計算資源的託管模型。 對於 Azure，這包括： Azure 容器實例。 在 Azure 中運行容器的最快、最簡單的方法，無需預配任何虛擬機，也無需採用更高級別的服務。 注意，還有以下內容： Azure 應用服務。 用於託管 Web 應用程序、移動應用程序後端、RESTful API 或自動化業務流程的託管服務。 蔚藍春雲。 為託管 Spring Boot 應用程序而設計和優化的託管服務。 Azure Kubernetes 服務 (AKS)。 用於運行容器化應用程序的託管 Kubernetes 服務。 天藍色批次。 用於運行大規模並行和高性能計算 (HPC) 應用程序的託管服務 Azure 函數。 託管 FaaS 服務。 Azure 服務結構。 可以在許多環境（包括 Azure 或本地）中運行的分佈式系統平台。 Azure 虛擬機。 在 Azure 虛擬網絡中部署和管理 VM。 Azure 容器應用程序。 在 Azure 虛擬網絡中部署和管理 VM。 ::: ------------------------------------------------- # ExpressRoute  :::info ExpressRoute 電路。 由連接提供商提供的第 2 層或第 3 層電路，通過邊緣路由器將本地網絡與 Azure 連接起來。 該電路使用由連接提供商管理的硬件基礎設施。 在 OSI 術語中，您從第 2 層開始“網絡服務提供商”概念是一個託管概念，您在其中獲得第 3 層解決方案（在 OSI 術語中）。 電信供應商為您解決了所有的複雜問題。 ::: ----------------------------------------- # Application Insights  :::info Application Insights 是 Azure Monitor 的一項功能，可為實時 Web 應用程序提供可擴展的應用程序性能管理 (APM) 和監視。 ::: ---------------------------------- # 資源群組  :::info 框 1：否 - 資源可以與其他資源組中的資源交互。 方框 2：是 - 刪除資源組將刪除資源組以及該資源組中的所有資源。 這對於資源管理很有用。 例如，虛擬機有多個組件（VM 本身、虛擬磁盤、網絡適配器等）。 通過將 VM 置於其自己的資源組中，您可以通過刪除資源組來刪除 VM 及其所有關聯組件。 另一個例子是在創建測試環境時。 您可以將整個測試環境（網絡組件、虛擬機等）放在一個資源組中。 然後，您可以通過刪除資源組來刪除整個測試環境。 方框 3：是 - 來自多個不同區域的資源可以放在一個資源組中。 資源組僅包含有關其所含資源的元數據。 ::: -------------------------------------------------------------------  :::info 可以使用 Power BI 分析和可視化存儲在 Azure Data Lake 和 Azure SQL 數據倉庫中的數據。 Azure Data Lake 包括使開發人員、數據科學家和分析師能夠輕鬆地以任何速度存儲任何大小和形狀的數據，並跨平台和跨語言進行所有類型的處理和分析所需的所有功能。 它消除了攝取和存儲所有數據的複雜性，同時通過批處理、流處理和交互式分析更快地啟動和運行。 它還與運營商店和數據倉庫無縫集成，以便您可以擴展當前的數據應用程序。 ::: ------------------------------------------------------------------- # PowerShell  :::info PowerShell 腳本是包含 PowerShell cmdlet 和代碼的文件。 PowerShell 腳本需要在 PowerShell 中運行。PowerShell 現在可以安裝在 Linux 上。 但是，問題指出計算機安裝了 Azure CLI 工具，而不是 PowerShell。 因此，該解決方案不符合目標。 **Linux : 安裝 PowerShell Chrome : Azure Cloud Shell MacOS : PowerShell Core 6.0 才可執行 PowerShell** 借助 Azure Cloud Shell，您可以在 Web 瀏覽器中運行 PowerShell cmdlet 和腳本。 您登錄到 Azure 門戶並選擇 Azure Cloud Shell 選項。 這將在 Web 瀏覽器中打開一個 PowerShell 會話。 Azure Cloud Shell 安裝了必要的 Azure PowerShell 模塊。 注意：要在 Azure Cloud Shell 中運行 PowerShell 腳本，您需要切換到存儲 PowerShell 腳本的目錄。 本題計算機安裝了PowerShell Core 6.0。 因此，這個解決方案確實達到了目的。 注意：要使用 PowerShell 創建 Azure 資源，您需要導入 Azure PowerShell 模塊，其中包含創建資源所需的 PowerShell cmdlet。 ::: -------------------------------------------------------------------  :::info 框 1：是 - Azure Service Health 由三個組件組成：Azure Status、Azure Service Heath 和 Azure Resource Health。 **Azure 服務運行狀況提供您正在使用的 Azure 服務和區域的運行狀況的個性化視圖。** 這是查找有關中斷、計劃維護活動和其他健康建議的服務影響通信的最佳位置，因為經過身份驗證的 Azure 服務健康體驗知道你當前使用的服務和資源。 要查看 Azure 中所有其他可用服務的運行狀況，您可以使用 Azure 服務運行狀況的 Azure Status 組件。 Azure 狀態會在 Azure 狀態頁面上通知你 Azure 中的服務中斷。 該頁面是所有 Azure 區域中所有 Azure 服務運行狀況的全局視圖。 方框 2：是 - 使用服務運行狀況的最佳方式是設置服務運行狀況警報，以便在服務問題、計劃維護或其他更改可能影響您使用的 Azure 服務和區域時通過您首選的通信渠道通知您。 框 3：否 - 您可以使用資源運行狀況來查看虛擬機的運行狀況。 但是，您不能使用資源運行狀況來防止影響虛擬機的服務故障。 Azure 資源運行狀況提供有關您的各個雲資源（例如特定虛擬機實例）運行狀況的信息。 ::: ------------------------------------------------------------------- -------------------------------------------------------------------  :::info # 專欄 1：Azure DevOps。 Azure DevOps 是 Microsoft 的主要軟件開發和部署平台。 DevOps 在整個計劃、開發、交付和運營階段影響應用程序生命週期。 # 方框 2：Azure 顧問。 Advisor 是個性化的雲顧問，可幫助您遵循最佳實踐來優化您的 Azure 部署。 它分析你的資源配置和使用遙測，然後推薦可幫助你提高 Azure 資源的成本效益、性能、高可用性和安全性的解決方案。 # 方框 3：Azure 認知服務。 Azure 認知服務是 API、SDK 和服務，可幫助開發人員構建智能應用程序，而無需直接掌握 AI 或數據科學技能或知識。 Azure 認知服務使開發人員能夠輕鬆地將認知功能添加到他們的應用程序中。 Azure 認知服務的目標是幫助開發人員創建可以看、聽、說、理解甚至開始推理的應用程序。 Azure 認知服務中的服務目錄可分為五個主要支柱 - 視覺、語音、語言、Web 搜索和決策。 框 4.Azure 應用程序洞察力。 # Azure Application Insights 檢測和診斷 Web 應用中的異常。 Application Insights 是 Azure Monitor 的一項功能，是面向開發人員和 DevOps 專業人員的可擴展應用程序性能管理 (APM) 服務。 用它來監控您的實時應用程序。 它將自動檢測性能異常，並包含強大的分析工具，可幫助您診斷問題並了解用戶實際使用您的應用進行的操作。 ::: -------------------------------------------------------------------  :::info 專欄 1：Azure SQL 數據庫 - SQL Server 是一種關係數據庫服務。 Azure SQL 數據庫是 Azure 中的託管 SQL Server 數據庫。 SQL Server由微軟管理； 您只能訪問數據庫。 專欄 2：Azure SQL Synapse 分析 Azure SQL Synapse Analytics（以前稱為數據倉庫）是 Microsoft 提供的基於雲的平台即服務 (PaaS) 產品。 它是一種大規模、分佈式、MPP（大規模並行處理）關係數據庫技術，與 Amazon Redshift 或 Snowflake 屬於同一級別的競爭對手。 Azure SQL Synapse Analytics 是現代數據倉庫多平台架構的重要組成部分。 由於 Azure SQL Synapse Analytics 是一個 MPP 系統，具有跨分佈的無共享架構，因此**它適用於可以利用並行性的大規模分析工作負載**。 # 專欄 3：Azure 數據湖分析 你可以使用 Azure Data Lake Analytics 在幾秒鐘內處理大數據作業。 您可以針對不同的工作負載類別處理 PB 級數據，例如查詢、通過利用以 .NET 語言、R 或Python。 # 方框 4：**Azure HDInsight Apache Hadoop**。 **Apache Hadoop** 是用於在集群上對大數據集進行分佈式處理和分析的原始開源框架。 Hadoop 生態系統包括相關的軟件和實用程序，包括 Apache Hive、Apache HBase、Spark、Kafka 等等。 Azure HDInsight 是面向企業的雲中完全託管、全頻譜、開源分析服務。 Azure HDInsight 中的 Apache Hadoop 群集類型允許您使用 HDFS、YARN 資源管理和簡單的 MapReduce 編程模型來並行處理和分析批處理數據。 ::: -------------------------------------------------------------------  :::info Box 1: Azure Monitor is used to monitor the health of Azure services. Azure Monitor maximizes the availability and performance of your applications and services by delivering a comprehensive solution for collecting, analyzing, and acting on telemetry from your cloud and on-premises environments. It helps you understand how your applications are performing and proactively identifies issues affecting them and the resources they depend on. Box 2: You can browse available virtual machine images in the Azure Marketplace. Azure Marketplace provides access and information on solutions and services available from Microsoft and their partners. Customers can discover, try, or buy cloud software solutions built on or for Azure. The catalog of 8,000+ listings provides Azure building blocks, such as Virtual Machines (VMs), APIs, Azure apps, Solution Templates and managed applications, SaaS apps, containers, and consulting services. Box 3. Azure Advisor displays security recommendations. Azure Advisor provides you with a consistent, consolidated view of recommendations for all your Azure resources. It integrates with Azure Security Center to bring you security recommendations. You can get security recommendations from the Security tab on the Advisor dashboard. Security Center helps you prevent, detect, and respond to threats with increased visibility into and control over the security of your Azure resources. It periodically analyzes the security state of your Azure resources. When Security Center identifies potential security vulnerabilities, it creates recommendations. The recommendations guide you through the process of configuring the controls you need. 方框 1： Azure Monitor 用於監視 Azure 服務的運行狀況。 Azure Monitor 通過提供一個全面的解決方案來收集、分析和處理來自云和本地環境的遙測數據，從而最大限度地提高應用程序和服務的可用性和性能。 它可以幫助您了解您的應用程序的執行情況並主動識別影響它們的問題以及它們所依賴的資源。 方框 2： 您可以在 Azure Marketplace 中瀏覽可用的虛擬機映像。 Azure Marketplace 提供有關 Microsoft 及其合作夥伴提供的解決方案和服務的訪問和信息。 客戶可以發現、試用或購買基於 Azure 或為 Azure 構建的雲軟件解決方案。 8,000 多個列表的目錄提供了 Azure 構建塊，例如虛擬機 (VM)、API、Azure 應用程序、解決方案模板和託管應用程序、SaaS 應用程序、容器和諮詢服務。 方框 3。 Azure 顧問顯示安全建議。 Azure Advisor 為你的所有 Azure 資源提供一致的綜合建議視圖。 **它與 Azure 安全中心集成，為你提供安全建議。** 您可以從 Advisor 儀表板上的 Security 選項卡獲取安全建議。 安全中心通過提高對 Azure 資源安全性的可見性和控制，幫助你預防、檢測和響應威脅。 它定期分析 Azure 資源的安全狀態。 當安全中心識別出潛在的安全漏洞時，它會創建建議。 這些建議將指導您完成配置所需控件的過程。 ::: -------------------------------------------------------------------  ------------------------------------------------------------------- # Azure 邏輯應用程序 Logic Apps     :::info Azure 邏輯應用程序是一種雲服務，可幫助你在需要跨企業或組織集成應用程序、數據、系統和服務時安排、自動化和編排任務、業務流程和工作流。 Logic Apps 簡化了您為應用程序集成、數據集成、系統集成、企業應用程序集成 (EAI) 和企業對企業 (B2B) 通信設計和構建可擴展解決方案的方式，無論是在雲端、本地還是兩者。 例如，以下是您可以使用邏輯應用自動執行的一些工作負載： ✑ 跨本地系統和雲服務處理和路由訂單。 ✑ 當各種系統、應用程序和服務中發生事件時，使用 Office 365 發送電子郵件通知。 ✑ 將上傳的文件從 SFTP 或 FTP 服務器移動到 Azure 存儲。 ✑ 監控特定主題的推文，分析情緒，並為需要審查的項目創建警報或任務。 ::: ------------------------------------------------------------------- # 內容分發網絡 (CDN)   :::info 該問題指出用戶遍布全球，並且將下載大型視頻文件。 如果他們能從與用戶在同一地區的服務器上下載視頻，將會改善視頻播放體驗。 我們可以通過使用內容交付網絡來實現這一點。 內容分發網絡 (CDN) 是一種分佈式服務器網絡，可以高效地將 Web 內容分發給用戶。 CDN 將緩存內容存儲在靠近最終用戶的入網點 (POP) 位置的邊緣服務器上，以最大程度地減少延遲。 Azure 內容交付網絡 (CDN) 為開發人員提供了一個全球解決方案，通過將內容緩存在全球戰略性放置的物理節點上，快速向用戶交付高帶寬內容。 Azure CDN 還可以通過使用 CDN POP 的各種網絡優化來加速無法緩存的動態內容。 例如，繞過邊界網關協議 (BGP) 的路由優化。 使用 Azure CDN 交付網站資產的好處包括： ✑ 為最終用戶提供更好的性能和改進的用戶體驗，尤其是在使用需要多次往返加載內容的應用程序時。 ✑ 大規模擴展以更好地處理瞬時高負載，例如產品發布活動的開始。 ✑ 直接從邊緣服務器分髮用戶請求和內容服務，從而減少發送到源服務器的流量。 ::: ------------------------------------------------------------------- # IoT Hub（物聯網中心）  :::info IoT Hub（物聯網中心）提供來自數百萬個傳感器的數據。 IoT Hub 是託管在雲中的託管服務，充當中央消息中心，用於您的 IoT 應用程序與其管理的設備之間的雙向通信。 您可以使用 Azure IoT 中心構建 IoT 解決方案，在數百萬 IoT 設備和雲託管解決方案後端之間進行可靠且安全的通信。 您幾乎可以將任何設備連接到 IoT 中心。 IoT 中心可以將消息路由到兩種存儲服務——Azure Blob Storage 和 Azure Data Lake Storage Gen2 (ADLS Gen2) 帳戶。 蔚藍數據Lake Storage 帳戶是在 blob 存儲之上構建的啟用分層命名空間的存儲帳戶。 這兩個都使用 blob 進行存儲。 IoT Hub (Internet of things Hub) provides data from millions of sensors. IoT Hub is a managed service, hosted in the cloud, that acts as a central message hub for bi-directional communication between your IoT application and the devices it manages. You can use Azure IoT Hub to build IoT solutions with reliable and secure communications between millions of IoT devices and a cloud- hosted solution backend. You can connect virtually any device to IoT Hub. There are two storage services IoT Hub can route messages to -- Azure Blob Storage and Azure Data Lake Storage Gen2 (ADLS Gen2) accounts. Azure Data Lake Storage accounts are hierarchical namespace-enabled storage accounts built on top of blob storage. Both of these use blobs for their storage. ::: -------------------------------------------------------------------  :::info Azure 門戶是用於管理 Azure 的基於 Web 的門戶。 基於 Web，您可以在 iPhone 上使用 Azure 門戶。 Azure Cloud Shell 是一個基於 Web 的命令行，用於管理 Azure。 從 Azure 門戶訪問 Azure Cloud Shell。 基於網絡，您可以使用iPhone 上的 Azure Cloud Shell。 ::: -------------------------------------------------------------------  :::info 框 1：否 - Azure 顧問不會生成受 Azure 備份保護的虛擬機列表。 然而，Azure Advisor 會生成一個虛擬列表不受 Azure 備份保護。 您可以通過查看 Azure 恢復中的受保護項來查看受 Azure 備份保護的虛擬機列表 服務庫。 框 2：否 - 如果您實施安全建議，您公司的分數將會增加，而不是減少。 框 3：否 - 不需要實施 Azure 顧問提供的安全建議。 這些建議就是“建議”。 它們不是“要求”。 ::: -------------------------------------------------------------------   -------------------------------------------------------------------   :::info 專欄 1：Azure SQL Synapse 分析 Azure SQL Synapse Analytics（以前稱為數據倉庫）是 Microsoft 提供的基於雲的平台即服務 (PaaS) 產品。 它是一種大規模、分佈式、MPP（大規模並行處理）關係數據庫技術，與 Amazon Redshift 或 Snowflake 屬於同一級別的競爭對手。 Azure SQLSynapse Analytics 是現代數據倉庫多平台架構的重要組成部分。 由於 Azure SQL Synapse Analytics 是一個 MPP 系統，具有跨分佈的無共享架構，因此它適用於可以利用並行性的大規模分析工作負載。 方框 2： Azure 機器學習使用過去的訓練來提供具有高概率的預測。 機器學習是一種數據科學技術，它允許計算機使用現有數據來預測未來的行為、結果和趨勢。 通過使用機器學習，計算機無需明確編程即可學習。 來自機器學習的預測或預測可以使應用程序和設備更加智能。 例如，當您在線購物時，機器學習會根據您購買的商品推薦您可能想要的其他產品。 方框 3： Azure Functions 提供無服務器計算功能。 Azure Functions 是一種無服務器計算服務，可讓你運行事件觸發的代碼，而無需顯式預配或管理基礎結構。 方框 4： IoT Hub（物聯網中心）提供來自數百萬個傳感器的數據。 IoT Hub 是託管在雲中的託管服務，充當中央消息中心，用於您的 IoT 應用程序與其管理的設備之間的雙向通信。 您可以使用 Azure IoT 中心構建 IoT 解決方案，在數百萬 IoT 設備和雲託管解決方案後端之間進行可靠且安全的通信。 您幾乎可以將任何設備連接到 IoT 中心。 ::: -------------------------------------------------------------------  -------------------------------------------------------------------    開發測試實驗室創建由預配置的基礎或 Azure 資源管理器模板組成的實驗室。 通過使用開發測試實驗室，您可以通過執行以下任務來測試最新版本的應用程序： ✑ 使用可重複使用的模板和工件快速配置 Windows 和 Linux 環境。 ✑ 輕鬆將您的部署管道與開發測試實驗室集成，以配置按需環境。 ✑ 通過配置多個測試代理來擴展負載測試，並為培訓和演示創建預配置環境。 -------------------------------------------------------------------   :::info 框 1：否 - Azure Advisor 為你的所有 Azure 資源提供一致的綜合建議視圖。 它與 Azure 安全中心集成，為你提供安全建議。 您可以從 Advisor 儀表板上的 Security 選項卡獲取安全建議。 建議示例包括通過配置網絡安全組、啟用存儲加密、安裝漏洞評估解決方案來限制對虛擬機的訪問。 但是，Azure Advisor 不提供有關如何提高 Azure AD 環境安全性的建議。 方框 2：是 - Advisor 通過識別閒置和未充分利用的資源，幫助你優化和減少 Azure 的總體支出。 您可以從 Advisor 控制面板上的 Cost 選項卡獲取成本建議。 方框 3：否。 Azure 顧問不提供有關如何在 Azure 虛擬機上配置網絡設置的建議。 ::: -------------------------------------------------------------------  YES ------------------------------------------------------------------- # Azure CLI  :::info 如果安裝了 Azure CLI，則可以從 PowerShell 或命令提示符運行該命令。 ::: -------------------------------------------------------------------   :::info 以前，Azure CLI（或 x-plat CLI）是在 Linux 和 macOS 上從命令行管理 Azure 訂閱和資源的唯一選擇。 現在，借助 PowerShell 的開源和跨平台版本，您將能夠使用您選擇的工具（Azure CLI 或 Azure PowerShell cmdlet）從 Windows、Linux 和 macOS 管理所有 Azure 資源。 Azure 門戶在 Web 瀏覽器中運行，因此可以在任一操作系統中使用。 ::: -------------------------------------------------------------------  ------------------------------------------------------------------- # Azure Resource Manager templates 資源管理器模板  :::info Azure Resource Manager templates Azure 資源管理器模板提供了一個通用平台，用於將對象部署到雲基礎設施並實現跨資源的一致性。 蔚藍環境。 Azure 策略用於定義可以部署的內容以及部署方式的規則。 雖然這有助於確保一致性，但 Azure 策略不提供用於將對象部署到雲基礎結構的通用平台。 ::: -------------------------------------------------------------------  :::info 方框 1： Azure 機器人服務提供了一個提供語音支持的數字在線助手。 機器人提供的體驗不像使用計算機，而更像是與人打交道——或者至少是與智能機器人打交道。 它們可用於將簡單、重複的任務（例如預訂晚餐或收集個人資料信息）轉移到可能不再需要直接人工干預的自動化系統上。 用戶使用文本、交互式卡片和語音與機器人交談。 機器人交互可以是快速問答，也可以是智能提供服務訪問的複雜對話。 方框 2： Azure 機器學習使用過去的訓練來提供具有高概率的預測。 機器學習是一種數據科學技術，它允許計算機使用現有數據來預測未來的行為、結果和趨勢。 通過使用機器學習，計算機無需明確編程即可學習。 來自機器學習的預測或預測可以使應用程序和設備更加智能。 例如，當您在線購物時，機器學習會根據您購買的商品推薦您可能想要的其他產品。 方框 3： Azure Functions 提供無服務器計算功能。 Azure Functions 是一種無服務器計算服務，可讓你運行事件觸發的代碼，而無需顯式預配或管理基礎結構。 方框 4： IoT Hub（物聯網中心）提供來自數百萬個傳感器的數據。 IoT Hub 是託管在雲中的託管服務，充當中央消息中心，用於您的 IoT 應用程序與其管理的設備之間的雙向通信。 您可以使用 Azure IoT 中心構建 IoT 解決方案，在數百萬 IoT 設備和雲託管解決方案後端之間進行可靠且安全的通信。 您幾乎可以將任何設備連接到 IoT 中心。 ::: -------------------------------------------------------------------  計算機安裝了 Azure PowerShell 模塊。 因此，這個解決方案確實達到了目的。 ------------------------------------------------------------------- :::info Azure 容器實例為虛擬化應用程序提供可移植環境。 容器正在成為打包、部署和管理雲應用程序的首選方式。 Azure 容器實例提供了在 Azure 中運行容器的最快、最簡單的方法，無需管理任何虛擬機，也無需採用更高級別的服務。 與虛擬機 (VM) 相比，容器提供了顯著的啟動優勢。 Azure 容器實例可以在幾秒鐘內在 Azure 中啟動容器，無需預配和管理 VM。 ::: -------------------------------------------------------------------  :::info A. a computer that runs macOS and has PowerShell Core 6.0 installed. B. a computer that runs Windows 10 and has the Azure PowerShell module installed. E. a computer that runs Chrome OS and uses Azure Cloud Shell. ::: -------------------------------------------------------------------  :::info 可以使用 Azure 資源管理器模板自動創建 Azure 資源。 通過模板部署資源被稱為 “基礎設施即代碼”。 要為 Azure 解決方案實施基礎結構即代碼，請使用 Azure 資源管理器模板。 該模板是一個 JavaScript 對象表示法 (JSON) 文件，用於定義項目的基礎結構和配置。 該模板使用聲明性語法，這讓您可以聲明您打算部署的內容，而無需編寫編程命令序列來創建它。 在模板中，您指定要部署的資源以及這些資源的屬性。 ::: -------------------------------------------------------------------   -------------------------------------------------------------------   :::info 專欄 1：概述 - 分配角色時，必須指定範圍。 範圍是訪問適用的資源集。 在 Azure 中，您可以指定從廣義到狹義四個級別的範圍：管理組、訂閱、資源組和資源。 1. 登錄到 Azure 門戶。 2. 在頂部的搜索框中，搜索您要授予訪問權限的範圍。 例如，搜索管理組、訂閱、資源組或特定資源。 3. 單擊該範圍的特定資源。 4. 下面顯示了一個示例資源組。 :::  :::info 專欄 2：訪問控制 (IAM) 訪問控制 (IAM) 是通常用於分配角色以授予對 Azure 資源的訪問權限的頁面。 它也被稱為身份和訪問管理(IAM) 並出現在 Azure 門戶的多個位置。 1. 單擊訪問控制 (IAM)。 下面顯示了資源組的訪問控制 (IAM) 頁面示例。 2. 單擊“角色分配”選項卡查看此範圍內的角色分配。 3. 單擊添加 > 添加角色分配。 如果您沒有分配角色的權限，添加角色分配選項將被禁用。 4. 添加角色分配頁面打開。 Identity Acces amnagement is the answer (IAM) ::: ------------------------------------------------------------------- # Azure Databricks    :::info Azure Databricks 是一種快速、簡單且協作的基於 Apache Spark 的大數據分析服務，專為數據科學和數據工程而設計。 **資料處理站的功能 被包含到Azure Databricks** **Azure Synapse Analytics 功能被包含到Azure Databricks** ::: :::info # Azure Synapse Analytics 是一項企業分析服務，可加速取得資料倉儲和巨量資料系統間的深入解析。 此服務會將企業資料倉儲中所用的 SQL 技術、用於巨量資料的 Apache Spark 技術以及用於記錄和時間序列分析的 Azure 資料總管完美地結合在一起。 ::: https://learn.microsoft.com/zh-tw/azure/data-factory/quickstart-create-data-factory?wt.md_id=searchAPI_azureportal_inproduct_rmskilling&sessionId=9afaed20581a47bb921799afc5617474 ------------------------------------------------------------------- # 201 管理雲端服務 manage cloud services  :::info Box 2 可以通過 https://portal.azure.com/ 管理雲服務 在 Azure 門戶的雲服務區域，您可以： 更新服務角色或部署。 將分階段部署推廣到生產環境。 將資源鏈接到您的雲服務，以便您可以查看資源依賴關係並一起擴展資源。 刪除雲服務或部署。 ::: -------------------------------------------------- # 202  :::info 方框 1： Azure Functions 為無服務器代碼提供平台。 Azure Functions 是一種無服務器計算服務，可讓你運行事件觸發的代碼，而無需顯式預配或管理 基礎設施。 方框 2： Azure Databricks 是一種用於機器學習的大型分析服務。 Azure Databricks 是一個基於 Apache Spark 的分析平台。 該平台由多個組件組成，包括“MLib”。 Mlib 是一個機器學習庫由常見的學習算法和實用程序組成，包括分類、回歸、聚類、協作 過濾、降維以及底層優化原語。 方框 3： Azure Application Insights 檢測和診斷 Web 應用中的異常。 Application Insights 是 Azure Monitor 的一項功能，是一種可擴展的應用程序性能管理 (APM) 服務，適用於開發人員和DevOps 專業人員。用它來監控您的實時應用程序。 它將自動檢測性能異常，並包含強大的分析工具來幫助您診斷問題並了解用戶實際使用您的應用程序做什麼。 方框 4： Azure 應用服務託管 Web 應用。 Azure App Service 是一種基於 HTTP 的服務，用於託管 Web 應用程序、REST API 和移動後端。 你可以在你最喜歡的地方發展語言，不管它.NET、.NET Core、Java、Ruby、Node.js、PHP 或 Python。 應用程序可在基於 Windows 和 Linux 的環境中輕鬆運行和擴展 ::: --------------------------------------- # 203 Azure DevTest Labs  :::info 開發測試實驗室創建由預配置的基礎或 Azure 資源管理器模板組成的實驗室。 通過使用開發測試實驗室，您可以通過執行以下任務來測試最新版本的應用程序： ✑ 使用可重複使用的模板和工件快速配置 Windows 和 Linux 環境。 ✑ 輕鬆將您的部署管道與開發測試實驗室集成，以配置按需環境。 ✑ 通過配置多個測試代理來擴展負載測試，並為培訓和演示創建預配置環境。 ::: -------------------------------------------------- # 204  :::info 可以在 Windows、macOS 和 Linux 上本地安裝 Az PowerShell 模塊。 它也可以透過 Azure Cloud Shell 從瀏覽器使用或在一個Docker容器 ::: ------------------------------------- # 205  命令 所以 要用cmd 或 powershell --------------------------------------- # 206  n Azure Cloud Shell 基於瀏覽器 雲端瀏覽指令操作 bash 和 Powershell都可 ---------------------------------------- # 207 PowerApps portal = PowerApps  PowerApps portal = PowerApps   **單純建構商業app 而無法建造VM 所以選NO** ---------------------------------------- # 208 Azure Portal  :::info Azure 門戶是一個基於 Web 的統一控制台，可替代命令行工具。 通過 Azure 門戶，您可以管理 使用圖形用戶界面的 Azure 訂閱。 您可以構建、管理和監控從簡單的 Web 應用程序到復雜的所有內容 雲部署。 為有組織的資源視圖創建自定義儀表板。 配置可訪問性選項以獲得最佳體驗。 基於 Web，Azure 門戶可以在運行 Android 操作系統的平板電腦的瀏覽器上運行。 ::: ---------------------------------------- # 209 Microsoft 365 compliance = Microsoft Purview **microsoft 365 Microsoft 365 compliance is now called Microsoft Purview**    # VS Microsoft Defender 保護資源  **提供評估安全防禦**  https://learn.microsoft.com/zh-tw/training/modules/describe-azure-identity-access-security/9-describe-microsoft-defender-for-cloud?ns-enrollment-type=learningpath&ns-enrollment-id=learn.wwl.azure-fundamentals-describe-azure-architecture-services ---------------------------------------- # 210  # AZURE AD connect :::info 將 Azure AD 與內部部署 AD 連線的其中一種方法是使用 Azure AD Connect。 Azure AD Connect 會同步處理內部部署 Active Directory 與 Azure AD 之間的使用者身分識別。 Azure AD Connect 會同步處理兩種身分識別系統間的變更，因此您可以在這兩種系統下使用像 SSO、多重要素驗證與自助式密碼重設等功能。 ::: # Azure ARC :::info 利用 Azure Resource Manager (ARM) 時，Arc 可讓您將 Azure 合規性和監視延伸至混合式和多雲端設定。 Azure Arc 會傳遞一致的多雲端和內部部署管理平台，來簡化治理和管理。 管理混合雲 和多雲 GCP AWS 資源 好方便 管理 混合雲之外的 其他雲端服務AWS GCP 不會單純讓使用者綁死AZURE :::   ---------------------------------------- # 213  # Azure Log Analytics  :::info Azure Log Analytics 是 Azure 入口網站中的工具，您可以在其中撰寫及執行 Azure 監視器所收集資料的記錄查詢。 Log Analytics 是一種強固的工具，可支援簡單、複雜的查詢以及資料分析。 您可以撰寫簡單查詢來傳回一組記錄，然後使用 Log Analytics 的功能來對記錄進行排序、篩選和分析。 Azure 監視器警示會使用動作群組來設定所要通知的人員，以及所要採取的動作。 動作群組只是通知的集合，以及您與一或多個警示相關聯的動作喜好設定。 Azure 監視器、服務健康狀態和 Azure Advisor 都會使用動作群組，在觸發警示時通知您。 :::   goodnote5 好用~ https://learn.microsoft.com/zh-tw/azure/azure-monitor/alerts/action-groups?wt.md_id=searchAPI_azureportal_inproduct_rmskilling&sessionId=7ad39651aa9846a6a56cb24f7d959b20 :::info **資源健康狀態會讓您知道是否有任何資源故障。 服務健康狀態會讓您知道在部署資源的區域中是否有資源故障， 但不會提供特定資源的詳細資料** 框 1：是 - Azure Monitor 通過提供全面的解決方案來最大限度地提高應用程序和服務的可用性和性能 從您的雲和本地環境收集、分析和處理遙測數據。 方框 2：是 - Azure Monitor 中的警報會主動通知你緊急情況並可能嘗試採取糾正措施。 方框 3：是 - Azure Monitor 使用目標資源，這是可用於警報的範圍和信號。 目標可以是任何 Azure 資源。 示例目標： 虛擬機、存儲帳戶、虛擬機規模集、Log Analytics 工作區或 Application Insights 資源。 ::: https://learn.microsoft.com/en-us/training/modules/describe-monitoring-tools-azure/4-describe-azure-monitor?ns-enrollment-type=learningpath&ns-enrollment-id=learn.wwl.describe-azure-management-governance ---------------------------------------- # 214 Azure Repos  :::info 如同 github 存放 管理程式碼 Azure Repos 是一組可用於管理代碼的版本控制工具。 錯誤答案： B：Azure 開發測試實驗室創建由預先配置的基礎或 Azure 資源管理器模板組成的實驗室。 這些應有盡有 可用於創建環境的工具和軟件。 D：Azure Cosmos DB 是 Microsoft 的全球分佈式多模型數據庫服務。 ::: ---------------------------------------- # 215 Azure 監視器  :::info to view service failure notifications 警示通知 選 監視器 Advisor 是個性化的雲顧問，可幫助您遵循最佳實踐來優化您的 Azure 部署。 它分析你的資源配置和使用遙測，然後推薦可幫助你提高 Azure 資源的成本效益、性能、高可用性和安全性的解決方案 ::: 。 ---------------------------------------- # 217 NSG 網路安全群組  :::info NSG 管理要設定port 80 到防火牆，才不會擋 如同老師上課 HYPER V 設定 遠端連線到 AZ VM 要設置防火牆 的 PORT ::: # Traffic Manager (Azure 流量管理器) :::info Azure 流量管理器是一種基於 DNS 的負載均衡解決方案。 它不用於確保可以從 互聯網連到HTTP。 要確保可以通過 HTTP 從 Internet 訪問名為 VM1 的虛擬機，您需要修改網絡安全組或 Azure 防火牆。 在這個問題中，我們需要在網絡安全組或 Azure 防火牆中添加一條規則，以允許在端口 80 上連接到虛擬機(HTTP) :::  ---------------------------------------- # 218 network security groups  :::info 網絡安全組的工作方式類似於防火牆。 您可以將網絡安全組附加到虛擬網絡和/或 虛擬網絡。 您還可以將網絡安全組附加到分配給虛擬機的網絡接口。 您可以使用多個網絡安全 虛擬網絡中的組以限制資源（例如虛擬機和子網）之間的流量。 可以使用網絡安全組篩選進出 Azure 虛擬網絡中 Azure 資源的網絡流量。 網絡安全組 包含允許或拒絕幾種類型的 Azure 資源的入站網絡流量或出站網絡流量的安全規則 ::: ---------------------------------------- # 219 Azure activity log  :::info 您將使用 Azure 活動日誌而不是訪問控制來查看哪個用戶在過去 14 天內關閉了特定虛擬機。 活動日誌會保留 90 天。 您可以查詢任何日期範圍，只要開始日期不超過過去 90 天。 在這個問題中，我們將創建一個過濾器來顯示過去 14 天內虛擬機的關機操作。 如同 AZURE 活動事件紀錄簿 :::  ---------------------------------------- # 220 Azure Firewall  :::info 可以使用單個 Azure 防火牆將流量限製到多個訂閱中的多個虛擬網絡。 Azure 防火牆是一種託管的、基於雲的網絡安全服務，可保護你的 Azure 虛擬網絡資源。 這是一個完全有狀態的防火牆即服務，具有內置的高可用性和不受限制的雲可擴展性。 您可以跨訂閱和虛擬網絡集中創建、實施和記錄應用程序和網絡連接策略。 蔚藍 防火牆為您的虛擬網絡資源使用靜態公共 IP 地址，允許外部防火牆識別源自您的流量虛擬網絡 :::  # Azure 防火牆管理器 :::info 可以使用 Azure 防火牆管理器**跨多個訂閱**集中管理 Azure 防火牆。Firewall Manager 使用防火牆策略將一組通用的網絡/應用程序規則和配置應用於租戶中的防火牆。 Firewall Manager 支持 VNet 和虛擬 WAN（安全虛擬中心）環境中的防火牆。Secure Virtual Hubs 使用虛擬 WAN 路由自動化解決方案，只需幾個步驟即可簡化到防火牆的路由流量。 要了解有關 Azure 防火牆管理器的更多信息，請參閱Azure 防火牆管理器。 ::: # 應用程式安全性群組 Application security groups :::info 如果是 VM上的 應用程式 如WEB 或DB 就可以使用 應用程式安全性群組 :::   ---------------------------------------- # 221 to store certificates  # Azure Key Vault :::info Azure Key Vault 是一個安全存儲區，用於存儲各種類型的敏感信息，包括密碼和證書。 Azure Key Vault 可用於安全地存儲和嚴格控制對令牌、密碼、證書、API 密鑰和其他秘密的訪問。 機密和密鑰由 Azure 使用行業標準算法、密鑰長度和硬件安全模塊 (HSM) 進行保護。 HSM用過的是已通過聯邦信息處理標準 (FIPS) 140-2 2 級驗證。 在調用方（用戶或應用程序）獲得訪問權限之前，訪問密鑰保管庫需要進行適當的身份驗證和授權。 驗證確定調用者的身份，而授權確定允許他們執行的操作。 :::     https://learn.microsoft.com/en-us/azure/cloud-services-extended-support/certificates-and-key-vault ---------------------------------------- # 222 Azure Sentinel Microsoft Sentinel  :::info 使用 Microsoft Sentinel 現代化您的安全性營運中心 (SOC)。利用智慧型、完整的安全性資訊與事件管理 (SIEM) 解決方案，主動偵測、調查及回應，發現複雜的威脅並做出回應。免除安全性基礎結構設定與維護，並根據您的安全性需求彈性調整，同時降低最多 48% 的成本 (相較於傳統 SIEM)。 :::   # Azure 認知服務 = Azure Cognitive Services :::info 透過這樣服務可以呼叫API 使用AI 相關功能 :::    ---------------------------------------- # 223 Azure Sentinel         ----- 在AZURE 雲上 **事件**  **活頁簿**  **搜捕**   **實體行為**  MITRE ATTCK(&C) (預覽)  資料連結器  **分析**  **關注清單**  **自動化**  https://learn.microsoft.com/zh-tw/azure/sentinel/overview https://learn.microsoft.com/zh-tw/azure/sentinel/quickstart-onboard https://learn.microsoft.com/zh-tw/azure/azure-monitor/logs/log-analytics-tutorial ---------------------------------------- # 224 Azure Lighthouse     Azure Lighthouse 結構 https://learn.microsoft.com/zh-tw/azure/lighthouse/concepts/architecture ---------------------------------------- # 225 what to encrypt all network traffic ?  :::info 框 1：否 - Azure 防火牆不加密網絡流量。 它用於根據源/目標 IP 地址、源/目標端口和協議來阻止或允許流量。 框 2：否 - 網絡安全組不加密網絡流量。 它的工作方式與防火牆類似，用於根據源/目標 IP 地址、源/目標端口和協議來阻止或允許流量。 框 3：否 - 這個問題相當模糊，因為它取決於 Internet 上主機的配置。 Windows Server 確實帶有 VPN 客戶端，它還支持其他加密方法，例如 IPSec 加密或 SSL/TLS，因此如果 Internet 主機配置為需要或接受加密，它可以加密流量。 但是，VM 無法加密到未配置為需要加密的 Internet 主機的流量。 ::: **ANS: windows server vpn 閘道 **  https://learn.microsoft.com/zh-tw/azure/security/fundamentals/data-encryption-best-practices#protect-data-in-transit  ---------------------------------------- # 226 Azure Security Center(Microsoft Defender for Cloud)      :::info 框 1：是 - Azure 安全中心是一個統一的基礎設施安全管理系統，可增強數據中心的安全態勢，並為雲端和本地的混合工作負載提供高級威脅防護（無論它們是否在 Azure 中）。 框 2：否 - 只有兩個功能：持續評估和安全建議以及 Azure 安全評分是免費的 **只有這些免費，其他要付費喔!!!!** 方框 3：是 - Security Center 中的高級監控功能還允許您隨時間跟踪和管理合規性和治理。 整體 合規性為您提供了一個衡量標準，衡量您的訂閱在多大程度上符合與您的工作負載相關的策略。 :::  https://learn.microsoft.com/zh-tw/azure/defender-for-cloud/monitoring-components ---------------------------------------- # 227 深層防禦   https://learn.microsoft.com/zh-tw/training/modules/describe-azure-identity-access-security/8-describe-defense-depth?ns-enrollment-type=learningpath&ns-enrollment-id=learn.wwl.azure-fundamentals-describe-azure-architecture-services ---------------------------------------- # 228 VM by using Azure Disk Encryption.  Azure Disk Encryption requires an Azure Key Vault to control and manage disk encryption keys and secrets.  ---------------------------------------- # 229 網路安全性群組 Network security group  Source or destination: Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group.  ---------------------------------------- # 230 playbook 活頁簿 劇本   ---------------------------------------- # 231 NAT 網際網路連到內網資源  ---------------------------------------- # 232 深層防禦  ---------------------------------------- # 233 Azure Sentinel :::info **Azure Monitor workbooks** :::     ---------------------------------------- # 234  ---------------------------------------- # 236 Azure Policy initiative Azure 原則方案  :::info 框：策略定義的集合 Azure Policy 計劃是 Azure Policy 定義或規則的集合，它們組合在一起以實現特定目標或目的。 Azure 計劃通過在邏輯上將一組策略組合在一起作為單個項目來簡化策略管理。 :::    https://learn.microsoft.com/zh-tw/training/modules/describe-features-tools-azure-for-governance-compliance/2-describe-purpose-of-azure-blueprints?ns-enrollment-type=learningpath&ns-enrollment-id=learn.wwl.describe-azure-management-governance  --------------------------------------- # 237 secure score   https://learn.microsoft.com/zh-tw/azure/defender-for-cloud/secure-score-security-controls --------------------------------------- # 238 just-in-time (JIT)  :::info Box: Microsoft Defender for Cloud Lock down inbound traffic to your Azure Virtual Machines with Microsoft Defender for Cloud's just-in-time (JIT) virtual machine (VM) access feature. This reduces exposure to attacks while providing easy access when you need to connect to a VM. 盒子：Microsoft Defender for Cloud 使用 Microsoft Defender for Cloud 的實時 (JIT) 虛擬機 (VM) 訪問鎖定到 Azure 虛擬機的入站流量特徵。 這減少了遭受攻擊的風險，同時在您需要連接到 VM 時提供輕鬆訪問。 ::: --------------------------------------- # 239 regulatory compliance report  :::info 盒子：Microsoft Defender for Cloud Microsoft Defender for Cloud 使用法規遵從性儀表板幫助簡化滿足法規遵從性要求的過程。 您可以下載 PDF/CSV 報告以及合規狀態的認證報告。 ::: --------------------------------------- # 240 security events  :::info Microsoft Sentinel 是一種可擴展的雲原生安全信息和事件管理 (SIEM) 以及安全編排、自動化和響應 (SOAR) 解決方案。 Microsoft Sentinel 在整個企業範圍內提供智能安全分析和威脅情報，為攻擊提供單一解決方案 檢測、威脅可見性、主動搜索和威脅響應。 ::: --------------------------------------- # 241 single sing-on  Box: Azure Active Directory (Azure AD) You can enable single sign-on for an enterprise application through :::info 應用程式安全性群組可讓您將網路安全性設定為應用程式結構的自然擴充功能，讓您將虛擬機器分組，並定義以這些群組為基礎的網路安全性原則。 您可以大規模重複使用您的安全性原則，而不需進行明確 IP 位址的手動維護。 :::  --------------------------------------- # 242  :::info Azure 在你創建的每個網絡安全組中創建默認規則。 這些規則允許一些流量。 方框 2：是 - 網絡安全組包含零個或任意數量的規則。 這些規則可以引用應用程序安全組。 方框 3：是 - Azure 在你創建的每個網絡安全組中創建 Inbound 和 OutBound 默認規則。 ::: 框 1：否 - --------------------------------------- # 243 驗證  SSO  MFA  Single sign-on (SSO) enables a user to sign in one time and use that credential to access multiple resources and applications from different providers. For SSO to work, the different applications and providers must trust the initial authenticator. Multifactor authentication is the process of prompting a user for an extra form (or factor) of identification during the sign-in process. MFA helps protect against a password compromise in situations where the password was compromised but the second factor wasn't. --------------------------------------- # 244 加密憑證 encrypts credentials  Azure Key Vault 會保護雲端中的密碼編譯金鑰、憑證 (以及與憑證相關聯的私密金鑰) 和祕密 (例如連接字串和密碼)。 但是，在儲存敏感性和商務關鍵性資料時，您必須採取步驟，以將保存庫和儲存於其中的資料安全性提至最高。 https://learn.microsoft.com/zh-tw/azure/key-vault/general/security-features # Azure 資訊保護 (AIP) Azure information protection Azure 資訊保護 ==(AIP)== 是先前Microsoft 資訊保護或 MIP) Microsoft Purview 資訊保護 (的一部分。 Microsoft Purview 資訊保護可協助您**探索、分類、保護及控管機密資訊**，無論其位於何處或移動。 **保護文件 電子郵件 信用卡資訊**   --------------------------------------- # 245 NSG  盒子：網絡安全組（NSG） 可以使用 Azure 網絡安全組來篩選進出 Azure 虛擬網絡中的 Azure 資源的網絡流量。 一個網絡安全組包含允許或拒絕多種類型的 Azure 的入站網絡流量或出站網絡流量的安全規則 資源。 對於每條規則，您可以指定源和目標、端口和協議。 --------------------------------------- # 246 DDOS LAYER?  --------------------------------------- # 247 Playbooks 活頁簿 劇本 Sentinel  Box：自動應對威脅 劇本是可以從 Microsoft Sentinel 運行以響應警報或事件的過程的集合。 劇本可以提供幫助 自動化和編排您的響應，並且可以設置為在生成特定警報或事件時自動運行，通過附加 分別為分析規則或自動化規則。 注意：自動化規則可幫助您在 Microsoft Sentinel 中對事件進行分類。 您可以使用它們自動將事件分配給正確的人員、關閉嘈雜事件或已知誤報、更改其嚴重程度並添加標籤。 它們也是您可以 運行劇本以響應事件。 --------------------------------------- # 248  正確答案：D DDoS 是一種試圖耗盡應用程序資源的攻擊。 目標是影響應用程序的可用性及其處理合法請求的能力。 DDoS 攻擊可以針對可通過 Internet 公開訪問的任何端點。 Azure 有兩種 DDoS 服務產品可提供網絡攻擊保護：DDoS 保護基本和 DDoS 保護標準。 DDoS 基本保護默認集成到 Azure 平台中，無需額外費用。 您可以選擇為 DDoS 標準付費。 與基本服務相比，它有幾個優勢，包括日誌記錄、警報和遙測。 DDoS Standard 可以生成報告，其中包含本問題所要求的攻擊嘗試的詳細信息。 --------------------------------------- # 249  方框 1： 要使用傳感器監視威脅，可以使用 Azure 高級威脅防護 (ATP)。 Azure 高級威脅防護 (ATP) 是一種基於雲的安全解決方案，它利用您的本地 Active Directory 信號來識別、檢測和調查針對您的組織的高級威脅、身份洩露和惡意內部人員操作。 傳感器是安裝在服務器上的軟件包，用於將信息上傳到 Azure ATP。 方框 2： 要根據條件實施 MFA，可以使用 Azure Active Directory 身份保護。 Azure AD Identity Protection 可幫助您通過配置有條件的身份驗證來管理 Azure 多重身份驗證 (MFA) 註冊的推出無論您登錄的是哪種新式身份驗證應用程序，都需要 MFA 註冊的訪問策略。  --------------------------------------- # 250 VM NSG FIREWALL  網絡安全組的工作方式類似於防火牆。 您可以將網絡安全組附加到虛擬網絡和/或虛擬網絡中的各個子網。 您還可以將網絡安全組附加到分配給虛擬機的網絡接口。 您可以使用多個網絡安全 虛擬網絡中的組以限制資源（例如虛擬機和子網）之間的流量。 可以使用網絡安全組篩選進出 Azure 虛擬網絡中 Azure 資源的網絡流量。 網絡安全組包含允許或拒絕多種類型的 Azure 資源的入站網絡流量或出站網絡流量的安全規則。 在本題中，我們需要在網絡安全組中添加一條規則，允許在80端口（HTTP）上連接到虛擬機。 --------------------------------------- # 251 Azure Bastion 是一種在部署後可讓您使用瀏覽器和 Azure 入口網站，或透過本機電腦上已安裝的原生 SSH 或 RDP 用戶端連線到虛擬機器的服務。 Azure Bastion 服務是您可在虛擬網路內佈建的完全平台受控 PaaS 服務。 其可讓您直接從 Azure 入口網站中，經由 TLS 安全順暢地透過 RDP/SSH 連線到虛擬機器。 透過 Azure Bastion 連線時，您的虛擬機器不需要公用 IP 位址、代理程式或特殊用戶端軟體。 Bastion 可為佈建所在虛擬網路中的所有 VM 提供安全的 RDP 和 SSH 連線。 使用 Azure Bastion 來保護您的虛擬機器免於向外公開 RDP/SSH 連接埠，同時提供使用 RDP/SSH 的安全存取。  https://learn.microsoft.com/zh-tw/azure/bastion/bastion-overview --------------------------------------- # 252 NSG virtual network subnet and network interface   您可以使用 Azure 網路安全性群組在 Azure 虛擬網路中篩選進出 Azure 資源的網路流量。 網路安全性群組包含安全性規則，用來允許或拒絕進出多種 Azure 資源類型的輸入和輸出網路流量。 您可以為每個規則指定來源和目的地、連接埠及通訊協定。 您可以將數個 Azure 服務的資源部署到 Azure 虛擬網路。 如需完整清單，請參閱可以部署至虛擬網路的服務。 您可以將零個或一個網路安全性群組關聯至每個虛擬網路子網路，以及虛擬機器中的網路介面。 您可以將相同的網路安全性群組關聯至所需數量的子網路和網路介面。 --------------------------------------- # 253  可以使用單個 Azure 防火牆將流量限製到多個虛擬網絡。 Azure 防火牆是一種託管的、基於雲的網絡安全服務，可保護你的 Azure 虛擬網絡資源。 這是一個完全有狀態的防火牆即服務，具有內置的高可用性和不受限制的雲可擴展性。 您可以跨訂閱和虛擬網絡集中創建、實施和記錄應用程序和網絡連接策略。 蔚藍 防火牆為您的虛擬網絡資源使用靜態公共 IP 地址，允許外部防火牆識別源自您的流量虛擬網絡。 --------------------------------------- # 254 Key Vault  Key Vault 旨在存儲服務器應用程序的配置機密。 它不是為了存儲屬於您的應用程序用戶的數據，而且它不應在應用程序的客戶端部分使用。  Azure Key Vault 是一種「祕密存放區」：用來儲存應用程式祕密 (例如必須隨時保持安全的密碼和連接字串等設定值) 的集中式雲端服務。 Key Vault 會在單一中央位置保存應用程式的祕密，並提供安全存取、權限控制和存取記錄，協助您控制應用程式的祕密。 # Personally Identifiable Information (PII)  --------------------------------------- # 255 Azure Key Vault Azure Key Vault 是用於存儲各種類型的敏感信息的安全存儲。 在這個問題中，我們會將管理憑據存儲在 Key Vault 中。 使用此解決方案，無需在部署腳本中以純文本形式存儲管理憑證。 存儲在 Key Vault 中的所有信息都是加密的。 Azure Key Vault 可用於安全地存儲和嚴格控制對令牌、密碼、證書、API 密鑰和其他秘密的訪問。 機密和密鑰由 Azure 使用行業標準算法、密鑰長度和硬件安全模塊 (HSM) 進行保護。 使用的 HSM 已通過聯邦信息處理標準 (FIPS) 140-2 2 級驗證。 在調用方（用戶或應用程序）獲得訪問權限之前，訪問密鑰保管庫需要進行適當的身份驗證和授權。 驗證 確定調用者的身份，而授權確定允許他們執行的操作。  Azure Security Center Azure Key Vault is a secure store for storage various types of sensitive information. In this question, we would store the administrative credentials in the Key Vault. With this solution, there is no need to store the administrative credentials as plain text in the deployment scripts. All information stored in the Key Vault is encrypted. Azure Key Vault can be used to Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets. Secrets and keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs). The HSMs used are Federal Information Processing Standards (FIPS) 140-2 Level 2 validated. Access to a key vault requires proper authentication and authorization before a caller (user or application) can get access. Authentication establishes the identity of the caller, while authorization determines the operations that they are allowed to perform. --------------------------------------- # 256 網路裝置連到VM  網絡安全組的工作方式類似於防火牆。 您可以將網絡安全組附加到虛擬網絡和/或虛擬網絡中的各個子網。 您還可以將網絡安全組附加到分配給虛擬機的網絡接口。 您可以使用多個網絡安全 虛擬網絡中的組以限制資源（例如虛擬機和子網）之間的流量。 可以使用網絡安全組篩選進出 Azure 虛擬網絡中 Azure 資源的網絡流量。 網絡安全組包含允許或拒絕多種類型的 Azure 資源的入站網絡流量或出站網絡流量的安全規則。 A network security group works like a firewall. You can attach a network security group to a virtual network and/or individual subnets within the virtual network. You can also attach a network security group to a network interface assigned to a virtual machine. You can use multiple network security groups within a virtual network to restrict traffic between resources such as virtual machines and subnets. You can filter network traffic to and from Azure resources in an Azure virtual network with a network security group. A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. --------------------------------------- # 257 NSG 網路安全群組  創建虛擬機時，默認設置是創建附加到分配給虛擬機的網絡接口的網絡安全組 虛擬機。 網絡安全組的工作方式類似於防火牆。 您可以將網絡安全組附加到虛擬網絡和/或 虛擬網絡。 您還可以將網絡安全組附加到分配給虛擬機的網絡接口。 您可以使用多個網絡安全 虛擬網絡中的組以限制資源（例如虛擬機和子網）之間的流量。 可以使用網絡安全組篩選進出 Azure 虛擬網絡中 Azure 資源的網絡流量。 網絡安全組包含允許或拒絕幾種類型的 Azure 資源的入站網絡流量或出站網絡流量的安全規則。 在本題中，我們需要在網絡安全組中添加一條規則，允許在8080端口連接到虛擬機。 --------------------------------------- # 258 azure role YES YES YES        **一個資源群組可以指派擁有者角色給多個使用者!!!!!!!!** * 管理群組 (多個訂閱的集合)。 * 單一訂閱。 * 資源群組。 * 單一資源。 觀察者、管理資源的使用者、系統管理員和自動化流程說明一般獲指派各個不同角色的使用者或帳戶類型。 Azure RBAC 是階層式的，因為當您在父範圍授與存取權時，所有子範圍都會繼承這些權限。 例如： 當**您將擁有者角色指派給管理群組範圍中的使用者時，該使用者就可以管理管理群組內所有訂閱中的全部內容。** 當您將讀者角色指派給訂閱範圍中的群組時，該群組的成員就可以檢視訂閱內的每一個資源群組和資源。 --------------------------------------- # 259 NSG 網路安全群組  網絡安全組的工作方式類似於防火牆。 您可以將網絡安全組附加到虛擬網絡和/或 虛擬網絡。 您還可以將網絡安全組附加到分配給虛擬機的網絡接口。 您可以使用多個網絡安全 虛擬網絡中的組以限制資源（例如虛擬機和子網）之間的流量。 可以使用網絡安全組篩選進出 Azure 虛擬網絡中 Azure 資源的網絡流量。 網絡安全組包含允許或拒絕幾種類型的 Azure 資源的入站網絡流量或出站網絡流量的安全規則。 在本題中，我們需要在網絡安全組中添加一條規則，允許在80端口（HTTP）上連接到虛擬機。 --------------------------------------- # 260  DDoS 是一種對網絡資源的攻擊形式。 DDoS保護計劃用於防止DDoS攻擊； 它不提供 連接到虛擬機。 為確保可以通過 HTTP 從 Internet 訪問名為 VM1 的虛擬機，您需要修改網絡安全組或 Azure 防火牆。 --------------------------------------- # 261 Azure Sentinel  Azure 防火牆是一種託管的、基於雲的網絡安全服務，可保護你的 Azure 虛擬網絡資源。 這是一個完全有狀態的 防火牆即服務，具有內置的高可用性和不受限制的雲可擴展性。 在這個問題中，我們需要在 Azure 防火牆中添加一條規則，以允許在端口 80 (HTTP) 上連接到虛擬機。 --------------------------------------- # 262 Azure Germany  ANS : D 任何需要其數據駐留在德國的用戶或企業   Azure Germany 適用於全球有意在歐盟/歐洲自由貿易區（包括英國）開展業務的符合條件的客戶和合作夥伴。 Azure 德國在德國數據中心內提供單獨的 Microsoft Azure 服務實例。 數據中心位於兩個地點，美因河畔法蘭克福和馬格德堡。 這種放置可確保客戶數據保留在德國，並且數據中心通過專用網絡相互連接。 所有客戶數據都專門存儲在這些數據中心。 一家指定的德國公司——德國數據受託人——控制 訪問客戶數據以及保存客戶數據的系統和基礎設施。 --------------------------------------- # 263 Azure AD    Azure Active Directory Connect 同步處理服務 (Azure AD Connect 同步處理) 是 Azure AD Connect 的主要元件。 它會負責執行同步處理內部部署環境與 Azure AD 之間識別資料的所有相關作業。 Azure AD Connect 同步處理是 DirSync、Azure AD 同步，以及已設定 Azure Active Directory 連接器之 Forefront Identity Manager 的後續版本。 資訊是否同步？ 受控網域已設定為執行從 Azure AD 到 Azure AD DS 的單向同步處理。 您可以直接在此受控網域中建立資源，但系統不會將其同步處理回到 Azure AD。 在具有內部部署 AD DS 環境的混合式環境中，Azure AD Connect 會與受控網域同步身分識別資訊，該資訊會接著同步至 Azure AD DS。 Box 1: Yes - The tool you would use to sync the accounts is Azure AD Connect. The Azure Active Directory Connect synchronization services (Azure AD Connect sync) is a main component of Azure AD Connect. It takes care of all the operations that are related to synchronize identity data between your on-premises environment and Azure AD. Box 2: Yes - As described above, third-party cloud services and on-premises Active Directory can be used to access Azure resources. This is known as 'federation'. Federation is a collection of domains that have established trust. The level of trust may vary, but typically includes authentication and almost always includes authorization. A typical federation might include a number of organizations that have established trust for shared access to a set of resources. Box 3: Yes - Azure Active Directory (Azure AD) is a centralized identity provider in the cloud. This is the primary built-in authentication and authorization service to provide secure access to Azure resources. --------------------------------------- # 264 Security Center = Microsoft Defender  Security Center 中的高級監控功能使您可以隨時跟踪和管理合規性和治理。 整體合規性為您提供了一個衡量標準，衡量您的訂閱在多大程度上符合與您的工作負載相關的策略。 --------------------------------------- # 266  Security Center 中的高級監控功能使您可以隨時跟踪和管理合規性和治理。 整體 合規性為您提供了一個衡量標準，衡量您的訂閱在多大程度上符合與您的工作負載相關的策略。 # 服務健康狀態 是針對區域中的服務健康狀態   --------------------------------------- # 267 mark Azure 資訊保護 Azure Information Protection  Azure 資訊保護 (AIP)是先前Microsoft 資訊保護或 MIP) Microsoft Purview 資訊保護 (的一部分。 Microsoft Purview 資訊保護可協助您探索、分類、保護及控管機密資訊，無論其位於何處或移動。 保護文件 電子郵件 信用卡資訊 Azure 信息保護用於自動向包含信用卡信息的 Microsoft Word 文檔添加水印。 使用 Azure 信息保護標籤將分類應用於文檔和電子郵件。 當您這樣做時，分類是可識別的 無論數據存儲在何處或與誰共享。 標籤可以包括視覺標記，例如頁眉、頁腳或水印。 標籤可以由定義規則和條件的管理員自動應用，也可以由用戶手動應用，或者由用戶手動應用 給出的建議。 在這個問題中，我們將配置一個標籤以自動應用於包含以下內容的 Microsoft Word 文檔 信用卡信息。 然後標籤會將水印添加到文檔中。 Azure 資訊保護 (AIP) 是先前Microsoft 資訊保護或 MIP) Microsoft Purview 資訊保護 (的一部分。 Microsoft Purview 資訊保護可協助您探索、分類、保護及控管機密資訊，無論其位於何處或移動。 AIP 會以下列功能擴充 Microsoft Purview 所提供的 標籤 和 分類 功能： 統一標籤用戶端 內部部署 掃描器 SDK AIP 也提供Microsoft Purview 資訊保護所使用的加密服務Azure Rights Management。 --------------------------------------- # 268 AD  框 1：否 - Azure Active Directory (Azure AD) 是一種基於雲的服務。 它不需要虛擬機上的域控制器。 方框 2：是 - Azure Active Directory (Azure AD) 是雲中的集中身份提供者。 這是主要的內置身份驗證和授權服務以提供對 Azure 資源和 Microsoft 365 的安全訪問。 框 3：否 - 可以為 Azure Active Directory 中的用戶帳戶分配不同 Azure 或 Microsoft 365 服務的多個許可證。 Box 1: No - Azure Active Directory (Azure AD) is a cloud-based service. It does not require domain controllers on virtual machines. Box 2: Yes - Azure Active Directory (Azure AD) is a centralized identity provider in the cloud. This is the primary built-in authentication and authorization service to provide secure access to Azure resources and Microsoft 365. Box 3: No - User accounts in Azure Active Directory can be assigned multiple licenses for different Azure or Microsoft 365 services.  使用者可以五張證照，並非只有一張 --------------------------------------- # 269  Azure 政府是專門為滿足美國政府的合規性和安全要求而構建的雲環境。 這個使命—— critical cloud 為美國政府客戶及其合作夥伴提供突破性創新。 Azure 政府向政府申請從州和地方政府到包括國防部機構在內的聯邦機構的任何級別。 Microsoft Azure 和 Microsoft Azure Government 之間的主要區別在於 Azure Government 是一個主權雲。 這是一個物理Azure 的獨立實例，僅專用於美國政府工作負載。 它專為政府機構及其解決方案而構建提供商。 --------------------------------------- # 270  Box 1: No - It is not true that you must deploy a federation solution or sync on-premises identities to the cloud. You can have a cloud-only environment and use MFA. Box 2: No - Picture identification and passport numbers are not valid MFA authentication methods. Valid methods include: Password, Microsoft Authenticator App, SMS and Voice call. QR code Box 3: You can configure MFA to be required for administrator accounts only or you can configure MFA for any user account. 框 1：否 - 您必須部署聯合解決方案或將本地身份同步到雲端是不正確的。 您可以擁有一個純雲環境，並且使用 MFA。 框 2：否 - 圖片標識和護照號碼不是有效的 MFA 身份驗證方法。 有效方法包括：密碼、Microsoft 身份驗證器應用程序、短信和語音通話。 方框 3： 您可以將 MFA 配置為僅管理員帳戶需要，也可以為任何用戶帳戶配置 MFA。  --------------------------------------- # 271 AD Identity Protection     Azure AD 身份保護包括兩種風險策略：登錄風險策略和用戶風險策略。 登錄風險表示身份所有者未授權給定的身份驗證請求。 有幾種類型的風險檢測。 其中之一是匿名 IP 地址。 此風險檢測類型表示匿名登錄IP 地址（例如，Tor 瀏覽器或匿名 VPN）。 這些 IP 地址通常由想要隱藏其登錄信息的參與者使用用於潛在惡意目的的遙測（IP 地址、位置、設備等）。 您可以將登錄風險策略配置為要求用戶更改其密碼。 https://learn.microsoft.com/zh-tw/azure/active-directory/identity-protection/overview-identity-protection --------------------------------------- # 272 GDPR 歐盟個資 NIST美國國家研究院 ISO國際行業標準  專欄 1：ISO - ISO 是國際標準化組織。 公司可以通過 ISO 標準認證，例如 ISO 9001 或 27001 是 常用於IT公司。 專欄 2：NIST - 國家標準和科技機構　National Institute of Standards and Technology(NIST) 美國國家標準與技術研究院 (NIST) 是一個物理科學實驗室，也是美國商務部的一個非監管機構。 專欄 3：GDPR - GDPR 是通用數據保護條例。 該標準於 2018 年 5 月在整個歐洲被採用，並取代了現已棄用的數據保護指令。 通用數據保護條例 (EU) (GDPR) 是歐盟法律中關於歐盟 (EU) 和歐洲經濟區 (EEA) 數據保護和隱私的條例。 它還解決了在歐盟和歐洲經濟區區域之外傳輸個人數據的問題。 GDPR 的主要目的是讓個人控制他們的個人數據，並通過統一歐盟內部的監管來簡化國際業務的監管環境。 專欄 4：Azure 政府 - 對滿足政府安全和合規要求的雲服務感興趣的美國政府機構或其合作夥伴，可以 相信 Microsoft Azure Government 提供世界一流的安全、保護和合規服務。 GDPR 資料保護影響評估 發行 GDPR 全名為「General Data Protection Regulation」（一般資料保護規定），類似於台灣的個資法. 針對為歐盟 (EU) 中的人們提供產品及服務或為歐盟居民收集和分析資料的組織，一般資料保護規定 (GDPR) 推出了新的規則，而無論您或您的企業位於何處都必須遵守。 如需其他詳細資料，請參閱 GDPR 摘要一文。 這份文件將引導您在使用 Microsoft 產品和服務時，取得 GDPR 規定下之資料保護影響評估 (DPIAS) 的相關資訊。   --------------------------------------- # 273 retrieve security tokens  --------------------------------------- # 274 Active Directory  要遷移到 Azure 並停用本地數據中心，您需要在 Azure Active 中創建 5,000 個用戶帳戶 目錄。 執行此操作的簡單方法是將所有 Active Directory 用戶帳戶同步到 Azure Active Directory (Azure AD)。 你甚至可以同步他們的密碼，以進一步減少對用戶的影響。 用於同步帳戶的工具是 Azure AD Connect。 Azure Active Directory Connect 同步服務 (Azure AD Connect 同步）是 Azure AD Connect 的主要組件。 它負責與同步身份數據相關的所有操作在您的本地環境和蔚藍廣告。 # **Azure AD Connect 雲端同步**   Azure AD Connect 雲端同步是 Microsoft 推出的新產品，其設計目的是為了符合並實現您的混合式身分識別目標，讓使用者、群組和連絡人可同步至 Azure AD。 其透過使用 Azure AD 雲端佈建代理程式而不是 Azure AD Connect 應用程式來實現這一點。 然而，其可搭配 Azure AD Connect 同步使用，並提供下列優點： 支援從多樹系中斷連線的 Active Directory 樹系環境同步到 Azure AD 租用戶：常見的情節包括合併 & 收購 (遭到收購公司的 AD 樹系與父代公司的 AD 樹系隔離)，以及過去已有多個 AD 樹系的公司。 使用輕量佈建代理程式簡化安裝：代理程式會作為 AD 到 Azure AD 之間的橋梁，並在雲端中管理所有同步設定。 您可以使用多個佈建代理程式來簡化高可用性部署，這對依賴使用密碼雜湊從 AD 同步到 Azure AD 的組織特別重要。 支援多達 50,000 名成員的大型群組。 同步大型群組時，建議僅使用 OU 範圍篩選條件。  https://learn.microsoft.com/zh-tw/azure/active-directory/cloud-sync/what-is-cloud-sync#comparison-between-azure-ad-connect-and-cloud-sync # AAD 連線 | Connect Sync Azure AD Connect 同步   --------------------------------------- # 275 Azure Monitor  框 1：是 - 您可以將 Azure AD 活動日誌發送到 Azure Monitor 日誌，以實現對連接數據的豐富可視化、監控和警報。Azure Monitor 收集的所有數據都屬於兩種基本類型之一，指標和日誌（包括 Azure AD 活動日誌）。 活動日誌記錄何時創建或修改資源。 指標告訴您資源的執行情況以及它消耗的資源。 方框 2：是 - Azure Monitor 可以將來自多個 Azure 資源、訂閱和租戶的日誌條目整合到一個位置以便一起分析。     **可以監視多個訂閱用戶 資源群組 ** 方框 3：是 - 可以在 Azure Monitor 中創建警報。Azure Monitor 中的警報會主動通知你緊急情況並可能嘗試採取糾正措施。 警報規則基於指標提供基於數值的近乎實時的警報，而基於日誌的規則允許跨多個數據的複雜邏輯來源。  --------------------------------------- # 276 lock deletion   您可以在資源組上配置鎖以防止意外刪除。 作為管理員，您可能需要鎖定訂閱、資源組或資源以防止組織中的其他用戶 意外刪除或修改關鍵資源。 您可以將鎖定級別設置為 CanNotDelete 或 ReadOnly。 在門戶中，鎖稱為分別刪除和只讀。 ✑ CanNotDelete 表示授權用戶仍然可以閱讀和修改資源，但不能刪除資源。 ✑ ReadOnly 表示授權用戶可以閱讀資源，但不能刪除或更新資源。 應用此鎖類似於將所有授權用戶限制為 Reader 角色授予的權限。 --------------------------------------- # 277 Azure Policy  Azure 策略可用於在部署期間定義對資源屬性的要求以及對現有資源的要求。 Azure Policy 控制資源的類型或位置等屬性。 Azure Policy 是 Azure 中的一項服務，可用於**創建、分配和管理**策略。 這些策略**對您的資源實施不同的規則和影響**，因此這些資源始終符合您的公司標準和服務水平協議。 在這個問題中，我們將創建一個分配給資源組的 Azure 策略，該策略拒絕在資源組中創建虛擬機。 您可以在資源組上放置一個只讀鎖。 但是，這會阻止在資源組中創建任何資源，而不是僅限虛擬機。 因此，Azure Policy 是更好的解決方案。    --------------------------------------- # 278 條件式存取原則 conditional access policy    授與存取權 授與控制項可以觸發一或多個控制項的強制執行。 * 需要多重要素驗證 * 需要將裝置標示為符合規範 (Intune) * 需要已加入混合式 Azure AD 的裝置 * 需要已核准的用戶端應用程式 * 需要應用程式保護原則 * 需要密碼變更 * 需要使用規定    裝置篩選  --------------------------------------- # 279 Azure Information Protection encrypt  Azure 信息保護可以加密文檔和電子郵件。 Azure 信息保護是一種基於雲的解決方案，可幫助組織對其文檔和電子郵件進行分類並可選擇保護其文檔和電子郵件通過應用標籤。 標籤可以由定義規則和條件的管理員自動應用，也可以由用戶手動應用，或者由用戶手動應用給出的建議。 保護技術使用 Azure Rights Management（通常縮寫為 Azure RMS）。 該技術與其他 Microsoft 雲服務和應用程序，例如 Office 365 和 Azure Active Directory。 此保護技術使用加密、身份和授權策略。 與應用的標籤類似，應用的保護 通過使用權利管理保留在文檔和電子郵件中，獨立於位置“在您的組織內部或外部”、網絡、文件服務器、和應用程序。 --------------------------------------- # 280 Compliance Manager 合規性管理員   瞭解您的合規性分數 合規性管理員會獎勵您完成為了遵守法規、標準或原則而採取的改進動作，並將這些點合併為整體合規性分數。 每個動作會根據所涉及的潛在風險，對您的分數有不同的影響。 您的合規性分數可協助排定要專注于哪些動作的優先順序，以改善整體合規性狀態。 合規性管理員會根據 Microsoft 365 資料保護基準為您提供初始分數。 此基準是一組控制項，其中包含資料保護和一般資料控管的重要法規和標準。  --------------------------------------- # 281 Azure Active Directory  单点登录(SSO) :使您只需记住一个用户名和一个密码即可访问多个应用程序。单一身份与用户相关联，从而简化了安全模型。当用户改变角色或离开组织时，访问修改与该身份相关联，这大大减少了更改或禁用帐户所需的工作。 --------------------------------------- # 282 the Microsoft Privacy Statement  Microsoft 隱私聲明解釋了 Microsoft 處理的個人數據、Microsoft 處理這些數據的方式以及處理目的。 你的適用服務協議或預覽版補充條款可能會為某些預覽版服務指定較少或不同的隱私措施。 --------------------------------------- # 283 Azure Active Directory  Azure AD 中有哪些可用功能？ 選擇 Azure AD 授權之後，您將能夠存取部分或所有下列功能： :::info 應用程式管理 使用應用程式 Proxy、單一登入、我的應用程式入口網站和軟體即服務 (SaaS) 應用程式，管理雲端和內部部署應用程式。 如需詳細資訊，請參閱如何為內部部署應用程式提供安全的遠端存取和應用程式管理文件。 驗證 管理 Azure Active Directory 自助式密碼重設、Multi-Factor Authentication、自訂的禁用密碼清單與智慧鎖定。 如需詳細資訊，請參閱 Azure AD 驗證文件。 開發人員適用的 Azure Active Directory 建置應用程式來登入所有 Microsoft 身分識別、取得權杖來呼叫 Microsoft Graph、其他 Microsoft API 或自訂 API。 如需詳細資訊，請參閱 Microsoft 身分識別平台 (適用於開發人員的 Azure Active Directory)。 企業對企業 (B2B) 在管理來賓使用者和外部合作夥伴的同時，持續掌控住您自己的公司資料。 如需詳細資訊，請參閱 Azure Active Directory B2B 文件。 企業對消費者 (B2C) 自訂和控制使用者在使用應用程式時，要如何註冊、登入和管理其設定檔。 如需詳細資訊，請參閱 Azure Active Directory B2C 文件。 條件式存取 管理雲端應用程式的存取權。 如需詳細資訊，請參閱 Azure AD 條件式存取文件。 裝置管理 管理雲端或內部部署裝置存取公司資料的方式。 如需詳細資訊，請參閱 Azure AD 裝置管理文件。 網域服務 在不使用網域控制站的情況下，將 Azure 虛擬機器加入網域中。 如需詳細資訊，請參閱 Azure AD Domain Services 文件。 企業使用者 管理授權指派、應用程式的存取權，並使用群組和管理員角色設定委派。 如需詳細資訊，請參閱 Azure Active Directory 使用者管理文件。 混合式身分識別 使用 Azure Active Directory Connect 和 Connect Health 提供單一使用者身分識別，以便對不同位置 (不論是雲端還是內部部署) 的所有資源執行驗證和授權程序。 如需詳細資訊，請參閱混合式身分識別文件。 身分識別治理 管理組織的身分識別，從員工、業務合作夥伴、廠商、服務到應用程式的存取控制。 您也可以執行存取權檢閱。 如需詳細資訊，請參閱 Azure AD Identity Governance 文件和 Azure AD 存取權檢閱。 身分識別保護 偵測會影響組織身分識別的潛在弱點、設定用來回應可疑動作的原則，然後採取適當動作來加以解決。 如需詳細資訊，請參閱 Azure AD Identity Protection。 適用於 Azure 資源的受控識別 為 Azure 服務提供 Azure AD 中的自動受控識別，其可用來驗證任何 Azure AD 支援的驗證服務，包括 Key Vault。 如需詳細資訊，請參閱什麼是適用於 Azure 資源的受控識別？。 Privileged(特許的) Identity Management (PIM) 管理、控制及監視組織內的存取。 這個功能包括存取 Azure AD 和Azure 中的資源，以及其他 Microsoft Online Services (如 Microsoft 365 或 Intune)。 如需詳細資訊，請參閱 Azure AD Privileged Identity Management。 報告和監視 深入了解環境中的安全性和使用模式。 如需詳細資訊，請參閱 Azure Active Directory 報告和監視。 工作負載身分識別 將身分識別提供給軟體工作負載 (，例如應用程式、服務、腳本或容器) ，以驗證及存取其他服務和資源。 如需詳細資訊，請參閱 工作負載身分識別常見問題。 ::: --------------------------------------- # 284  :::info 分配策略時，VNet 將標記為“不合規”。 但是，它不會被刪除並將繼續正常運行。 Azure Policy 是 Azure 中的一項服務，可用於創建、分配和管理策略。 這些策略對不同的對象執行不同的規則和效果。 您的資源，以便這些資源始終符合您的公司標準和服務級別協議。如果有任何現有資源不符合新的策略分配，它們將顯示在不符合要求的資源下。 :::      https://learn.microsoft.com/en-us/azure/governance/policy/assign-policy-portal --------------------------------------- # 285 trust center  **第二個選項 Azure AD 外部租用戶使用者(AD)跟 Microsoft Purview帳號都可** Microsoft Purview https://learn.microsoft.com/zh-tw/purview/purview --------------------------------------- # 286 tag  框 1：是 - 你使用 Azure Policy 來強制執行標記規則和約定。 方框 2：是 - 每個資源或資源組最多可以有 50 個標籤。 框 3：否 - 應用於資源組或訂閱的標籤不會被資源繼承。 您可以在每個層級設定 Azure 原則，讓您針對特定資源、資源群組、訂閱等設定原則。 此外，Azure 原則會向下繼承，因此，如果您以高階設定原則，則會自動套用至屬於父系中的所有群組。 例如，如果您在資源群組上設定 Azure 原則，則在該資源群組內建立的所有資源都會自動收到相同的原則。     https://learn.microsoft.com/zh-tw/azure/azure-resource-manager/management/tag-policies --------------------------------------- # 287 Data Protection Addendum (DPA) 資料保護附錄  **資料保護 (Data Protection)** 線上服務資料保護增補合約 (下稱「DPA」) 載有　貴用戶與 Microsoft 就 Azure 對客戶資料和個人資料之處理和安全性的義務。產品條款網站的 Online Services Privacy and Security Terms 一節另行訂定了 DPA 的例外情形以及核心線上服務的其他承諾。Microsoft 信任中心會為 Azure 及其他 Microsoft Online Services 之客戶，提供與安全性、隱私權和遵守情況相關的更多資訊。服務信任入口網站 (STP) 是信任中心的小幫手功能，提供稽核報告的存取權、GDPR 文件、合規性指南以及提供 Microsoft 如何協助保護您資料的更多詳細資訊的相關文件。 Microsoft Products and Services Data Protection Addendum (DPA) When you subscribe to a Product under the terms of the Product Terms site, the data processing and security terms are defined in Microsoft Online Services Data Protection Addendum (DPA). The DPA is an addendum to the Product Terms site (and formerly OST). The current and archived editions of the DPA are available for download.  Product Terms The Product Terms contains all the terms and conditions for software and online services through Microsoft Commercial Licensing programs(營利許可程序). The Product Terms is updated as needed (generally once per month) and is a successor to the Product Terms and Online Services Terms Word documents. Archived versions of the Product Terms and Online Services Terms documents published February 1, 2021 and prior are available below. Archived Online Services Terms (OST) documents Archived versions of the OST Word documents published February 2021 and prior. Current online services use terms are available in the Product Terms.  --------------------------------------- # 288 Multi-factor authentication   Multi-factor authentication is a process in which users are prompted during the sign-in process for an additional form of identification, such as a code on their cellphone or a fingerprint scan. --------------------------------------- # 289 Azure China = 21Vianet (Azure China)  答案: D **distinct separate instance of Microsoft Azure" is the answer.** What is Microsoft Azure operated by 21Vianet? Microsoft Azure operated by 21Vianet (Azure China) is a physically separated instance of cloud services located in China. It's independently operated and transacted by Shanghai Blue Cloud Technology Co., Ltd. ("21Vianet"), a wholly owned subsidiary of Beijing 21Vianet Broadband Data Center Co., Ltd.. 由 21Vianet 營運的 Microsoft Azure (Azure China) 是位於中國、實體獨立的雲端服務執行個體。 其是由上海藍雲網絡科技有限公司 (Shanghai Blue Cloud Technology Co., Ltd. 即 "21Vianet") 所獨立營運及交易，為北京世紀互聯寬頻資料中心有限公司 (Beijing 21Vianet Broadband Data Center Co., Ltd) 的全資子公司。 --------------------------------------- # 290  Microsoft Defender for Cloud helps streamline the process for meeting regulatory compliance requirements, using the regulatory compliance dashboard. --------------------------------------- # 291 適用於雲端的 Microsoft Defender        STP 信任入口網站    https://servicetrust.microsoft.com/ --------------------------------------- # 292   --------------------------------------- # 293 policy  --------------------------------------- # 294 Compliance Manager  Microsoft Compliance Manager（預覽版）是一款基於工作流的免費風險評估工具，可讓您跟踪、分配和驗證法規 與 Microsoft 雲服務相關的合規性活動。 另一方面，Azure Cloud Shell 是一種交互式、經過身份驗證的瀏覽器- 用於管理 Azure 資源的可訪問外殼。 --------------------------------------- # 295  https://learn.microsoft.com/en-us/azure/active-directory/devices/concept-azure-ad-join  --------------------------------------- # 296 privacy statement  The Microsoft Privacy Statement explains what personal data Microsoft processes, how Microsoft processes the data, and the purpose of processing the data --------------------------------------- # 297 驗證  Authentication, not authorization is the process of verifying a user's credentials. The difference between authentication and authorization is: ✑ Authentication is proving your identity, proving that you are who you say you are. The most common example of this is logging in to a system by providing credentials such as a username and password. ✑ Authorization is what you're allowed to do once you've been authenticated. For example, what resources you're allowed to access and what you can do with those resources. --------------------------------------- # 298 policy initiative 原則方案  --------------------------------------- # 299 微軟資源合規性 azure resources compliance   **答案是 管理群組，題組的答案有錯!!!!!!!!!!!!!** 原則套用的範圍要最高層級 管理群組，才能包含多個訂閱用戶 Azure provides four levels of management scope: Management groups Subscriptions Resource groups Resources 原則的訂定可依據管理層級思考，一個管理群組下可以有很多訂閱帳戶 --------------------------------------- # 300 GDPR 歐盟個資法  歐盟一般資料保護法規 (GDPR) 為全球隱私權、資訊安全及合規性設立重要標準。 在 Microsoft，我們將隱私權視為一項基本權利，而 GDPR 是保護及實現個人隱私權的重要一步。 Microsoft 不但致力於自身遵守 GDPR，亦提供一系列產品、功能、文件及資源，以支援我們的客戶履行其於 GDPR 下的合規義務。 以下說明 Microsoft 針對企業軟件收集的個人資料，對其客戶做出的合約承諾。 （有關 Microsoft 商業許可計劃許可的軟件，請直接參閱 Microsoft 產品和服務資料保護附錄（DPA，網址為http://aka.ms/dpa)））  --------------------------------------- # 301       Azure 藍圖會根據相關成品的所有需求、設定和設定，部署新的環境。 成品可以包含下列項目： * 角色指派 * 原則指派 * Azure 資源管理員範本 * 資源群組 --------------------------------------- # 302  --------------------------------------- # 303 lock 資源鎖定      資源鎖定可以套用至個別資源、資源群組，甚至是整個訂用帳戶。 資源鎖定是繼承的，表示如果您在資源群組上設置了資源鎖定，資源群組中所有的資源也都會套用資源鎖定。 * Delete 表示經過授權的使用者仍然可以讀取和修改資源，但無法刪除資源。 * ReadOnly 表示經過授權的使用者可以讀取資源，但無法刪除或更新資源。 套用這個鎖定類似於限制所有經過授權使用者的權限是由「讀取者」角色所授與。 可以從 Azure 入口網站、PowerShell、Azure CLI 或 Azure Resource Manager 範本管理資源鎖定。 --------------------------------------- # 304 comply 遵守 trust center 信任入口網站 STP    服務信任入口網站 (STP) 是 Microsoft 的公用網站，用來發佈稽核報告和其他與 Microsoft 雲端服務相關聯的合規性相關資訊。 STP 使用者可以下載外部稽核員所產生的稽核報告，並從 Microsoft 撰寫的白皮書取得見解，其提供 Microsoft 雲端服務如何保護資料的詳細資料，以及如何管理組織的雲端資料安全性和合規性。 存取服務信任入口網站 若要存取服務信任入口網站上的某些資源，您必須使用 Microsoft 雲端服務帳戶 (Azure Active Directory 組織帳戶登入，) 並檢閱並接受合規性資料的 Microsoft 保密合約。  認證、法規和標準 STP 的認證、法規和標準一節提供豐富的安全性實作和設計資訊，目標是讓您更容易瞭解 Microsoft 雲端服務如何保護您的資料，以符合法規合規性目標。    --------------------------------------- # 305 Azure AD   Azure AD 有何功能？ Azure AD 提供的服務如下： 驗證：這包括驗證身分識別以存取應用程式與資源。 其也包括提供像是自助式密碼重設、多重要素驗證、自訂的禁用密碼清單，以及智慧鎖定服務等功能。 單一登入：讓您只需要記住一個使用者名稱和一組密碼即可存取多個應用程式。 單一身分識別繫結至一名使用者，這可簡化安全性模型。 當使用者變更角色或離開組織時，存取權的修改會繫結至該身分識別，其會大幅降低變更或停用帳戶所需的工作量。 應用程式管理：您可使用 Azure AD 來管理自己的雲端和內部部署應用程式。 應用程式 Proxy、SaaS 應用程式、我的應用程式入口網站，以及單一登入等功能提供更佳的使用者體驗。 裝置管理：與個人帳戶一樣，Azure AD 也支援裝置註冊。 註冊後即可透過 Microsoft Intune 之類的工具來管理裝置。 其也讓裝置型條件式存取原則僅允許來自已知且已註冊裝置的存取嘗試，不論發出要求的使用者帳戶為何。 什麼是與 Azure AD 同盟？ 同盟是已建立信任的網域集合。 信任層級可能因情況而異，但通常會包括驗證且幾乎一律會包括授權。 典型的同盟可能包括一些已針對一組資源的共用存取權建立信任的組織。 您可以讓內部部署環境與 Azure AD 同盟，然後使用此同盟來進行驗證和授權。 這個登入方法可確保所有使用者驗證都在內部部署環境中進行。 此方法可讓系統管理員實作更嚴格層級的存取控制。 您可以使用與 AD FS 和 PingFederate 的同盟。  框 1：否 - 其他身份提供者可以使用聯合來提供訪問 Azure 資源的授權。 **一個常用的示例是將您的本地 Active Directory 環境與 Azure AD 聯合起來，並使用該聯合進行身份驗證和授權。** 方框 2：是 - 如上所述，第三方雲服務和本地 Active Directory 可用於訪問 Azure 資源。 這被稱為'聯邦'。 聯合是已建立信任的域的集合。 信任級別可能會有所不同，但通常包括身份驗證並且幾乎總是包括授權。 一個典型的聯盟可能包括許多組織，這些組織已經建立了對一組資源的共享訪問的信任。 方框 3：是 - Azure Active Directory (Azure AD) 是雲中的集中身份提供者。 這是主要的內置身份驗證和授權服務以提供對 Azure 資源的安全訪問。 --------------------------------------- # 306 delete lock 刪除鎖定  您可以為資源組配置一個鎖，以防止資源組被意外刪除。 鎖定適用於所有人，包括全局管理員。 如果要刪除資源組，必須先解除鎖。 作為管理員，您可能需要鎖定訂閱、資源組或資源以防止組織中的其他用戶 意外刪除或修改關鍵資源。 您可以將鎖定級別設置為 CanNotDelete 或 ReadOnly。 在門戶中，鎖分別稱為刪除和只讀。 * CanNotDelete 表示授權用戶仍然可以閱讀和修改資源，但不能刪除資源。 * ReadOnly 意味著授權用戶可以讀取資源，但不能刪除或更新資源。 應用此鎖類似於將所有授權用戶限制為讀取者角色授予的權限。 :::info import os from azure.identity import AzureCliCredential from azure.mgmt.resource import ManagementLockClient credential = AzureCliCredential() subscription_id = os.environ["AZURE_SUBSCRIPTION_ID"] lock_client = ManagementLockClient(credential, subscription_id) lock_result = lock_client.management_locks.create_or_update_at_resource_group_level( "exampleGroup", "lockGroup", { "level": "CanNotDelete" } ) ::: https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/lock-resources?tabs=json --------------------------------------- # 307 establishing the identity to access a resource  --------------------------------------- # 308 access authentication SSO  單點登錄是一種身份驗證方法，允許用戶使用一組憑據登錄以跨應用程序登錄。 單點登錄使管理密碼變得更加容易，並提高了安全能力。 授權是建立合法用戶或服務應具有的訪問級別的過程。 在登錄期間，條件訪問會收集來自用戶的信號，根據這些信號做出決策，然後通過允許或拒絕訪問請求或挑戰多因素身份驗證響應來強制執行該決策。   --------------------------------------- # 309 Service Level Agreement (SLA) 服務等級協議  --------------------------------------- # 310 --------------------------------------- # 305