Azure 104 연습 문제 42

---

문제 241

다음 표와 같이 Azure 구독에 리소스들이 있습니다.

RG6에 다음과 같은 정책을 할당했습니다.

RG6에는 태그 RG group: RG6을 적용했습니다. RG6에 VNET2라는 이름의 가상 네트워크를 배포했을 때,

VNET1과 VNET2에 적용되는 태그는 무엇입니까?

답변 영역

 

 

 

 

정답:

VNET1 에 적용되는 태그: Department: D1, Label: Value1

VNET2 에 적용되는 태그: Label: Value1

해설:

VNET1  은 RG 1에 속해 있으며, RG 1에 정책이 할당되어 태그 Label: Value1 을 상속받습니다.

또한 VNET1 자체에 태그 Department: D1 이 설정되어 있으므로 이 태그도 유지됩니다.

따라서 VNET1 에는 Department: D1과 Label: Value1  태그가 적용됩니다.

VNET 2는 RG6에 배포되었으며, RG6에는 태그 RG group: RG6이 적용되어 있습니다.

하지만 RG 1에 적용된 정책으로 인해 VNET 2는 태그 Label: Value1 을 상속받습니다.

태그 상속 시 정책 태그가 우선 적용되므로,

RG6에 직접 할당된 RG group: RG6 태그는 적용되지 않습니다. 따라서 VNET 2에는 Label: Value1  태그만 적용됩니다.

 

 

 

 

---

 

문제 242

귀사는 온프레미스 서버 SRV01과 SRV02를 가지고 있습니다.

개발자들이 SRV01에서 실행되는 애플리케이션을 만들었는데,

이 애플리케이션은 IP 주소를 사용하여 SRV02의 서비스를 호출합니다.

이제 Azure 가상 머신으로 애플리케이션을 마이그레이션하려고 하며,

Azure 가상 네트워크의 단일 서브넷에 두 개의 Azure 가상 머신을 구성했습니다.

이 두 가상 머신에 고정 내부 IP 주소를 구성해야 합니다. 어떻게 해야 합니까?

보기:

• A. New-AzVMConfig PowerShell cmdlet을 실행합니다.
• B. Set-AzSubnet PowerShell cmdlet을 실행합니다.
• C. Azure 관리 도구 포털에서 VM 속성을 수정합니다.
• D. Windows 네트워크 및 공유 센터에서 IP 주소를 수정하고, Set-AzStaticVNetIP PowerShell cmdlet을 실행합니다.

 

 

 

정답: D

해설:

• A. New-AzVMConfig cmdlet은 새로운 가상 머신 구성 객체를 생성하는 데 사용되지만, 고정 IP 주소 설정에 특화되어 있지는 않습니다.
• B. Set-AzSubnet cmdlet은 서브넷 설정을 구성하는 데 사용되지만, 가상 머신에 고정 IP 주소를 할당하는 데 적합하지 않습니다.
• C. Azure 포털에서 일부 속성을 수정할 수 있지만, IP 주소 설정은 더 구체적인 구성 단계를 필요로 합니다.
• D. Windows 네트워크 및 공유 센터에서 IP 주소를 직접 수정하는 방식은 Azure 네트워크 관리와 충돌을 일으킬 수 있으므로 권장되지 않습니다. 그러나 제시된 정답은 이 방법과 함께 Set-AzStaticVNetIP PowerShell cmdlet을 실행하는 것입니다. Set-AzStaticVNetIP cmdlet은 Azure 가상 머신의 고정 내부 IP 주소를 설정하는 데 특화되어 있습니다. 따라서 이 옵션이 가장 적절한 해결책입니다.

 

 

---

문제 243

Microsoft Entra ID 조건부 액세스 정책을 구현하려고 합니다.

이 정책은 글로벌 관리자 그룹의 구성원이 신뢰할 수 없는 위치에서 Microsoft Entra ID에 연결할 때

다단계 인증과 Microsoft Entra 조인된 장치를 요구하도록 구성해야 합니다.

제시된 해결책은 다단계 인증 페이지에 접속하여 사용자 설정을 변경하는 것입니다.

이 해결책이 목표를 충족합니까?

 

 

정답: 아니요.

해설:

다단계 인증 페이지에서 사용자 설정을 변경하는 것은 조건부 액세스 정책을 구성하는 것이 아니라,

특정 사용자의 다단계 인증 설정을 변경하는 것뿐입니다.

목표는 조건부 액세스 정책을 통해 특정 조건에서 다단계 인증을 요구하는 것이므로,

제시된 해결책은 목표를 달성하지 못합니다.

 

🎯 이유: 문제의 핵심은 "조건부 액세스 정책 구현"입니다.

조건부 액세스 정책은 **Microsoft Entra ID(구: Azure AD)**에서 다음과 같은 자동화된 액세스 제어 메커니즘을 구현하는 기능입니다.
즉, 단순히 사용자 설정을 바꾸는 것(MFA 페이지 접속 등)만으로는 정책이 적용되지 않아요.

---

❌ 제시된 해결책의 문제점

“다단계 인증 페이지에 접속하여 사용자 설정을 변경한다” →
이는 개별 사용자의 MFA 등록/설정 변경만 포함하며,
글로벌 관리자 + 위치 조건 + 장치 요구사항을 반영한 정책을 구현하지 못함.

---

✅ 목표를 충족하려면 필요한 것

조건부 액세스 정책을 직접 생성하고 다음 조건들을 설정해야 해:

1. 대상 사용자 그룹

• 포함: Global Administrator 그룹

2. 조건 (Conditions)

• 위치(Location):
  • 신뢰할 수 없는 위치에서만 적용되도록 설정
    → Named locations 기능 사용
• 장치 상태(Device state):
  • Microsoft Entra에 조인된 장치만 허용

3. 컨트롤 (Access Controls)

• Grant:
  • Require multi-factor authentication
  • Require device to be marked as compliant 또는
  • Require Hybrid Azure AD joined device

이렇게 구성해야 "신뢰할 수 없는 위치에서 연결 시, MFA와 Microsoft Entra 조인된 장치 모두 필요" 조건이 구현돼.

---

📌 요약

항목설명

🎯 목표	조건부 액세스로 특정 조건(MFA + 장치 인증) 요구
❌ 제시된 해결책	사용자 MFA 설정만 변경함 (정책 구현 아님)
✅ 올바른 해결책	조건부 액세스 정책 직접 생성 및 구성 필요

 

 

 

 

---

문제 244

문제 243과 동일한 시나리오입니다. 제시된 해결책은 Microsoft Entra 포털에 접속하여 Microsoft Entra ID 조건부 액세스 정책의 세션 제어를 변경하는 것입니다. 이 해결책이 목표를 충족합니까?

정답: 아니요.

해설: 세션 제어는 사용자 세션을 관리하는 것이며, 다단계 인증(MFA) 또는 장치 규정 준수를 직접 적용하지 않습니다. 목표는 특정 조건에서 다단계 인증과 Microsoft Entra 조인된 장치를 요구하는 것이므로, 세션 제어를 변경하는 것은 목표를 달성하지 못합니다.

 

---

 

문제 245

문제 243과 동일한 시나리오입니다.

제시된 해결책은 Microsoft Entra 포털에 접속하여 Microsoft Entra 조건부 액세스 정책의 부여 제어를 변경하는 것입니다.

이 해결책이 목표를 충족합니까?

정답: 예.

해설: 조건부 액세스 정책의 부여 제어는

다단계 인증 요구 및 규정 준수 장치 요구 사항과 같이 액세스를 허용하는 조건을 구성하는 데 사용됩니다.

신뢰할 수 없는 위치에서 글로벌 관리자가 Microsoft Entra ID에 접속할 때

다단계 인증과 Microsoft Entra 조인된 장치를 요구하도록 부여 제어를 구성하면 목표를 달성할 수 있습니다.

 

🟢 네, 맞습니다.
Microsoft Entra 포털에서 조건부 액세스 정책의 “부여(Grant) 제어”를 구성하는 것이 바로 이 목표를 충족시키는 정확한 방법이에요.

---

✅ 왜 해결이 되는가?

질문에서 제시한 목표는 다음과 같죠:

글로벌 관리자 그룹의 구성원이 신뢰할 수 없는 위치에서 Microsoft Entra ID에 연결할 때,
① 다단계 인증(MFA) 과
② Microsoft Entra 조인된 장치 사용
이 모두 요구되도록 설정하고 싶다.

이를 만족시키려면 조건부 액세스 정책의 "부여 제어(Grant Controls)"를 아래와 같이 설정해야 해요:

---

🔧 Microsoft Entra 조건부 액세스 정책 구성 요약

1. 사용자 또는 그룹 선택

• 포함: Global Administrator 그룹

2. 클라우드 앱 또는 작업

• 포함: Microsoft Entra ID 또는 All cloud apps

3. 조건(Conditions)

• 위치(Location):
  • 신뢰할 수 없는 위치(Untrusted locations) 선택
  • Named locations를 정의해 둘 수 있음 (예: 회사 IP 범위만 신뢰)

4. 부여(Grant) 제어

• 다음 두 가지를 모두 요구하도록 설정:
  • ✅ Require multi-factor authentication
  • ✅ Require device to be marked as compliant 또는
  • ✅ Require Hybrid Azure AD joined device

💡 "모두 필요(All selected controls are required)" 옵션을 선택해야 위 조건들이 AND 조건으로 적용돼.

---

📌 따라서 결론

항목설명

✅ 제시한 조치	Entra 포털에서 조건부 액세스 정책의 "부여 제어" 변경
🎯 결과	신뢰할 수 없는 위치에서 MFA와 Entra 조인된 장치 모두 필요하게 설정됨
🔒 효과	보안 요구사항 완전히 충족

 

Azure 용어 설명 

다음은 위 문제들에 사용된 주요 Azure 용어들을 대학생이 이해하기 쉬운 수준으로 설명한 것입니다.

• Azure (애저): 마이크로소프트에서 제공하는 클라우드 컴퓨팅 플랫폼입니다. 쉽게 말해, 인터넷을 통해 서버, 스토리지, 네트워크, 소프트웨어 등 다양한 IT 자원을 빌려 쓸 수 있는 서비스입니다. 마치 대학교의 IT 센터 자원을 필요에 따라 빌려 쓰는 것과 비슷하다고 생각할 수 있습니다.
• 구독 (Subscription): Azure 서비스를 사용하기 위한 계정 단위입니다. 요금이 청구되는 단위이기도 합니다. 대학교에서 특정 IT 서비스를 이용하기 위해 가입하는 것과 유사합니다.
• 리소스 그룹 (Resource Group): Azure에서 생성하고 관리하는 모든 자원(가상 머신, 스토리지 계정, 네트워크 등)을 논리적으로 그룹화하는 컨테이너입니다. 프로젝트별, 애플리케이션별로 관련 있는 자원들을 묶어서 관리하기 편리합니다. 마치 대학교에서 특정 과목 프로젝트에 필요한 자료들을 하나의 폴더에 정리하는 것과 같습니다.
• 가상 네트워크 (Virtual Network, VNet): Azure 내에서 격리된 사설 네트워크를 구성하는 서비스입니다. 온프레미스(자체 데이터 센터) 네트워크와 유사하게, 가상 머신이나 다른 Azure 서비스들이 서로 안전하게 통신할 수 있도록 합니다. 대학교 내의 여러 건물들이 사설 IP 주소를 사용하여 통신하는 것과 비슷합니다.
• 태그 (Tag): Azure 리소스에 할당할 수 있는 키-값 쌍의 메타데이터입니다. 리소스를 분류하고 관리하거나 비용을 추적하는 데 유용합니다. 마치 파일에 추가적인 정보를 담는 태그를 붙여서 관리하는 것과 같습니다.
• 정책 (Policy): Azure 리소스에 적용할 수 있는 규칙 또는 표준을 정의하는 서비스입니다. 예를 들어 특정 지역에만 리소스를 배포하도록 강제하거나 특정 종류의 리소스를 생성하지 못하도록 제한할 수 있습니다. 대학교의 IT 사용 규칙과 비슷하다고 생각할 수 있습니다.
• 조건부 액세스 (Conditional Access): Microsoft Entra ID (이전 Azure AD)의 기능으로, 특정 조건(사용자, 위치, 장치 등)을 기반으로 애플리케이션 및 서비스에 대한 액세스를 제어하는 데 사용됩니다. 대학교의 특정 정보 시스템에 접근할 때 특정 조건(예: 학교 네트워크 접속, 2단계 인증)을 요구하는 것과 유사합니다.
• Microsoft Entra ID (마이크로소프트 엔트라 아이디, 이전 Azure AD): 클라우드 기반의 ID 및 액세스 관리 서비스입니다. 사용자 인증, 권한 부여, 디렉터리 서비스 등을 제공하며, Azure, Microsoft 365 등 다양한 서비스에 대한 중앙 집중식 ID 관리를 가능하게 합니다. 대학교의 통합 로그인 시스템과 비슷합니다.
• 다단계 인증 (Multi-Factor Authentication, MFA): 사용자 이름과 비밀번호 외에 추가적인 인증 요소를 요구하여 보안을 강화하는 방법입니다. 예를 들어 비밀번호를 입력한 후 스마트폰으로 전송된 코드를 입력하는 방식입니다.
• Azure 가상 머신 (Azure Virtual Machines): Azure에서 제공하는 가상화된 컴퓨터입니다. 온프레미스 서버와 동일한 방식으로 운영 체제, 애플리케이션 등을 설치하고 실행할 수 있습니다. 대학교의 IT 센터에서 제공하는 가상 컴퓨터와 유사합니다.
• 온프레미스 (On-premises): 클라우드 환경이 아닌, 자체 데이터 센터 또는 사내 IT 인프라를 의미합니다. 대학교가 자체적으로 서버를 관리하고 운영하는 환경과 같습니다.
• 서브넷 (Subnet): 가상 네트워크를 더 작은 논리적 단위로 분할한 것입니다. 각 서브넷 내의 리소스들은 서로 직접 통신할 수 있으며, 필요에 따라 서브넷 간의 통신을 제어할 수 있습니다. 대학교 네트워크를 건물별 또는 부서별로 나누어 관리하는 것과 비슷합니다.
• 고정 IP 주소 (Static IP Address): 장치에 영구적으로 할당되는 IP 주소입니다. IP 주소가 변경되지 않으므로, 특정 IP 주소에 의존하는 애플리케이션이나 서비스에 유용합니다. 대학교 서버의 고정 IP 주소와 같습니다.
• PowerShell (파워셸): 마이크로소프트에서 개발한 명령줄 셸 및 스크립팅 언어입니다. Azure를 포함한 다양한 마이크로소프트 제품 및 서비스를 자동화하고 관리하는 데 사용됩니다.

이 설명이 Azure 용어를 이해하는 데 도움이 되기를 바랍니다.