Prüfungsnummer:SC-900
Prüfungsname:(deutscheVersionund englischeVersion)MicrosoftSecurity, Compliance,andIdentityFundamentals
Anzahl:194Prüfungsfragen
https://www.it-pruefungen.de/SC-900.htm
1.WelchesisteinAnwendungsfallfürdieImplementierungvonRichtlinienfür InformationsbarriereninMicrosoft365?
A.UmdennichtauthentifiziertenZugriffaufMicrosoft365einzuschränken.
B.UmMicrosoftTeams-ChatszwischenbestimmtenGruppeninnerhalbeinerOrganisation einzuschränken
CUmMicrosoftExchangeOnlineE-MailzwischenbestimmtenGruppeninnerhalbeiner Organisationeinzuschränken
D.UmdieDatenfreigabeaufexterneE-Mail-Empfängerzubeschränken.
KorrekteAntwort:C
Erläuterungen:
MitInformationsbarrierenkönnenSieRichtliniendefinieren,diebestimmte Benutzersegmentedaranhindernsollen,miteinanderzukommunizieren,oderbestimmten SegmentendieKommunikationnurmitbestimmtenanderenSegmentengestatten.Richtlinien fürInformationsbarrierenkönnenIhrerOrganisationhelfen,dieEinhaltungrelevanter Branchenstandardsund-vorschriftenaufrechtzuerhaltenundpotenzielleInteressengruppen zuvermeiden
KonzeptehinterRichtlinienfürInformationsbarrieren
WennSieRichtlinienfürInformationsbarrierendefinieren,arbeitenSiemit Benutzerkontoattributen,Segmenten,"Blockieren"und/oder"Zulassen"-Richtlinienund Richtlinienanwendung.
BenutzerkontoattributesindinAzureActiveDirectory(oderExchangeOnline)definiertDiese AttributekönnenAbteilung,Position,Standort,TeamnameundandereAuftragsprofildetails umfassen
SegmentesindBenutzergruppen,dieimSecurity&ComplianceCentermithilfeeines ausgewähltenBenutzerkontoattributsdefiniertsind
MitRichtlinienfürKommunikationsbarrierenwerdenbestimmte Kommunikationsbeschränkungenfestgelegt.BeimDefinierenvonRichtlinienfür InformationsbarrierenkönnenSieauszweiArtenvonRichtlinienauswählen: "Blockieren"-Richtlinienverhindern,dasseinSegmentmiteinemanderenSegment kommuniziert.
"Zulassen"-RichtlinienermöglicheneseinemSegment,nurmitbestimmtenanderen Segmentenzukommunizieren
DieRichtlinienanwendungerfolgt,nachdemalleRichtlinienfürKommunikationsbarrieren definiertwurdenundSiebereitsind,sieinIhrerOrganisationanzuwenden.
DerzeitwerdenRichtlinienfürInformationsbarrierenimOffice365Security&Compliance CentermithilfevonPowerShell-Cmdletsdefiniertundverwaltet
DerfolgendeTechnet-ArtikelenthältweitereInformationenzumThema:
DefinierenvonRichtlinienfürInformationsbarrieren
2WomitkönnenSieAzure-RessourcenkonsistentübermehrereAbonnementshinweg bereitstellen?
A.AzureDefender
BAzureBlueprints
CAzureSentinel
D.AzurePolicy
KorrekteAntwort:B
Erläuterungen:
GenauwieeineBlaupause,dieeinemIngenieuroderArchitektendieSkizzierungder EntwurfsparameterfüreinProjektermöglicht,ermöglichtesAzureBlueprints CloudarchitektenundzentralenIT-Gruppen,einewiederholbareGruppevon Azure-Ressourcenzudefinieren,mitderdieStandards,MusterundAnforderungeneiner OrganisationimplementiertunderzwungenwerdenMitAzureBlueprintskönnen EntwicklungsteamsschnellneueUmgebungenbereitstellenundeinrichtenunddabeidarauf vertrauen,dasssiedieKonformitätsanforderungenderOrganisationerfüllenundübereine ReiheintegrierterKomponenten(z.B.Netzwerk)zurBeschleunigungderEntwicklungund Bereitstellungverfügen
BlaupausensindeinedeklarativeMöglichkeitzumOrchestrierenderBereitstellungmehrerer RessourcenvorlagenundandererArtefaktewieetwa:
Rollenzuweisungen
Richtlinienzuweisungen
AzureResourceManager-Vorlagen(ARM-Vorlagen)
Ressourcengruppen
DerAzure-DienstfürBlaupausenwirdvomglobalverteiltenAzureCosmosDB-Dienst unterstütztBlaupausenobjektewerdeninmehrerenAzure-RegionenrepliziertDiese ReplikationbietetniedrigeWartezeiten,HochverfügbarkeitundkonsistentenZugriffaufIhre Blaupausenobjekte–unabhängigdavon,inwelcherRegionIhreRessourcenvonAzure Blueprintsbereitgestelltwerden
UnterschiedezuARM-Vorlagen
DerDienstsolldieUmgebungseinrichtungvereinfachenDieseEinrichtungumfassthäufig eineReihevonRessourcengruppen,Richtlinien,RollenzuweisungenundBereitstellungen vonARM-Vorlagen.EineBlaupauseisteinPaket,indemdieeinzelnenArtefakttypen zusammengeführtwerdenSiekönnendasPaketzusammenstellenundversionieren,zB auchübereineCI/CD-Pipeline(ContinuousIntegration/ContinuousDelivery)Letztlichwird jedeineinemeinzelnenVorgang,derüberwachtundnachverfolgtwerdenkann,einem Abonnementzugewiesen.
NahezualleElemente,dieSiefürdieBereitstellunginAzureBlueprintseinfügenmöchten, könnenübereineARM-VorlageeingefügtwerdenEineARM-VorlageistabereinDokument, dasinAzurenichtnativvorhandenist,sondernentwederlokaloderinder Quellcodeverwaltunggespeichertwird.DieVorlagewirdfürdieBereitstellungeineroder mehrererAzure-RessourcenverwendetNachderBereitstellungdieserRessourcenbesteht jedochkeineaktiveVerbindungoderBeziehungmehrmitderVorlage
MitAzureBlueprintsbleibtdieBeziehungzwischenderBlaupausendefinition(wassoll bereitgestelltwerden)undderBlaupausenzuweisung(waswurdebereitgestellt)erhalten DieseVerbindungermöglichteineerweiterteNachverfolgungundÜberprüfungvon
Bereitstellungen.MitAzureBlueprintslassensichauchmehrereAbonnements,dieder gleichenBlaupauseunterliegen,gleichzeitigupgraden
EsbestehtnichtdieNotwendigkeit,zwischeneinerARM-VorlageundeinerBlaupausezu wählen.JedeBlaupausekannnullodermehrArtefaktefürARM-Vorlagenumfassen.Dies bedeutet,dassbereitsdurchgeführteLeistungenzurEntwicklungundVerwaltungeiner BibliothekmitARM-VorlageninAzureBlueprintsgenutztwerdenkönnen
DerfolgendeTechnet-ArtikelenthältweitereInformationenzumThema: WasistAzureBlueprint?
3WählenSiefürjedederfolgendenAussagen"Ja",wenndieAussagewahristAndernfalls wählenSie"Nein"
(FürjedekorrekteMarkierungerhaltenSieeinenPunkt)
Abbildung
A.AlleLizenzeditionenvonAzureActiveDirectory(AzureAD)enthaltendieselbenFunktionen: Ja
SiekönneneinenAzureActiveDirectory(AzureAD)-MandantenmithilfedesAzure-Portals verwalten:Ja
SiemüssenvirtuelleAzure-Computerbereitstellen,umeinenAzureActiveDirectory(Azure AD)-Mandantenzuhosten:Ja
BAlleLizenzeditionenvonAzureActiveDirectory(AzureAD)enthaltendieselbenFunktionen: Ja
SiekönneneinenAzureActiveDirectory(AzureAD)-MandantenmithilfedesAzure-Portals verwalten:Ja
SiemüssenvirtuelleAzure-Computerbereitstellen,umeinenAzureActiveDirectory(Azure AD)-Mandantenzuhosten:Nein
C.AlleLizenzeditionenvonAzureActiveDirectory(AzureAD)enthaltendieselbenFunktionen: Ja
SiekönneneinenAzureActiveDirectory(AzureAD)-MandantenmithilfedesAzure-Portals verwalten:Nein
SiemüssenvirtuelleAzure-Computerbereitstellen,umeinenAzureActiveDirectory(Azure AD)-Mandantenzuhosten:Nein
DAlleLizenzeditionenvonAzureActiveDirectory(AzureAD)enthaltendieselbenFunktionen: Nein
SiekönneneinenAzureActiveDirectory(AzureAD)-MandantenmithilfedesAzure-Portals verwalten:Nein
SiemüssenvirtuelleAzure-Computerbereitstellen,umeinenAzureActiveDirectory(Azure AD)-Mandantenzuhosten:Ja
E.AlleLizenzeditionenvonAzureActiveDirectory(AzureAD)enthaltendieselbenFunktionen: Nein
SiekönneneinenAzureActiveDirectory(AzureAD)-MandantenmithilfedesAzure-Portals verwalten:Ja
SiemüssenvirtuelleAzure-Computerbereitstellen,umeinenAzureActiveDirectory(Azure AD)-Mandantenzuhosten:Nein
FAlleLizenzeditionenvonAzureActiveDirectory(AzureAD)enthaltendieselbenFunktionen: Nein
SiekönneneinenAzureActiveDirectory(AzureAD)-MandantenmithilfedesAzure-Portals verwalten:Nein
SiemüssenvirtuelleAzure-Computerbereitstellen,umeinenAzureActiveDirectory(Azure AD)-Mandantenzuhosten:Nein
KorrekteAntwort:E
Erläuterungen:
AzureActiveDirectory(AzureAD)istdercloudbasierteIdentitäts-und ZugriffsverwaltungsdienstvonMicrosoft,mitdemsichIhreMitarbeiteranmeldenundaufdie folgendenRessourcenzugreifenkönnen:
ExterneRessourcenwieMicrosoft365,dasAzure-PortalundTausendeandere SaaS-Anwendungen
InterneRessourcen(beispielsweiseAppsimNetzwerk/IntranetIhresUnternehmensoder selbstentwickelteCloud-AppsIhrerOrganisation)
MicrosoftOnline-UnternehmensdienstewieMicrosoft365oderMicrosoftAzurebenötigen AzureADfürdieAnmeldungsowiezumSchutzvonIdentitäten.WennSieeinenMicrosoft Online-Unternehmensdienstabonnieren,erhaltenSieautomatischAzureADunddamit ZugriffaufallekostenlosenFeatures
ZurErweiterungIhrerAzureAD-ImplementierungkönnenSieauchkostenpflichtige Funktionenhinzufügen,indemSieaufAzureActiveDirectory-LizenzenvomTyp„Premium P1“oder„PremiumP2“upgradenDiekostenpflichtigenAzureAD-LizenzenergänzenIhr kostenlosesVerzeichnisundbietenSelf-Service-Funktionen,eineerweiterteÜberwachung, SicherheitsberichtesowiesicherenZugrifffürIhremobilenBenutzer.
AzureADkannaufverschiedeneWeiseverwaltetwerden,einschließlichdemAzurePortal, AzurePowerShellundAzureCLI
DerfolgendeTechnet-ArtikelenthältweitereInformationenzumThema: WasistAzureActiveDirectory?
4WählenSiedieAntwort,diedenSatzrichtigvervollständigt
(WählenSiezumBeantwortenderFragedieentsprechendeOptionimAntwortbereichaus.)
Abbildung
A.SiekönnenMicrosoftIntunemitdemAzureActiveDirectoryAdminCenterverwalten. BSiekönnenMicrosoftIntunemitdemMicrosoft365ComplianceCenterverwalten CSiekönnenMicrosoftIntunemitdemMicrosoft365SecurityCenterverwalten DSiekönnenMicrosoftIntunemitdemMicrosoftEndpointManagerAdminCenterverwalten
KorrekteAntwort:D
Erläuterungen:
MicrosoftIntuneisteincloudbasierterDienst,dersichaufdieVerwaltungmobilerGeräte (MDM,MobileDeviceManagement)undmobilerAnwendungen(MAM,MobileApplication Management)konzentriertSiebestimmen,wiedieGeräteIhresUnternehmens, einschließlichMobiltelefone,TabletsundLaptops,genutztwerden.Siekönnenauch bestimmteRichtlinienkonfigurieren,umAnwendungenzusteuernBeispielsweisekönnen Sieverhindern,dassE-MailsanPersonenaußerhalbIhrerOrganisationgesendetwerden IntuneermöglichtdenBeschäftigteninIhrerOrganisationauch,ihrepersönlichenGerätefür Schule,UnioderArbeitzunutzen.AufpersönlichenGerätensorgtIntunedafür,dassIhre Unternehmensdatengeschütztbleiben,daUnternehmensdatenvonpersönlichenDaten isoliertwerdenkönnen
IntuneistTeilderEnterpriseMobility+Security-Suite(EMS)vonMicrosoft.IntuneistinAzure ActiveDirectory(AzureAD)integriert,umzusteuern,weraufwasZugriffhatZum DatenschutzbestehteineIntegrationinAzureInformationProtectionIntunekannmitder SuitevonMicrosoft365-ProduktenverwendetwerdenBeispielsweisekönnenSieMicrosoft Teams,OneNoteundandereMicrosoft365-AppsaufGerätenbereitstellen.Mitdiesem FeaturekönnendieBeschäftigteninIhrerOrganisationaufallihrenGerätenproduktiv arbeiten,währenddieInformationenIhrerOrganisationdurchvonIhnenfestgelegte Richtliniengeschütztsind
WennGeräteinIntuneregistriertundverwaltetwerden,könnenAdministratorenfolgende Aktionenausführen:
RegistrierteGeräteanzeigenundeineBestandsaufnahmederGeräteerhalten,dieauf RessourcenderOrganisationzugreifen.
Gerätekonfigurieren,sodasssiedenSicherheits-undIntegritätsstandardsentsprechen BeispielsweisemöchtenSiewahrscheinlichGerätemitJailbreaksblockieren ZertifikateperPushanGeräteübermitteln,damitBenutzerproblemlosaufIhrWLAN zugreifenoderübereinVPNeineVerbindungmitIhremNetzwerkherstellenkönnen BerichtezuBenutzernundGerätenanzeigen,diekompatibelundnichtkompatibelsind Organisationsdatenentfernen,wenneinGerätverlorengeht,gestohlenwurdeodernicht mehrverwendetwird
Intune-Richtlinienund-ProfilefürGeräteundAnwendungenwerdenimMicrosoftEndpoint ManagerAdminCentererstelltundverwaltet
DerfolgendeTechnet-ArtikelenthältweitereInformationenzumThema:
MicrosoftIntuneisteinMDM-undMAM-AnbieterfürIhreGeräte