CloudPass LogoCloud Pass
AWSGoogle CloudMicrosoftCiscoCompTIADatabricks
Certifications
AWSGoogle CloudMicrosoftCiscoCompTIADatabricks
Microsoft AZ-104
Microsoft AZ-104

Practice Test #5

50개 문제와 100분 시간 제한으로 실제 시험을 시뮬레이션하세요. AI 검증 답안과 상세 해설로 학습하세요.

50문제100분700/1000합격 점수
기출 문제 보기

AI 기반

3중 AI 검증 답안 및 해설

모든 답안은 3개의 최고 AI 모델로 교차 검증하여 최고의 정확도를 보장합니다. 선택지별 상세 해설과 심층 문제 분석을 제공합니다.

GPT Pro
Claude Opus
Gemini Pro
선택지별 상세 해설
심층 문제 분석
3개 모델 합의 정확도

기출 문제

1
문제 1

App1이라는 앱이 VM1 및 VM2라는 두 개의 Azure virtual machine에서 실행되고 있습니다. App1에 대해 Azure Availability Set을 구현할 계획입니다. 솔루션은 VM1 및 VM2를 호스팅하는 하드웨어의 계획된 유지 관리 동안 App1이 사용 가능하도록 보장해야 합니다. Availability Set에 무엇을 포함해야 합니까?

하나의 update domain은 요구 사항을 충족하지 않습니다. Availability Set에 update domain이 하나뿐이면 VM1과 VM2가 동일한 UD에 배치됩니다. 계획된 유지 관리 동안 Azure는 해당 UD 전체를 재부팅할 수 있어 두 VM이 동시에 사용할 수 없게 됩니다. 이는 계획된 유지 관리 동안 App1을 사용 가능하게 유지하려는 목표에 실패합니다.

두 개의 fault domain은 계획되지 않은 장애(예: 한 fault domain에 영향을 주는 랙/전원/네트워크 장애)에 대한 복원력을 향상시킵니다. 그러나 문제는 명시적으로 계획된 유지 관리에 관한 것입니다. fault domain은 Azure가 계획된 업데이트/재부팅을 순차적으로 수행하는 방식을 제어하지 않으며, update domain이 이를 담당합니다. 따라서 두 개의 fault domain만으로는 계획된 유지 관리 동안의 가용성을 보장하지 못합니다.

하나의 fault domain은 두 VM이 동일한 기본 랙/전원/네트워크 경계에 배치될 수 있으므로 계획되지 않은 하드웨어 장애에 대한 의미 있는 보호를 제공하지 못합니다. 또한 계획된 유지 관리의 순차 처리도 해결하지 못합니다. 이 옵션은 계획된/계획되지 않은 복원력 목표 모두에 불충분하며 Availability Set 모범 사례에도 부합하지 않습니다.

두 개의 update domain이 정답인 이유는 update domain이 계획된 유지 관리가 한 번에 한 그룹의 VM에만 영향을 주도록 설계되었기 때문입니다. 최소 두 개의 UD가 있으면 VM1과 VM2를 서로 다른 UD에 배치할 수 있어, Azure가 유지 관리를 위해 한 UD를 재부팅할 때 다른 VM은 계속 실행되어 App1을 사용 가능하게 유지할 수 있습니다(앱이 단일 인스턴스에서 실행 가능하다는 가정하에).

문제 분석

핵심 개념: 이 문제는 Azure Availability Set과 플랫폼 이벤트 동안 VM 복원력을 제공하는 방식을 평가합니다. Availability Set은 두 가지 논리적 그룹을 사용합니다: 계획되지 않은 하드웨어/네트워크/전원 장애를 위한 fault domain(FD)과 계획된 유지 관리(호스트 OS/hypervisor 업데이트)를 위한 update domain(UD)입니다. 정답인 이유: 요구 사항은 VM1 및 VM2를 호스팅하는 하드웨어의 계획된 유지 관리 동안 App1을 사용 가능하게 유지하는 것입니다. 계획된 유지 관리는 update domain으로 처리됩니다. Azure가 계획된 유지 관리를 수행할 때는 한 번에 하나의 update domain만 중단하여 해당 UD의 VM을 재부팅하고, 다른 UD의 VM은 계속 실행되도록 합니다. 한 VM이 재부팅될 때 App1이 계속 동작하도록 하려면 VM1과 VM2가 서로 다른 update domain에 배치되어야 합니다. 따라서 두 VM을 분산 배치할 수 있도록 Availability Set에는 최소 두 개의 update domain이 있어야 합니다. 주요 기능 / 모범 사례: - Update domains: Azure가 순차적으로 업데이트하는 논리적 그룹; 기본값은 일반적으로 5 UDs(지역에 따라 다름)이지만 Availability Set 생성 시 개수를 구성할 수 있습니다. - Fault domains: 랙 수준 장애로부터 보호; 기본값은 일반적으로 지역 및 VM SKU 기능에 따라 2 또는 3 FDs입니다. - 애플리케이션 가용성을 위해서는 앱 계층이 한 인스턴스가 다운되어도 견딜 수 있어야 합니다(예: 앞단에 load balancer, stateless 설계, 또는 session persistence 전략). 이는 Azure Well-Architected Framework의 신뢰성 원칙(중복성 및 점진적 성능 저하)과 일치합니다. 흔한 오해: - fault domain(B/C)을 선택하면 가용성이 향상되므로 관련 있어 보이지만, 이는 계획된 유지 관리가 아니라 계획되지 않은 중단에 대응합니다. - 하나의 update domain(A)을 선택하면 두 VM이 동일한 UD에 배치되어 유지 관리 중 함께 재부팅될 수 있으므로 요구 사항을 위반합니다. 시험 팁: - 이벤트 유형을 도메인 유형에 매핑: planned maintenance = update domains; unplanned hardware failure = fault domains. - “유지 관리 중 두 VM이 계속 사용 가능해야 함”이면, 인스턴스를 분리할 수 있도록 “최소 두 개의 update domain”을 떠올리세요. - 기억할 점: Availability Set은 datacenter 내에서 도움이 되며, Availability Zones는 한 지역 내 물리적으로 분리된 위치 전반에 걸쳐 더 높은 복원력을 제공합니다.

2
문제 2

참고: 이 질문은 동일한 시나리오를 제시하는 일련의 질문 중 일부입니다. 이 시리즈의 각 질문에는 명시된 목표를 충족할 수 있는 고유한 솔루션이 포함되어 있습니다. 일부 질문 세트에는 정답이 둘 이상 있을 수 있으며, 다른 질문 세트에는 정답이 없을 수도 있습니다. 이 섹션에서 질문에 답한 후에는 해당 질문으로 돌아갈 수 없습니다. 따라서 이러한 질문은 검토 화면에 표시되지 않습니다. Azure subscription에 대해 Traffic Analytics를 사용하도록 설정하는 데 필요한 역할이 Admin1이라는 Azure Active Directory (Azure AD) 사용자에게 할당되었는지 확인해야 합니다. 솔루션: subscription 수준에서 Admin1에 Owner 역할을 할당합니다. 이것이 목표를 충족합니까?

구독 수준에서 Owner 역할을 할당하면 Admin1은 구독 전반에 대한 전체 관리 권한을 가지며, Network Watcher를 구성하고 Traffic Analytics를 활성화할 수 있습니다. Traffic Analytics 활성화에는 NSG flow logs 같은 네트워크 모니터링 설정을 생성 또는 업데이트하고 Log Analytics workspace와 통합하는 작업이 필요하며, 이는 Owner가 허용하는 작업입니다. 또한 Owner에는 액세스 관리(역할 할당) 권한도 포함되므로, 설정 중 추가로 필요할 수 있는 권한 조정까지 포괄합니다. 따라서 이 역할 할당은 목표를 충족합니다.

"No"라고 답하면 구독 범위의 Owner 역할이 Traffic Analytics를 활성화하기에 불충분하다는 의미가 되는데, 이는 정확하지 않습니다. Owner는 필요한 Network Watcher 및 Log Analytics 관련 리소스와 설정을 생성, 업데이트, 구성할 수 있는 광범위한 권한을 제공합니다. 권한이 더 좁은 범위로 제한되거나 다른 구독에 걸친 경우 일부 시나리오에서 실패할 수는 있지만, 문제에서는 구독 수준에서 Owner를 명시적으로 할당하고 있으며 이는 해당 구독에서 가능한 가장 높은 실질적 RBAC 범위입니다. 따라서 "No"는 이 작업에 대한 Azure RBAC 기능과 일치하지 않습니다.

문제 분석

핵심 개념: 이 문제는 Azure 구독에 대해 Network Watcher Traffic Analytics를 사용하도록 설정하는 데 필요한 Azure RBAC 권한과, 올바른 범위에서 광범위한 기본 제공 역할(Owner)을 할당하는 것이 그 요구 사항을 충족하는지 여부를 평가합니다. 정답인 이유: Traffic Analytics를 사용하도록 설정하는 작업은 일반적으로 구독 범위(subscription-scoped)의 작업이며, Network Watcher 설정 구성 및 Log Analytics(워크스페이스 생성 또는 선택, flow logs/traffic analytics 설정 구성, 진단 데이터 쓰기)와의 연결을 포함합니다. 구독 범위의 Owner 역할은 구독 내 모든 리소스에 대한 전체 관리 권한을 부여하며, Network Watcher 리소스를 생성/구성하고 진단 설정 및 워크스페이스 연결을 구성할 수 있는 권한을 포함합니다. Owner에는 필요한 Microsoft.Network 및 Microsoft.OperationalInsights 권한이 포함되며(필요 시 액세스 부여도 가능), 구독 수준에서 Owner를 할당하면 Traffic Analytics를 사용하도록 설정하는 데 충분합니다. 주요 기능 / 구성: - Azure RBAC 범위: 구독 수준 역할 할당은 해당 구독의 모든 리소스 그룹과 리소스에 적용됩니다. - Owner 역할: 전체 관리 권한(Contributor에 더해 Microsoft.Authorization/*를 통한 역할 할당 권한 포함). - Traffic Analytics 종속성: Network Watcher + NSG flow logs + Log Analytics workspace(Operational Insights) 구성. - 일반적으로 필요한 작업: Network Watcher(지역) 사용, NSG flow logs 구성, Traffic Analytics 사용, 워크스페이스 선택, 워크스페이스에 대한 쓰기 권한 보장. 흔한 오해: - Reader 같은 더 좁은 역할로 Traffic Analytics를 활성화할 수 있다고 가정하는 것; Reader는 리소스를 생성/구성할 수 없습니다. - Global Administrator 같은 Azure AD 디렉터리 역할과 Azure RBAC 역할을 혼동하는 것; Traffic Analytics 활성화는 구독/리소스 범위의 Azure RBAC에 의해 제어됩니다. - Network Contributor만 있으면 항상 충분하다고 생각하는 것; 실제로는 Log Analytics workspace 및 진단 설정에 대한 권한도 필요한 경우가 많습니다. 시험 팁: - 범위를 먼저 식별하세요: 작업이 “Azure 구독에 대해”라고 되어 있으면 보통 구독 수준 RBAC가 필요합니다. - 구독 범위의 Owner는 활성화/구성 시나리오에서 거의 항상 충분합니다. - Azure AD 역할(디렉터리)과 Azure RBAC 역할(리소스 관리)을 구분하세요. - 기능이 Log Analytics에 데이터를 쓰는 경우, 주체(principal)가 워크스페이스에 대한 권한도 갖고 있는지 확인하세요(워크스페이스가 동일 구독에 있으면 구독 범위 Owner가 이를 포괄합니다).

3
문제 3

Windows Server 2019를 실행하는 VM1이라는 Azure virtual machine이 있습니다. VM1을 Template1이라는 template으로 Azure Resource Manager library에 저장합니다. Template1에서 VM2라는 virtual machine을 배포할 계획입니다. VM2를 배포하는 동안 무엇을 구성할 수 있습니까?

Operating system은 template에 캡처된 image 또는 OS disk 구성에 의해 정의됩니다. 기존 Windows Server 2019 VM에서 생성된 template은 template 자체를 수정하여 다른 image를 참조하지 않는 한 동일한 OS 구성을 기반으로 VM을 배포합니다. 문제에서는 template이 OS를 선택 가능하도록 수정되었다고 나타내지 않습니다. 따라서 이 시나리오에서 operating system은 배포 중에 구성할 수 있는 항목이 아닙니다.

Administrator username은 template의 VM OS profile 일부입니다. ARM templates는 admin 자격 증명을 parameter화하도록 수동으로 작성할 수 있지만, 기존 VM에서 저장한 template이라고 해서 이 필드가 배포 중 변경 가능하도록 노출된다고 의미하지는 않습니다. 시험 문구에서는 명시적으로 언급되지 않는 한 선택적 parameter화가 되어 있다고 가정하면 안 됩니다. 따라서 administrator username은 여기서 보장된 구성 가능 설정이 아닙니다.

Virtual machine size는 VM1에서 생성된 template의 VM hardware profile에 저장됩니다. 기술적으로는 template을 편집하여 size를 변경하거나 size parameter를 포함하도록 template을 작성할 수 있습니다. 그러나 문제는 저장된 template이 주어진 그대로일 때 배포 중 무엇을 구성할 수 있는지 묻고 있습니다. 명시적인 parameter화가 없다면, VM size는 배포 환경에서 선택 가능하다고 가정하지 않습니다. 따라서 이 시험 문제에서 virtual machine size는 최선의 정답이 아닙니다.

Resource group은 VM 정의에 영구적으로 포함되는 속성이 아니라 배포 작업의 일부로 선택됩니다. Azure에서 ARM template을 배포할 때는 배포 대상이 될 기존 resource group을 선택하거나 새로 만들 수 있습니다. 이는 template가 원래 어떻게 생성되었는지와 관계없이 항상 배포 시점에 구성할 수 있습니다. 따라서 여기서 올바른 선택지는 resource group입니다.

문제 분석

핵심 개념: 이 문제는 Azure Resource Manager template 배포 시점에 선택할 수 있는 항목과 저장된 template에 의해 고정되는 항목이 무엇인지 테스트합니다. 기존 virtual machine을 ARM template으로 저장하면, 해당 template은 그 VM의 resource 정의와 구성을 캡처합니다. 배포 중에는 대상 resource group과 같은 배포 범위를 선택할 수 있지만, template이 명시적으로 이를 parameter로 노출하지 않는 한 template에 정의된 VM 속성은 편집할 수 있다고 가정하면 안 됩니다. 흔한 오해는 ARM templates가 parameters를 지원한다는 이유만으로 size나 admin 설정 같은 모든 VM 속성을 배포 중에 변경할 수 있다고 생각하는 것입니다. 그러나 실제로 구성 가능한 값은 template에서 실제로 parameter화된 값뿐입니다. 시험 팁: 문제에서 VM이 template으로 저장되었다고 하고, template 사용자 지정에 대한 언급 없이 배포 중 무엇을 구성할 수 있는지 묻는다면, 안전한 정답은 내부 VM 설정이 아니라 resource group 같은 배포 대상입니다.

4
문제 4

HOTSPOT - VNet1이라는 가상 네트워크에 여러 Azure virtual machines가 있습니다. 다음 전시에서와 같이 Azure Storage account를 구성합니다.

드롭다운 메뉴를 사용하여 그래픽에 제시된 정보를 기반으로 각 문장을 완성하는 답안을 선택하십시오. 참고: 각 정답 선택은 1점입니다. Hot Area:

파트 1:

아래 이미지에서 올바른 답(들)을 선택하세요.

question-image

Pass. 제시된 자료는 결과를 판단하기에 충분한 정보를 제공합니다: - storage account는 “Selected networks”에서의 액세스를 허용하도록 구성되어 있습니다. - Virtual networks 아래에 VNet1이 나열되어 있고, 특정 subnet(Prod, 10.2.0.0/24)에 대해 Endpoint state = Enabled로 표시됩니다. 이는 해당 subnet에서 Microsoft.Storage service endpoint가 활성화되어 있으며, 해당 subnet이 storage firewall rules에서 명시적으로 허용되어 있음을 의미합니다. - IP address ranges는 추가되어 있지 않습니다. - “Allow trusted Microsoft services to access this storage account” 예외가 선택되어 있지 않습니다. 이러한 세부 정보로 다른 subnet(10.2.9.0/24)이 허용되는지(목록에 없으므로 허용되지 않음)와 Azure Backup이 unmanaged disks에 대해 storage account에 액세스할 수 있는지(일반적으로 trusted services 예외 또는 다른 허용된 네트워크 경로가 필요함)를 평가할 수 있습니다. 따라서 이 문제는 그래픽만으로도 답할 수 있습니다.

파트 2:

10.2.9.0/24 subnet의 virtual machines은 storage account ______의 file shares에 대한 network connectivity를 갖게 됩니다.

절대. 해당 storage account는 “Selected networks”로 제한되어 있습니다. 허용 목록에는 Microsoft.Storage service endpoint가 활성화되어 있고 storage account와 연결된 Prod subnet(10.2.0.0/24)만 표시됩니다. 문제의 subnet은 10.2.9.0/24입니다. 더 넓은 VNet1 address space(10.2.0.0/16) 내에 있더라도, 10.2.0.0/24와 동일한 subnet이 아니며 storage account firewall configuration에서 허용된 subnet으로 표시되어 있지 않습니다. Storage account network rules는 전체 VNet을 자동으로 허용하지 않으며, 추가한 특정 subnet(또는 private endpoints, 또는 public IP ranges)만 허용합니다. 따라서 10.2.9.0/24의 VMs는 해당 subnet이 허용되지 않기 때문에 해당 storage account의 Azure Files(SMB/REST)에 대한 액세스가 차단됩니다.

파트 3:

Azure Backup은 storage account ______에 있는 virtual machines의 unmanaged hard disks를 백업할 수 있습니다.

절대 불가능합니다. 제시된 화면은 storage account firewall이 “Selected networks”로 설정되어 있고 “Allow trusted Microsoft services to access this storage account” 예외가 선택 해제되어 있음을 보여줍니다. 이 구성에서는 명시적으로 허용된 subnet/IP에서 시작되지 않은 Azure platform services는 storage account에 액세스할 수 없습니다. Unmanaged disks는 storage account에 VHD blobs로 저장됩니다. Azure Backup이 이러한 unmanaged disks를 백업하려면 storage account에 있는 VHD blobs를 읽을 수 있어야 합니다. storage account가 액세스를 차단하고 trusted Microsoft services 예외를 활성화하지 않았으며(또는 network rules를 통해 Backup service를 다른 방식으로 허용하지 않은 경우), Backup은 blobs에 접근할 수 없습니다. 예외가 활성화되어 있지 않고 특정 subnet만 허용되어 있으므로, 이 구성에서는 Azure Backup이 해당 storage account의 unmanaged disks를 백업할 수 없습니다.

5
문제 5

adatum.com이라는 Azure Active Directory (Azure AD) 테넌트가 있으며, 다음 표에 표시된 사용자가 포함되어 있습니다.

diagram

Adatum.com에는 다음 구성이 있습니다: ✑ Users may join devices to Azure AD가 User1로 설정되어 있습니다. ✑ Additional local administrators on Azure AD joined devices가 None으로 설정되어 있습니다. Computer1이라는 컴퓨터에 Windows 10을 배포합니다. User1이 Computer1을 adatum.com에 조인합니다. Computer1에서 로컬 Administrator 그룹 멤버십을 식별해야 합니다. 로컬 Administrators 그룹의 멤버는 어떤 사용자입니까?

오답입니다. User1(조인 수행자)은 로컬 Administrators 그룹에 추가되는 것이 맞지만, Global Administrators도 기본적으로 모든 Azure AD 조인 디바이스에서 로컬 admin 권한이 부여됩니다. 따라서 User2도 포함되어야 하므로 “User1만”은 불완전합니다.

오답입니다. Global Administrators(User2)는 Azure AD 조인 디바이스에서 로컬 admin 권한이 있지만, Azure AD 조인을 수행한 사용자(User1)도 해당 특정 디바이스의 로컬 Administrators 그룹에 추가됩니다. 따라서 “User2만”은 User1을 누락합니다.

정답입니다. User1이 Computer1을 Azure AD에 조인했으므로 User1은 Computer1에서 로컬 administrator가 됩니다. User2는 Global administrator이며, Global admins는 모든 Azure AD 조인 디바이스에서 자동으로 로컬 admin입니다. “Additional local administrators…”가 None으로 설정되어 있으므로 다른 역할은 추가되지 않습니다.

오답입니다. User3는 Cloud device administrator이지만, 해당 역할은 “Additional local administrators on Azure AD joined devices”(또는 다른 명시적 로컬 admin 할당)를 통해 구성하지 않는 한 Azure AD 조인 디바이스의 로컬 Administrators 그룹에 자동으로 추가되지 않습니다. 설정이 None이므로 User3는 포함되지 않습니다.

오답입니다. Cloud device administrator(User3)와 Intune administrator(User4) 모두 기본적으로 Azure AD 조인 디바이스의 로컬 Administrators 그룹 멤버가 자동으로 되지 않습니다. 이들은 “Additional local administrators…” 설정을 통해 명시적으로 구성된 경우에만 포함되는데, 해당 설정은 None입니다.

문제 분석

핵심 개념: 이 문제는 Azure AD에 조인된 Windows 10 디바이스에서 어떤 ID가 자동으로 로컬 administrator 권한을 부여받는지에 대한 Azure AD 디바이스 조인 동작을 테스트합니다. 또한 Azure AD 테넌트 설정인 “Additional local administrators on Azure AD joined devices”와 기본 제공 역할 “Global administrator”의 영향을 테스트합니다. 정답이 맞는 이유: 사용자가 Windows 디바이스를 Azure AD에 조인하면, 조인을 수행한 사용자는 해당 디바이스의 로컬 Administrators 그룹에 추가됩니다. 따라서 Azure AD 조인을 수행한 User1은 Computer1에서 로컬 administrator가 됩니다. 또한 Azure AD Global Administrators는 모든 Azure AD 조인 디바이스에서 자동으로 로컬 administrator 권한이 부여됩니다. 이는 테넌트 전체의 관리 복구 및 관리 기능을 보장하기 위한 기본 동작입니다. 따라서 User2(Global administrator)도 Computer1의 로컬 Administrators 그룹 멤버입니다. “Additional local administrators on Azure AD joined devices” 설정은 기본 동작을 넘어 로컬 admin으로 명시적으로 추가되는 Azure AD 역할/사용자를 제어합니다. None으로 설정되어 있으므로, 이 설정을 통해 추가되는 역할(예: Cloud device administrator 또는 Intune administrator)은 없습니다. 주요 기능 및 구성: - “Users may join devices to Azure AD”가 User1만으로 설정된 것은 누가 조인을 수행할 수 있는지를 제한하는 것이며, 조인 이후의 기본 로컬 admin 결과를 변경하지는 않습니다. - “Additional local administrators…”가 None으로 설정되어 있다는 것은 기본 주체(디바이스 조인 수행자 + Global admins)만 적용됨을 의미합니다. - Cloud Device Administrator 및 Intune Administrator는 해당 설정을 통해 추가되지 않는 한 Azure AD 조인 디바이스에서 자동으로 로컬 admin이 되지 않습니다(또는 로컬 그룹 정책/MDM local users and groups policies 같은 다른 메커니즘을 통해서도 가능). 일반적인 오해: 많은 사람들이 디바이스 관련 admin 역할(Cloud Device Administrator) 또는 관리 역할(Intune Administrator)이 조인된 디바이스에서 자동으로 로컬 admin이 된다고 가정합니다. 그러나 구성하지 않으면 그렇지 않습니다. 또 다른 함정은 디바이스 조인을 제한하면 로컬 admin이 되는 사용자도 제한된다고 생각하는 것인데, 이는 조인 권한만 제한할 뿐입니다. 시험 팁: Azure AD 조인 시 기본적으로 로컬 admin에 추가되는 두 가지를 암기하세요: (1) 디바이스를 조인한 사용자, (2) Azure AD Global Administrators. 그런 다음 “Additional local administrators…” 설정을 적용하여 추가 멤버가 있는지 판단하세요. 이는 Azure Well-Architected Framework(Security pillar)의 최소 권한 원칙과도 일치합니다: 필요한 경우에만 추가 로컬 admin 권한을 부여합니다.

이동 중에도 모든 문제를 풀고 싶으신가요?

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

6
문제 6

contoso.onmicrosoft.com이라는 Azure Active Directory (Azure AD) 테넌트가 있습니다. User administrator 역할이 Admin1이라는 사용자에게 할당되어 있습니다. 외부 파트너는 [email protected] 로그인을 사용하는 Microsoft account를 보유하고 있습니다. Admin1이 외부 파트너를 Azure AD 테넌트에 로그인하도록 초대하려고 시도했지만 다음 오류 메시지를 받습니다: Unable to invite user [email protected] " Generic authorization exception.` Admin1이 외부 파트너를 Azure AD 테넌트에 로그인하도록 초대할 수 있도록 해야 합니다. 무엇을 해야 합니까?

정답입니다. External collaboration settings (B2B)는 게스트 초대가 허용되는지와 누가 초대를 보낼 수 있는지를 결정합니다. 초대가 제한되어 있으면(예: Global Admin만 또는 Guest Inviter가 있는 사용자만), User administrator는 authorization 오류를 받을 수 있습니다. 이러한 설정을 업데이트하여 Admin1이(직접 또는 허용된 역할을 통해) 초대할 수 있도록 하면 문제가 해결됩니다.

오답입니다. custom domain(예: contoso.com) 추가는 브랜딩, UPN, DNS 확인에 유용하지만, B2B 게스트 초대 authorization을 제어하지는 않습니다. 테넌트에 custom domain이 구성되어 있는지와 관계없이 Microsoft account 또는 다른 ID를 사용하여 게스트를 초대할 수 있습니다.

오답입니다. Organizational relationships에서 identity provider를 추가하는 것은 특정 외부 ID 소스에 대한 federation/trust를 구성하기 위한 것이며(일부 경우 cross-tenant access settings 포함), Microsoft account에 대한 게스트 초대를 활성화/비활성화하는 기본 제어가 아닙니다. 또한 초대를 차단하는 테넌트 정책 문제를 해결하지 못합니다.

오답입니다. Security administrator 역할은 보안 관련 설정(예: 보안 정책, 경고)을 관리하지만, B2B 게스트 사용자를 초대할 권한을 본질적으로 부여하지는 않습니다. 게스트 초대 기능은 External collaboration settings 및/또는 Global Administrator, User Administrator(정책에 따라), Guest Inviter 같은 역할에 의해 제어됩니다.

문제 분석

핵심 개념: 이 문제는 Azure AD (Microsoft Entra ID) B2B external collaboration을 테스트합니다. 게스트 사용자 초대는 테넌트 수준의 External collaboration settings (B2B) 및(선택적으로) 사용자/역할 제한에 의해 제어됩니다. 사용자에게 User administrator 역할이 있더라도, 테넌트의 external collaboration 정책이 초대를 허용하지 않거나 누가 초대할 수 있는지 제한하면 게스트 초대가 차단될 수 있습니다. 정답이 맞는 이유: Admin1은 Microsoft account 사용자를 초대하려 할 때 “Generic authorization exception”을 받습니다. 흔한 원인은 테넌트가 게스트 사용자 초대를 non-admin(또는 특정 admin 역할)에게 허용하지 않도록 구성되어 있거나, 게스트 초대가 비활성화/제한되어 있는 경우입니다. 해결 방법은 Users settings 영역(Entra admin center)에서 External collaboration settings를 조정하여 초대를 허용하는 것입니다(예: 조직 정책에 따라 “Admins and users in the Guest Inviter role can invite” 또는 “All users can invite”). 이를 활성화하면 Admin1(User administrator)은 외부 파트너를 초대할 수 있습니다. 주요 기능 / 구성: - External collaboration settings에서 제어하는 항목: - 게스트 초대 허용 여부 - 누가 초대할 수 있는지(관리자만, Guest Inviter 같은 특정 역할, 또는 모든 사용자) - 게스트 액세스 제한(게스트가 볼 수/할 수 있는 것) - 모범 사례(Azure Well-Architected – Security): 최소 권한을 따르십시오. 모든 사용자에게 초대 권한을 여는 대신, 적절한 역할(예: Guest Inviter)만 허용하고 필요 시 access reviews, conditional access, entitlement management를 사용하십시오. 일반적인 오해: - custom domain을 추가해도 Microsoft account를 게스트로 초대하는 기능에는 영향을 주지 않습니다. - identity provider 추가는 추가 federation/social IdPs를 활성화하기 위한 것이며, Microsoft account는 표준 B2B 구성에서 이미 지원됩니다. - Security administrator를 할당해도 B2B 초대 권한이 부여되지 않으며, 이는 보안 정책 관리에 초점이 있습니다. 시험 팁: AZ-104에서 authorization 유형 오류로 게스트 초대가 실패하는 경우, 먼저 테넌트 수준의 B2B External collaboration settings와 “who can invite” 제어를 확인하십시오. 역할 할당도 중요하지만, 올바른 collaboration settings가 활성화되지 않으면 테넌트 정책이 관리자에게도 작업을 차단할 수 있습니다.

7
문제 7

HOTSPOT - Subscription1이라는 Azure 구독이 있으며, 다음 표에 표시된 할당량을 포함합니다. 할당량 위치 사용량 Standard BS Family vCPUs West US 20개 중 0 Standard D Family vCPUs West US 20개 중 0 Total Regional vCPUs West US 20개 중 0 다음 표와 같이 Subscription1에 virtual machine을 배포합니다.

diagram

다음 표에 표시된 virtual machine을 배포할 계획입니다. 이름 크기 vCPUs VM3 Standard_B2ms 1 VM4 Standard_D4s_v3 4 VM5 Standard_B16ms 16 다음 각 문장에 대해, 문장이 참이면 Yes를 선택합니다. 그렇지 않으면 No를 선택합니다. 참고: 각 정답 선택은 1점입니다. 핫 영역:

파트 1:

VM3를 West US에 배포할 수 있습니다.

예. 이러한 유형의 Azure quota 문제에서는 quota table의 Usage 열이 해당 subscription 및 region의 권한 있는 현재 사용량입니다. West US는 Standard BS Family vCPUs에 대해 20개 중 0개 사용, Total Regional vCPUs에 대해 20개 중 0개 사용으로 표시되므로, 제안된 B-series VM은 두 제한 모두 내에 들어갑니다. 나열된 VM의 running 또는 deallocated 상태는 별도로 다시 계산할 필요가 없습니다. quota table이 이미 현재 사용량을 반영하고 있기 때문입니다.

파트 2:

West US에 VM4를 배포할 수 있습니다.

예. quota table에는 West US에서 Standard D Family vCPUs가 20개 중 0개 사용됨으로 표시되고, Total Regional vCPUs도 20개 중 0개 사용됨으로 표시됩니다. VM4는 4 vCPUs가 필요하므로, D-family quota와 regional quota 모두 범위 내에 있습니다. 다른 VM 상태는 여기서 별도로 관련이 없습니다. 왜냐하면 문제의 평가에서 Azure가 사용하는 것은 표시된 quota usage이기 때문입니다.

파트 3:

VM5를 West US에 배포할 수 있습니다.

예. quota table에는 West US에서 Standard BS Family vCPUs가 20개 중 0개 사용 중이고, Total Regional vCPUs도 20개 중 0개 사용 중인 것으로 표시됩니다. VM5는 16 vCPUs가 필요하며, 이는 두 남은 limit 모두 이내입니다. 따라서 VM5는 배포할 수 있으며, quota table이 이미 현재 사용량을 제공하므로 나열된 VM들을 기준으로 사용량을 다시 계산하는 대안적 추론은 불필요합니다.

8
문제 8

Subscription1이라는 Azure subscription이 있습니다. Subscription1에는 VM1이라는 virtual machine이 포함되어 있습니다. Windows 10을 실행하는 Computer1이라는 컴퓨터가 있습니다. Computer1은 Internet에 연결되어 있습니다. 다음 전시에서와 같이 vm1173이라는 network interface를 VM1에 추가합니다. (Exhibit 탭을 클릭하세요.)

diagram

Computer1에서 Remote Desktop을 사용하여 VM1에 연결을 시도하지만 연결에 실패합니다. VM1에 대한 Remote Desktop 연결을 설정해야 합니다. 먼저 무엇을 해야 합니까?

RDP rule의 priority를 변경하는 것은 불필요합니다. 현재 priority 300은 65000 이상인 기본 inbound rules보다 이미 먼저 평가되기 때문입니다. 즉, TCP 3389에 대한 allow rule은 DenyAllInBound가 고려되기 전에 일치합니다. RDP 트래픽을 차단하는 더 높은 priority의 다른 deny rule이 있다는 증거는 없습니다. priority를 조정해도 VM이 실행 중이어야 한다는 실제 전제 조건은 해결되지 않습니다.

network interface를 연결하는 것은 올바른 첫 번째 조치가 아닙니다. 문제에서 vm1173이라는 network interface가 이미 VM1에 추가되었다고 명시하고 있기 때문입니다. 제시된 화면은 NIC가 이미 존재하고, private IP와 public IP association이 있으며, NSG가 적용되어 있음을 확인해 줍니다. NIC가 이미 연결되어 있으므로, 그 작업을 반복해도 연결 설정에는 도움이 되지 않습니다. 더 직접적인 문제는 VM이 RDP를 수락하려면 전원이 켜져 있어야 한다는 점입니다.

DenyAllInBound rule을 삭제하는 것은 잘못되었습니다. 이는 명시적으로 허용되지 않은 트래픽을 차단하기 위한 기본 NSG rule이기 때문입니다. Azure NSG 처리는 priority 기반이므로, priority 300의 명시적 RDP allow rule이 65500의 기본 deny보다 우선합니다. 기본 deny를 제거하면 보안이 약화되며, RDP가 작동하는 데 필요하지도 않습니다. DenyAllInBound가 존재하더라도 기존 allow rule과 일치하는 트래픽은 차단되지 않습니다.

VM1을 시작하는 것이 올바른 첫 번째 단계입니다. VM은 실행 중이 아니면 Remote Desktop 연결을 수락할 수 없기 때문입니다. Azure에서 기존 VM에 추가 network interface를 연결하려면 일반적으로 사전에 VM을 stopped/deallocated 상태로 만들어야 하므로, 변경 후에는 VM을 다시 시작해야 합니다. 제시된 화면에는 이미 TCP 3389가 inbound로 명시적으로 허용되어 있으므로, NSG가 즉각적인 문제는 아닙니다. 따라서 RDP 연결이 성공하기 전에 먼저 필요한 조치는 VM을 running state로 복원하는 것입니다.

문제 분석

핵심 개념: 이 문제는 VM의 네트워킹을 수정한 후 Azure VM 연결에 필요한 전제 조건을 테스트합니다. Azure에서 기존 VM에 추가 network interface를 연결하려면 일반적으로 먼저 VM을 stopped/deallocated 상태로 만들어야 하며, 이는 VM이 다시 시작될 때까지 Remote Desktop에 사용할 수 없음을 의미합니다. 정답인 이유: 제시된 화면에는 이미 기본 deny rule보다 더 높은 priority로 TCP 3389에 대한 inbound RDP를 허용하는 NSG rule이 표시되어 있으므로, NSG 구성은 문제의 원인이 아닙니다. 핵심 특징: NSG rules는 priority number의 오름차순으로 처리되고, 기본 DenyAllInBound는 설계상 그대로 유지되며, VM은 RDP를 수락하려면 실행 중이어야 합니다. 흔한 오해: 많은 응시자는 기본 deny rule을 제거해야 한다고 생각하지만, 더 높은 priority의 명시적 allow rules가 이를 override합니다. 시험 팁: Azure VM 연결 문제를 해결할 때는 먼저 VM power state를 확인한 다음, public IP 노출 및 NSG rules를 확인하세요.

9
문제 9

Subscription1이라는 Azure 구독이 있으며, 이 구독에는 VM1이라는 Azure virtual machine이 포함되어 있습니다. VM1은 RG1이라는 resource group에 있습니다. VM1은 RG1에 리소스를 배포하는 데 사용될 서비스를 실행합니다. VM1의 identity를 사용하여 VM1에서 실행 중인 서비스가 RG1의 리소스를 관리할 수 있도록 해야 합니다. 먼저 무엇을 해야 합니까?

정답입니다. VM1에서 managed identity(일반적으로 system-assigned)를 사용하도록 설정하는 것은 권한을 부여할 수 있는 identity(service principal)를 생성하는 선행 단계입니다. managed identity를 사용하도록 설정하기 전에는 Azure Resource Manager 작업에 사용할 VM1 identity가 존재하지 않습니다. 이를 사용하도록 설정한 후, RG1에서 해당 identity에 RBAC role을 할당할 수 있습니다.

첫 단계가 아닙니다. RG1 IAM은 최종적으로 VM1 identity가 RG1 리소스를 관리할 수 있도록 권한(role assignment)을 부여하는 위치입니다. 하지만 VM1의 managed identity가 존재하기 전에는 해당 identity에 role을 할당할 수 없습니다. 올바른 순서는 다음과 같습니다: VM1에서 managed identity를 사용하도록 설정한 다음, RG1 IAM을 구성하여 필요한 role을 부여합니다.

오답입니다. VM1에서 IAM을 설정하는 것은 VM1(해당 VM 리소스)을 누가 관리할 수 있는지를 제어하며, VM1이 RG1의 다른 리소스를 관리할 수 있는 권한을 부여하지 않습니다. RBAC는 액세스되는 리소스의 범위(RG1)에 할당되어야 합니다. VM1 자체의 IAM 설정만으로는 VM1에서 실행되는 프로세스가 resource group의 리소스를 배포/관리할 수 없습니다.

오답입니다. Azure Policy는 표준을 강제하고 규정 준수를 평가하는 데 사용됩니다(예: 허용되는 SKU, 필수 tag, public IP 거부). identity에 리소스를 관리할 권한을 부여하지는 않습니다. Policies를 구성하더라도, VM1의 서비스는 여전히 managed identity와 role assignment를 통한 RBAC 권한이 필요합니다.

문제 분석

핵심 개념: 이 문제는 Azure 리소스용 Managed Identities와 Azure RBAC를 평가합니다. managed identity를 사용하면 Azure 리소스(VM1)가 자격 증명을 저장하지 않고 Azure AD 토큰을 얻을 수 있습니다. VM1에서 실행되는 서비스가 “VM1의 identity를 사용하여” RG1의 리소스를 관리하게 하려면 (1) VM1에서 managed identity를 사용하도록 설정하고, 그 다음 (2) 해당 identity에 RG1 범위에서 RBAC role을 할당해야 합니다. 정답이 맞는 이유: 문제는 먼저 무엇을 해야 하는지 묻습니다. VM1의 identity에 권한을 부여하기 전에, 해당 identity가 존재해야 합니다. VM1에서 system-assigned managed identity를 사용하도록 설정하면 VM1을 나타내는 Microsoft Entra ID의 service principal이 생성됩니다. 그 identity가 존재한 후에야 RG1 범위에서 role(예: Contributor)을 할당할 수 있습니다. 따라서 첫 단계는 VM1의 Managed Identity 설정을 수정하는 것입니다. 주요 기능 / 모범 사례: - System-assigned managed identity는 VM lifecycle에 종속됩니다(VM과 함께 생성/삭제). User-assigned identity는 여러 리소스에서 재사용할 수 있습니다. - identity를 사용하도록 설정한 후, RG1의 Access control (IAM)에서 VM의 managed identity에 대한 role assignment를 추가합니다(최소 권한: 배포에는 예: Contributor, 가능하면 더 세분화된 role). - 이는 Azure Well-Architected Framework의 보안 원칙(비밀 정보 회피, identity 기반 액세스 사용, 최소 권한 적용)과 일치합니다. 흔한 오해: 많은 사람이 RG1(IAM)에서 권한을 부여하는 것부터 시작한다고 생각합니다. 하지만 managed identity를 사용하도록 설정하지 않으면 할당할 principal이 없습니다. 또 다른 오해는 VM 자체에서 IAM을 변경하는 것입니다. RBAC는 소스 VM이 아니라 대상 리소스(RG1)의 범위에 적용해야 합니다. 시험 팁: “VM/서비스가 VM identity를 사용하여 Azure 리소스에 액세스/관리”라는 문구가 나오면 다음을 떠올리세요: 먼저 Managed Identity를 사용하도록 설정하고, 그 다음 대상 범위(subscription/resource group/resource)에서 RBAC를 할당합니다. Policies는 거버넌스/규정 준수를 위한 것이지 런타임 권한을 부여하는 것이 아닙니다.

10
문제 10

Admin1에 대한 사용자 요구 사항을 충족해야 합니다. 무엇을 해야 합니까?

Azure Active Directory 블레이드에서 Groups를 수정하면 tenant 내의 그룹 멤버십과 그룹 객체가 변경됩니다. Admin1을 그룹에 추가하는 것은 액세스 전략의 일부가 될 수 있지만, 그것만으로는 Azure 리소스에 대한 권한이 부여되지 않습니다. 여전히 해당 subscription(또는 다른) scope에서 그 그룹에 대한 RBAC role assignment가 필요합니다. 따라서 이 옵션은 액세스 요구 사항을 충족하기에 불완전합니다.

Azure Active Directory Properties는 tenant 수준 설정(예: directory 속성, 사용자 설정, 일부 관리 구성)을 제어합니다. 이러한 설정은 subscription 내 Azure 리소스를 관리할 수 있는 Admin1의 권한을 부여하지 않습니다. 리소스 액세스는 Azure AD tenant 속성 변경이 아니라 Azure RBAC role assignment에 의해 관리됩니다. 이는 identity 구성과 Azure 리소스에 대한 authorization을 혼동하는 흔한 사례입니다.

subscription의 Access control (IAM)은 subscription scope에서 Admin1(또는 Admin1이 포함된 그룹)에 Azure RBAC role을 할당하는 위치입니다. 이는 해당 subscription에서 Admin1이 수행할 수 있는 작업(리소스 관리, 읽기, 관리, 또는 role에 따라 액세스 관리)을 직접적으로 충족합니다. subscription 수준 관리에 대해 AZ-104에서 기대하는 올바른 접근 방식입니다.

Subscription Properties에는 일반적으로 subscription 이름, offer type, 그리고 때로는 directory 연결 컨텍스트와 같은 subscription 메타데이터가 포함되지만, RBAC 권한을 관리하지는 않습니다. 속성을 변경해도 Admin1에게 리소스를 생성, 수정 또는 삭제할 수 있는 권한이 부여되지 않습니다. authorization 요구 사항의 경우 적절한 scope에서 role assignment를 생성하기 위해 Access control (IAM)을 사용해야 합니다.

문제 분석

핵심 개념: 이 문제는 subscription 범위에서의 Azure role-based access control (RBAC)을 테스트합니다. Azure에서 리소스를 관리하기 위한 권한은 (예: Owner, Contributor, Reader, User Access Administrator)와 같은 기본 제공 또는 사용자 지정 role을 scope(management group, subscription, resource group 또는 resource)에서 security principal(사용자, 그룹, service principal, managed identity)에 할당하여 부여합니다. 정답인 이유: 특정 관리자 사용자(Admin1)에 대한 요구 사항을 충족하려면 올바른 scope에서 필요한 권한을 부여해야 합니다. subscription은 광범위한 관리 액세스를 위한 일반적인 scope입니다. 이를 수행하는 올바른 위치는 해당 subscription의 Access control (IAM) 페이지이며, 여기에서 Admin1(또는 Admin1이 포함된 그룹)에 role assignment를 추가합니다. 이는 해당 subscription에서 Admin1이 수행할 수 있는 작업을 직접 제어하며, AZ-104 시나리오에서 “관리자 액세스” 요구 사항을 충족하는 표준 방법입니다. 주요 기능 / 모범 사례: RBAC는 Azure Resource Manager에 의해 평가되며 scope 전반에 걸쳐 additive(상위 scope에서 상속된 모든 할당의 합으로 유효 권한이 결정)입니다. least privilege를 따르세요. 필요한 최소 role을 할당합니다(대개 Owner보다는 Contributor, Admin1이 role assignment를 관리해야 하는 경우에만 User Access Administrator 사용). 운영 관리 용이성을 위해 group 기반 할당을 선호합니다. 이는 Azure Well-Architected Framework(Security pillar)의 원칙(중앙 집중식 액세스 관리, least privilege, role assignment 및 activity log를 통한 감사 가능한 액세스)과 일치합니다. 흔한 오해: 많은 사람들이 Azure AD 설정(사용자/그룹/속성)과 Azure RBAC를 혼동합니다. Azure AD 블레이드는 리소스 권한이 아니라 identity 객체를 관리합니다. subscription “Properties”를 변경하면 메타데이터(이름, 태그, 일부 컨텍스트에서의 directory 연결 등)에 영향을 주지만 액세스에는 영향을 주지 않습니다. IAM(RBAC)만이 누가 리소스를 관리할 수 있는지를 변경합니다. 시험 팁: 요구 사항에 “access”, “permissions”, “can manage resources”, 또는 “admin for a subscription/resource group”가 언급되면 RBAC를 떠올리고 Access control (IAM)으로 이동하세요. “create users/groups”, “reset passwords”, 또는 “tenant settings”가 언급되면 Azure AD role 및 Azure AD 블레이드를 떠올리세요. 항상 scope(subscription vs resource group)를 식별하고 요구 사항을 충족하는 가장 작은 scope를 선택하세요.

다른 모의고사

Practice Test #1

50 문제·100분·합격 700/1000

Practice Test #2

50 문제·100분·합격 700/1000

Practice Test #3

50 문제·100분·합격 700/1000

Practice Test #4

50 문제·100분·합격 700/1000

Practice Test #6

50 문제·100분·합격 700/1000

Practice Test #7

50 문제·100분·합격 700/1000

Practice Test #8

50 문제·100분·합격 700/1000

Practice Test #9

50 문제·100분·합격 700/1000
← 모든 Microsoft AZ-104 문제 보기

지금 학습 시작하기

Cloud Pass를 다운로드하고 모든 Microsoft AZ-104 기출 문제를 풀어보세요.

Get it on Google PlayDownload on the App Store
Cloud PassCloud Pass

IT 자격증 문제풀이 앱

Get it on Google PlayDownload on the App Store

자격증

AWSGCPMicrosoftCiscoCompTIADatabricks

법률

FAQ개인정보 처리방침서비스 약관

회사

문의하기계정 삭제

© Copyright 2026 Cloud Pass, All rights reserved.

이동 중에도 모든 문제를 풀고 싶으신가요?

앱 받기

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.