Microsoft SC-300

Practice Test #3

50개 문제와 100분 시간 제한으로 실제 시험을 시뮬레이션하세요. AI 검증 답안과 상세 해설로 학습하세요.

50문제100분700/1000합격 점수

연습 문제 보기

AI 기반

3중 AI 검증 답안 및 해설

모든 답안은 3개의 최고 AI 모델로 교차 검증하여 최고의 정확도를 보장합니다. 선택지별 상세 해설과 심층 문제 분석을 제공합니다.

GPT Pro

Claude Opus

Gemini Pro

선택지별 상세 해설

심층 문제 분석

3개 모델 합의 정확도

연습 문제

문제 1

(2개 선택)

contoso.com이라는 이름의 Azure Active Directory (Azure AD) tenant가 있습니다. Azure AD business-to-business (B2B) collaboration 사용자를 대량으로 초대할 계획입니다. 대량 초대를 만들 때 반드시 포함해야 하는 두 가지 매개 변수는 무엇입니까? 각 정답은 솔루션의 일부를 나타냅니다. 참고: 각 정답 선택에는 1점이 부여됩니다.

문제 분석

핵심 개념: 이 문제는 Azure AD (Microsoft Entra ID) B2B collaboration 대량 초대를 테스트합니다. Bulk invite는 일반적으로 Azure portal(Bulk invite users) 또는 CSV를 사용하는 Microsoft Graph/PowerShell을 통해 수행됩니다. 목표는 guest user object를 만들고 초대 이메일을 보내 외부 사용자가 이를 수락하고 공유된 앱/리소스에 액세스할 수 있도록 하는 것입니다. 정답이 맞는 이유: 대량 초대가 작동하려면 Azure AD는 (1) 누구를 초대할지와 (2) 초대를 수락한 후 어디로 보낼지를 알아야 합니다. 따라서 CSV(또는 요청 payload)에는 초대받는 사용자의 email address(초대를 전달하고 guest user를 만드는 데 사용되는 ID)와 redirection URL(종종 invite redirect URL이라고 함, 수락 후 이동할 랜딩 페이지를 결정함)이 포함되어야 합니다. portal CSV template에서 이는 “Invited user email address” 및 “Invite redirect URL”과 같은 필드에 매핑됩니다. email address가 없으면 대상 수신자가 없습니다. redirect URL이 없으면 초대 흐름에 정의된 대상이 없으므로 template 요구 사항에 따라 대량 초대 생성이 유효하지 않습니다. 주요 기능 및 모범 사례: B2B 초대는 guest user(UserType=Guest)를 만들며, 선택적으로 display name, custom message, 그리고 수락 후 group/app assignment를 포함할 수 있습니다. 허용되고 적절한 redirect URL(예: MyApps, 앱 URL 또는 특정 랜딩 페이지)을 사용하세요. Well-Architected Framework 관점(Security 및 Operational Excellence)에서 초대 프로세스(CSV template, Graph를 통한 자동화)를 표준화하고 access reviews, entitlement management 및 guest restrictions와 같은 거버넌스 제어가 마련되어 있는지 확인하세요. 일반적인 오해: 많은 사람들은 local account를 만든다고 생각하기 때문에 “username” 또는 “password”가 필요하다고 가정합니다. B2B에서는 외부 사용자가 자신의 identity provider(Microsoft account, 다른 Entra tenant, federated IdP 등)를 사용해 인증하므로 password를 설정하지 않습니다. “Shared key”는 관련이 없습니다(VPN/Wi-Fi 개념에서 더 일반적임). 시험 팁: SC-300에서는 다음을 기억하세요: B2B guest onboarding은 초대 기반입니다. 필수 필드에는 일반적으로 초대받는 사용자의 email과 invite redirect URL이 포함됩니다. Password는 B2B 초대의 일부가 아닙니다. 또한 B2B collaboration(guest)과 B2B direct connect, 그리고 tenant에서 member user를 만드는 것을 구분하세요.

이동 중에도 모든 문제를 풀고 싶으신가요?

Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

다른 모의고사

Practice Test #1

50 문제·100분·합격 700/1000

Practice Test #2

50 문제·100분·합격 700/1000

← 모든 Microsoft SC-300 문제 보기

지금 학습 시작하기

Cloud Pass를 다운로드하고 모든 Microsoft SC-300 학습 문제를 무료로 이용하세요.

이동 중에도 모든 문제를 풀고 싶으신가요?

무료 앱 받기

Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

문제 2

Microsoft 365 tenant가 있습니다. 모든 사용자에게는 mobile phone과 laptop이 있습니다. 사용자들은 Wi-Fi access 또는 mobile phone connectivity가 없는 remote location에서 자주 작업합니다. Remote location에서 작업하는 동안 사용자는 internet access가 있는 wired network에 laptop을 연결합니다. multi-factor authentication (MFA)을 구현할 계획입니다. 사용자들은 remote location에서 어떤 MFA authentication method를 사용할 수 있습니까?

문제 분석

핵심 개념: 이 문제는 사용자의 phone에 mobile network connectivity나 Wi-Fi가 없지만, laptop은 wired connection을 통해 internet access가 있는 경우 어떤 Microsoft Entra ID / Microsoft 365 MFA method가 작동하는지에 대한 이해를 평가합니다. 핵심은 mobile device로 phone call, text message 또는 실시간 push notification 수신에 의존하지 않는 MFA method를 식별하는 것입니다. 정답인 이유: Microsoft Authenticator app의 verification code는 time-based one-time password (TOTP) 기능을 사용하여 offline으로 생성될 수 있습니다. 이 app은 사용자의 account에 이미 등록된 이후에는 이러한 순환 코드를 표시하기 위해 활성 internet connection이나 mobile signal이 필요하지 않습니다. 이 시나리오에서 사용자는 wired internet connection을 통해 laptop에서 sign in한 다음, phone의 Authenticator app에 표시된 코드를 입력할 수 있습니다. 따라서 phone에 Wi-Fi나 cellular connectivity가 없을 때도 계속 사용할 수 있는 유일한 보기입니다. 주요 기능 / 구성: - Microsoft Authenticator는 TOTP 기반의 offline verification code를 지원합니다. - Offline code generation은 app이 사용자에 대해 등록되고 구성된 후에 작동합니다. - SMS 기반 MFA는 text message를 수신하기 위해 cellular service가 필요합니다. - Voice 기반 MFA는 call을 수신하기 위해 phone connectivity가 필요합니다. - Security questions는 이 맥락에서 Microsoft 365 sign-in에 대한 표준 MFA method가 아닙니다. - Laptop의 internet connectivity는 sign-in transaction에 충분하며, phone은 locally generated code를 표시하기만 하면 됩니다. 일반적인 오해: - 많은 응시자가 Authenticator push notification과 Authenticator verification code를 혼동합니다. Push notification은 connectivity가 필요하지만 verification code는 필요하지 않습니다. - 일부는 laptop에 internet access만 있으면 모든 phone 기반 MFA method가 작동한다고 가정합니다. 이는 잘못된 생각입니다. SMS와 voice는 phone이 message나 call을 수신하는 데 의존하기 때문입니다. - Security questions는 Microsoft 365 sign-in 시나리오에서 유효한 MFA option으로 자주 오해되지만, 여기서는 표준 두 번째 인증 요소로 사용되지 않습니다. - 응시자는 method가 locally generated code를 기반으로 하는 경우 phone을 offline 상태에서도 계속 사용할 수 있다는 점을 간과할 수 있습니다. 시험 팁: - online MFA method와 offline 사용이 가능한 MFA method를 구분하십시오. - Microsoft Authenticator verification code는 phone connectivity 없이도 작동할 수 있습니다. - SMS와 voice는 항상 phone이 network를 통해 무언가를 수신해야 합니다. - Push notification 승인과 app의 code 입력은 다릅니다. - 문제에서 phone에 Wi-Fi나 mobile signal이 없다고 언급하면, offline TOTP code generation을 떠올리십시오.

문제 3

귀사에는 Microsoft 365 tenant가 있습니다. 회사에는 300명의 사용자가 있는 call center가 있습니다. call center에서는 사용자들이 desktop computer를 공유하며, 매일 다른 computer를 사용할 수 있습니다. call center computer는 biometric identification용으로 구성되어 있지 않습니다. 사용자들은 call center 내에서 mobile phone을 소지하는 것이 금지되어 있습니다. 사용자들이 Microsoft 365 서비스에 액세스할 때 call center 사용자에게 multi-factor authentication (MFA)을 요구해야 합니다. 해결 방법에 무엇을 포함해야 합니까?

문제 분석

핵심 개념: 이 문제는 엄격한 환경 제약 조건에서 작동하고 Microsoft Entra ID (Azure AD) authentication methods 및 Conditional Access와 일치하는 MFA 방법을 선택하는지를 평가합니다. 이 시나리오는 shared-device call center이며, biometrics도 없고 mobile phone도 사용할 수 없지만, Microsoft 365에 대해 MFA가 필요합니다. 정답인 이유: FIDO2 security keys (tokens)는 phone이나 특정 PC가 없어도 강력하고 phishing-resistant한 MFA를 제공합니다. 각 사용자는 hardware key를 소지하고 어떤 shared desktop에서든(키와 device에 따라 USB-A/USB-C/NFC) 이를 연결하여 PIN 또는 touch를 사용해 MFA를 완료할 수 있습니다. 이는 사용자가 매일 computer를 바꿔 사용하는 call center 모델에 적합하며 mobile device도 필요하지 않습니다. 또한 biometrics(사용할 수 없음)를 피하면서도 modern하고 high-assurance factor를 제공합니다. 주요 기능 / 구성 포인트: - Microsoft Entra ID에서 FIDO2 security key authentication method를 활성화합니다. - 사용자별로 key를 등록합니다(self-service registration 또는 assisted enrollment). - Microsoft 365 cloud apps에 액세스할 때 call center 사용자 그룹에 대해 MFA를 요구하도록 Conditional Access를 사용합니다. - token theft 및 MFA fatigue attacks를 줄이기 위해 phishing-resistant authentication(종종 CA authentication strength policy)을 선호합니다. - 운영 측면에서는 spare key와 안전한 issuance/revocation process를 유지합니다(identity governance best practice). 일반적인 오해: named network location은 MFA method가 아닙니다. 이는 IP ranges를 기준으로 액세스를 신뢰하거나 제한하는 데 사용되는 Conditional Access signal입니다. MFA prompts를 줄일 수는 있지만(예: trusted networks에서 MFA 우회), 그 자체로 “MFA 요구”를 충족할 수는 없습니다. Microsoft Authenticator는 mobile device가 필요하지만, 이 시나리오에서는 mobile phone이 금지되어 있습니다. Windows Hello for Business는 일반적으로 device-bound keys에 의존하며, 흔히 biometrics 또는 특정 enrolled device의 PIN을 사용합니다. 따라서 biometric 구성이 없는 shared desktop을 여러 사용자가 돌아가며 사용하는 환경에는 적합하지 않습니다. 시험 팁: “no phones”와 “shared PCs”가 보이면 FIDO2와 같은 hardware-based methods를 떠올리십시오. 또한 “signals/conditions”(named locations)와 “authentication methods”(Authenticator, WHfB, FIDO2)를 구분하십시오. Microsoft 365 액세스의 경우 enforcement mechanism은 일반적으로 Conditional Access이지만, 이 문제는 제약 조건하에서 MFA를 충족하기 위해 무엇을 포함해야 하는지를 묻고 있으므로 실행 가능한 factor를 선택해야 합니다.

문제 4

귀사는 최근 Azure Active Directory (Azure AD) Privileged Identity Management (PIM)을 구현했습니다. PIM의 역할을 검토하는 동안, 회사 IT 부서의 15명 모든 사용자가 영구적인 Security administrator 권한을 가지고 있다는 것을 발견했습니다. IT 부서 사용자가 필요할 때만 Security administrator 역할에 액세스할 수 있도록 해야 합니다. Security administrator 역할 할당에 대해 무엇을 구성해야 합니까?

문제 분석

핵심 개념: 이 문제는 Azure AD Privileged Identity Management (PIM) 역할 할당 유형과 just-in-time (JIT) privileged access를 강제하는 방법을 테스트합니다. PIM은 Azure AD 역할에 대해 두 가지 주요 할당 유형을 지원합니다: Active(영구적인 상시 액세스)와 Eligible(활성화될 때까지 상시 액세스 없음). 이는 Zero Trust 및 Azure Well-Architected Framework의 보안 원칙(least privilege, blast radius 감소, 상시 privileged 권한 최소화)과 일치합니다. 정답인 이유: 문제에서는 IT 사용자 15명 모두가 영구적인 Security Administrator 권한을 가지고 있다고 했습니다. 필요할 때만 액세스할 수 있도록 하려면 상시 액세스를 제거하고 필요할 때만 역할을 활성화하도록 해야 합니다. PIM에서는 역할 할당 유형을 Eligible로 설정하여 이를 수행합니다. Eligible 사용자는 제한된 기간 동안 역할을 활성화할 때까지 해당 역할의 권한을 가지지 않습니다(MFA, justification, ticket number 및/또는 approval 요구 가능). 이는 “필요할 때만 액세스”라는 요구 사항을 직접적으로 충족합니다. 주요 기능 및 모범 사례: Eligible 할당을 사용하면 다음과 같은 역할 설정을 구성할 수 있습니다: - Activation duration(time-bound elevation) - 활성화 시 MFA 요구 - justification 및/또는 ticketing integration 요구 - approval 요구(예: 보안 책임자) - 알림 및 감사 이러한 제어는 위험을 줄이고 추적 가능성을 제공합니다. 실제 운영 환경에서 Security Administrator는 매우 민감한 역할입니다(보안 정책, 경고 및 구성을 관리할 수 있음). 따라서 JIT elevation은 표준 거버넌스 제어입니다. 일반적인 오해: 많은 사람이 “할당 만료”와 “JIT 액세스”를 혼동합니다. 만료 설정은 할당이 존재하는 기간을 제한할 수 있지만, Active 할당은 만료될 때까지 계속해서 권한을 부여합니다. 요구 사항은 “몇 주/몇 달 동안의 임시 할당”이 아니라 “필요할 때만”이며, 이는 Eligible + activation으로 달성됩니다. 시험 팁: SC-300에서는 다음을 기억하세요: Active = 상시 privileged 권한, Eligible = activation을 통한 JIT. 문제에서 “영구적인 admin 권한”이 언급되고 “필요할 때만”을 원한다면, 올바른 조치는 Eligible로 전환한 다음 role settings에서 activation 요구 사항(MFA/approval/duration)을 조정하는 것입니다.

문제 5

참고: 이 문제는 동일한 시나리오를 제시하는 일련의 문제 중 일부입니다. 시리즈의 각 문제에는 제시된 목표를 충족할 수 있는 고유한 솔루션이 포함되어 있습니다. 일부 문제 세트에는 둘 이상의 올바른 솔루션이 있을 수 있지만, 다른 문제 세트에는 올바른 솔루션이 없을 수도 있습니다. 이 섹션의 문제에 답한 후에는 해당 문제로 돌아갈 수 없습니다. 따라서 이러한 문제는 검토 화면에 표시되지 않습니다. Microsoft 365 테넌트가 있습니다. 10개 부서로 구성된 100명의 IT 관리자가 있습니다. 전시된 access review를 생성합니다. (Exhibit 탭을 클릭하세요.)

모든 access review 요청이 Megan Bowen에게 전달되는 것을 발견했습니다. 각 부서의 관리자가 해당 부서의 access review를 받도록 해야 합니다. 해결 방법: Reviewers를 Member (self)로 설정합니다. 이것이 목표를 충족합니까?

파트 1:

아래 이미지에서 올바른 답을 선택하세요.

question-image

문제 6

다음 표에 표시된 그룹이 포함된 Azure Active Directory (Azure AD) tenant가 있습니다.

diagram

어떤 그룹에 대해 access review를 만들 수 있습니까?

문제 분석

핵심 개념: 이 문제는 Azure AD (Microsoft Entra ID) Identity Governance, 특히 Access Reviews를 테스트합니다. Access review는 그룹 멤버십과 액세스 할당이 시간이 지나도 적절하게 유지되도록 보장하여 Azure Well-Architected Framework의 보안 원칙(영향 범위 최소화, 지속적인 검증)에 부합하도록 돕습니다. 정답인 이유: Access review는 다음에 대해 만들 수 있습니다. 1) assigned membership이 있는 Security group, 그리고 2) assigned membership이 있는 Microsoft 365 group. Dynamic membership group(dynamic user 또는 dynamic device)에는 지원되지 않습니다. 멤버십이 규칙에 따라 자동으로 계산되기 때문에 reviewer가 개별 멤버를 의미 있게 승인/거부할 수 없으며, 시스템이 규칙에 따라 다시 추가/제거하기 때문입니다. 따라서 표에서: - Group1 (Security, Assigned)은 access review를 지원합니다. - Group4 (Microsoft 365, Assigned)은 access review를 지원합니다. - Group2 (Security, Dynamic User)는 지원하지 않습니다. - Group3 (Security, Dynamic Device)는 지원하지 않습니다. - Group5 (Microsoft 365, Dynamic User)는 지원하지 않습니다. 따라서 Group1 및 Group4만 해당합니다. 주요 기능 / 모범 사례: Access review는 reviewer(group owner, 선택된 사용자 또는 self-review), recurrence, 결과 자동 적용, 비응답자에 대한 작업으로 구성할 수 있습니다. 일반적으로 시나리오에 따라 Microsoft Entra ID Governance/ID P2 기능이 필요합니다. 상시 액세스를 줄이기 위해 privileged group, 애플리케이션 할당 및 guest access에 대해 access review를 사용하세요. Dynamic group의 경우 멤버를 검토하는 대신 규칙 자체(change control, 승인, 모니터링)를 관리해야 합니다. 일반적인 오해: 흔한 함정은 “모든 그룹”을 검토할 수 있다고 가정하는 것입니다. Dynamic group은 디렉터리에서 일반 그룹처럼 보이지만 멤버십이 수동으로 관리되지 않으므로 access review가 적용되지 않습니다. 또 다른 오해는 Microsoft 365 group이 다르게 동작한다고 생각하는 것입니다. 핵심 요소는 그룹이 Security인지 Microsoft 365인지가 아니라 멤버십 유형(Assigned vs Dynamic)입니다. 시험 팁: Access Reviews가 보이면 즉시 개체 유형과 멤버십이 assigned인지 dynamic인지 확인하세요. Dynamic이면 제외하세요. 또한 access review는 광범위하게 적용되지만(groups, apps, roles) 각각 적용 가능 조건이 있다는 점도 기억하세요. “dynamic” 및 “device”라는 표현은 흔한 오답 유도 요소입니다.

문제 7

HOTSPOT - 사용자 ID가 손상되었을 확률에 대한 기술 요구 사항을 충족해야 합니다. 사용자는 먼저 무엇을 해야 하며, 무엇을 구성해야 합니까? 답하려면 답안 영역에서 적절한 옵션을 선택하세요. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

사용자는 먼저 다음을 수행해야 합니다: ______

파트 2:

다음을 구성해야 합니다: ______

문제 8

Azure Active Directory (Azure AD) tenant가 있습니다. 다음 설정이 있는 HR Apps라는 enterprise application collection을 만듭니다: ✑ Applications: App1, App2, App3 ✑ Owners: Admin1 ✑ Users and groups: HRUsers 세 개의 앱 모두에 다음 Properties 설정이 있습니다: ✑ Enabled for users to sign in: Yes ✑ User assignment required: Yes

사용자에게 표시: Yes -

사용자들은 My Apps portal로 이동하면 App1 및 App2만 보인다고 보고합니다. 사용자들이 App3도 볼 수 있도록 해야 합니다. App3에서 무엇을 해야 합니까?

파트 1:

Azure AD 라이선스는 Users 그룹에 할당되어야 합니다.

파트 2:

contoso.com의 device settings는 Members 그룹만 devices를 join할 수 있도록 구성되어야 합니다.

파트 3:

Users 그룹에는 Cloud device administrator 역할이 할당되어야 합니다.

문제 9

HOTSPOT - 다음 그룹이 포함된 Azure Active Directory (Azure AD) tenant가 있습니다: ✑ 이름: Group1 ✑ 멤버: User1, User2 ✑ 소유자: User3 2021년 1월 15일에 전시와 같이 access review를 만듭니다. (Exhibit 탭을 클릭하세요.)

사용자는 다음 표와 같이 Review1 질문에 답변합니다.

다음 각 문장에 대해 문장이 참이면 Yes를 선택하세요. 그렇지 않으면 No를 선택하세요. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

아래 이미지에서 정답을 선택하세요.

question-image

파트 2:

User1: Group1에 대한 액세스가 여전히 필요합니까?

파트 3:

User2: 아직도 Group1에 대한 액세스가 필요합니까?

파트 4:

2021년 2월 5일에 User1은 Review1 질문에 다시 답변할 수 있습니다.

파트 5:

2021년 1월 25일에 User2는 Review1 질문에 다시 답변할 수 있습니다.

파트 6:

2021년 1월 22일에 User3는 Review1 질문에 답변할 수 있습니다.

문제 10

다음 표에 표시된 개체를 포함하는 Azure Active Directory (Azure AD) 테넌트가 있습니다.

diagram

Azure AD role에 대해 Azure AD Privileged Identity Management (PIM)에서 eligible로 추가할 수 있는 개체는 무엇입니까?

문제 분석

핵심 개념: 이 문제는 Azure AD role(디렉터리 role)에 대한 Azure AD Privileged Identity Management (PIM)와, 어떤 ID 유형을 해당 role에 대해 “eligible”(just-in-time)로 만들 수 있는지를 테스트합니다. PIM은 Microsoft Entra ID Governance의 일부이며, 활성화, 승인, MFA 및 시간 제한 elevation을 요구하여 상시 권한을 줄이는 데 사용됩니다. 정답인 이유: Azure AD role의 경우, PIM은 디렉터리 role 할당을 보유할 수 있는 security principal에 대해 eligible 할당을 지원합니다. 표준 member user(User1)는 eligible로 만들 수 있습니다. Guest user(Guest1)도 Azure AD role을 할당받을 수 있으므로(테넌트 설정 및 role 제한에 따름) PIM에서 eligible로 만들 수 있습니다. 반면 managed identity(Identity1)는 service principal로 표현되는 workload identity입니다. Service principal/managed identity는 Azure AD role에 대한 PIM의 eligible 할당 대상으로 지원되지 않습니다. Azure AD role용 PIM은 workload identity가 아니라 사람 관리자(user, guest 포함)를 위해 설계되었습니다. 주요 기능 / 모범 사례: PIM eligible 할당은 시간 제한 activation, MFA/justification 요구 사항, 승인 워크플로 및 access review를 가능하게 하며, 이는 Azure Well-Architected Framework의 보안 원칙(최소 권한, JIT access, 강력한 인증)에 부합합니다. Workload identity의 경우, PIM eligible을 Azure AD role에 사용하려고 하기보다 app permission, Microsoft Graph application role, Azure RBAC(지원되는 경우) 또는 workload identity governance 패턴을 사용해야 합니다. 일반적인 오해: 자주 나오는 함정은 “Entra ID의 모든 ID”(managed identity/service principal 포함)를 디렉터리 role에 대해 eligible로 만들 수 있다고 가정하는 것입니다. Service principal은 특정 권한을 부여받을 수 있고 일부 시나리오에서는 Azure RBAC와 함께 사용할 수 있지만, PIM eligible을 통한 Azure AD 디렉터리 role은 사람이 아닌 principal을 대상으로 하지 않습니다. 시험 팁: 경계를 기억하세요. Azure AD role(디렉터리 role)에 대한 PIM은 주로 user(member 및 guest)를 위한 것입니다. Managed identity는 service principal이며, PIM eligible 디렉터리 role 할당이 아니라 workload identity 제어(app permission, certificate/secret, 해당되는 경우 workload identity용 Conditional Access)를 통해 처리됩니다. PIM-for-Azure-AD-roles 문제에서 “managed identity”가 보이면, 일반적으로 eligible로 만들 수 없는 항목입니다.