CloudPass LogoCloud Pass
AWSGoogle CloudMicrosoftCiscoCompTIADatabricks
Certifications
AWSGoogle CloudMicrosoftCiscoCompTIADatabricks
Microsoft SC-300
Microsoft SC-300

Practice Test #3

50개 문제와 100분 시간 제한으로 실제 시험을 시뮬레이션하세요. AI 검증 답안과 상세 해설로 학습하세요.

50문제100분700/1000합격 점수
기출 문제 보기

AI 기반

3중 AI 검증 답안 및 해설

모든 답안은 3개의 최고 AI 모델로 교차 검증하여 최고의 정확도를 보장합니다. 선택지별 상세 해설과 심층 문제 분석을 제공합니다.

GPT Pro
Claude Opus
Gemini Pro
선택지별 상세 해설
심층 문제 분석
3개 모델 합의 정확도

기출 문제

1
문제 1
(2개 선택)

contoso.com이라는 이름의 Azure Active Directory (Azure AD) tenant가 있습니다. Azure AD business-to-business (B2B) collaboration 사용자를 대량으로 초대할 계획입니다. 대량 초대를 만들 때 반드시 포함해야 하는 두 가지 매개 변수는 무엇입니까? 각 정답은 솔루션의 일부를 나타냅니다. 참고: 각 정답 선택에는 1점이 부여됩니다.

정답입니다. email address는 외부 수신자를 식별하고 B2B 초대를 생성/전송하는 데 필요합니다. 대량 초대 CSV template에서 이것은 기본 필수 필드입니다(종종 “Invited user email address”). Azure AD는 이를 사용하여 초대 메시지를 전달하고 guest user object를 외부 ID와 연결합니다.

정답입니다. redirection URL(invite redirect URL)은 사용자가 초대를 수락한 후 어디로 이동할지를 정의하기 위해 대량 초대 프로세스에서 필요합니다. 이는 Azure portal 대량 초대 CSV template의 표준 필수 열이며 “inviteRedeemUrl/redirect URL” 대상이라는 초대 API 개념과도 일치합니다.

오답입니다. username은 B2B 대량 초대에 필요한 매개 변수가 아닙니다. Guest user는 주로 email address로 식별되며, Azure AD는 guest object에 대한 user principal name 세부 정보를 파생하거나 생성할 수 있습니다. 선택적으로 display name을 제공할 수는 있지만, “username”은 필수 대량 초대 매개 변수가 아닙니다.

오답입니다. shared key는 Azure AD B2B collaboration 초대에서 사용되지 않습니다. Shared key는 일반적으로 네트워크 보안 시나리오(예: IPsec pre-shared keys) 또는 특정 앱 secret과 관련이 있으며, Entra tenant에 guest user를 초대하는 것과는 관련이 없습니다.

오답입니다. B2B collaboration 사용자를 초대할 때는 password를 설정하지 않습니다. 외부 사용자는 자신의 identity provider(자신의 Entra tenant, Microsoft account 또는 federated IdP)를 사용하여 인증합니다. Password 기반 프로비저닝은 B2B guest 초대가 아니라 local member account를 만드는 경우에 적용됩니다.

문제 분석

핵심 개념: 이 문제는 Azure AD (Microsoft Entra ID) B2B collaboration 대량 초대를 테스트합니다. Bulk invite는 일반적으로 Azure portal(Bulk invite users) 또는 CSV를 사용하는 Microsoft Graph/PowerShell을 통해 수행됩니다. 목표는 guest user object를 만들고 초대 이메일을 보내 외부 사용자가 이를 수락하고 공유된 앱/리소스에 액세스할 수 있도록 하는 것입니다. 정답이 맞는 이유: 대량 초대가 작동하려면 Azure AD는 (1) 누구를 초대할지와 (2) 초대를 수락한 후 어디로 보낼지를 알아야 합니다. 따라서 CSV(또는 요청 payload)에는 초대받는 사용자의 email address(초대를 전달하고 guest user를 만드는 데 사용되는 ID)와 redirection URL(종종 invite redirect URL이라고 함, 수락 후 이동할 랜딩 페이지를 결정함)이 포함되어야 합니다. portal CSV template에서 이는 “Invited user email address” 및 “Invite redirect URL”과 같은 필드에 매핑됩니다. email address가 없으면 대상 수신자가 없습니다. redirect URL이 없으면 초대 흐름에 정의된 대상이 없으므로 template 요구 사항에 따라 대량 초대 생성이 유효하지 않습니다. 주요 기능 및 모범 사례: B2B 초대는 guest user(UserType=Guest)를 만들며, 선택적으로 display name, custom message, 그리고 수락 후 group/app assignment를 포함할 수 있습니다. 허용되고 적절한 redirect URL(예: MyApps, 앱 URL 또는 특정 랜딩 페이지)을 사용하세요. Well-Architected Framework 관점(Security 및 Operational Excellence)에서 초대 프로세스(CSV template, Graph를 통한 자동화)를 표준화하고 access reviews, entitlement management 및 guest restrictions와 같은 거버넌스 제어가 마련되어 있는지 확인하세요. 일반적인 오해: 많은 사람들은 local account를 만든다고 생각하기 때문에 “username” 또는 “password”가 필요하다고 가정합니다. B2B에서는 외부 사용자가 자신의 identity provider(Microsoft account, 다른 Entra tenant, federated IdP 등)를 사용해 인증하므로 password를 설정하지 않습니다. “Shared key”는 관련이 없습니다(VPN/Wi-Fi 개념에서 더 일반적임). 시험 팁: SC-300에서는 다음을 기억하세요: B2B guest onboarding은 초대 기반입니다. 필수 필드에는 일반적으로 초대받는 사용자의 email과 invite redirect URL이 포함됩니다. Password는 B2B 초대의 일부가 아닙니다. 또한 B2B collaboration(guest)과 B2B direct connect, 그리고 tenant에서 member user를 만드는 것을 구분하세요.

2
문제 2

Microsoft 365 tenant가 있습니다. 모든 사용자에게는 mobile phone과 laptop이 있습니다. 사용자들은 Wi-Fi access 또는 mobile phone connectivity가 없는 remote location에서 자주 작업합니다. Remote location에서 작업하는 동안 사용자는 internet access가 있는 wired network에 laptop을 연결합니다. multi-factor authentication (MFA)을 구현할 계획입니다. 사용자들은 remote location에서 어떤 MFA authentication method를 사용할 수 있습니까?

Microsoft Authenticator app의 verification code가 정답인 이유는 app이 TOTP를 사용하여 offline으로 one-time passcode를 생성할 수 있기 때문입니다. App이 등록된 후에는 code가 device에서 locally 생성되며 Wi-Fi, mobile data 또는 cellular service가 필요하지 않습니다. 이 시나리오에서 사용자는 wired internet connection을 사용하여 laptop에서 sign in하고 phone에 표시된 코드를 입력합니다. 이는 phone에 connectivity가 없는 remote location에서 MFA를 사용해야 한다는 요구 사항을 직접 충족합니다.

Security questions는 이 시나리오에서 Microsoft 365 sign-in에 사용되는 MFA authentication method가 아닙니다. 일반적으로 표준 두 번째 인증 요소라기보다는 self-service password reset 또는 account recovery workflow와 관련이 있습니다. 일부 identity 관련 프로세스에서 사용할 수 있더라도, 여기서 묻는 적절한 MFA method를 의미하지는 않습니다. 따라서 remote location에서 Microsoft 365 MFA access를 위한 요구 사항을 충족하지 않습니다.

Voice가 오답인 이유는 voice 기반 MFA가 사용자의 mobile phone 또는 다른 등록된 phone number로 phone call을 수신해야 하기 때문입니다. 이 시나리오에서 사용자는 mobile phone connectivity가 없는 위치에 있으므로 call이 전달될 수 없습니다. Authenticator verification code와 달리 voice authentication은 실시간 telecom network access에 의존합니다. 따라서 설명된 remote environment에서는 실패합니다.

SMS가 오답인 이유는 text-message 기반 MFA가 verification code를 수신하기 위해 cellular connectivity를 필요로 하기 때문입니다. 시나리오에서는 remote location에 mobile phone connectivity가 없다고 명시되어 있으므로 SMS message는 도착하지 않습니다. Laptop에 wired internet access가 있더라도 phone이 text message를 수신하는 데는 도움이 되지 않습니다. 따라서 이 상황에서 SMS는 MFA method로 신뢰할 수 없습니다.

문제 분석

핵심 개념: 이 문제는 사용자의 phone에 mobile network connectivity나 Wi-Fi가 없지만, laptop은 wired connection을 통해 internet access가 있는 경우 어떤 Microsoft Entra ID / Microsoft 365 MFA method가 작동하는지에 대한 이해를 평가합니다. 핵심은 mobile device로 phone call, text message 또는 실시간 push notification 수신에 의존하지 않는 MFA method를 식별하는 것입니다. 정답인 이유: Microsoft Authenticator app의 verification code는 time-based one-time password (TOTP) 기능을 사용하여 offline으로 생성될 수 있습니다. 이 app은 사용자의 account에 이미 등록된 이후에는 이러한 순환 코드를 표시하기 위해 활성 internet connection이나 mobile signal이 필요하지 않습니다. 이 시나리오에서 사용자는 wired internet connection을 통해 laptop에서 sign in한 다음, phone의 Authenticator app에 표시된 코드를 입력할 수 있습니다. 따라서 phone에 Wi-Fi나 cellular connectivity가 없을 때도 계속 사용할 수 있는 유일한 보기입니다. 주요 기능 / 구성: - Microsoft Authenticator는 TOTP 기반의 offline verification code를 지원합니다. - Offline code generation은 app이 사용자에 대해 등록되고 구성된 후에 작동합니다. - SMS 기반 MFA는 text message를 수신하기 위해 cellular service가 필요합니다. - Voice 기반 MFA는 call을 수신하기 위해 phone connectivity가 필요합니다. - Security questions는 이 맥락에서 Microsoft 365 sign-in에 대한 표준 MFA method가 아닙니다. - Laptop의 internet connectivity는 sign-in transaction에 충분하며, phone은 locally generated code를 표시하기만 하면 됩니다. 일반적인 오해: - 많은 응시자가 Authenticator push notification과 Authenticator verification code를 혼동합니다. Push notification은 connectivity가 필요하지만 verification code는 필요하지 않습니다. - 일부는 laptop에 internet access만 있으면 모든 phone 기반 MFA method가 작동한다고 가정합니다. 이는 잘못된 생각입니다. SMS와 voice는 phone이 message나 call을 수신하는 데 의존하기 때문입니다. - Security questions는 Microsoft 365 sign-in 시나리오에서 유효한 MFA option으로 자주 오해되지만, 여기서는 표준 두 번째 인증 요소로 사용되지 않습니다. - 응시자는 method가 locally generated code를 기반으로 하는 경우 phone을 offline 상태에서도 계속 사용할 수 있다는 점을 간과할 수 있습니다. 시험 팁: - online MFA method와 offline 사용이 가능한 MFA method를 구분하십시오. - Microsoft Authenticator verification code는 phone connectivity 없이도 작동할 수 있습니다. - SMS와 voice는 항상 phone이 network를 통해 무언가를 수신해야 합니다. - Push notification 승인과 app의 code 입력은 다릅니다. - 문제에서 phone에 Wi-Fi나 mobile signal이 없다고 언급하면, offline TOTP code generation을 떠올리십시오.

3
문제 3

귀사에는 Microsoft 365 tenant가 있습니다. 회사에는 300명의 사용자가 있는 call center가 있습니다. call center에서는 사용자들이 desktop computer를 공유하며, 매일 다른 computer를 사용할 수 있습니다. call center computer는 biometric identification용으로 구성되어 있지 않습니다. 사용자들은 call center 내에서 mobile phone을 소지하는 것이 금지되어 있습니다. 사용자들이 Microsoft 365 서비스에 액세스할 때 call center 사용자에게 multi-factor authentication (MFA)을 요구해야 합니다. 해결 방법에 무엇을 포함해야 합니까?

named network location은 IP 기반 Conditional Access condition(trusted location)으로, network를 포함/제외하거나 corporate ranges에서 MFA를 우회하는 데 사용됩니다. 이것만으로는 MFA를 제공하지 않으며 “MFA 요구”라는 요구 사항을 충족할 수 없습니다. prompts를 줄이거나 call center network로 액세스를 제한하는 데는 유용하지만, MFA challenge를 완료하려면 여전히 실제 MFA method(예: FIDO2)가 필요합니다.

Microsoft Authenticator는 일반적인 MFA method(push notifications, OTP, passwordless)이지만 mobile phone이 필요합니다. 이 시나리오에서는 call center 내에서 mobile phone이 명시적으로 금지되어 있으므로 이 옵션은 실행 불가능합니다. 사용자가 call center 밖에서 phone을 가지고 있더라도, 근무 중에는 MFA를 완료할 수 없어 lockout 및 운영 문제로 이어질 수 있습니다.

Windows Hello for Business는 특정 device에 연결된 강력한 authentication method이며, 일반적으로 TPM keys로 보호되는 biometrics 또는 device PIN을 사용합니다. 사용자가 매일 computer를 바꾸는 shared-desktop 환경에서, 그리고 PC가 biometrics용으로 구성되어 있지 않은 경우 WHfB는 실용적이지 않습니다. 또한 일반적으로 각 device에서 device enrollment와 사용자별 provisioning이 필요하므로, 300명의 순환 사용자가 있는 환경에서는 운영 부담이 큽니다.

FIDO2 tokens (security keys)는 shared workstation 및 제한된 환경에 이상적입니다. phone이나 biometrics 없이 phishing-resistant MFA를 제공하며, 사용자는 key를 삽입하고 PIN/touch를 사용하여 어떤 호환 computer에서든 인증할 수 있습니다. 이는 Microsoft Entra ID authentication methods와 통합되며 Microsoft 365 액세스에 대해 Conditional Access를 통해 강제할 수 있으므로, 요구 사항을 안정적으로 충족합니다.

문제 분석

핵심 개념: 이 문제는 엄격한 환경 제약 조건에서 작동하고 Microsoft Entra ID (Azure AD) authentication methods 및 Conditional Access와 일치하는 MFA 방법을 선택하는지를 평가합니다. 이 시나리오는 shared-device call center이며, biometrics도 없고 mobile phone도 사용할 수 없지만, Microsoft 365에 대해 MFA가 필요합니다. 정답인 이유: FIDO2 security keys (tokens)는 phone이나 특정 PC가 없어도 강력하고 phishing-resistant한 MFA를 제공합니다. 각 사용자는 hardware key를 소지하고 어떤 shared desktop에서든(키와 device에 따라 USB-A/USB-C/NFC) 이를 연결하여 PIN 또는 touch를 사용해 MFA를 완료할 수 있습니다. 이는 사용자가 매일 computer를 바꿔 사용하는 call center 모델에 적합하며 mobile device도 필요하지 않습니다. 또한 biometrics(사용할 수 없음)를 피하면서도 modern하고 high-assurance factor를 제공합니다. 주요 기능 / 구성 포인트: - Microsoft Entra ID에서 FIDO2 security key authentication method를 활성화합니다. - 사용자별로 key를 등록합니다(self-service registration 또는 assisted enrollment). - Microsoft 365 cloud apps에 액세스할 때 call center 사용자 그룹에 대해 MFA를 요구하도록 Conditional Access를 사용합니다. - token theft 및 MFA fatigue attacks를 줄이기 위해 phishing-resistant authentication(종종 CA authentication strength policy)을 선호합니다. - 운영 측면에서는 spare key와 안전한 issuance/revocation process를 유지합니다(identity governance best practice). 일반적인 오해: named network location은 MFA method가 아닙니다. 이는 IP ranges를 기준으로 액세스를 신뢰하거나 제한하는 데 사용되는 Conditional Access signal입니다. MFA prompts를 줄일 수는 있지만(예: trusted networks에서 MFA 우회), 그 자체로 “MFA 요구”를 충족할 수는 없습니다. Microsoft Authenticator는 mobile device가 필요하지만, 이 시나리오에서는 mobile phone이 금지되어 있습니다. Windows Hello for Business는 일반적으로 device-bound keys에 의존하며, 흔히 biometrics 또는 특정 enrolled device의 PIN을 사용합니다. 따라서 biometric 구성이 없는 shared desktop을 여러 사용자가 돌아가며 사용하는 환경에는 적합하지 않습니다. 시험 팁: “no phones”와 “shared PCs”가 보이면 FIDO2와 같은 hardware-based methods를 떠올리십시오. 또한 “signals/conditions”(named locations)와 “authentication methods”(Authenticator, WHfB, FIDO2)를 구분하십시오. Microsoft 365 액세스의 경우 enforcement mechanism은 일반적으로 Conditional Access이지만, 이 문제는 제약 조건하에서 MFA를 충족하기 위해 무엇을 포함해야 하는지를 묻고 있으므로 실행 가능한 factor를 선택해야 합니다.

4
문제 4

귀사는 최근 Azure Active Directory (Azure AD) Privileged Identity Management (PIM)을 구현했습니다. PIM의 역할을 검토하는 동안, 회사 IT 부서의 15명 모든 사용자가 영구적인 Security administrator 권한을 가지고 있다는 것을 발견했습니다. IT 부서 사용자가 필요할 때만 Security administrator 역할에 액세스할 수 있도록 해야 합니다. Security administrator 역할 할당에 대해 무엇을 구성해야 합니까?

Expiring eligible assignments는 사용자가 Eligible 상태로 유지되는 기간(예: 30일 동안 eligible)을 제한하지만, 그 자체만으로는 영구적인 active 권한이라는 핵심 문제를 해결하지 못합니다. 만료가 있더라도 사용자는 eligible 상태인 동안에는 여전히 언제든지 활성화할 수 있습니다. 핵심 요구 사항은 Active를 Eligible로 변경하여 상시 액세스를 제거하는 것이며, expiration은 선택적인 거버넌스 강화 요소일 뿐 주요 해결책은 아닙니다.

Expiring active assignments는 설정된 기간 후 영구 액세스를 제거하겠지만, 만료 날짜 전까지는 사용자가 계속해서 Security Administrator 권한을 가집니다. 이는 active 기간 동안 상시 액세스를 허용하므로 “필요할 때만”이라는 요구 사항을 충족하지 못합니다. JIT 액세스를 위한 PIM의 의도된 제어는 사용자를 Eligible로 만들고 time-bound elevation을 위해 activation을 요구하는 것입니다.

Assignment type을 Active로 설정하는 것은 요구 사항과 정반대입니다. Active 할당은 activation 없이 즉시 지속적인 역할 권한을 부여하므로 사실상 영구적인 admin 액세스(상시 privileged 권한)입니다. 이는 위험을 증가시키고 least privilege 원칙을 위반합니다. Active는 일반 IT 직원이 아니라 break-glass 계정이나 엄격하게 통제되는 서비스 시나리오에 일반적으로 예약됩니다.

Assignment type을 Eligible로 설정하는 것이 사용자가 역할을 명시적으로 활성화할 때만 Security Administrator 권한을 얻도록 보장하는 올바른 구성입니다. Eligible 할당은 MFA, approval, justification, ticketing 및 제한된 activation duration과 같은 구성 가능한 보호 장치를 갖춘 JIT elevation을 지원합니다. 이는 least privilege를 직접적으로 적용하고 상시 administrative 액세스를 줄입니다.

문제 분석

핵심 개념: 이 문제는 Azure AD Privileged Identity Management (PIM) 역할 할당 유형과 just-in-time (JIT) privileged access를 강제하는 방법을 테스트합니다. PIM은 Azure AD 역할에 대해 두 가지 주요 할당 유형을 지원합니다: Active(영구적인 상시 액세스)와 Eligible(활성화될 때까지 상시 액세스 없음). 이는 Zero Trust 및 Azure Well-Architected Framework의 보안 원칙(least privilege, blast radius 감소, 상시 privileged 권한 최소화)과 일치합니다. 정답인 이유: 문제에서는 IT 사용자 15명 모두가 영구적인 Security Administrator 권한을 가지고 있다고 했습니다. 필요할 때만 액세스할 수 있도록 하려면 상시 액세스를 제거하고 필요할 때만 역할을 활성화하도록 해야 합니다. PIM에서는 역할 할당 유형을 Eligible로 설정하여 이를 수행합니다. Eligible 사용자는 제한된 기간 동안 역할을 활성화할 때까지 해당 역할의 권한을 가지지 않습니다(MFA, justification, ticket number 및/또는 approval 요구 가능). 이는 “필요할 때만 액세스”라는 요구 사항을 직접적으로 충족합니다. 주요 기능 및 모범 사례: Eligible 할당을 사용하면 다음과 같은 역할 설정을 구성할 수 있습니다: - Activation duration(time-bound elevation) - 활성화 시 MFA 요구 - justification 및/또는 ticketing integration 요구 - approval 요구(예: 보안 책임자) - 알림 및 감사 이러한 제어는 위험을 줄이고 추적 가능성을 제공합니다. 실제 운영 환경에서 Security Administrator는 매우 민감한 역할입니다(보안 정책, 경고 및 구성을 관리할 수 있음). 따라서 JIT elevation은 표준 거버넌스 제어입니다. 일반적인 오해: 많은 사람이 “할당 만료”와 “JIT 액세스”를 혼동합니다. 만료 설정은 할당이 존재하는 기간을 제한할 수 있지만, Active 할당은 만료될 때까지 계속해서 권한을 부여합니다. 요구 사항은 “몇 주/몇 달 동안의 임시 할당”이 아니라 “필요할 때만”이며, 이는 Eligible + activation으로 달성됩니다. 시험 팁: SC-300에서는 다음을 기억하세요: Active = 상시 privileged 권한, Eligible = activation을 통한 JIT. 문제에서 “영구적인 admin 권한”이 언급되고 “필요할 때만”을 원한다면, 올바른 조치는 Eligible로 전환한 다음 role settings에서 activation 요구 사항(MFA/approval/duration)을 조정하는 것입니다.

5
문제 5

참고: 이 문제는 동일한 시나리오를 제시하는 일련의 문제 중 일부입니다. 시리즈의 각 문제에는 제시된 목표를 충족할 수 있는 고유한 솔루션이 포함되어 있습니다. 일부 문제 세트에는 둘 이상의 올바른 솔루션이 있을 수 있지만, 다른 문제 세트에는 올바른 솔루션이 없을 수도 있습니다. 이 섹션의 문제에 답한 후에는 해당 문제로 돌아갈 수 없습니다. 따라서 이러한 문제는 검토 화면에 표시되지 않습니다. Microsoft 365 테넌트가 있습니다. 10개 부서로 구성된 100명의 IT 관리자가 있습니다. 전시된 access review를 생성합니다. (Exhibit 탭을 클릭하세요.)

모든 access review 요청이 Megan Bowen에게 전달되는 것을 발견했습니다. 각 부서의 관리자가 해당 부서의 access review를 받도록 해야 합니다. 해결 방법: Reviewers를 Member (self)로 설정합니다. 이것이 목표를 충족합니까?

파트 1:

아래 이미지에서 올바른 답을 선택하세요.

question-image

오답입니다. Reviewers를 Member (self)로 설정하면 각 IT administrator가 자신의 액세스를 직접 검토하게 됩니다 (self-attestation). 이는 각 부서의 manager가 해당 부서 사용자에 대한 access review를 받아 수행하도록 보장하지 않습니다. 요구 사항은 부서별로 명시적으로 manager 기반 라우팅입니다. 현재 모든 요청이 Megan Bowen에게 가는 이유는 그녀가 fallback reviewer로 구성되어 있기 때문입니다. fallback reviewer는 Entra ID가 검토 대상 사용자에 대해 유효한 manager를 확인할 수 없을 때 review task를 받습니다 (예: 해당 사용자의 Manager attribute가 설정되지 않은 경우). 목표를 충족하려면 Reviewers를 Manager로 유지하고 각 admin account에 올바른 manager가 Entra ID에 채워져 있도록 해야 합니다 (그리고 선택적으로 department group별로 review 범위를 지정할 수 있습니다). self-review는 다른 governance control이며, 부서별 manager 요구 사항을 충족하지 않습니다.

이동 중에도 모든 문제를 풀고 싶으신가요?

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

6
문제 6

다음 표에 표시된 그룹이 포함된 Azure Active Directory (Azure AD) tenant가 있습니다.

diagram

어떤 그룹에 대해 access review를 만들 수 있습니까?

오답입니다. Group1 (Security, Assigned)은 대상이 맞지만, Group4 (Microsoft 365, Assigned)도 access review 대상입니다. 이 문제에는 Security group과 Microsoft 365 group이 모두 포함되며, 핵심 요구 사항은 assigned membership입니다. Group1만 선택하면 assigned membership이 있는 Microsoft 365 group도 검토할 수 있다는 점을 놓치게 됩니다.

정답입니다. Access review는 assigned membership이 있는 그룹에 대해 지원되며, 여기에는 Security group과 Microsoft 365 group이 모두 포함됩니다. Group1과 Group4는 assigned입니다. Group2, Group3 및 Group5는 dynamic membership group(dynamic user/device)이므로 access review에 지원되지 않습니다. 멤버십이 규칙 기반이어서 멤버별로 효과적으로 승인/거부할 수 없기 때문입니다.

오답입니다. Group1 및 Group2에는 dynamic user Security group(Group2)이 포함됩니다. Dynamic membership group은 멤버십이 자동으로 계산되며 review 결정이 덮어써지므로 access review 대상이 아닙니다. 올바른 집합은 dynamic group을 제외하고 Group4와 같은 대상이 되는 assigned Microsoft 365 group을 포함해야 합니다.

오답입니다. 이 선택지에는 Group2와 Group5가 포함되어 있는데, 둘 다 dynamic user group이므로 access review 대상이 아닙니다. Group1과 Group4(assigned membership)를 올바르게 포함하고는 있지만, dynamic group을 추가했기 때문에 오답입니다. Dynamic device group(Group3)도 같은 이유로 대상이 아닙니다.

오답입니다. 이 선택지는 모든 그룹을 검토할 수 있다고 가정하지만, access review는 dynamic membership group(dynamic user 또는 dynamic device)에는 적용되지 않습니다. Group2, Group3 및 Group5는 dynamic이므로 제외됩니다. Assigned membership group(Group1 및 Group4)만 해당됩니다.

문제 분석

핵심 개념: 이 문제는 Azure AD (Microsoft Entra ID) Identity Governance, 특히 Access Reviews를 테스트합니다. Access review는 그룹 멤버십과 액세스 할당이 시간이 지나도 적절하게 유지되도록 보장하여 Azure Well-Architected Framework의 보안 원칙(영향 범위 최소화, 지속적인 검증)에 부합하도록 돕습니다. 정답인 이유: Access review는 다음에 대해 만들 수 있습니다. 1) assigned membership이 있는 Security group, 그리고 2) assigned membership이 있는 Microsoft 365 group. Dynamic membership group(dynamic user 또는 dynamic device)에는 지원되지 않습니다. 멤버십이 규칙에 따라 자동으로 계산되기 때문에 reviewer가 개별 멤버를 의미 있게 승인/거부할 수 없으며, 시스템이 규칙에 따라 다시 추가/제거하기 때문입니다. 따라서 표에서: - Group1 (Security, Assigned)은 access review를 지원합니다. - Group4 (Microsoft 365, Assigned)은 access review를 지원합니다. - Group2 (Security, Dynamic User)는 지원하지 않습니다. - Group3 (Security, Dynamic Device)는 지원하지 않습니다. - Group5 (Microsoft 365, Dynamic User)는 지원하지 않습니다. 따라서 Group1 및 Group4만 해당합니다. 주요 기능 / 모범 사례: Access review는 reviewer(group owner, 선택된 사용자 또는 self-review), recurrence, 결과 자동 적용, 비응답자에 대한 작업으로 구성할 수 있습니다. 일반적으로 시나리오에 따라 Microsoft Entra ID Governance/ID P2 기능이 필요합니다. 상시 액세스를 줄이기 위해 privileged group, 애플리케이션 할당 및 guest access에 대해 access review를 사용하세요. Dynamic group의 경우 멤버를 검토하는 대신 규칙 자체(change control, 승인, 모니터링)를 관리해야 합니다. 일반적인 오해: 흔한 함정은 “모든 그룹”을 검토할 수 있다고 가정하는 것입니다. Dynamic group은 디렉터리에서 일반 그룹처럼 보이지만 멤버십이 수동으로 관리되지 않으므로 access review가 적용되지 않습니다. 또 다른 오해는 Microsoft 365 group이 다르게 동작한다고 생각하는 것입니다. 핵심 요소는 그룹이 Security인지 Microsoft 365인지가 아니라 멤버십 유형(Assigned vs Dynamic)입니다. 시험 팁: Access Reviews가 보이면 즉시 개체 유형과 멤버십이 assigned인지 dynamic인지 확인하세요. Dynamic이면 제외하세요. 또한 access review는 광범위하게 적용되지만(groups, apps, roles) 각각 적용 가능 조건이 있다는 점도 기억하세요. “dynamic” 및 “device”라는 표현은 흔한 오답 유도 요소입니다.

7
문제 7

HOTSPOT - 사용자 ID가 손상되었을 확률에 대한 기술 요구 사항을 충족해야 합니다. 사용자는 먼저 무엇을 해야 하며, 무엇을 구성해야 합니까? 답하려면 답안 영역에서 적절한 옵션을 선택하세요. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

사용자는 먼저 다음을 수행해야 합니다: ______

정답: C (self-service password reset (SSPR)에 등록). 목표가 ID가 손상되었을 가능성(user risk)을 해결하는 것이라면, 일반적인 자동 수정 조치는 암호 변경을 강제하는 것입니다. Microsoft Entra ID에서 user risk policy는 user risk가 감지되면 “password change”를 요구할 수 있습니다. 사용자가 helpdesk/admin의 개입 없이 해당 암호 변경을 완료하려면 SSPR에 등록되어 있어야 합니다(SSPR에 필요한 authentication methods 포함). 이것이 policy 결과를 가능하게 하는 실질적인 전제 조건입니다. B가 아닌 이유: MFA 등록은 risky sign-ins를 완화하고 authentication을 강화하는 데 도움이 되지만, 그 자체만으로는 손상된 ID에 대한 “require password change” 수정 흐름을 가능하게 하지는 않습니다. A가 아닌 이유: App consent는 Identity Protection risk remediation과 관련이 없으며 손상된 ID 가능성을 해결하지도 않습니다.

파트 2:

다음을 구성해야 합니다: ______

정답: B (user risk policy). Identity Protection의 user risk policy는 사용자 계정이 손상되었을 가능성(user risk)을 대상으로 합니다. 구성된 임계값(low/medium/high)에 user risk 수준이 도달하면 안전한 암호 변경을 요구하고(및/또는 액세스를 차단하여) 자동으로 수정 조치를 수행할 수 있습니다. 이는 사용자 ID가 손상되었을 확률에 대한 요구 사항과 직접적으로 일치합니다. A가 아닌 이유: sign-in risk policy는 개별 sign-in 시도(session/authentication events)를 평가합니다. 이는 위험한 sign-in에 대응하려는 경우(예: MFA 요구 또는 sign-in 차단)에 사용되며, 계정 자체가 손상된 것으로 의심되는 경우에 사용하는 것은 아닙니다. C가 아닌 이유: Azure AD Password Protection은 약한 암호를 금지하고 암호 복잡성을 적용하는 것(사용자 지정 금지 암호 목록 포함)에 중점을 둡니다. 이는 암호 위생을 개선하지만, 손상된 ID에 대한 risk 기반 탐지/수정 기능을 구현하지는 않습니다.

8
문제 8

Azure Active Directory (Azure AD) tenant가 있습니다. 다음 설정이 있는 HR Apps라는 enterprise application collection을 만듭니다: ✑ Applications: App1, App2, App3 ✑ Owners: Admin1 ✑ Users and groups: HRUsers 세 개의 앱 모두에 다음 Properties 설정이 있습니다: ✑ Enabled for users to sign in: Yes ✑ User assignment required: Yes

사용자에게 표시: Yes -

사용자들은 My Apps portal로 이동하면 App1 및 App2만 보인다고 보고합니다. 사용자들이 App3도 볼 수 있도록 해야 합니다. App3에서 무엇을 해야 합니까?

파트 1:

Azure AD 라이선스는 Users 그룹에 할당되어야 합니다.

아니요. Azure AD (Entra ID) 라이선스를 Users 그룹에 할당하는 것은 enterprise application이 My Apps portal에 표시되도록 하는 데 필요하지 않습니다. My Apps 표시 여부는 enterprise application의 할당(Users and groups)과 application 속성인 “Visible to users”에 의해 제어되며, 특히 “User assignment required”가 Yes로 설정된 경우에 그렇습니다. Group-based licensing은 제품 기능(예: Conditional Access, Identity Protection, PIM 등과 같은 Entra ID P1/P2 기능)을 부여하는 데 사용됩니다. 특정 보안 기능을 사용하기 위해 라이선스가 필요할 수는 있지만, 그것만으로 My Apps에 app tile을 게시하지는 않습니다. 사용자가 이미 App1과 App2를 볼 수 있다면, 라이선스는 기본적인 My Apps 액세스의 차별 요소가 아님이 분명합니다. 올바른 해결 방법은 라이선스를 변경하는 것이 아니라 HRUsers가 App3에 할당되어 있는지(또는 App3에 동등한 할당이 있는지) 확인하는 것입니다.

파트 2:

contoso.com의 device settings는 Members 그룹만 devices를 join할 수 있도록 구성되어야 합니다.

아니요. 특정 그룹(Members)만 devices를 join할 수 있도록 device settings를 구성하는 것은 Azure AD device registration/join(누가 Azure AD에 devices를 join할 수 있는지)에 영향을 주며, enterprise application이 My Apps portal에 표시되는지 여부에는 영향을 주지 않습니다. My Apps는 application access experience입니다. 설명된 문제는 users가 App3를 보지 못한다는 것이며, 이는 거의 항상 App3에 대한 assignment가 누락되었거나(“User assignment required: Yes”가 주어진 경우) App3가 users에게 표시되지 않기 때문입니다. Device join restrictions는 tenant-wide device governance controls이며, app tile visibility 문제에 대해서는 범위가 잘못된 변경입니다. 시험 관점에서는 증상이 하나의 enterprise application에만 국한되어 있을 때 “broad tenant setting” 변경을 피해야 합니다. 최소 권한의 올바른 범위 remediation은 App3의 enterprise application assignments/visibility를 조정하는 것입니다.

파트 3:

Users 그룹에는 Cloud device administrator 역할이 할당되어야 합니다.

아니요. Users 그룹에 Cloud device administrator 역할을 할당하는 것은 App3의 My Apps portal 표시 여부와 관련이 없습니다. Cloud device administrator 역할은 Entra ID에서 device object를 관리할 수 있는 권한(예: device 활성화/비활성화, 일부 통합 컨텍스트에 따라 BitLocker key 관리)을 제공하며, enterprise application 할당이나 user portal tile을 관리하기 위한 것이 아닙니다. “User assignment required”가 활성화되어 있을 때 App3가 표시되도록 하려면, 사용자(또는 사용자가 속한 그룹, 예: HRUsers)를 Enterprise applications > App3 > Users and groups에서 App3에 할당해야 합니다. 또는 앱이 모든 사용자를 대상으로 하는 경우 “User assignment required”를 비활성화할 수 있지만, 이는 access control posture를 변경하는 것이며 일반적으로 적절한 경우가 아니라면 권장되지 않습니다. 따라서 device admin 역할을 추가하는 것은 근본 원인을 해결하지 못하며, 불필요한 administrative 권한을 부여하여 least privilege 원칙을 위반하게 됩니다.

9
문제 9

HOTSPOT - 다음 그룹이 포함된 Azure Active Directory (Azure AD) tenant가 있습니다: ✑ 이름: Group1 ✑ 멤버: User1, User2 ✑ 소유자: User3 2021년 1월 15일에 전시와 같이 access review를 만듭니다. (Exhibit 탭을 클릭하세요.)

사용자는 다음 표와 같이 Review1 질문에 답변합니다.

다음 각 문장에 대해 문장이 참이면 Yes를 선택하세요. 그렇지 않으면 No를 선택하세요. 참고: 각 정답 선택에는 1점이 부여됩니다. Hot Area:

파트 1:

아래 이미지에서 정답을 선택하세요.

question-image

표시된 access review 설정으로부터 올바른 접근 방식을 판단할 수 있으므로 A (Pass)를 선택합니다. 제시된 자료에는 핵심 매개변수가 제공됩니다: 시작 날짜 (01/15/2021), 빈도 (Monthly), 기간 (14일), 종료 날짜 (02/15/2021), 범위 (Group1 members), 검토자 (Members/self). 이를 통해 누가 응답할 수 있는지(멤버이므로 User1 및 User2만 가능)와 언제 응답이 허용되는지(활성 review 기간 동안)를 추론할 수 있습니다. B (Fail) 옵션은 핵심 정보가 누락된 경우에만 적용됩니다(예: reviewer 유형이나 기간이 표시되지 않은 경우). 여기서는 SC-300에서 평가하는 표준 Access Reviews 동작을 사용하여 모든 하위 질문에 답할 수 있을 만큼 구성이 충분합니다.

파트 2:

User1: Group1에 대한 액세스가 여전히 필요합니까?

User1은 Group1의 멤버이며 액세스 검토는 Reviewers = “Members (self)”로 구성되어 있습니다. 이는 User1이 자신의 액세스에 대한 reviewer로 명시적으로 지정되어 있으며 “Group1에 대한 액세스가 여전히 필요합니까?”라는 프롬프트에 응답할 수 있음을 의미합니다. 문제의 표에는 “Users answer the Review1 question as shown…”라고 나와 있습니다. User1의 경우 기록된 응답은 “Yes”입니다. 따라서 User1의 답변에 대한 올바른 선택은 Yes입니다. 왜 No가 아닌가: 시나리오 어디에도 User1이 No를 선택했다는 내용이 없으며, 자동 의사결정(예: “auto-apply results” 또는 “if no response remove access”)에 대한 설명도 없습니다. 이 하위 문제는 단순히 표에 제공된 사용자의 응답을 반영하라고 묻고 있습니다.

파트 3:

User2: 아직도 Group1에 대한 액세스가 필요합니까?

User2도 Group1의 멤버이며, 검토자로 “Members (self)”가 구성되어 있으므로 User2는 자신에 대해 응답할 수 있습니다. 문제에서는 사용자가 표에 표시된 대로 응답했다고 명시하며, User2의 기록된 응답은 “아니요”입니다. 따라서 “User2: 아직도 Group1에 대한 액세스가 필요합니까?”에 대한 올바른 선택은 아니요입니다. 왜 예가 아닌가: access review는 기본적으로 “예”를 추론하지 않습니다. 여기서 테스트되는 것은 사용자의 명시적 응답입니다. 또한 제공된 설정 어디에도 auto-approval rule을 나타내는 내용이 없습니다. access review에서는 각 reviewer의 결정이 각 user별, 각 review instance별로 기록되며, 이 시험은 일반적으로 시나리오에 명시된 응답을 올바른 옵션에 매핑할 수 있는지 확인합니다.

파트 4:

2021년 2월 5일에 User1은 Review1 질문에 다시 답변할 수 있습니다.

아니요. 첫 번째 review instance는 2021/01/15에 시작하고 기간이 14일이므로, 대략 2021/01/29까지 활성 상태입니다. 2021년 2월 5일은 그 활성 기간 밖입니다. 두 번째 instance가 있을 수 있을까요? monthly frequency인 경우, 다음 instance는 2021/02/15에 시작합니다(2021/01/15로부터 한 달 후). 2월 5일은 여전히 2월 15일 이전이므로, 2021/02/05에는 활성 review instance가 없습니다. 또한, access review 응답은 활성 instance에 연결되며, 사용자는 instance가 열려 있는 동안에만 답변할 수 있습니다. 2021/02/05는 instance 사이의 기간이므로(첫 번째가 종료된 후이고 다음이 시작되기 전), User1은 그 날짜에 Review1 질문에 다시 답변할 수 없습니다.

파트 5:

2021년 1월 25일에 User2는 Review1 질문에 다시 답변할 수 있습니다.

예. access review는 2021년 1월 15일에 시작하여 14일 동안 열려 있으므로, 1월 25일은 활성 review 기간 내에 해당합니다. 또한 reviewer가 "Members (self)"로 구성되어 있으므로, User2는 해당 열린 기간 동안 자신의 access를 review할 수 있습니다. review가 활성 상태인 동안 reviewer는 자신의 응답을 다시 확인하고 변경할 수 있으므로, User2는 1월 25일에 Review1 질문에 다시 답변할 수 있습니다. 아니요는 올바르지 않습니다. review가 아직 종료되지 않았고, User2는 자격이 있는 reviewer이기 때문입니다.

파트 6:

2021년 1월 22일에 User3는 Review1 질문에 답변할 수 있습니다.

아니요. User3는 Group1의 owner이지만 member는 아닙니다(member는 User1과 User2뿐입니다). access review는 Reviewers = “Members (self)”로 구성되어 있으며, 이는 검토 대상인 사용자들(그룹 member들)만 reviewer라는 의미입니다. 그룹 ownership은 reviewer 유형에 owner가 포함되지 않는 한(예: “Group owners”) 또는 User3가 검토 대상 집합에도 포함되지 않는 한(Group1의 member인 경우) access review에 참여할 수 있는 권한을 부여하지 않습니다. 어느 쪽도 해당하지 않으므로, User3는 reviewer가 아니며 이 구성에서는 2021년 1월 22일(또는 어떤 날짜에도) Review1 질문에 답변할 수 없습니다. 이것은 흔한 시험 함정입니다. 그룹 owner의 관리 권한과 access review의 reviewer 할당을 혼동하는 것입니다. access review는 구성된 reviewer 선택을 엄격하게 따릅니다.

10
문제 10

다음 표에 표시된 개체를 포함하는 Azure Active Directory (Azure AD) 테넌트가 있습니다.

diagram

Azure AD role에 대해 Azure AD Privileged Identity Management (PIM)에서 eligible로 추가할 수 있는 개체는 무엇입니까?

오답입니다. Identity1(managed identity)이 포함되어 있기 때문입니다. Managed identity는 service principal(workload identity)이며, PIM에서 Azure AD 디렉터리 role에 대한 eligible 할당 대상으로 지원되지 않습니다. User1과 Guest1은 eligible일 수 있지만, Identity1이 포함되면 이 선택지는 틀립니다.

정답입니다. User1(member user)은 PIM에서 Azure AD role에 대해 eligible로 할당될 수 있습니다. Guest1도 Azure AD role을 할당받을 수 있으며(테넌트 구성 및 role 제한에 따라) eligible로 만들 수 있습니다. Identity1은 managed identity/service principal이므로 Azure AD role PIM 할당의 eligible 대상이 아닙니다.

오답입니다. Guest1이 제외되어 있기 때문입니다. Guest user도 Azure AD role을 할당받을 수 있으며, 테넌트 설정에서 허용되는 경우 PIM을 통해 관리될 수 있습니다(예: 파트너/관리자 시나리오). 따라서 member user만으로 제한되지 않습니다.

오답입니다. Identity1이 포함되어 있기 때문입니다. Managed identity는 다른 방식(app permission, 일부 컨텍스트의 Azure RBAC)으로 권한을 받을 수는 있지만, PIM에서 Azure AD 디렉터리 role에 대한 eligible principal로는 지원되지 않습니다. 또한 Guest1도 잘못 제외되었습니다.

문제 분석

핵심 개념: 이 문제는 Azure AD role(디렉터리 role)에 대한 Azure AD Privileged Identity Management (PIM)와, 어떤 ID 유형을 해당 role에 대해 “eligible”(just-in-time)로 만들 수 있는지를 테스트합니다. PIM은 Microsoft Entra ID Governance의 일부이며, 활성화, 승인, MFA 및 시간 제한 elevation을 요구하여 상시 권한을 줄이는 데 사용됩니다. 정답인 이유: Azure AD role의 경우, PIM은 디렉터리 role 할당을 보유할 수 있는 security principal에 대해 eligible 할당을 지원합니다. 표준 member user(User1)는 eligible로 만들 수 있습니다. Guest user(Guest1)도 Azure AD role을 할당받을 수 있으므로(테넌트 설정 및 role 제한에 따름) PIM에서 eligible로 만들 수 있습니다. 반면 managed identity(Identity1)는 service principal로 표현되는 workload identity입니다. Service principal/managed identity는 Azure AD role에 대한 PIM의 eligible 할당 대상으로 지원되지 않습니다. Azure AD role용 PIM은 workload identity가 아니라 사람 관리자(user, guest 포함)를 위해 설계되었습니다. 주요 기능 / 모범 사례: PIM eligible 할당은 시간 제한 activation, MFA/justification 요구 사항, 승인 워크플로 및 access review를 가능하게 하며, 이는 Azure Well-Architected Framework의 보안 원칙(최소 권한, JIT access, 강력한 인증)에 부합합니다. Workload identity의 경우, PIM eligible을 Azure AD role에 사용하려고 하기보다 app permission, Microsoft Graph application role, Azure RBAC(지원되는 경우) 또는 workload identity governance 패턴을 사용해야 합니다. 일반적인 오해: 자주 나오는 함정은 “Entra ID의 모든 ID”(managed identity/service principal 포함)를 디렉터리 role에 대해 eligible로 만들 수 있다고 가정하는 것입니다. Service principal은 특정 권한을 부여받을 수 있고 일부 시나리오에서는 Azure RBAC와 함께 사용할 수 있지만, PIM eligible을 통한 Azure AD 디렉터리 role은 사람이 아닌 principal을 대상으로 하지 않습니다. 시험 팁: 경계를 기억하세요. Azure AD role(디렉터리 role)에 대한 PIM은 주로 user(member 및 guest)를 위한 것입니다. Managed identity는 service principal이며, PIM eligible 디렉터리 role 할당이 아니라 workload identity 제어(app permission, certificate/secret, 해당되는 경우 workload identity용 Conditional Access)를 통해 처리됩니다. PIM-for-Azure-AD-roles 문제에서 “managed identity”가 보이면, 일반적으로 eligible로 만들 수 없는 항목입니다.

다른 모의고사

Practice Test #1

50 문제·100분·합격 700/1000

Practice Test #2

50 문제·100분·합격 700/1000
← 모든 Microsoft SC-300 문제 보기

지금 학습 시작하기

Cloud Pass를 다운로드하고 모든 Microsoft SC-300 기출 문제를 풀어보세요.

Get it on Google PlayDownload on the App Store
Cloud PassCloud Pass

IT 자격증 문제풀이 앱

Get it on Google PlayDownload on the App Store

자격증

AWSGCPMicrosoftCiscoCompTIADatabricks

법률

FAQ개인정보 처리방침서비스 약관

회사

문의하기계정 삭제

© Copyright 2026 Cloud Pass, All rights reserved.

이동 중에도 모든 문제를 풀고 싶으신가요?

앱 받기

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.