AZ-104考題練習_管理 Azure 身分識別和治理 (20-25%)_管理 Microsoft Entra ID使用者和群組_SSPR

 

Q1.

先針對User1資訊來逐Group比對

Group1 → 條件：city 以 "m" 開頭，Montreal → 符合。

Group2 → 條件：department 不在 ["human resources"]

User1 部門是 Human resources → 不符合

Group3 → 是 Assigned 群組，沒有動態規則。

但題目沒有說誰被指定 → 預設沒被指定，不加入。

結論:User1 只屬於 Group1

針對User2資訊來逐Group比對

Group1 → 條件：city 以 "m" 開頭，Melbourne →  符合

Group2 → 條件：部門 不是 human resources

User2 部門是 Marketing →  符合

Group3 → 同上，Assigned 群組，沒說被指定 → 不加入

結論: User2 屬於 Group1 和 Group2

Q2.涉及混合部署的 Azure AD

關於能否從 Azure AD 修改用戶的 JobTitle 和 UsageLocation 屬性。
通常，只有純雲端用戶（來源為 Azure AD）能在 Azure AD 中修改屬性，而某些來自 Microsoft 帳戶的來賓用戶也可能能修改些許屬性。對於來自 Windows Server AD 的同步用戶，必須通過 Azure AD Connect，同步許多屬性，無法直接修改。

在混合部署中，某些屬性只能在本地環境修改並同步至 Azure AD。

例如，JobTitle 和 UsageLocation 屬性可能只在本地環境中可處理，而對於來賓用戶（來自 Microsoft 帳戶），它們可在 Azure AD 中修改，因為是外部屬性。

目前來賓使用者的 UsageLocation 是否被限制為必須設置進行許可指派還不確定，但 JobTitle 和 UsageLocation 應該可以為雲端用戶和來賓設定。

結論:

JobTitle:User1 and User3 only

只有「雲端使用者 (Source = Azure AD)」與「來賓使用者 (Guest)」的 jobTitle 可以直接在 Azure AD 入口網站編輯。

User2屬於同步使用者 (Source = Windows Server AD) 的 jobTitle 屬於 DirSync 屬性，必須回到本機 AD 修改後再由 Azure AD Connect 同步。

UsageLocation:User1, User2, and User3

是純雲端屬性，不會從本機 AD 同步；即使是同步使用者也必須直接在 Azure AD 設定，以便指派授權。因此三位使用者都能於 Azure AD 端修改此欄位。

Q3.You need to define a custom domain name for Azure AD to support the planned infrastructure.

Which domain name should you use?

A. ad.humongousinsurance.com

B. humongousinsurance.onmicrosoft.com 

C. humongousinsurance.local

(O)D. humongousinsurance.com

要支援預定的基礎架構，必須將自有網域 (custom domain) 加入 Azure Active Directory (Azure AD)。

D =>合法且公開的自有網域名稱，符合 Azure AD 加入條件。

A =>屬於子網域無法代表整個組織使用。若未正確在父網域（humongousinsurance.com）上設定 NS 紀錄將子網域委派出去，

外部 DNS 解析器會無法找到該 TXT 紀錄。

場景：未來要為人資（hr.humongousinsurance.com）、財務（finance.humongousinsurance.com）

和客服（support.humongousinsurance.com）各自設立子網域。

問題：每個子網域都要獨立做一次 Azure AD 的 DNS 驗證（TXT 或 MX 記錄），增加管理工作量。

更簡便做法：只驗證根網域 humongousinsurance.com，所有子網域自動繼承，後續擴充零額外驗證。

B=>xxx.onmicrosoft.com 這屬於預設租戶網域，不屬於自有品牌網域，對外易混淆，且無法變更。

C=>".local" 屬於內部保留網域，外部 DNS 服務商不會為此網域提供任何記錄。

Azure AD 要求自有網域必須在公開 DNS 上可解析並新增驗證用的 TXT 或 MX 紀錄。

將面臨驗證失敗、名稱衝突與憑證無法簽發等多重問題。

Ref:

將自訂網域名稱新增至您的租用戶

https://learn.microsoft.com/zh-tw/entra/fundamentals/add-custom-domain

必須先向網域註冊機構建立網域名稱，才可以新增自訂網域名稱。

子網域 (Subdomain) 是從網域名稱再加以延伸的部分，讓使用者可以在同一個網域下，透過子網域進入完全不同的網址頁面

https://www.tsg.com.tw/blog-detail4-241-1-subdomain.htm

Q4.You need to resolve the Active Directory issue.

What should you do?

A. From Active Directory Users and Computers, select the user accounts, and then modify the User Principal Name value.

(O)B. Run idfix.exe, and then use the Edit action.

C. From Active Directory Domains and Trusts, modify the list of UPN suffixes.

D. From Azure AD Connect, modify the outbound synchronization rule.

B.IdFix 是 Microsoft 提供的免費工具，專門用來掃描並修復 Active Directory 中不符合 Azure AD 要求的屬性。

它可以批次偵測錯誤（如 UPN 格式錯誤、重複、空值），並提供編輯介面快速修正。

針對 Azure AD Connect 同步前的 Active Directory 錯誤修復，

例如:Duplicate objects、Invalid symbols in object names、Invalid SMTP addresses (proxyAddresses)、

Attribute values that are to long or contain invalid values

可以使用 IdFix 工具查詢和修正無效的物件屬性，可以使用 Edit 動作直接在工具中修改屬性值，然後套用更新。。

舉例:假設某個使用者的 UPN 是 user@localdomain.local，這個 suffix 無法同步到 Azure AD。

IdFix 會偵測到這個錯誤，並建議你改成 user@contoso.com。你可以在工具中選擇 Edit，然後按下 Apply 套用修正。

Ref:

https://microsoft.github.io/idfix/

https://learn.microsoft.com/zh-tw/troubleshoot/microsoft-365/active-directory/idfix-tool-running-error

https://lazyadmin.nl/it/idfix/

A.從AD手動修改單一或多個使用者的 UPN（User Principal Name）值。

=>這並非最佳解，雖然可以修正 UPN，但這是針對個別帳號的操作。無法批次偵測錯誤或進行大規模修復。

若你不知道哪些帳號有問題，這方法效率低。

Ref:

https://www.alitajran.com/change-users-upn-with-powershell/

C.增加可用的 UPN 後綴（例如 contoso.com），讓使用者可以使用正確的 email 格式登入。

=>這是「準備工作」，不是「修復工具」。它無法直接偵測或修正錯誤的 UPN，只是提供合法的後綴選項。

Ref:

https://www.stephenwagner.com/2018/10/16/how-to-add-an-alternative-upn-suffix-to-an-active-directory-domain/

D.自訂同步規則，控制哪些屬性從本地 AD 同步到 Azure AD。=>屬於用來做客製化同步而非

在 Azure AD Connect 中，同步規則（Synchronization Rules）控制哪些屬性

從本地 Active Directory 傳送到 Azure AD（也叫 Microsoft Entra ID）。

Outbound（出站）規則：指的是從本地 AD → Azure AD 的資料流。這些規則決定了哪些使用者屬性（像是職稱、部門、電話）會被同步到雲端。

Ref:

https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-create-custom-sync-rule

https://janbakker.tech/synchronize-attributes-for-lifecycle-workflows-azure-ad-connect-sync/

Q5.You have an Azure Active Directory (Azure AD) tenant.

You plan to delete multiple users by using Bulk delete in the Azure Active Directory admin

center.

You need to create and upload a file for the bulk delete.

Which user attributes should you include in the file?

A. The user principal name and usage location of each user only

(O)B. The user principal name of each user only

C. The display name of each user only

D. The display name and usage location of each user only

E. The display name and user principal name of each user only

在 Azure Active Directory(Microsoft Entra ID)中執行 Bulk delete操作時，系統要求上傳一份 CSV 檔案。

唯一必要的欄位是：User principal name（UPN）

其他欄位如 Display Name、Usage Location 都不是必要欄位，且會被忽略

Ref:

https://learn.microsoft.com/en-us/entra/identity/users/users-bulk-delete

以下是混合式身分驗證情境題

Q6-1.You need to prepare the environment to meet the authentication requirements.

Which two actions should you perform? Each correct answer presents part of the solution

NOTE: Each correct selection is worth one point.

A. Allow inbound TCP port 8080 to the domain controllers in the Miami office

(O)B. Install Azure AD Connect on a server in the Miami office and enable Pass-through Authentication

C. Install the Active Directory Federation Services (AD FS) role on a domain controller in the Miami office

D. Join the client computers in the Miami office to Azure AD

(O)E. Add http://autologon.microsoftazuread-sso.com to the intranet zone of each client computer in the Miami office.

A.->Azure AD Connect 和 PTA 使用的是 443 (HTTPS)，不是 8080。

C.->安裝AD FS。這是一種驗證方式，但PTA並不需要。

D.把用戶端加入Azure AD->PTA跟Seamless SSO都不需要將裝置加入倒Azure AD，只需是網域加入(Domain-joined)即可。

B.安裝 Azure AD Connect 並啟用 PTA。

->PTA可以讓user用本機AD密碼登入到Azure AD，必須在內網先安裝好Azure AD Connect並啟用PTA。

PTA 是一種混合式驗證方式，使用者登入 Azure AD 時，密碼會透過內部網路的 PTA Agent 驗證本機 AD。

不需同步密碼至雲端，也不需 AD FS。

安裝 Azure AD Connect 時可選擇啟用 PTA。

Ref:https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-pta

E.將 autologon.microsoftazuread-sso.com 加入 Intranet 區域

->這是啟用 Seamless SSO 的必要步驟，讓瀏覽器能自動傳送 Kerberos 票證。

Q6-2.You need to prepare the environment to meet the authentication requirements.

Which two actions should you perform? Each correct answer presents part of the solution

NOTE: Each correct selection is worth one point.

A. Join the client computers in the Miami office to Azure AD.

(O)B. Add http://autologon.microsoftazuread-sso.com to the intranet zone of each client computer in the Miami office.

C. Allow inbound TCP port 8080 to the domain controllers in the Miami office.

(O)D. Install Azure AD Connect on a server in the Miami office and enable Pass-through Authentication

E. Install the Active Directory Federation Services (AD FS) role on a domain controller in the Miami office.

Q7.You need to resolve the licensing issue before you attempt to assign the license again.

What should you do?

A. From the Groups blade, invite the user accounts to a new group.

(O)B. From the Profile blade, modify the usage location.

C. From the Directory role blade, modify the directory role.

在 Azure Active Directory（Microsoft Entra ID）中，若使用者沒有設定 Usage location（使用位置），系統將無法指派某些授權，

尤其是 Microsoft 365 授權。這是因為部分服務受限於地區法規，必須先指定使用者的地理位置才能分配授權。

Ref:

Identify and resolve license assignment problems for a group in Microsoft Entra ID

https://docs.azure.cn/en-us/entra/identity/users/licensing-groups-resolve-problems#usage-location-isnt-allowed

License cannot be assigned to a user without a usage location specified.

https://answers.microsoft.com/en-us/msoffice/forum/all/license-cannot-be-assigned-to-a-user-without-a/1239da04-1bf7-439b-a4b1-016cfbc2fa0d

以下是跟SSPR帳號的密碼重設相關考題

Q8.You have an Azure Active Directory (Azure AD) tenant named contoso.onmicrosoft.com that contains the users shown in the

following table.

You enable password reset for contoso.onmicrosoft.com as shown in the Password Reset exhibit. (Click the Password Reset tab.)

Answer:

第一個選項

還是No 

Number of questions required to reset 設定的3有吻合他已回答的數量。

(這邊要回答Number of questions required to register設置的5題中隨意3題)

即便他已經完成回答3個安全問題了，仍有一個設定導致他無法立即重設密碼。

也就是Number of methods required to reset這邊設的是2。

第二個選項

是No ，題目中User2 屬於Group2、User1屬於Group1。

這邊SSPR enabled僅針對Group2的User2、User3

第三個選項 是Yes

因為其身分是User Administrator

Ref:

https://learn.microsoft.com/en-us/entra/identity/authentication/tutorial-enable-sspr

Q9.You have an Azure subscription that contains an Azure Active Directory (Azure AD) tenant named contoso.com. The tenant is synced to the on-premises Active Directory domain.

The domain contains the users shown in the following table.

You enable self-service password reset (SSPR) for all users and configure SSPR to have the following authentication methods:

• Number of methods required to reset: 2
• Methods available to users: Mobile phone, Security questions
• Number of questions required to register: 3
• Number of questions required to reset: 3

You select the following security questions:

• What is your favorite food?
• In what city was your first job?
• What was the name of your first pet?

For each of the following statements, select Yes if the statement is true. Otherwise, select No.

NOTE: Each correct selection is worth one point.

Hot Area:

你啟用 SSPR (自助式密碼重設) 並設定如下：

要求驗證的方式數量：2

可用驗證方式：Mobile phone、Security questions

註冊需回答 3 個問題

重設密碼時需回答 3 個問題

問題如下：

What is your favorite food?

In what city was your first job?

What was the name of your first pet?

選項1. => No

SecAdmin1 是 Security administrator（高權限帳號）

無法僅靠 Security questions 進行 reset，所以不會被要求回答 security question。

根據微軟官方手冊說明

https://learn.microsoft.com/en-us/entra/identity/authentication/concept-sspr-howitworks#security-questions

The administrator changes the policy to no longer use the security questions, but allows the use of a mobile phone and an alternate email.

選項2.=>No

BillAdmin1 是 Billing administrator（是高權限帳戶）

可使用 mobile phone 但不可用 security question

Self-service password reset (SSPR) is an Azure Active Directory feature that enables employees to reset their passwords without needing to contact IT staff.

根據微軟官方手冊此題應該改為No

https://learn.microsoft.com/en-us/entra/identity/authentication/concept-sspr-policy#administrator-reset-policy-differences

Administrator reset policy differences

管理員重設政策差異，強制執行強大的預設雙重驗證密碼重設政策。

 two-gate password reset policy

雙重驗證政策要求兩項驗證資料，例如電子郵件地址、驗證器應用程式或電話號碼，且禁止使用安全問題。Microsoft Entra ID 的試用版或免費版也禁止使用 Office 和行動語音通話。

• Application Administrator
• Authentication Administrator
• Billing Administrator
• Compliance Administrator
• Cloud Device Administrator
• Directory Synchronization Accounts (an admin role assigned to the Microsoft Entra Connect service)
• Directory Writers
• Dynamics 365 Administrator
• Exchange Administrator
• Global Administrator
• Helpdesk Administrator
• Intune Administrator
• Microsoft Entra Joined Device Local Administrator
• Partner Tier1 Support
• Partner Tier2 Support
• Password Administrator
• Power Platform Administrator
• Privileged Authentication Administrator
• Privileged Role Administrator
• Security Administrator
• Service Support Administrator
• SharePoint Administrator
• Skype for Business Administrator
• Teams Administrator
• Teams Communications Administrator
• Teams Devices Administrator
• User Administrator

選項3.=>Yes

https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-security-questions