AZ-104考題練習_管理 Azure 身分識別和治理 (20-25%)_管理 Microsoft Entra 使用者和群組

 

Q1.

先針對User1資訊來逐Group比對

Group1 → 條件：city 以 "m" 開頭，Montreal → 符合。

Group2 → 條件：department 不在 ["human resources"]

User1 部門是 Human resources → 不符合

Group3 → 是 Assigned 群組，沒有動態規則。

但題目沒有說誰被指定 → 預設沒被指定，不加入。

結論:User1 只屬於 Group1

針對User2資訊來逐Group比對

Group1 → 條件：city 以 "m" 開頭，Melbourne →  符合

Group2 → 條件：部門 不是 human resources

User2 部門是 Marketing →  符合

Group3 → 同上，Assigned 群組，沒說被指定 → 不加入

結論: User2 屬於 Group1 和 Group2

Q2.涉及混合部署的 Azure AD

關於能否從 Azure AD 修改用戶的 JobTitle 和 UsageLocation 屬性。
通常，只有純雲端用戶（來源為 Azure AD）能在 Azure AD 中修改屬性，而某些來自 Microsoft 帳戶的來賓用戶也可能能修改些許屬性。對於來自 Windows Server AD 的同步用戶，必須通過 Azure AD Connect，同步許多屬性，無法直接修改。

在混合部署中，某些屬性只能在本地環境修改並同步至 Azure AD。

例如，JobTitle 和 UsageLocation 屬性可能只在本地環境中可處理，而對於來賓用戶（來自 Microsoft 帳戶），它們可在 Azure AD 中修改，因為是外部屬性。

目前來賓使用者的 UsageLocation 是否被限制為必須設置進行許可指派還不確定，但 JobTitle 和 UsageLocation 應該可以為雲端用戶和來賓設定。

結論:

JobTitle:User1 and User3 only

只有「雲端使用者 (Source = Azure AD)」與「來賓使用者 (Guest)」的 jobTitle 可以直接在 Azure AD 入口網站編輯。

User2屬於同步使用者 (Source = Windows Server AD) 的 jobTitle 屬於 DirSync 屬性，必須回到本機 AD 修改後再由 Azure AD Connect 同步。

UsageLocation:User1, User2, and User3

是純雲端屬性，不會從本機 AD 同步；即使是同步使用者也必須直接在 Azure AD 設定，以便指派授權。因此三位使用者都能於 Azure AD 端修改此欄位。