SC-300 練習問題
問題
オンプレミスネットワークにはEntra Connectを使用してEntraテナントと同期するActive Directoryドメインが含まれています。次の要件を満たすようにEntra Connectを構成する必要があります。
【要件】
・Entraへのユーザーサインインは、Acitve Directory Domain Controllerによって認証される必要があります。
・Active DirectoryドメインユーザーはEntra セルフパスワードリセット(SSPR)を利用できるよう必要があります。
各要件には何を使用すればよいですか?
回答するには、回答領域で適切なオプションを選択してください。
【ドメインコントローラによる認証】
| Active Directoryフェデレーションサービス(ADFS) |
| パススルー認証 |
| パスワードハッシュ同期 |
【SSPR】
| デバイス ライトバック |
| グループ ライトバック |
| パスワードハッシュ同期 |
| パスワードライトバック |
解答および解説
選択肢1:ドメインコントローラによる認証
| Active Directoryフェデレーションサービス(ADFS) |
| パススルー認証 |
| パスワードハッシュ同期 |
ドメインコントローラによる認証のオプションは「パススルー認証」が答えになります。
この問題を正解するためには、ユーザーがEntra IDにサインインする際の認証方式を理解する必要があります。
各認証方式の特性は以下になります。
| 認証種別 | 概要 |
|---|---|
| Active Directoryフェデレーションサービス(ADFS) | Entra IDとは別の信頼された認証システム(オンプレミスのADFSなど)にユーザーのパスワードを検証する認証プロセスを引き継ぐ。 |
| パススルー認証 | オンプレミスの Active Directory を使用して直接ユーザーが検証される。 クラウドでパスワードの検証が行われることはない。 |
| パスワードハッシュ同期 | Entra IDにオンプレミスのパスワードハッシュが同期されており、ユーザーはEntra IDで認証を行う。 |
ここで大事なことは、
・パススルー認証はオンプレミスのActive Directoryでユーザー認証が行われることです。
本問題には以下の要件があります。
「Entraへのユーザーサインインは、Acitve Directory Domain Controllerによって認証される必要があります。」
この要件を満たすためには、Active Directoryで認証が行われる認証方式を選択する必要があります。
そのため、パススルー認証が解答となります。
Microsoftの公開情報では以下の記事が参考になります。
https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/choose-ad-authn
選択肢2:SSPR
| デバイス ライトバック |
| グループ ライトバック |
| パスワードハッシュ同期 |
| パスワードライトバック |
SSPRのオプションは「パスワード ライトバック」が答えになります。
この問題に正解するためには以下を理解する必要があります。
・SSPR(セルフパスワードリセット)とは何か
・オンプレミスとEntra IDのハイブリッド環境における、SSPRの構成方法
SSPR(セルフパスワードリセット)とは
SSPR(セルフパスワードリセット)とはユーザーが自分のパスワードの変更やリセットを行う機能のことです。
SSPRを有効にすることで、ユーザーがパスワードを忘れた際に、ユーザー自身でパスワードの再設定が可能となります。これにより、以前までパスワードの再設定対応を行っていたヘルプデスクや管理者の負担軽減が期待できます。
オンプレミスとEntra IDのハイブリッド環境における、SSPRの構成方法
ハイブリッド環境でSSPRを利用する際には、Entraとオンプレミスの同期状態に気を付ける必要があります。
ユーザーがSSPRを利用し、パスワードのリセットを行った場合、既定ではEntra IDのパスワードしか変更されません。そのため、オンプレミス環境とEntra ID環境でユーザーのパスワードが異なるという問題が発生してしまいます。
この問題を対処するために必要なのが「パスワード ライトバック」になります。
パスワード ライトバックを利用することで、ユーザーがEntra IDでリセットしたパスワードをオンプレミスのActive Directoryへ同期することができます。
これにより、Entra IDとActive Directoryでユーザーのパスワードが異なるという問題を回避することができます。
Microsoft の公式ブログでは以下の記事が参考になります。
https://jpazureid.github.io/blog/azure-active-directory-connect/password-writeback-overview/
本問題について
本問題はSC-300の「認証とアクセス管理を実装する」という領域の問題になります。
この領域は試験問題の25%~30%ほど出題されるようです。(2025年11月現在)
https://learn.microsoft.com/ja-jp/credentials/certifications/resources/study-guides/sc-300#skills-measured-as-of-november-7-2025
「認証とアクセス管理を実装する」では以下の分野が出題されます。
・Microsoft Entra ユーザー認証の計画、実装、管理
・Microsoft Entra 条件付きアクセスの計画、実装、管理
・Microsoft Entra ID 保護を使ってリスクを管理する
・グローバル セキュア アクセスを実装する
「認証とアクセス管理を実装する」領域のLearnは以下になります。
https://learn.microsoft.com/ja-jp/training/paths/implement-authentication-access-management-solution/
出題割合が25%~30%と比較的高いため、Learnや実機検証を通して重点的に学習することがSC-300合格への鍵になるはずです。
