SC-300 練習問題
問題
SecAdmin1 にはセキュリティ管理者ロールが割り当てられています。SecAdmin1 は、Entra 管理センターからパスワードをリセットできないと報告しています。SecAdmin1 が非管理者ユーザーに代わってパスワードを管理し、セッションを無効にできることを保証する必要があります。ソリューションでは、最小権限の原則を使用する必要があります。SecAdmin1 に割り当てるべきロールはどれですか?
| 認証管理者 |
| ヘルプデスク管理者 |
| 特権認証管理者 |
| セキュリティ オペレーター |
解答および解説
| 認証管理者 |
| ヘルプデスク管理者 |
| 特権認証管理者 |
| セキュリティ オペレーター |
最小権限の原則に従い、非管理者ユーザーのパスワードのリセットや、セッションの無効化を行うには「ヘルプデスク管理者」の権限が必要となります。
Microsoftの公開情報にパスワードリセット可能なロールの表が用意されております。
今回の選択肢の中では「ヘルプデスク管理者」、「認証管理者」、「特権認証管理者」がパスワードリセット可能なロールであることが分かります。
「ヘルプデスク管理者」、「認証管理者」、「特権認証管理者」、この3つの権限の中で、最小権限に該当するのは、「ヘルプデスク管理者」になります。
パスワードリセットが可能なロールおよび、リセット可能な範囲はこちらの公開情報に記載されています。
https://learn.microsoft.com/ja-jp/entra/identity/role-based-access-control/privileged-roles-permissions?tabs=admin-center#who-can-reset-passwords
次に「ヘルプデスク管理者」の権限でユーザーのセッションの無効化が可能か確認する必要があります。
Microsoftの公開情報にて「ヘルプデスク管理者」で可能なアクションを確認すると、
「ユーザー更新トークンを無効にして強制的にサインアウトする」
というアクションが可能であることが分かります。
このアクションが問題で問われている、「セッションの無効化」に該当します。
ヘルプデスク管理者か可能なアクションはこちらの公開情報に記載されています。
https://learn.microsoft.com/ja-jp/entra/identity/role-based-access-control/permissions-reference#helpdesk-administrator
そのため、本問題は「ヘルプデスク管理者」が答えとなります。
本問題について
本問題はSC-300の「ユーザー ID の実装と管理」という領域の問題になります。
この領域は試験問題の20%~25%ほど出題されるようです。(2026年2月現在)
https://learn.microsoft.com/ja-jp/credentials/certifications/resources/study-guides/sc-300#skills-measured-as-of-november-7-2025
「ユーザー ID の実装と管理」では以下の分野が出題されます。
・Microsoft Entra テナントを構成して管理する
・Microsoft Entra ID の作成、構成、管理
・外部ユーザーとテナントの ID の実装と管理
・ハイブリッド ID を実装および管理する
「ユーザー ID の実装と管理」領域のLearnは以下になります。
https://learn.microsoft.com/ja-jp/training/paths/implement-identity-management-solution/
パスワードリセット可能なロールという問題はSC-300で何問か出題されます。
今回は非管理者ユーザーのパスワードリセットが可能なロールが問われましたが、他の問題では、グローバル管理者のパスワードリセットが可能なロールが問われたりもします。
どのロールがどの範囲のユーザー、管理者に対してパスワードリセットが可能か確認するとよいでしょう。
