AZ-104_REVISAO01

Prévia do material em texto

Programa de 
Certificação
AZ-104
AZURE CLOUD 
COMPUTINGExame AZ-104
AZURE CLOUD 
COMPUTING
• Quantidade de questões: aproximadamente 60 questões + 1 estudo 
de caso
• Idiomas: Inglês e Português (Brasil)
• Modelos de questões: Múltipla escolha, Estudo de caso e certo/errado
• Pontuação necessária: 700
• Preço: 100 USD
• Onde fazer: Centro de Treinamento ou Online (Home)
• Tempo de prova: 120 minutos 
AZURE CLOUD 
COMPUTINGAgenda Fevereiro
Hoje – Revisão prova AZ-104 – Aula01
10/02 – Revisão prova AZ-104 – Aula02
17/02 – Revisão prova AZ-104 – Aula03
24/02 – Pré Desafio Azure 2.0
AZURE CLOUD 
COMPUTING
Azure Active Directory
AZURE CLOUD 
COMPUTINGAzure Active Directory
AZURE CLOUD 
COMPUTING
• Um conjunto baseado em nuvem 
de recursos de gerenciamento de 
identidade que permite gerenciar 
com segurança o acesso aos 
serviços e recursos do Azure para 
seus usuários
• Fornece gerenciamento de 
aplicativos, autenticação, 
gerenciamento de dispositivos e 
identidade híbrida
AZURE CLOUD 
COMPUTINGAzure AD Conceitos
Concept Description
Identity Um objeto que pode ser autenticado.
Account Uma identidade que possui dados associados.
Azure AD Account Uma identidade criada pelo Azure AD ou outro serviço de nuvem da 
Microsoft.
Azure tenant Uma instância dedicada e confiável do Azure AD, criada 
automaticamente quando sua organização se inscreve para uma 
assinatura do serviço de nuvem da Microsoft.
Azure AD directory Cada tenant do Azure tem um diretório dedicado e confiável do Azure 
AD.
User subscription Usado para pagar pelos serviços em nuvem do Azure.
AZURE CLOUD 
COMPUTINGAD DS vs Azure Active Directory
O Azure AD é principalmente uma solução de identidade projetada para 
comunicações HTTP e HTTPS
Consultando e usando a API REST sobre HTTP e HTTPS em vez de LDAP
Usa os protocolos HTTP e HTTPS, como SAML, WS-Federation e OpenID
Connect para autenticação (e OAuth para autorização) em vez de Kerberos
Inclui serviços de federação e muitos serviços de terceiros (como o Facebook)
Os usuários e grupos do Azure AD são criados em uma estrutura plana e não 
existem Unidades Organizacionais (UOs) nem Objetos de Diretiva de Grupo 
(GPOs)
AZURE CLOUD 
COMPUTING
Azure Active Directory Editions
Feature Free Office 365 Apps Premium P1 Premium P2
Directory Objects 500,000 objects No object limit No object limit No object limit
Single Sign-On Up to 10 apps Up to 10 apps Unlimited Unlimited
Core Identity and Access X X X X
B2B Collaboration X X X X
Identity & Access for O365 X X X
Premium Features X X
Hybrid Identities X X
Advanced Group Access X X
Conditional Access X X
Identity Protection X
Identity Governance X
https://docs.microsoft.com/pt-br/azure/active-directory/fundamentals/active-directory-whatis
https://docs.microsoft.com/pt-br/azure/active-directory/fundamentals/active-directory-whatis
AZURE CLOUD 
COMPUTINGAzure AD Join
• Logon único nos aplicativos e serviços SaaS 
gerenciados do Azure
• Roaming compatível com a empresa das 
configurações do usuário nos dispositivos 
associados
• Acesso à Microsoft Store for Business
• Suporte do Windows Hello
• Restrição de acesso a aplicativos apenas de 
dispositivos compatíveis
• Acesso contínuo a recursos locais
AZURE CLOUD 
COMPUTINGSelf-Service Password Reset
1
2
3
• Determinar quem pode usar a redefinição 
de senha de autoatendimento
• Escolha o número de métodos de 
autenticação necessários e os métodos 
disponíveis (email, telefone, perguntas)
• Você pode exigir que os usuários se 
registrem no SSPR (mesmo processo do 
MFA)
AZURE CLOUD 
COMPUTINGCreate User Accounts
Todos os usuários 
devem
ter uma conta
A conta é usada para 
autenticação e 
autorização
Cada conta de 
usuário tem 
propriedades 
adicionais
AZURE CLOUD 
COMPUTINGGerenciando User Accounts
Deve ser admin global 
ou administrador de 
usuários para 
gerenciar usuários
O perfil do usuário 
(foto, trabalho, 
informações de 
contato) é opcional
Usuários excluídos 
podem ser 
restaurados por 30 
dias
As informações de 
logon e log de auditoria 
estão disponíveis
AZURE CLOUD 
COMPUTINGCriar contas de usuário em massa
O Azure AD suporta 
criar, excluir e listar 
usuários em massa
Crie o modelo de csv
- separados por 
vírgulas, que você 
pode baixar no Portal
Para criar deve ser 
administrador global 
ou administrador de 
usuário
AZURE CLOUD 
COMPUTINGGroup Accounts
Tipos de grupos
• Security groups
• Office 365 groups
Tipos de associação
• Assigned
• Dynamic User
• Dynamic Device (Security groups only)
AZURE CLOUD 
COMPUTINGCriar Administrative Units
• Crie um administrative unit
• Popule a administrative unit com usuários 
ou grupos do Azure AD
• Crie uma role com permissões adequadas 
escopo para o administrative unit
AZURE CLOUD 
COMPUTINGManaging Multiple Directories
• No Azure Active Directory (Azure AD), 
cada tenant é um recurso totalmente 
independente
• Não há relação pai-filho entre tenants
• Essa independência entre tenants inclui 
recursos, administração e sincronização
AZURE CLOUD 
COMPUTING
Subscriptions and Accounts
AZURE CLOUD 
COMPUTINGRegions
• Uma região representa uma coleção de 
datacenters
• Oferece flexibilidade e escala
• Preserva a residência de dados**
• Selecione regiões próximas aos seus 
usuários
• Esteja ciente da disponibilidade de 
implantação da região
• Existem serviços globais independentes 
da região
• As regiões estão emparelhadas para alta 
disponibilidade
Em todo o mundo, existem mais de +60 regiões, 
representando 140 países
**Exceto o Brasil – Região Sul Central dos EUA
AZURE CLOUD 
COMPUTINGAzure Subscriptions
• Unidade lógica de serviços do Azure 
vinculada a uma conta do Azure
• Limite de segurança e cobrança
• Inclui contas - identidades no Azure Active 
Directory (Azure AD) ou em um diretório 
confiável do Azure AD
AZURE CLOUD 
COMPUTINGGetting a Subscription
• Os clientes Enterprise Agreement assumem um 
compromisso monetário inicial e consomem serviços 
ao longo do ano
• Os revendedores fornecem uma maneira simples e 
flexível de adquirir serviços em nuvem
• Os parceiros podem projetar e implementar sua 
solução de nuvem do Azure
• Conta gratuita pessoal - comece imediatamente
AZURE CLOUD 
COMPUTINGSubscription Usage
Subscription Usage
Free Inclui um crédito de US $ 200 nos primeiros 30 dias, acesso limitado 
gratuito por 12 meses
Pay-As-You-Go Cobra você mensalmente
Enterprise Um contrato, com descontos para novas licenças e Software Assurance -
direcionados a organizações de escala corporativa.
Student Inclui US $ 100 por 12 meses - deve verificar o acesso do aluno
AZURE CLOUD 
COMPUTINGCost Management
• Realizar análise de custos
• Criar um orçamento
• Revisar recomendações
• Exportar os dados
AZURE CLOUD 
COMPUTINGResource Tags
• Fornece metadados para seus recursos 
do Azure
• Organiza lógicamente os recursos com 
taxonomia
• Consiste em um par nome-valor
• Muito útil para acumular informações 
de cobrança
AZURE CLOUD 
COMPUTINGCost Savings
Azure Reservations – ajuda economizar dinheiro 
pagando antecipadamente pelos serviços
Benefícios Híbridos do Azure - use licenças 
locais do Windows Server e SQL Server com 
Software Assurance
Créditos do Azure - benefício mensal de crédito 
que permite experimentar, desenvolver e testar 
novas soluções no Azure
Regiões - escolha locais e regiões de baixo custo
AZURE CLOUD 
COMPUTINGManagement Groups
• Conformidade e relatório de custos por 
organização (negócios/equipes)
• Direcionamento de políticas e budgets 
entre assinaturas e heranças nas 
hierarquias
•
• Fornece um nível de escopo acima de 
subscriptions
AZURE CLOUD 
COMPUTING
Azure Policy
AZURE CLOUD 
COMPUTINGAzure Policy
Casos de Uso
Tipos de recursos permitidos -
especifique os tipos de recursos que sua 
organização pode implantar.
SKUs de máquina virtual permitidos -
especifiqueum conjunto de SKUs de 
máquina virtual que sua organização pode 
implantar.
Locais permitidos - restrinja os locais que 
sua organização pode especificar ao 
implantar recursos.
Exigir tag e seu valor - aplica uma tag 
obrigatória e seu valor.
O Backup do Azure deve estar habilitado 
para Máquinas Virtuais - Audite se o 
serviço de Backup do Azure estiver 
habilitado para todas as máquinas virtuais.
O Azure Policy é um serviço no Azure que 
você usa para criar, atribuir e gerenciar 
políticas
O Azure Policy executa avaliações e 
verificações de recursos não compatíveis
Vantagens:
• Aplicação e conformidade
• Aplicar políticas em escala
• Remediação
AZURE CLOUD 
COMPUTINGImplementing Azure Policy
1. Escolher a definições de política
2. Criar definições de iniciativa
3. Escopo da definição da iniciativa
4. Exibir resultados da avaliação da política
AZURE CLOUD 
COMPUTINGPolicy Definitions
• Existem muitas definições de política disponíveis 
no Azure
• Você pode importar políticas do GitHub
• As Definições de Política têm um formato JSON 
específico
• Você pode criar definições de política 
personalizadas
AZURE CLOUD 
COMPUTINGDetermine Compliance
• Iniciativas não conformes • Políticas não compatíveis • Recursos não compatíveis
AZURE CLOUD 
COMPUTING
Role-Based Access Control
AZURE CLOUD 
COMPUTINGRole-Based Access Control
Fornece gerenciamento de acesso refinado de 
recursos no Azure
Criado no Azure Resource Manager
Separe tarefas dentro da sua equipe
Conceda apenas a quantidade de acesso aos usuários 
que eles precisam para executar suas tarefas
Conceitos
Security principal. Objeto que representa algo que 
está solicitando acesso aos recursos
Role definition. Coleção de permissões que lista as 
operações que podem ser executadas
Scope. Limite para o nível de acesso solicitado
Assignment. Anexando uma definição de função a 
um objeto de segurança em um escopo específico
Os usuários podem conceder acesso descrito em 
uma definição de função, criando uma atribuição
AZURE CLOUD 
COMPUTING
Role Definition
Built-in
Owner
Contributor
Reader
…
Backup Operator
Security Reader
User Access Administrator
Virtual Machine Contributor
Custom
Reader Support Tickets
Virtual Machine Operator
Contributor
"Actions": [
"*"
],
"NotActions" : [
"Authorization/*/Delete",
"Authorization/*/Write",
"Authorization/elevateAccess/Action"
],
"DataActions" : [],
"NotDataActions": [],
"AssignableScopes" : [
"/"
]
A coleção de permissões que lista as operações que podem ser executadas
AZURE CLOUD 
COMPUTINGRole Assignment
Processo de associação de uma definição de função a um usuário, grupo ou service
principal em um escopo com a finalidade de conceder acesso
1 Security principal
User Group Service principal
Role assignment
Contributor
"Actions": [
"*"
],
"NotActions": [
"Auth/*/Delete",
"Auth/*/Write",
"Auth/elevate"
]
Marketing group
Pharma-sales
Resource group
2 Role definition
Owner
Contributor
Reader
…
Backup Operator
Security Reader
Contributor
Reader Support Tickets
Virtual Machine Operator
3 Scope
Management group
Subscription
Resource group
Resource
AZURE CLOUD 
COMPUTINGAzure RBAC Roles vs. Azure AD Roles
O Azure e o Azure AD oferecem dois tipos de funções RBAC
Azure RBAC roles Azure AD roles
Gerenciar o acesso aos recursos do Azure Gerenciar o acesso aos objetos do Azure AD
O escopo pode ser especificado em vários 
níveis
O escopo está no nível do tenant
AZURE CLOUD 
COMPUTINGRBAC Authentication
Azure AD
Admin roles
Global admin
Application admin
Application developer
Billing admin
…
Azure Active
Directory tenant
Root
Global admin/User 
access admin 
(elevated access)
Azure RBAC
roles
Owner
Contributor
Reader
User access admin
…
Root management group
Management
group
Subscription
Azure account
Azure RBAC
roles
Owner
Contributor
Reader
User access admin
…
Resource group
Resource
AZURE CLOUD 
COMPUTINGAzure RBAC Roles
RBAC role in Azure Permissions Notes
Owner Tem acesso total a todos os 
recursos e pode delegar acesso a 
outras pessoas.
O administrador de serviço e os 
coadministradores recebem a função de 
proprietário no escopo da assinatura. 
Isso se aplica a todos os tipos de 
recursos.
Contributor Cria e gerencia todos os tipos de 
recursos do Azure, mas não pode 
conceder acesso a outras pessoas.
Isso se aplica a todos os tipos de 
recursos.
Reader Visualiza recursos do Azure. Isso se aplica a todos os tipos de 
recursos.
User Access Administrator Gerencia o acesso do usuário aos 
recursos do Azure.
Isso se aplica ao gerenciamento de 
acesso, e não ao gerenciamento de 
recursos.
AZURE CLOUD 
COMPUTING
Storage Accounts
AZURE CLOUD 
COMPUTINGAzure Storage
Um serviço que você pode usar para armazenar arquivos, mensagens, tabelas e outros tipos de 
informações
• Durável, seguro, escalável, gerenciado, acessível
• Dois tier: Premium e Standard
• Storage para máquinas virtuais, dados não estruturados e dados 
estruturados
AZURE CLOUD 
COMPUTINGAzure Storage Services 
Azure Containers: Armazenamento de 
objetos massivamente escalável para 
texto e dados binários
Azure Tables: Ideal para armazenar 
dados estruturados e não relacionais
Azure Queues: Armazenamento de 
mensagens confiáveis entre 
componentes do aplicativo
Azure Files: File shares para cloud ou
on-premises deployments
AZURE CLOUD 
COMPUTINGReplication strategies
LRS
• Três réplicas, uma região
• Protege contra falhas de 
disco, nó, rack
• Write is acknowledged 
when
ZRS
• Três réplicas, três zonas, 
uma região
• Protege contra falhas 
de disco, nó, rack e 
zona
• Gravações síncrona 
para as três zonas
•
GRS
• Seis réplicas, duas regiões 
(três por região)
• Protege contra grandes 
desastres regionais
• Cópia assíncrona para 
região secundária
RA-GRS
• GRS + read access para 
secundário
• Separa o secundário
endpoint
AZURE CLOUD 
COMPUTINGReplication strategies
GZRS
• Seis réplicas, duas regiões
• Protege contra falhas de disco, nó, 
rack, zona e região
• Gravações síncronas para todas as 
três zonas e cópia assíncrona para 
secundária
RA-GZRS
• GZRS + read access to secondary
• Secundário endpoint separado
AZURE CLOUD 
COMPUTINGAccessing Storage
Cada objeto tem um endereço URL exclusivo – com base em account name e storage type
CNAME record Target
blobs.contoso.com contosoblobs.blob.core.windows.net
• Container service: http://mystorageaccount.blob.core.windows.net
• Table service: http://mystorageaccount.table.core.windows.net
• Queue service: http://mystorageaccount.queue.core.windows.net
• File service: http://mystorageaccount.file.core.windows.net
Se preferir, você pode configurar um nome de domínio personalizado
AZURE CLOUD 
COMPUTINGSecuring Storage Account Endpoints
Firewalls e Virtual Networks 
restringem o acesso ao Storage 
Account de específicas Subnets em 
Virtual Networks ou public IP’s
Subnets e Virtual Networks 
precisam existir na mesma Region
ou Region Pair como o Storage 
Account
AZURE CLOUD 
COMPUTING
Blob Storage
AZURE CLOUD 
COMPUTINGBinary Large Object (Blob) Storage
Armazena dados não estruturados na 
nuvem 
Pode armazenar qualquer tipo de texto ou 
dados binários
Usos comuns:
• Servindo imagens ou documentos 
diretamente para um navegador
• Streaming video e audio
• Armazenar dados para backup, restore, 
disaster recovery e archiving
• Armazenamento de dados para analysis
por um serviço no local ou hospedado no 
Azure
AZURE CLOUD 
COMPUTINGBlob Containers
Todos os blobs precisam estar em um container
Contas têm contêineres ilimitados
Os contêineres podem ter blobs ilimitadas
• Private blobs – nenhum acesso anônimo 
• Blob access – público anônimo ler acesso 
para
blobs apenas 
• Container access – público anônimo ler e 
listar acesso a todo o contêiner, incluindo o 
blobs
AZURE CLOUD 
COMPUTINGBlob Access Tiers
Hot tier – Otimizado para acesso frequentede 
objetos no storage account
Cool tier – Otimizado para armazenar grandes 
quantidades de dados que são acessados e 
armazenados com frequência por pelo menos 
30 dias
Archive – Otimizado para dados que podem 
tolerar várias horas de latência de recuperação 
e permanecerão no nível de arquivo por pelo 
menos 180 dias
Você pode alternar entre essas camadas de acesso a qualquer momento✓
AZURE CLOUD 
COMPUTINGBlob Lifecycle Management
• Transição de blobs para um nível de 
armazenamento mais cool para otimizar 
custo
• Exclua blobs no final de seu ciclo de vida
• Aplique regras a caminhos filtrados em
o Storage Account
AZURE CLOUD 
COMPUTINGBlob Object Replication
• Assíncrona para qualquer outra Região
• Minimiza a latência para solicitações de 
leitura
• Aumenta a eficiência para cargas de trabalho 
computacionais
• Otimiza a distribuição de dados
• Otimiza custos
AZURE CLOUD 
COMPUTING
Storage Security
AZURE CLOUD 
COMPUTINGShared Access Signatures
• Fornece acesso delegado aos recursos
• Concede acesso a clientes sem compartilhar 
sua storage account keys
• A conta SAS delega acesso
aos recursos em um ou mais dos serviços de 
armazenamento
• O serviço SAS delega acesso
a um recurso em apenas um dos storage 
services
AZURE CLOUD 
COMPUTINGURI and SAS Parameters
• Um SAS URI aponta para um ou mais recursos de armazenamento 
• Consiste em um recurso de armazenamento URI e o token SAS
https://myaccount.blob.core.windows.net/?sp=r&st=2020-05-
11T18:31:43Z&se=2020-05-12T02:31:43Z&spr=https&sv=2019-10-
10&sr=b&sig=jOqABJZHfUVeBQ3yVn7kWiCKlO0sxCiK1rzEchfAz8U%3D
Inclui parâmetros para URI de recursos, storage services version, services,
resource types, tempo de início, tempo de validade, recurso, permissões, alcance 
IP, protocolo, assinatura
AZURE CLOUD 
COMPUTINGStorage Service Encryption
• Protege seus dados para segurança e 
conformidade
• Criptografa e descriptografa
automaticamente seus dados
• Criptografado através de AES de 256 bits
• Está habilitado para todas as contas de 
armazenamento novas e existentes e não 
pode ser desativado
• É transparente para os usuários
✓ Você pode usar sua própria chave 
OBRIGADO
AZURE CLOUD 
COMPUTING