验证AZ-305 MCP认证：管理应用权限

"AZ-305 MCP认证涉及的是微软Azure解决方案架构师专家认证的相关内容，特别是如何管理和审核Azure资源访问权限。" 在IT领域，尤其是云服务管理中，AZ-305 MCP认证是针对那些设计和实施微软Azure解决方案的专业人士的重要资质。这个认证涵盖了广泛的主题，包括但不限于资源管理、网络、计算、存储、安全和身份管理等。在描述中提到的问题，主要涉及到Azure Active Directory (Azure AD)中的角色基于访问控制（Role-Based Access Control, RBAC）以及权限管理。 问题#1的情景是，有一个名为Application1的自定义应用，由外部公司Fabrikam开发，并且分配了RBAC权限给开发人员。所有用户都有Microsoft 365 E5计划的许可证。现在需要推荐一个解决方案来验证Fabrikam的开发者是否仍然需要对Application1的访问权限，并满足以下要求： 1. 每月向开发者的经理发送一封电子邮件，列出对Application1的访问权限。 2. 如果经理没有确认某个访问权限，系统应自动撤销该权限。 3. 最小化开发工作量。 针对这个问题，有三个选项： A. 在Azure Active Directory (Azure AD)中创建一个Application1的访问审查。 B. 创建一个Azure Automation runbook，运行Get-AzRoleAssignment cmdlet命令。 C. 在Azure AD Privileged Identity Management中为Application1资源创建自定义角色分配。 最符合需求的解决方案应该是A. 在Azure AD中创建访问审查。这是因为Azure AD的访问审查功能可以直接满足上述三个要求。它可以定期进行，自动发送电子邮件通知，让经理确认权限，同时，如果权限未被确认，系统会自动执行撤销操作。这最小化了开发工作，因为所有的过程都由Azure AD内置功能自动化处理，无需编写额外的脚本或配置复杂的自动化流程。 Azure AD访问审查是管理云环境中权限的最佳实践，它允许组织定期审计和更新用户访问权限，确保只有需要访问资源的人员才能保持相应的权限。这对于合规性和安全性至关重要，尤其是在涉及第三方开发者或外部合作伙伴的情况下。 此外，了解并掌握如何在Azure AD中设置和管理访问审查，以及如何利用Azure AD Privileged Identity Management来增强权限管理，是AZ-305 MCP认证考试的关键部分。Azure Automation runbook虽然可以用于收集权限信息，但它不提供内置的审批和自动撤销功能，因此在上述场景下不如访问审查功能全面。