Storage Account は作成した直後の状態では、認証情報(アクセスキーや SAS)さえ正しければ、インターネット上のどこからでもデータにアクセスできます。つまり既定では「認証」という 1 枚のレイヤーだけで守られている状態です。キーや SAS が漏えいした場合に備えて、そもそも到達できるネットワーク経路を絞っておくことが、実務でもセキュリティ試験でも重視される多層防御の考え方です。
このラボでは、仮想ネットワークのサブネットに Microsoft.Storage サービスエンドポイントを有効化し、Storage Account のファイアウォールで「既定は拒否、この VNet のサブネットからだけ許可」という構成を作ります。設定して終わりではなく、同じ SAS URL に対して VNet の外(Cloud Shell)からは 403 で拒否され、VNet 内の VM からは 200 で成功する、という挙動の違いを自分の手で確かめます。
ネットワーク規則は AZ-500 の「ストレージのセキュリティ構成」、AZ-104 の「ストレージ アカウントの構成」の両方で出題される定番トピックです。設定画面の暗記ではなく、実際の HTTP ステータスコードの変化として理解しておくと、試験問題の選択肢を確信を持って切れるようになります。
詳細な手順は、ラボ開始後に画面内のガイドとして表示されます。