Microsoft Cybersecurity Architect
225 Übungsfragen
Zuletzt überprüft: April 2026
Persönliche Notizen und Ressourcenlinks für Ihre Lernreise
Nach Zertifizierung Filtern
Der Microsoft Cybersecurity Architect (SC-100) ist Microsofts Security-Zertifizierung auf Expertenniveau, die die Fähigkeit validiert, unternehmensweite Sicherheitsstrategien zu entwerfen, die mit Zero Trust, den Microsoft Cybersecurity Reference Architectures (MCRA) und dem Cloud Adoption Framework (CAF) übereinstimmen. Sie richtet sich an leitende Sicherheitsarchitekten, Principal Security Engineers, CISO-Track-Leiter und Berater, die End-to-End-Designs für Identität, Infrastruktur, Anwendungen, Daten und SecOps verantworten. Die Prüfung ist szenariobasiert und erfordert Urteilsvermögen, kein Auswendiglernen: Kandidaten müssen Abwägungen zwischen Microsoft Entra, Defender XDR, Defender for Cloud, Sentinel, Purview und Intune vornehmen und Designs empfehlen, die regulatorische, Governance- und Resilienzanforderungen sowie Sicherheitskontrollen erfüllen.
Entwurf von Strategien, die mit den Zero Trust-Prinzipien, MCRA, MCSB (Microsoft Cloud Security Benchmark), CAF und dem Well-Architected Framework übereinstimmen. Resilienzplanung, Strategien zur Ransomware-Wiederherstellung und Szenarien für vertrauliches Computing. Macht etwa 22 % der Prüfung aus – der Bereich mit dem größten "architektonischen Urteilsvermögen".
Größter Bereich (28 %). Entwürfe für SOC-Tools und -Prozesse (Sentinel, Defender XDR, Security Copilot), Identitäts- und Zugriffsarchitekturen (Entra ID, Conditional Access, PIM, Entra Permissions Management, Verified ID) sowie Compliance- und Data-Governance-Designs in Microsoft Purview.
Ebenfalls größter Bereich mit 28 %. Sicherheitsdesigns für Endpunkte, Server, IoT/OT und Hybrid-Clouds. Defender for Cloud über Multi-Cloud (Azure, AWS, GCP), Defender for Endpoint, Defender for Servers, Netzwerksegmentierung und Schlüssel-/Geheimnisverwaltung mit Azure Key Vault und HSMs.
Bedrohungsmodellierung für Anwendungen, sichere DevOps- und Lieferkettenkontrollen (GitHub Advanced Security, Defender for DevOps), API-Sicherheit, Datenklassifizierung und -schutz mit Purview Information Protection sowie Verschlüsselungsstrategien für Datenbanken/Speicher. Macht etwa 22 % der Prüfung aus.
Services, die Sie in der Prüfung antreffen, und warum jeder davon wichtig ist.
Microsofts Referenzrahmen, der von einer Kompromittierung ausgeht und explizite Verifizierung, Least-Privilege-Zugriff und Assume-Breach-Prinzipien über Identitäten, Endpunkte, Anwendungen, Daten, Infrastruktur und Netzwerke hinweg durchsetzt.
Warum er in der Prüfung steht: Domäne 1 (Best Practices und Prioritäten) verankert jede SC-100-Entwurfsdiskussion in Zero Trust – erwarten Sie Fragen dazu, welche Säulen auf ein bestimmtes Szenario zutreffen.
Microsofts diagrammatische Referenzarchitektur, die Sicherheitskontrollen (Defender, Entra, Sentinel, Purview, Intune) auf Zero Trust-Säulen und die hybride Unternehmensumgebung abbildet.
Warum er in der Prüfung steht: Domäne 1 nennt die MCRA explizit als Maßstab für die Ausrichtung von Lösungen an Microsofts empfohlener Sicherheitsarchitektur; Fragen beziehen sich auf spezifische MCRA-Ebenen.
Cloud-Identitätsanbieter mit Verzeichnis, B2B/B2C, Föderation und Risikosignalen, gepaart mit PIM für Just-in-Time-Erhöhung, Genehmigungsworkflows und zeitgebundene Rollenaktivierung.
Warum er in der Prüfung steht: Domäne 2 (Sicherheitsoperationen, Identität und Compliance) macht Entra ID + PIM zum architektonischen Rückgrat für die Gestaltung von Identitäts- und Strategien für privilegierten Zugriff.
Cloud-natives SIEM und SOAR, das Signale aus der gesamten Umgebung aggregiert, KQL-Jagdabfragen ausführt und die Reaktion auf Vorfälle über Playbooks, die auf Logic Apps basieren, automatisiert.
Warum er in der Prüfung steht: Domäne 2 prüft SIEM/SOAR-Strategien auf Unternehmensebene – Sentinel ist die genannte Plattform für die Gestaltung von Sicherheitsoperationsfähigkeiten, Datenresidenz und Log-Ingestion-Architektur.
Erweiterte Erkennungs- und Reaktionsfläche über Workloads hinweg, die Signale von Defender for Endpoint, Office 365, Identity und Cloud Apps zu einer vereinheitlichten Incident-Ansicht korreliert.
Warum er in der Prüfung steht: Domäne 2 behandelt Defender XDR als die architektonische Antwort für einheitliches Incident Management, das E-Mail, Identität, Endpunkte und Cloud-Anwendungen umfasst.
Cloud-native Anwendungsschutzplattform, die Cloud Security Posture Management mit Workload-Schutzplänen für Azure-, AWS- und GCP-Ressourcen kombiniert.
Warum er in der Prüfung steht: Domäne 3 (Infrastruktursicherheit) basiert auf Defender for Cloud – Fragen prüfen Multicloud-Haltung, Secure-Score-Verbesserung und welcher CWP-Plan welche Workload abdeckt.
Vereinheitlichte Daten-Governance- und Risikoplattform, die Informationsschutz, Data Loss Prevention, Insider-Risikomanagement, Datenlebenszyklus und Data-Map-Lineage über Microsoft 365 und Azure hinweg umfasst.
Warum er in der Prüfung steht: Domäne 4 (Anwendungen und Daten) stellt Purview als die architektonische Antwort für Datenklassifizierung, -schutz und regulatorische Konformität in der gesamten Umgebung dar.
Einheitliche Endpunktverwaltung, die Windows-, macOS-, iOS-, Android- und Linux-Geräte registriert und konfiguriert und Compliance-Signale aussendet, die von Conditional Access genutzt werden.
Warum er in der Prüfung steht: Domäne 3 nennt Intune als die architektonische Quelle für die Geräte-Compliance-Haltung, die Zero Trust-Ressourcenzugriffsentscheidungen steuert.
Erkennung der externen Angriffsfläche einer Organisation im Internetmaßstab – exponierte Domänen, Zertifikate, IPs und Schatten-Assets – mit priorisierter Anleitung zur Behebung.
Warum er in der Prüfung steht: Architekturaufgaben in Domäne 3 umfassen die Reduzierung der Angriffsfläche; EASM ist das genannte Tool zur Inventarisierung internetexponierter Assets, die die Organisation möglicherweise nicht als ihr Eigentum betrachtet.
Bedrohungsanalyseplattform, die Microsofts Telemetrie mit RiskIQ-Akquisitionen kombiniert, um IOCs, Bedrohungsakteurenprofile und Infrastrukturverbindungen aufzuzeigen.
Warum er in der Prüfung steht: SOC-Architekturszenarien in Domäne 2 verweisen auf Defender TI als die Bedrohungs-Kontextschicht, die die Sentinel- und XDR-Incident-Triage anreichert.
Dezentraler Identitätsdienst, der manipulationssichere überprüfbare Anmeldeinformationen auf der Grundlage von W3C DID- und Verifiable Credential-Standards ausstellt und verifiziert.
Warum er in der Prüfung steht: Identitätsarchitekturfragen in Domäne 2 unterscheiden zwischen föderierten und dezentralen Identitätsmustern; Verified ID ist die genannte dezentrale Option.
Cloud Infrastructure Entitlement Management (CIEM), das Berechtigungen über Azure-, AWS- und GCP-Identitäten hinweg abbildet und richtig dimensioniert, um Berechtigungs-Wildwuchs zu reduzieren.
Warum er in der Prüfung steht: Multicloud-Identitätsszenarien in Domäne 2 nennen Permissions Management als CIEM-Kontrolle für die Gestaltung von Least-Privilege über Cloud-Anbieter hinweg.
Verwalteter zustandsbehafteter Netzwerk-Firewall-Dienst mit zentralisierter Richtlinie über den Firewall Manager – die Premium-Ebene fügt TLS-Inspektion, IDPS und URL-Filterung hinzu.
Warum er in der Prüfung steht: Fragen zum Perimeter-Design in Domäne 3 verweisen auf Azure Firewall + Firewall Manager als die zentralisierte Netzwerksicherheitsebene für Hub-Spoke-Topologien und Secured Virtual Hubs.
Cloud Access Security Broker (CASB), der Shadow IT entdeckt, genehmigtes SaaS über API-Konnektoren regelt und Sitzungssteuerungen über Conditional Access App Control durchsetzt.
Warum er in der Prüfung steht: Die SaaS-Sicherheitsarchitektur in Domäne 4 nennt Defender for Cloud Apps als CASB-Schicht, die DLP und Conditional Access in der Anwendungsschicht ergänzt.
ML-gesteuerte Erkennung riskanter Insider-Aktivitäten – Exfiltration, Diebstahl durch ausscheidende Mitarbeiter, Richtlinienverstöße – mit pseudonymisierter Untersuchung und HR-abgestimmten Workflows.
Warum er in der Prüfung steht: Domäne 4 prüft explizit die Insider-Bedrohungsstrategie als separate Säule von externen Bedrohungen; Insider Risk Management ist die genannte Workload in der Compliance-Architektur.
Vertraulichkeitsbezeichnungen mit Verschlüsselung, Inhaltsmarkierung und Rechteerzwingung, die Dokumente und E-Mails über Microsoft 365, Endpunkte und Partner-SaaS hinweg begleiten.
Warum er in der Prüfung steht: Datenarchitekturszenarien in Domäne 4 positionieren Information Protection als die kanonische Kontrolle für die Klassifizierung und den Schutz von Daten im Ruhezustand, während der Übertragung und bei der Nutzung.
Richtlinien-als-Code-Durchsetzung kombiniert mit Blueprints (veraltet, aber geprüft) und Cloud Adoption Framework Landing Zones für Governance-Baselines auf Unternehmensebene.
Warum er in der Prüfung steht: Unternehmensdesignfragen in Domäne 1 verweisen auf Landing Zones und Azure Policy als Grundlage für Governance-, Compliance- und Sicherheits-Baselines im großen Maßstab.
Der Compliance Manager bewertet die Tenant-Haltung gegenüber Frameworks wie ISO 27001, NIST 800-53 und DSGVO; das Service Trust Portal hostet Microsofts Drittanbieter-Auditberichte und Compliance-Dokumentation.
Warum er in der Prüfung steht: Compliance-Architekturszenarien in Domäne 2 nennen Compliance Manager (Verbesserungsmaßnahmen, Bewertung) und Service Trust Portal (Auditberichte) als Nachweisquellen für die regulatorische Ausrichtung.
Signalbasierte Richtlinien-Engine, die Benutzer-, Geräte-, Standort-, Anwendungs- und Risiko-Eingaben auswertet, um Kontrollen – MFA, konformes Gerät, Sitzungseinschränkung – vor der Zugriffsgewährung durchzusetzen.
Warum er in der Prüfung steht: Domäne 2 macht Conditional Access zum zentralen Zero Trust-Durchsetzungspunkt – jede Antwort zur Identitätsarchitektur führt darüber.
Quantifizierte Haltungsbewertung und priorisierte Empfehlungen über Azure, AWS und GCP hinweg, abgebildet auf regulatorische Compliance-Frameworks (Azure Security Benchmark, CIS, PCI, ISO).
Warum er in der Prüfung steht: Szenarien zur Haltungsarchitektur in Domäne 3 verwenden den Secure Score als Metrik zur Verfolgung und Berichterstattung von Cloud-Sicherheitsverbesserungen an Stakeholder.
$150k–$200k–$280k USD jährlich
Die Spanne spiegelt US-basierte Senior- und Principal-Security-Architekt-Rollen wider, bei denen vom Kandidaten erwartet wird, dass er Unternehmensdesigns über den gesamten Microsoft-Sicherheits-Stack hinweg verantwortet. Märkte außerhalb der Küstenregionen und Mitarbeiterstufen in Beratungsunternehmen tendieren zu niedrigeren Gehältern; die Gesamtvergütung für Principal Architects bei FAANG/großen Banken übersteigt regelmäßig 300.000 $. SC-100 allein erschließt diese Gehälter nicht – es ergänzt jahrelange Architekturerfahrung und typischerweise eine Reihe früherer Zertifizierungen.
Quelle: levels.fyi 2025–2026 Rollen im Bereich Sicherheitsarchitektur und Principal Security Engineer, U.S. BLS OEWS Mai 2024 (15-1241 Computer-Netzwerkarchitekten, Median ~$130k; 15-1212 Informationssicherheitsanalysten, Median ~$120k), (ISC)² Cybersecurity Workforce Study 2024. Die Zahlen sind ungefähr; die tatsächliche Vergütung hängt von der Rolle, der Region und der Erfahrung ab.
Die Nachfrage nach Cybersecurity-Architekten ist von 2024 bis 2026 strukturell hoch geblieben — (ISC)²-Arbeitsmarktdaten zeigen weiterhin eine weltweite Lücke von mehreren Millionen Rollen, die sich auf das Senior- und Architektenniveau konzentriert. SC-100 ist eine der wenigen Zertifizierungen, die speziell für dieses Niveau positioniert sind, und wird häufig als bevorzugt in Stellenanzeigen für Enterprise Security Architects und Microsoft Practice Leads aufgeführt, insbesondere bei Organisationen, deren Security-Stack auf Defender, Sentinel, Entra und Purview basiert. Microsoft-Beratungspartner nutzen es als Zugangsvoraussetzung für leitende Lieferpositionen und Beförderungen auf dem Architektenweg. Es passt natürlich zu AZ-305 (Azure Solutions Architect) oder AWS/GCP-Architektenzertifizierungen für Kandidaten, die Multi-Cloud-Designs verantworten, und zu CISSP für Kandidaten, die sich auf CISO-Track-Rollen zubewegen.
SC-100 hat die höchsten Voraussetzungen aller Microsoft Security-Prüfungen. Microsoft empfiehlt – und geht faktisch davon aus –, dass Kandidaten bereits eine der Zertifizierungen AZ-500 (Azure Security Engineer), SC-200 (Security Operations Analyst), SC-300 (Identity and Access Administrator) oder die eingestellte MS-500 (Microsoft 365 Security Administrator) besitzen, bevor sie SC-100 versuchen. Obwohl die Voraussetzung bei der Registrierung nicht durchgesetzt wird, ist die Prüfung auf Kandidaten zugeschnitten, die über dieses Maß an operativem Wissen verfügen.
Über die Zertifizierungs-Voraussetzung hinaus erwartet Microsoft fortgeschrittene Erfahrung und Kenntnisse in den Bereichen Identität und Zugriff, Plattformschutz, Sicherheitsoperationen sowie der Sicherung von Daten und Anwendungen, plus Erfahrung mit Hybrid- und Cloud-Implementierungen. In der Praxis sind erfolgreiche Kandidaten Senior Security Engineers oder Architekten mit mehrjähriger praktischer Erfahrung in Microsoft 365 und Azure, fundierten Kenntnissen der Zero Trust-Prinzipien und Erfahrung mit Unternehmens-Governance-Frameworks. Betrachten Sie die empfohlenen Voraussetzungen als echte Untergrenze, nicht als Vorschlag.
SC-100 gilt weithin als eine der schwierigeren Microsoft-Prüfungen – vergleichbar in Schwierigkeit mit AZ-305 oder AWS Solutions Architect Professional und deutlich schwieriger als die Associate-Level-Prüfungen SC-200 oder SC-300. Planen Sie 80–150 Stunden konzentriertes Studium über 8–14 Wochen ein, selbst wenn Sie die vorausgesetzte Zertifizierung bereits besitzen, und deutlich mehr, wenn Ihre praktische Architekturerfahrung gering ist. Die Prüfung dauert 100–120 Minuten mit 40–60 Fragen, darunter Multiple-Choice, Multiple-Response, Drag-and-Drop, Build-List und eine oder mehrere Fallstudien; die Bestehensnote liegt bei 700/1000.
Die entscheidende Herausforderung besteht darin, dass SC-100-Fragen selten eine einzige objektiv richtige Antwort haben – sie fragen, welches Design am besten zu einer bestimmten Reihe von geschäftlichen, regulatorischen und technischen Einschränkungen passt. Kandidaten, die durch Auswendiglernen von Servicefunktionen lernen, scheitern in der Regel; diejenigen, die Zero Trust, MCRA, MCSB und CAF als Entscheidungsrahmen verinnerlichen und deren Anwendung auf mehrdeutige Fallstudien üben, bestehen in der Regel. Der Zeitdruck bei den Fallstudien ist erheblich.
Allgemeine Verfügbarkeit im Mai 2022 als Microsofts erste Security-Zertifizierung auf Expertenniveau. Die Lernziele wurden seitdem aktualisiert, um die Umbenennung von Azure AD zu Entra, die Konsolidierung von Defender XDR, den Microsoft Cloud Security Benchmark (als Ersatz für den Azure Security Benchmark) und die Ergänzung durch Microsoft Security Copilot-Richtlinien widerzuspiegeln. Rollenbasierte Zertifizierungen laufen ein Jahr nach dem Bestehen ab; die Verlängerung ist kostenlos über eine unüberwachte Online-Bewertung auf Microsoft Learn möglich.
SC-100 (Microsoft Cybersecurity Architect) ist eine eine anspruchsvolle, szenariobasierte Prüfung, die tiefe praktische Erfahrung und die Fähigkeit erfordert, architektonische Kompromissentscheidungen zu treffen Expert-Level-Prüfung. Die meisten Kandidaten benötigen 150–300 Stunden Lernzeit, verteilt über 3–6 Monate, für Prüfungen auf Professional- und Expertenniveau. Diese Prüfungen setzen in der Regel eine vorherige Associate-Level-Kompetenz voraus. Die meisten Kandidaten, die bei Übungsprüfungen konstant über der Bestehensschwelle liegen, bestehen beim ersten Versuch.
Die meisten Kandidaten benötigen 150–300 Stunden Lernzeit, verteilt über 3–6 Monate, für Prüfungen auf Professional- und Expertenniveau. Diese Prüfungen setzen in der Regel eine vorherige Associate-Level-Kompetenz voraus. Die benötigte Zeit bis zum Bestehen variiert stark je nach Vorerfahrung. Ingenieure mit praktischer Produktionserfahrung in der zugrunde liegenden Technologie benötigen in der Regel weniger; Kandidaten, die neu auf der Plattform sind, sollten sich am oberen Ende dieses Bereichs orientieren.
SC-100 ist ein anerkanntes Zeugnis im Microsoft-Ökosystem und signalisiert Arbeitgebern, Personalvermittlern und Kunden validiertes Wissen. Ob es sich für Sie lohnt, hängt von Ihrer Rolle und Ihren Zielen ab – es zahlt sich am meisten für Cloud-Ingenieure, Architekten und Berater aus, die täglich mit Microsoft arbeiten oder in solche Rollen wechseln möchten.
Die Bestehensgrenze für SC-100 beträgt 700 / 1000. Die Prüfung enthält 50 Fragen und dauert 2 Std.
Die Prüfungsgebühr für SC-100 beträgt $165 USD. Die Gebühren werden von Microsoft festgelegt und können je nach Region variieren; bestätigen Sie immer den aktuellen Preis auf der offiziellen Microsoft Zertifizierungsseite, bevor Sie buchen.
Microsoft rollenbasierte Zertifizierungen verfallen nach 1 Jahr, können aber kostenlos über eine unüberwachte Online-Bewertung auf Microsoft Learn erneuert werden, beginnend 6 Monate vor dem Ablaufdatum.
Ja. Sie können die Prüfung online (über den sicheren Browser des Anbieters, in den meisten Regionen rund um die Uhr verfügbar) oder in einem persönlichen Pearson VUE Testzentrum während der Geschäftszeiten ablegen. Beide Formate verwenden die gleichen Fragen, Zeitlimits und Bestehensgrenzen.
CertLabPro bietet 15 Lernmodi für die Übungsfragenbank für SC-100. Der Prüfungssimulationsmodus bildet die echte Prüfung ab: 50 Fragen in 2 Std, mit der gleichen Bestehensschwelle von 700 / 1000. Im Browsing-Modus können Sie jede Frage und Antwort statisch lesen.