Microsoft Security, Compliance, and Identity Fundamentals
175 Übungsfragen
Zuletzt überprüft: April 2026
Persönliche Notizen und Ressourcenlinks für Ihre Lernreise
Nach Zertifizierung Filtern
Microsoft Security, Compliance, and Identity Fundamentals (SC-900) ist ein grundlegendes Zertifikat, das ein konzeptionelles Verständnis des Microsoft-Portfolios für Sicherheit, Compliance und Identität (SCI) über Microsoft 365 und Azure hinweg validiert. Es richtet sich an Business Stakeholder, IT-Generalisten, Vertriebs- und Partnerpersonal, Compliance-Verantwortliche und alle, die neu im Bereich Sicherheit sind und ein gemeinsames Vokabular für Microsoft Entra, Microsoft Defender, Microsoft Sentinel, Microsoft Purview und Intune benötigen. Die Prüfung ist konzeptioneller Natur und nicht praxisorientiert: Erwarten Sie, Dienstfunktionen zu erkennen, zu identifizieren, welches Produkt ein bestimmtes Szenario (Zero Trust, DLP, Conditional Access, Insider-Risiko) adressiert, und die Kernprinzipien von Identität, Verschlüsselung und geteilter Verantwortung in einfacher Sprache zu erklären.
Grundlegendes Vokabular: Zero Trust, Defense in Depth, das Modell der geteilten Verantwortung, Grundlagen der Verschlüsselung und des Hashings sowie die vier Säulen der Identität (Verwaltung, Authentifizierung, Autorisierung, Audit). Geringste Gewichtung (12 %), bildet aber das konzeptionelle Gerüst, auf dem der Rest der Prüfung aufbaut.
Microsoft Entra ID (ehemals Azure AD), externe Identitäten (B2B/B2C), Conditional Access, Multifaktor-Authentifizierung, kennwortlose Anmeldung, Identity Protection, Privileged Identity Management und Entra Permissions Management / Verified ID. Macht etwa 28 % der Prüfung aus — die zweitgrößte Domäne.
Größte Domäne (38 %). Umfasst Microsoft Sentinel (Cloud-natives SIEM/SOAR), die Microsoft Defender XDR-Familie (Defender for Endpoint, Office 365, Identity, Cloud Apps), Defender for Cloud, Azure-Netzwerksicherheit (NSGs, Azure Firewall, DDoS Protection) und Azure Bastion. Erwarten Sie Szenariofragen, die danach fragen, welches Produkt zu welcher Bedrohung passt.
Microsoft Purview (Compliance-Portal, Informationsschutz, DLP, Insider-Risikomanagement, eDiscovery, Audit), Service Trust Portal, Compliance Manager und Ressourcen-Governance über Azure Policy und Microsoft Purview Data Governance. Macht etwa 22 % der Prüfung aus.
Services, die Sie in der Prüfung antreffen, und warum jeder davon wichtig ist.
Cloud-Identitäts- und Zugriffsverwaltungsdienst, der Benutzer, Geräte und Workloads anhand von Verzeichniskonten, externen B2B/B2C-Identitäten und föderierten Anbietern authentifiziert.
Warum er in der Prüfung steht: Dominio 2 (Funktionen von Microsoft Entra) konzentriert sich auf Entra ID als Identitätsanbieter — erwarten Sie Fragen zur Authentifizierung, SSO, MFA und zu Mandantentypen.
Risikobasierter Identitätsschutz, der Anmeldeanomalien, geleakte Anmeldeinformationen und unmögliche Reisemuster erkennt und anschließend Risikorichtlinien durchsetzt.
Warum er in der Prüfung steht: Dominio 2 prüft den risikobasierten bedingten Zugriff; ID Protection ist die genannte Quelle für Anmelde- und Benutzerrisikosignale.
Dezentralisierter Identitätsdienst, der manipulationssichere digitale Anmeldeinformationen basierend auf offenen Standards (W3C DIDs, Verifiable Credentials) ausstellt und überprüft.
Warum er in der Prüfung steht: Dominio 2 thematisiert Verified ID als dezentralisiertes Identitätsszenario — es unterscheidet die anspruchsbasierte Verifizierung von traditionellen Verzeichnisabfragen.
Just-in-Time-Berechtigungsmodelle und Genehmigungsworkflows für privilegierte Rollen in Entra ID, Azure-Ressourcen und Microsoft 365, mit zeitlich begrenztem Zugriff und Audit-Trails.
Warum er in der Prüfung steht: Dominio 2 prüft Least-Privilege-Muster; PIM ist die genannte Antwort auf die Frage "Wie gewährt man Administratorzugriff bei Bedarf ohne dauerhafte Berechtigungen".
Vereinheitlichte Suite zur Abwehr vor und nach Vorfällen, die Signale über Endpunkte, Identitäten, E-Mails, Cloud-Anwendungen und Daten in einer einzigen Incident-Ansicht korreliert.
Warum er in der Prüfung steht: Dominio 3 (Microsoft Security-Lösungen) stützt sich auf Defender XDR als übergreifende Oberfläche für die Incident-Untersuchung von Workloads.
Cloud-native Anwendungsschutzplattform (CNAPP), die Security Posture Management (CSPM) und Workload Protection (CWP) über Azure, AWS und GCP bietet.
Warum er in der Prüfung steht: Dominio 3 erwartet Defender for Cloud als Antwort für Multicloud-Posture und Workload-Schutz — Secure Score, Einhaltung gesetzlicher Vorschriften und CWP-Pläne werden in den Fragen thematisiert.
Cloud-native SIEM- und SOAR-Lösung auf Azure, die Signale aus der gesamten Umgebung erfasst, Bedrohungen mit KQL jagt und die Reaktion über Playbooks automatisiert.
Warum er in der Prüfung steht: Dominio 3 nennt Sentinel als SIEM/SOAR-Antwort — Fragen testen die Unterscheidung zwischen SIEM und SOAR sowie die Architektur der Datenkonnektoren.
Enterprise Endpoint Detection and Response (EDR)-Plattform mit Angriffsflächenreduzierung, Antimalware der nächsten Generation und automatisierter Untersuchung über Windows, macOS, Linux, iOS, Android.
Warum er in der Prüfung steht: Dominio 3 prüft Funktionen zum Endpunktschutz; Defender for Endpoint ist das genannte EDR für Bedrohungsszenarien auf Geräteebene.
Schutz für Microsoft 365-Postfächer, Teams, SharePoint und OneDrive vor Phishing, Business Email Compromise und bösartigen Anhängen über Safe Links und Safe Attachments.
Warum er in der Prüfung steht: Dominio 3 umfasst Bedrohungsszenarien für E-Mails/Zusammenarbeit; Defender for Office 365 ist die genannte Kontrolle für Safe Links / Safe Attachments / Anti-Phishing-Richtlinien.
Cloud Access Security Broker (CASB), der Shadow IT entdeckt, Sitzungssteuerungen anwendet und genehmigte SaaS-Apps über API-Konnektoren und Reverse Proxy schützt.
Warum er in der Prüfung steht: Dominio 3 behandelt CASB-Szenarien — Shadow-IT-Erkennung, bedingter Anwendungszugriffssteuerung und SaaS DLP weisen alle auf Defender for Cloud Apps hin.
Bedrohungserkennung für lokale Active Directory, die Aufklärung, laterale Bewegung, Domänenherrschaft und Golden Ticket-Angriffe aus dem Domänencontroller-Verkehr aufdeckt.
Warum er in der Prüfung steht: Dominio 3 behandelt hybride Identitätsbedrohungen — Defender for Identity ist die genannte AD-fokussierte Erkennungsschicht, die sich von dem reinen Cloud-Dienst Entra ID Protection unterscheidet.
Unified Endpoint Management (UEM) für Geräteregistrierung, Konfiguration, App-Bereitstellung und Compliance-Bewertung über Windows, macOS, iOS, Android und Linux.
Warum er in der Prüfung steht: Dominio 3 verknüpft die Gerätekonformität mit Conditional Access — Intune liefert das Konformitätssignal, das den Ressourcenzugriff steuert.
Vertraulichkeitsbezeichnungen, Verschlüsselung und inhaltsbasierte Klassifizierung, die Dokumente und E-Mails über Microsoft 365 und genehmigte Drittanbieter-Apps hinweg begleiten.
Warum er in der Prüfung steht: Dominio 4 (Microsoft Compliance-Lösungen) prüft, wie Bezeichnungen Daten im Ruhezustand, während der Übertragung und bei der Nutzung klassifizieren und schützen.
Richtlinien-Engine, die sensible Daten in Bewegung über Microsoft 365-Dienste, Endpunkte und lokale SharePoint/OneDrive-Systeme hinweg erkennt, blockiert oder überwacht.
Warum er in der Prüfung steht: Dominio 4 nennt DLP als die kanonische Antwort für Szenarien, bei denen sensible Inhalte den Mandanten nicht verlassen sollen, über E-Mail, Teams und Endpunkte hinweg.
ML-gestützte Erkennung von böswilliger oder unbeabsichtigter Insider-Aktivität — Datenexfiltration, Diebstahl durch ausscheidende Mitarbeiter, Richtlinienverstöße — mit pseudonymisierten Untersuchungs-Workflows.
Warum er in der Prüfung steht: Dominio 4 behandelt Insider-Bedrohungen als eigenständige Compliance-Säule; Insider Risk Management ist die genannte Workload.
Funktionen für Legal Hold, Suche und Export über Microsoft 365-Inhalte für Rechtsstreitigkeiten, Untersuchungen und behördliche Reaktionen, mit eDiscovery (Premium)-Verwahrungs-Workflows.
Warum er in der Prüfung steht: Dominio 4 prüft Workflows für Legal Hold / behördliche Aufbewahrung — eDiscovery ist das genannte Tooling für Aufbewahrung, Suche und Export.
Policy-as-Code-Dienst, der die Ressourcenkonfiguration über Azure-Abonnements hinweg überwacht und durchsetzt, wobei Blueprints Richtlinien, Rollenzuweisungen und ARM-Vorlagen als bereitstellbare Einheit paketieren.
Warum er in der Prüfung steht: Dominio 1 und Dominio 4 verweisen auf die Richtliniendurchsetzung als Mechanismus hinter Governance-Baselines; Azure Policy + Blueprints ist die genannte Kontrolle.
Zentralisiertes Portal für Microsoft Cloud-Compliance-Dokumentationen, gekoppelt mit dem Compliance Manager, der die Mandanten-Compliance anhand von Frameworks wie ISO 27001, NIST und GDPR bewertet.
Warum er in der Prüfung steht: Dominio 4 prüft explizit das Service Trust Portal und den Compliance Manager als die Oberflächen, die Kunden zur Nachweiserbringung der Compliance-Haltung verwenden.
Richtlinien-Engine, die Signale — Benutzer, Standort, Gerätestatus, App, Risiko — auswertet und Kontrollen wie MFA, konformes Gerät oder Sitzungsbeschränkungen vor der Zugriffsgewährung durchsetzt.
Warum er in der Prüfung steht: Dominio 2 behandelt Conditional Access als zentrale Durchsetzungsstelle für Zero Trust-Signale; erwarten Sie Szenariofragen zur Richtlinienzuweisung und zu Ausschlüssen.
Verwalteter Dienst für Schlüssel, Geheimnisse und Zertifikate mit HSM-gestütztem Schlüssel-Schutz, Customer-Managed Key (CMK)-Integration und Zugriffsrichtlinien über RBAC oder Vault-Zugriffsrichtlinien.
Warum er in der Prüfung steht: Dominio 3 behandelt den Schutz von Geheimnissen und CMK-Verschlüsselungsszenarien — Key Vault ist der genannte Speicher über Azure-Workloads hinweg.
$65k–$92k–$130k USD jährlich
SC-900 ist grundlegend und selten der entscheidende Faktor bei der Vergütung — diese Spannen spiegeln frühe Karrierewege in sicherheits- und identitätsnahen Rollen in den USA wider, bei denen SC-900 eines von mehreren Signalen im Lebenslauf ist. Höhere Sicherheitspositionen (für die SC-200, SC-100, AZ-500 oder CISSP erwartet werden) liegen deutlich höher.
Quelle: U.S. BLS OEWS May 2024 (15-1212 information security analysts, median ~$120k; 15-1232 computer user support, median ~$60k), levels.fyi 2025–2026 security and IT support roles. Die Zahlen sind ungefähr; die tatsächliche Vergütung hängt von der Rolle, der Region und der Erfahrung ab.
Der Sicherheits-Stack von Microsoft – Defender XDR, Sentinel, Purview, Entra und Intune – ist in einem großen Teil der Unternehmen, die bereits Microsoft 365 und Azure nutzen, Standard, was SC-900 zu einem der am weitesten verbreiteten Sicherheitszertifikate auf Einstiegsniveau macht. Personalvermittler nutzen es als Screening-Signal, dass ein Kandidat das Microsoft-Sicherheitsvokabular in Vorstellungsgesprächen beherrscht, noch bevor er eine praktische Rolle innehat. Es ist besonders häufig in Lebensläufen von Helpdesk-, IT-Generalisten-, Compliance- und Partner-Pre-Sales-Mitarbeitern zu finden, die sich auf den Bereich Sicherheit konzentrieren, sowie bei nicht-technischen Stakeholdern (Projektmanagern, Account Executives, GRC-Verantwortlichen), die Glaubwürdigkeit bei der Diskussion von Zero Trust, Conditional Access oder DLP mit Sicherheitsteams benötigen. Allein qualifiziert es nicht für Analysten- oder Ingenieurrollen, passt aber gut zu SC-200 oder AZ-500 als nächstem Schritt.
Es gibt keine formellen Voraussetzungen. Microsoft empfiehlt Vertrautheit mit Netzwerk- und Cloud-Computing-Konzepten, allgemeine IT-Kenntnisse und ein grundlegendes Verständnis von Microsoft Azure und Microsoft 365 – aber Kandidaten ohne Microsoft-Hintergrund bestehen die Prüfung regelmäßig, nachdem sie den offiziellen Microsoft Learn-Pfad (~10–14 Stunden) und eine Übungsbewertung durchgearbeitet haben.
Wenn Sie Azure oder Microsoft 365 noch nie verwendet haben, wird der Abschluss von AZ-900 (Azure Fundamentals) oder MS-900 (Microsoft 365 Fundamentals) SC-900 spürbar erleichtern: Viele SC-900-Fragen gehen davon aus, dass Sie zentrale Azure-Ressourcen und die M365-Administrationsfläche kennen. Die drei "900er-Level"-Prüfungen überschneiden sich erheblich und werden oft zusammen von Kandidaten abgelegt, die eine Microsoft Cloud-Grundlage aufbauen. Praktische Labs sind nicht zwingend erforderlich, aber ein kostenloser Microsoft 365 Entwicklermandant und ein kostenloses Azure-Konto ermöglichen es Ihnen, durch die Entra-, Purview- und Defender-Portale zu klicken, was viel besser hängen bleibt als nur das Lesen.
SC-900 wird als grundlegend eingestuft und ist eine der zugänglicheren Microsoft-Zertifizierungen. Planen Sie 20–40 Stunden Lernzeit über 2–4 Wochen ein, wenn Sie keine vorherige Microsoft Cloud- oder Sicherheitserfahrung haben, oder 8–15 Stunden über eine Woche, wenn Sie das AZ-900 / MS-900-Gebiet bereits kennen. Die Prüfung dauert etwa 45 Minuten mit ungefähr 40–60 Multiple-Choice- und Multiple-Response-Fragen; die Bestehensnote beträgt 700/1000 auf einem skalierten Bewertungsmodell.
Der schwierigste Teil für die meisten Kandidaten ist die Erkennung von Dienstnamen: Das Microsoft-Sicherheitsportfolio wurde wiederholt umbenannt und neu organisiert (Azure AD wurde zu Entra ID, die Defender-Suite wurde zu Defender XDR konsolidiert, Microsoft 365 Compliance wurde zu Purview), und Prüfungsfragen testen konsequent, ob Sie den aktuellen Produktnamen der richtigen Funktion zuordnen können. Das Auswendiglernen der Rolle jedes Produkts – Defender for Endpoint vs. Defender for Cloud vs. Defender for Identity, Purview vs. Priva, Entra ID vs. Entra Permissions Management – ist das meiste dessen, was Bestehen von Nichtbestehen trennt.
Allgemeine Verfügbarkeit April 2021 als Teil des Microsoft Security, Compliance, and Identity Fundamentals-Tracks. Die Ziele werden regelmäßig aktualisiert (zuletzt, um die Umbenennung von Azure AD zu Entra und das Rebranding von Microsoft 365 Compliance zu Purview widerzuspiegeln); als Grundlagenprüfung wird sie nicht in einem einjährigen Zyklus zurückgezogen und das Zertifikat läuft nicht ab.
SC-900 (Microsoft Security, Compliance, and Identity Fundamentals) ist eine gilt als Einstiegsprüfung, die das breite konzeptionelle Verständnis statt der praktischen Tiefe testet Foundational-Level-Prüfung. Die meisten Kandidaten benötigen 30–80 Stunden Lernzeit, verteilt über 3–6 Wochen, für Prüfungen auf Grundlagenniveau. Die meisten Kandidaten, die bei Übungsprüfungen konstant über der Bestehensschwelle liegen, bestehen beim ersten Versuch.
Die meisten Kandidaten benötigen 30–80 Stunden Lernzeit, verteilt über 3–6 Wochen, für Prüfungen auf Grundlagenniveau. Die benötigte Zeit bis zum Bestehen variiert stark je nach Vorerfahrung. Ingenieure mit praktischer Produktionserfahrung in der zugrunde liegenden Technologie benötigen in der Regel weniger; Kandidaten, die neu auf der Plattform sind, sollten sich am oberen Ende dieses Bereichs orientieren.
SC-900 ist ein anerkanntes Zeugnis im Microsoft-Ökosystem und signalisiert Arbeitgebern, Personalvermittlern und Kunden validiertes Wissen. Ob es sich für Sie lohnt, hängt von Ihrer Rolle und Ihren Zielen ab – es zahlt sich am meisten für Cloud-Ingenieure, Architekten und Berater aus, die täglich mit Microsoft arbeiten oder in solche Rollen wechseln möchten.
Die Bestehensgrenze für SC-900 beträgt 700 / 1000. Die Prüfung enthält 40 Fragen und dauert 45 Min.
Die Prüfungsgebühr für SC-900 beträgt $99 USD. Die Gebühren werden von Microsoft festgelegt und können je nach Region variieren; bestätigen Sie immer den aktuellen Preis auf der offiziellen Microsoft Zertifizierungsseite, bevor Sie buchen.
Microsoft Fundamentals-Zertifizierungen verfallen nie (AZ-900, AI-900, DP-900, SC-900).
Ja. Sie können die Prüfung online (über den sicheren Browser des Anbieters, in den meisten Regionen rund um die Uhr verfügbar) oder in einem persönlichen Pearson VUE Testzentrum während der Geschäftszeiten ablegen. Beide Formate verwenden die gleichen Fragen, Zeitlimits und Bestehensgrenzen.
CertLabPro bietet 15 Lernmodi für die Übungsfragenbank für SC-900. Der Prüfungssimulationsmodus bildet die echte Prüfung ab: 40 Fragen in 45 Min, mit der gleichen Bestehensschwelle von 700 / 1000. Im Browsing-Modus können Sie jede Frage und Antwort statisch lesen.