Microsoft Cybersecurity Architect
225 preguntas de práctica
Última revisión: April 2026
Notas personales y enlaces de recursos para tu camino de estudio
Filtrar por Certificación
Microsoft Cybersecurity Architect (SC-100) es la credencial de seguridad de nivel experto de Microsoft, que valida la capacidad de diseñar estrategias de seguridad a nivel empresarial que se alinean con Zero Trust, las Microsoft Cybersecurity Reference Architectures (MCRA) y el Cloud Adoption Framework (CAF). Está dirigido a arquitectos de seguridad sénior, ingenieros de seguridad principales, líderes con trayectoria hacia CISO y consultores que son propietarios de diseños de extremo a extremo que abarcan identidad, infraestructura, aplicaciones, datos y SecOps. El examen se basa en escenarios y exige criterio, no memoria: los candidatos deben sopesar las compensaciones entre Microsoft Entra, Defender XDR, Defender for Cloud, Sentinel, Purview e Intune, y recomendar diseños que satisfagan los requisitos regulatorios, de gobernanza y de resiliencia junto con los controles de seguridad.
Diseño de estrategias alineadas con los principios de Zero Trust, MCRA, MCSB (Microsoft Cloud Security Benchmark), CAF y Well-Architected Framework. Planificación de resiliencia, estrategia de recuperación de ransomware y escenarios de computación confidencial. Alrededor del 22% del examen — el dominio de "juicio arquitectónico" más importante.
Dominio más grande (28%). Diseños para herramientas y procesos de SOC (Sentinel, Defender XDR, Security Copilot), arquitecturas de identidad y acceso (Entra ID, acceso condicional, PIM, Entra Permissions Management, Verified ID), y diseños de cumplimiento y gobernanza de datos en Microsoft Purview.
Igualmente el más grande con un 28%. Diseños de seguridad de endpoints, servidores, IoT/OT y nube híbrida. Defender for Cloud a través de la multinube (Azure, AWS, GCP), Defender for Endpoint, Defender for Servers, segmentación de red y gestión de claves/secretos con Azure Key Vault y HSMs.
Modelado de amenazas de aplicaciones, DevOps seguro y controles de cadena de suministro (GitHub Advanced Security, Defender for DevOps), seguridad de API, clasificación y protección de datos a través de Purview Information Protection, y estrategias de cifrado de bases de datos/almacenamiento. Alrededor del 22% del examen.
Servicios que encontrarás en el examen y por qué cada uno importa.
Marco de referencia de Microsoft que asume una violación y aplica la verificación explícita, el acceso con privilegios mínimos y los principios de "asumir la violación" en identidades, puntos finales, aplicaciones, datos, infraestructura y redes.
Por qué está en el examen: El Dominio 1 (Prácticas recomendadas y prioridades) basa cada discusión de diseño de SC-100 en Zero Trust; espere preguntas sobre qué pilares se aplican a un escenario dado.
Arquitectura de referencia diagramada de Microsoft que mapea los controles de seguridad (Defender, Entra, Sentinel, Purview, Intune) a los pilares de Zero Trust y al entorno empresarial híbrido.
Por qué está en el examen: El Dominio 1 cita explícitamente MCRA como el lente para alinear soluciones con la arquitectura de seguridad recomendada por Microsoft; las preguntas hacen referencia a capas específicas de MCRA.
Proveedor de identidad en la nube con directorio, B2B/B2C, federación y señales de riesgo, combinado con PIM para elevación justo a tiempo, flujos de trabajo de aprobación y activación de roles con tiempo limitado.
Por qué está en el examen: El Dominio 2 (Operaciones de seguridad, identidad y cumplimiento) convierte a Entra ID + PIM en la columna vertebral arquitectónica para el diseño de estrategias de identidad y acceso privilegiado.
SIEM y SOAR nativo de la nube que agrega señales de todo el entorno, ejecuta consultas de búsqueda KQL y automatiza la respuesta a incidentes a través de playbooks construidos sobre Logic Apps.
Por qué está en el examen: El Dominio 2 evalúa la estrategia SIEM/SOAR a escala empresarial; Sentinel es la plataforma nombrada para diseñar capacidades de operaciones de seguridad, residencia de datos y arquitectura de ingesta de registros.
Superficie de detección y respuesta extendida entre cargas de trabajo que correlaciona las señales de Defender for Endpoint, Office 365, Identity y Cloud Apps en una vista unificada de incidentes.
Por qué está en el examen: El Dominio 2 considera a Defender XDR como la respuesta arquitectónica para la gestión unificada de incidentes que abarca correo electrónico, identidad, punto final y aplicaciones en la nube.
Plataforma de protección de aplicaciones nativa de la nube que combina la Gestión de la Postura de Seguridad en la Nube con planes de protección de cargas de trabajo en recursos de Azure, AWS y GCP.
Por qué está en el examen: El Dominio 3 (Seguridad de la infraestructura) se basa en Defender for Cloud; las preguntas evalúan la postura multinube, la mejora de la puntuación de seguridad y qué plan CWP cubre qué carga de trabajo.
Plataforma unificada de gobernanza de datos y riesgo que abarca la protección de la información, la prevención de pérdida de datos, la gestión de riesgos internos, el ciclo de vida de los datos y el linaje del mapa de datos en Microsoft 365 y Azure.
Por qué está en el examen: El Dominio 4 (Aplicaciones y datos) presenta a Purview como la respuesta arquitectónica para la clasificación, protección y alineación regulatoria de los datos en todo el entorno.
Gestión unificada de puntos finales que inscribe y configura dispositivos Windows, macOS, iOS, Android y Linux, y emite señales de cumplimiento consumidas por el Acceso Condicional.
Por qué está en el examen: El Dominio 3 cita a Intune como la fuente arquitectónica de la postura de cumplimiento de dispositivos que condiciona las decisiones de acceso a recursos de Zero Trust.
Descubrimiento a escala de internet de la superficie de ataque externa de una organización — dominios expuestos, certificados, IPs y activos ocultos — con orientación de remediación priorizada.
Por qué está en el examen: El trabajo de arquitectura del Dominio 3 cubre la reducción de la superficie de ataque; EASM es la herramienta nombrada para inventariar activos expuestos a internet que la organización podría no reconocer como propios.
Plataforma de inteligencia de amenazas que combina la telemetría de Microsoft con adquisiciones de RiskIQ para exponer IOCs, perfiles de actores de amenazas y vinculaciones de infraestructura.
Por qué está en el examen: Los escenarios de arquitectura SOC del Dominio 2 referencian a Defender TI como la capa de contexto de amenazas que enriquece la clasificación de incidentes de Sentinel y XDR.
Servicio de identidad descentralizada que emite y verifica credenciales verificables a prueba de manipulaciones basadas en los estándares W3C DID y Verifiable Credential.
Por qué está en el examen: Las preguntas de arquitectura de identidad del Dominio 2 distinguen los patrones de identidad federada y descentralizada; Verified ID es la opción descentralizada nombrada.
Gestión de derechos de infraestructura en la nube (CIEM) que mapea y ajusta los permisos en identidades de Azure, AWS y GCP para reducir el aumento de permisos.
Por qué está en el examen: Los escenarios de identidad multinube del Dominio 2 citan a Permissions Management como el control CIEM para diseñar el principio de mínimos privilegios en todos los proveedores de la nube.
Servicio de firewall de red con estado administrado con política centralizada a través de Firewall Manager; el nivel Premium añade inspección TLS, IDPS y filtrado de URL.
Por qué está en el examen: Las preguntas de diseño de perímetro del Dominio 3 referencian a Azure Firewall + Firewall Manager como el plano centralizado de seguridad de red para topologías hub-spoke y Secured Virtual Hubs.
Agente de seguridad de acceso a la nube (CASB) que descubre la TI en la sombra, gobierna el SaaS sancionado a través de conectores API y aplica controles de sesión mediante el Control de Aplicaciones de Acceso Condicional.
Por qué está en el examen: La arquitectura de seguridad SaaS del Dominio 4 cita a Defender for Cloud Apps como la capa CASB que complementa DLP y el Acceso Condicional en el nivel de aplicación.
Detección impulsada por ML de actividad interna de riesgo — exfiltración, robo por empleados salientes, violaciones de políticas — con investigación seudonimizada y flujos de trabajo alineados con RRHH.
Por qué está en el examen: El Dominio 4 evalúa explícitamente la estrategia de amenazas internas como un pilar separado de las amenazas externas; Insider Risk Management es la carga de trabajo nombrada en la arquitectura de cumplimiento.
Etiquetas de sensibilidad con cifrado, marcado de contenido y aplicación de derechos que viajan con documentos y correos electrónicos a través de Microsoft 365, puntos finales y SaaS de socios.
Por qué está en el examen: Los escenarios de arquitectura de datos del Dominio 4 posicionan a Information Protection como el control canónico para clasificar y proteger datos en reposo, en tránsito y en uso.
Aplicación de política como código combinada con Blueprints (obsoleto pero evaluado) y zonas de aterrizaje de Cloud Adoption Framework para líneas base de gobernanza a escala empresarial.
Por qué está en el examen: Las preguntas de diseño empresarial del Dominio 1 referencian las zonas de aterrizaje y Azure Policy como la base para la gobernanza, el cumplimiento y las líneas base de seguridad a escala.
Compliance Manager califica la postura del inquilino frente a marcos como ISO 27001, NIST 800-53 y GDPR; Service Trust Portal aloja los informes de auditoría de terceros y la documentación de cumplimiento de Microsoft.
Por qué está en el examen: Los escenarios de arquitectura de cumplimiento del Dominio 2 citan a Compliance Manager (acciones de mejora, puntuación) y Service Trust Portal (informes de auditoría) como las fuentes de evidencia para la alineación regulatoria.
Motor de políticas basado en señales que evalúa entradas de usuario, dispositivo, ubicación, aplicación y riesgo para aplicar controles — MFA, dispositivo compatible, restricción de sesión — antes de conceder acceso.
Por qué está en el examen: El Dominio 2 convierte el Acceso Condicional en el punto central de aplicación de Zero Trust; cada respuesta de arquitectura de identidad pasa por él.
Puntuación de postura cuantificada y recomendaciones priorizadas en Azure, AWS y GCP, mapeadas a marcos de cumplimiento regulatorio (Azure Security Benchmark, CIS, PCI, ISO).
Por qué está en el examen: Los escenarios de arquitectura de postura del Dominio 3 utilizan Secure Score como métrica para rastrear e informar la mejora de la seguridad en la nube a las partes interesadas.
$150k–$200k–$280k USD anual
El rango refleja los roles de arquitecto de seguridad sénior y principal con sede en EE. UU., donde se espera que el candidato sea propietario de diseños empresariales en toda la pila de seguridad de Microsoft. Los mercados no costeros y los niveles de personal de las firmas de consultoría tienden a ser más bajos; la compensación total de los arquitectos principales de FAANG/grandes bancos supera regularmente los $300k. SC-100 por sí solo no desbloquea estos salarios — complementa años de experiencia en arquitectura y, típicamente, una pila de certificaciones previas.
Fuente: roles de arquitectura de seguridad e ingeniería de seguridad principal de levels.fyi 2025–2026, U.S. BLS OEWS Mayo 2024 (15-1241 arquitectos de redes de computadoras, mediana ~$130k; 15-1212 analistas de seguridad de la información, mediana ~$120k), (ISC)² Cybersecurity Workforce Study 2024. Las cifras son aproximadas; la compensación real depende del rol, la región y la experiencia.
La demanda de arquitectos de ciberseguridad se ha mantenido estructuralmente ajustada durante 2024–2026 — los datos de la fuerza laboral de (ISC)² continúan mostrando una brecha global de millones de roles, concentrada en el nivel sénior y de arquitecto. SC-100 es una de las pocas credenciales específicamente posicionadas para ese nivel y es ampliamente mencionada como preferida en las ofertas de empleo de arquitecto de seguridad empresarial y líder de práctica de Microsoft, especialmente en organizaciones cuya pila de seguridad está anclada en Defender, Sentinel, Entra y Purview. Los socios consultores de Microsoft la utilizan como una puerta de entrada de credenciales para roles de entrega sénior y promociones en la trayectoria de arquitectura. Se combina naturalmente con AZ-305 (arquitecto de soluciones de Azure) o credenciales de arquitecto de AWS/GCP para candidatos que poseen diseños multi-nube, y con CISSP para candidatos que avanzan hacia roles con trayectoria CISO.
SC-100 tiene las expectativas de requisitos previos más sólidas de cualquier examen de seguridad de Microsoft. Microsoft recomienda — y efectivamente asume — que los candidatos ya poseen una de las certificaciones AZ-500 (Azure Security Engineer), SC-200 (Security Operations Analyst), SC-300 (Identity and Access Administrator) o la ya retirada MS-500 (Microsoft 365 Security Administrator) antes de intentar SC-100. Aunque el requisito previo no se aplica en el registro, el examen está calibrado para candidatos que llegan con ese nivel de conocimiento operativo.
Más allá del requisito previo de la certificación, Microsoft espera experiencia y conocimientos avanzados en identidad y acceso, protección de plataformas, operaciones de seguridad y protección de datos y aplicaciones, además de experiencia con implementaciones híbridas y en la nube. En la práctica, los candidatos exitosos son ingenieros o arquitectos de seguridad sénior con varios años de experiencia práctica en Microsoft 365 y Azure, conocimiento práctico de los principios de Zero Trust y exposición a marcos de gobernanza empresarial. Considere los requisitos previos recomendados como un nivel mínimo real, no una sugerencia.
SC-100 es ampliamente considerado como uno de los exámenes de Microsoft más difíciles — comparable en dificultad a AZ-305 o AWS Solutions Architect Professional, y notablemente más difícil que los exámenes de nivel asociado SC-200 o SC-300. Planifique de 80 a 150 horas de estudio enfocado durante 8 a 14 semanas, incluso si ya posee la certificación de requisito previo, y significativamente más si su experiencia práctica en arquitectura es limitada. El examen dura de 100 a 120 minutos con 40 a 60 preguntas, incluyendo opciones múltiples, respuestas múltiples, arrastrar y soltar, construir listas y uno o más estudios de caso; la puntuación mínima para aprobar es de 700/1000.
El desafío principal es que las preguntas de SC-100 rara vez tienen una única respuesta objetivamente correcta — preguntan qué diseño se adapta mejor a un conjunto establecido de restricciones comerciales, regulatorias y técnicas. Los candidatos que estudian memorizando las capacidades de los servicios tienden a fallar; aquellos que internalizan Zero Trust, MCRA, MCSB y CAF como marcos de decisión, y luego practican aplicándolos a estudios de caso ambiguos, tienden a aprobar. La presión del tiempo en los estudios de caso es real.
Disponibilidad general en mayo de 2022 como la primera credencial de seguridad de nivel experto de Microsoft. Desde entonces, los objetivos se han actualizado para reflejar el cambio de nombre de Azure AD a Entra, la consolidación de Defender XDR, el Microsoft Cloud Security Benchmark (que reemplaza al Azure Security Benchmark) y la adición de la guía de Microsoft Security Copilot. Las credenciales basadas en roles expiran un año después de aprobar; la renovación es gratuita mediante una evaluación en línea sin supervisión en Microsoft Learn.
SC-100 (Microsoft Cybersecurity Architect) es un examen de nivel Expert un examen desafiante, con muchos escenarios, que requiere una profunda experiencia práctica y la capacidad de tomar decisiones de compensación arquitectónica. La mayoría de los candidatos necesitan entre 150 y 300 horas de estudio distribuidas en 3 a 6 meses para los exámenes de nivel profesional y experto. Estos exámenes suelen esperar una competencia previa a nivel asociado. La mayoría de los candidatos que obtienen consistentemente una puntuación por encima del umbral de aprobación en los exámenes de práctica, aprueban en su primer intento.
La mayoría de los candidatos necesitan entre 150 y 300 horas de estudio distribuidas en 3 a 6 meses para los exámenes de nivel profesional y experto. Estos exámenes suelen esperar una competencia previa a nivel asociado. El tiempo para aprobar varía ampliamente según la experiencia previa. Los ingenieros con experiencia práctica en producción en la tecnología subyacente suelen necesitar menos; los candidatos nuevos en la plataforma deben planificar hacia el extremo superior de ese rango.
SC-100 es una credencial reconocida en el ecosistema de Microsoft y señala conocimientos validados a empleadores, reclutadores y clientes. Si vale la pena el tiempo y la tarifa para ti, depende de tu rol y objetivos — tiende a ser más rentable para ingenieros de la nube, arquitectos y consultores que trabajan con Microsoft a diario o quieren pasar a roles que lo hagan.
La puntuación de aprobación para SC-100 es 700 / 1000. El examen contiene 50 preguntas y dura 2 h.
La tarifa del examen SC-100 es de $165 USD. Las tarifas son establecidas por Microsoft y pueden variar según la región; siempre confirma el precio actual en la página oficial de certificación de Microsoft antes de reservar.
Las certificaciones basadas en roles de Microsoft expiran después de 1 año, pero pueden renovarse de forma gratuita a través de una evaluación en línea sin supervisión en Microsoft Learn, a partir de 6 meses antes de la caducidad.
Sí. Puedes realizar el examen en línea (supervisado a través del navegador seguro del proveedor, disponible 24/7 en la mayoría de las regiones) o en un centro de examen presencial de Pearson VUE durante el horario comercial. Ambos formatos utilizan las mismas preguntas, límite de tiempo y puntuación de aprobación.
CertLabPro ofrece 15 modos de estudio en todo el banco de preguntas de práctica para SC-100. El modo de simulación de examen reproduce el examen real: 50 preguntas en 2 h, con el mismo umbral de aprobación de 700 / 1000. El modo de navegación te permite leer todas las preguntas y respuestas de forma estática.