Microsoft Security, Compliance, and Identity Fundamentals
175 preguntas de práctica
Última revisión: April 2026
Notas personales y enlaces de recursos para tu camino de estudio
Filtrar por Certificación
Microsoft Security, Compliance, and Identity Fundamentals (SC-900) es una credencial fundamental que valida la comprensión conceptual del portfolio de seguridad, cumplimiento e identidad (SCI) de Microsoft en Microsoft 365 y Azure. Está dirigido a partes interesadas del negocio, generalistas de TI, personal de ventas y partners, líderes de cumplimiento y cualquier persona nueva en seguridad que necesite un vocabulario compartido para Microsoft Entra, Microsoft Defender, Microsoft Sentinel, Microsoft Purview e Intune. El examen es conceptual en lugar de práctico: se espera reconocer las capacidades del servicio, identificar qué producto aborda un escenario dado (Zero Trust, DLP, acceso condicional, riesgo interno) y explicar los principios básicos de identidad, cifrado y responsabilidad compartida en lenguaje sencillo.
Vocabulario fundamental: Zero Trust, defensa en profundidad, el modelo de responsabilidad compartida, conceptos básicos de cifrado y hashing, y los cuatro pilares de la identidad (administración, autenticación, autorización, auditoría). Es el de menor peso (12%), pero constituye el andamiaje conceptual sobre el que se construye el resto del examen.
Microsoft Entra ID (anteriormente Azure AD), identidades externas (B2B/B2C), acceso condicional, autenticación multifactor, sin contraseña, Identity Protection, Privileged Identity Management y Entra Permissions Management / Verified ID. Aproximadamente el 28% del examen — el segundo dominio más grande.
El dominio más grande (38%). Cubre Microsoft Sentinel (SIEM/SOAR nativo de la nube), la familia Microsoft Defender XDR (Defender for Endpoint, Office 365, Identity, Cloud Apps), Defender for Cloud, seguridad de red de Azure (NSGs, Azure Firewall, DDoS Protection) y Azure Bastion. Espera preguntas de escenario que pregunten qué producto se ajusta a qué amenaza.
Microsoft Purview (portal de cumplimiento, protección de la información, DLP, gestión de riesgos internos, eDiscovery, auditoría), Service Trust Portal, Compliance Manager y gobernanza de recursos a través de Azure Policy y Microsoft Purview Data Governance. Aproximadamente el 22% del examen.
Servicios que encontrarás en el examen y por qué cada uno importa.
Servicio de gestión de identidades y accesos en la nube que autentica usuarios, dispositivos y cargas de trabajo contra cuentas de directorio, identidades externas B2B/B2C y proveedores federados.
Por qué está en el examen: El Dominio 2 (Capacidades de Microsoft Entra) se centra en Entra ID como el proveedor de identidad; espere preguntas sobre autenticación, SSO, MFA y tipos de inquilinos.
Protección de identidad basada en riesgos que detecta anomalías de inicio de sesión, credenciales filtradas y patrones de viaje imposibles, y luego aplica políticas de riesgo.
Por qué está en el examen: El Dominio 2 evalúa el acceso condicional basado en riesgos; ID Protection es la fuente nombrada de señales de riesgo de inicio de sesión y de usuario.
Servicio de identidad descentralizada que emite y verifica credenciales digitales a prueba de manipulaciones basadas en estándares abiertos (W3C DIDs, Verifiable Credentials).
Por qué está en el examen: El Dominio 2 presenta Verified ID como el escenario de identidad descentralizada, distinguiendo la verificación basada en reclamaciones de las búsquedas de directorio tradicionales.
Flujos de trabajo de elevación y aprobación just-in-time para roles privilegiados en Entra ID, recursos de Azure y Microsoft 365, con acceso limitado en el tiempo y registros de auditoría.
Por qué está en el examen: El Dominio 2 evalúa patrones de mínimo privilegio; PIM es la respuesta nombrada para "¿cómo se concede acceso de administrador bajo demanda sin permisos permanentes?".
Suite de defensa unificada pre y post-brecha que correlaciona señales de endpoints, identidades, correo electrónico, aplicaciones en la nube y datos en una única vista de incidentes.
Por qué está en el examen: El Dominio 3 (Soluciones de seguridad de Microsoft) se apoya en Defender XDR como la superficie de investigación de incidentes en cargas de trabajo cruzadas.
Plataforma de protección de aplicaciones nativas de la nube (CNAPP) que proporciona gestión de la postura de seguridad (CSPM) y protección de cargas de trabajo (CWP) en Azure, AWS y GCP.
Por qué está en el examen: El Dominio 3 espera Defender for Cloud como la respuesta de postura y protección de cargas de trabajo multinube; la puntuación segura, el cumplimiento normativo y los planes CWP aparecen en las preguntas.
SIEM y SOAR nativos de la nube construidos sobre Azure que ingiere señales de todo el patrimonio, caza amenazas con KQL y automatiza la respuesta a través de playbooks.
Por qué está en el examen: El Dominio 3 nombra a Sentinel como la respuesta SIEM/SOAR; las preguntas evalúan la distinción entre SIEM y SOAR y la arquitectura de los conectores de datos.
Plataforma EDR (detección y respuesta de endpoints) empresarial con reducción de la superficie de ataque, antimalware de próxima generación e investigación automatizada en Windows, macOS, Linux, iOS, Android.
Por qué está en el examen: El Dominio 3 evalúa las capacidades de protección de endpoints; Defender for Endpoint es el EDR nombrado para escenarios de amenazas a nivel de dispositivo.
Protección para buzones de Microsoft 365, Teams, SharePoint y OneDrive contra phishing, compromiso de correo electrónico empresarial y archivos adjuntos maliciosos mediante Safe Links y Safe Attachments.
Por qué está en el examen: El Dominio 3 incluye escenarios de amenazas por correo electrónico y colaboración; Defender for Office 365 es el control nombrado para Safe Links, Safe Attachments y políticas antiphishing.
CASB (agente de seguridad de acceso a la nube) que descubre TI en la sombra, aplica controles de sesión y protege aplicaciones SaaS autorizadas mediante conectores API y proxy inverso.
Por qué está en el examen: El Dominio 3 enmarca escenarios CASB — el descubrimiento de TI en la sombra, el control de aplicaciones de acceso condicional y la DLP SaaS apuntan a Defender for Cloud Apps.
Detección de amenazas en Active Directory local que expone ataques de reconocimiento, movimiento lateral, dominancia de dominio y Golden Ticket a partir del tráfico del controlador de dominio.
Por qué está en el examen: El Dominio 3 cubre las amenazas de identidad híbrida; Defender for Identity es la capa de detección centrada en AD, distinta de Entra ID Protection, que es solo en la nube.
Gestión unificada de endpoints (UEM) para el registro de dispositivos, configuración, despliegue de aplicaciones y evaluación de cumplimiento en Windows, macOS, iOS, Android y Linux.
Por qué está en el examen: El Dominio 3 vincula el cumplimiento de dispositivos al Acceso Condicional; Intune proporciona la señal de cumplimiento que controla el acceso a los recursos.
Etiquetas de sensibilidad, cifrado y clasificación consciente del contenido que acompañan a documentos y correos electrónicos en Microsoft 365 y aplicaciones de terceros aprobadas.
Por qué está en el examen: El Dominio 4 (Soluciones de cumplimiento de Microsoft) evalúa cómo las etiquetas clasifican y protegen los datos en reposo, en tránsito y en uso.
Motor de políticas que detecta, bloquea o audita datos sensibles en movimiento en los servicios de Microsoft 365, endpoints y SharePoint/OneDrive local.
Por qué está en el examen: El Dominio 4 nombra a DLP como la respuesta canónica para escenarios de "detener la salida de contenido sensible del inquilino" en correo electrónico, Teams y endpoints.
Detección impulsada por ML de actividad interna maliciosa o inadvertida — exfiltración de datos, robo por parte de empleados salientes, violaciones de políticas — con flujos de trabajo de investigación seudonimizados.
Por qué está en el examen: El Dominio 4 cubre las amenazas internas como un pilar de cumplimiento distinto; Insider Risk Management es la carga de trabajo nombrada.
Capacidades de retención legal, búsqueda y exportación en el contenido de Microsoft 365 para litigios, investigación y respuesta regulatoria, con flujos de trabajo de custodia de eDiscovery (Premium).
Por qué está en el examen: El Dominio 4 evalúa los flujos de trabajo de retención legal/regulatoria; eDiscovery es la herramienta nombrada para la preservación, búsqueda y exportación.
Servicio de política como código que audita y aplica la configuración de recursos en las suscripciones de Azure, con Blueprints empaquetando políticas, asignaciones de roles y plantillas ARM como una unidad desplegable.
Por qué está en el examen: El Dominio 1 y el Dominio 4 hacen referencia a la aplicación de políticas como el mecanismo detrás de las líneas base de gobernanza; Azure Policy + Blueprints es el control nombrado.
Portal centralizado para la documentación de cumplimiento de la nube de Microsoft, emparejado con Compliance Manager, que califica el cumplimiento del inquilino contra marcos como ISO 27001, NIST y GDPR.
Por qué está en el examen: El Dominio 4 evalúa explícitamente el Service Trust Portal y Compliance Manager como las interfaces que los clientes utilizan para evidenciar la postura de cumplimiento.
Motor de políticas que evalúa señales — usuario, ubicación, estado del dispositivo, aplicación, riesgo — y aplica controles como MFA, dispositivo conforme o restricciones de sesión antes de conceder acceso.
Por qué está en el examen: El Dominio 2 trata el Acceso Condicional como el punto central de aplicación de las señales de Zero Trust; espere preguntas de escenario sobre asignación de políticas y exclusiones.
Servicio gestionado para claves, secretos y certificados con protección de claves respaldada por HSM, integración de claves gestionadas por el cliente (CMK) y políticas de acceso mediante RBAC o políticas de acceso a la bóveda.
Por qué está en el examen: El Dominio 3 cubre la protección de secretos y los escenarios de cifrado CMK; Key Vault es el almacén nombrado en las cargas de trabajo de Azure.
$65k–$92k–$130k USD anual
SC-900 es fundamental y rara vez es el factor decisivo en la compensación. Estos rangos reflejan roles de seguridad y adyacentes a la identidad al inicio de la carrera en EE. UU., donde SC-900 es una de varias señales en el currículum. Los roles de seguridad senior (donde se esperan SC-200, SC-100, AZ-500 o CISSP) tienden a ser significativamente más altos.
Fuente: BLS OEWS de EE. UU. Mayo de 2024 (15-1212 information security analysts, mediana ~$120k; 15-1232 computer user support, mediana ~$60k), roles de seguridad y soporte de TI de levels.fyi 2025–2026. Las cifras son aproximadas; la compensación real depende del rol, la región y la experiencia.
La pila de seguridad de Microsoft —Defender XDR, Sentinel, Purview, Entra e Intune— es la predeterminada en una gran parte de las empresas que ya utilizan Microsoft 365 y Azure, lo que convierte a SC-900 en una de las credenciales de seguridad de nivel de entrada más reconocidas. Los reclutadores la utilizan como una señal de filtro de que un candidato puede hablar el vocabulario de seguridad de Microsoft en las entrevistas incluso antes de ocupar un puesto práctico. Es especialmente común en currículums de personal de mesa de ayuda, generalistas de TI, cumplimiento y preventa de partners que están pivotando hacia la seguridad, y para partes interesadas no técnicas (gerentes de proyectos, ejecutivos de cuentas, líderes GRC) que necesitan credibilidad al discutir Zero Trust, acceso condicional o DLP con equipos de seguridad. Por sí misma no califica a alguien para roles de analista o ingeniero, pero se complementa bien con SC-200 o AZ-500 como siguiente paso.
No hay requisitos previos formales. Microsoft recomienda familiaridad con los conceptos de redes y computación en la nube, conocimientos generales de TI y una comprensión básica de Microsoft Azure y Microsoft 365; sin embargo, los candidatos sin experiencia previa con Microsoft suelen aprobar después de completar la ruta de aprendizaje oficial de Microsoft Learn (~10-14 horas) y una evaluación práctica.
Si nunca ha utilizado Azure o Microsoft 365, completar AZ-900 (Azure Fundamentals) o MS-900 (Microsoft 365 Fundamentals) primero hará que SC-900 sea notablemente más fácil: muchas preguntas de SC-900 asumen que reconoce los recursos centrales de Azure y la superficie de administración de M365. Los tres exámenes "de nivel 900" se superponen significativamente y a menudo son tomados juntos por candidatos que construyen una base en la nube de Microsoft. Los laboratorios prácticos no son estrictamente obligatorios, pero un inquilino de desarrollador gratuito de Microsoft 365 y una cuenta gratuita de Azure le permiten hacer clic por los portales de Entra, Purview y Defender, lo que se asimila mucho mejor que solo leer.
SC-900 se clasifica como fundamental y es una de las certificaciones de Microsoft más accesibles. Planifique de 20 a 40 horas de estudio durante 2 a 4 semanas si no tiene experiencia previa en la nube o seguridad de Microsoft, o de 8 a 15 horas durante una semana si ya conoce el territorio de AZ-900 / MS-900. El examen dura aproximadamente 45 minutos con unas 40 a 60 preguntas de opción múltiple y respuesta múltiple; la puntuación de aprobación es de 700/1000 en un modelo de puntuación escalado.
La parte más difícil para la mayoría de los candidatos es el reconocimiento de los nombres de los servicios: el portfolio de seguridad de Microsoft ha sido renombrado y reorganizado repetidamente (Azure AD se convirtió en Entra ID, la suite Defender se consolidó en Defender XDR, Microsoft 365 Compliance se convirtió en Purview), y las preguntas del examen evalúan consistentemente si puede emparejar el nombre del producto actual con la capacidad correcta. Memorizar el rol de cada producto —Defender for Endpoint vs. Defender for Cloud vs. Defender for Identity, Purview vs. Priva, Entra ID vs. Entra Permissions Management— es la mayor parte de lo que separa el aprobar del suspender.
Disponibilidad general en abril de 2021 como parte de la trayectoria de Microsoft Security, Compliance, and Identity Fundamentals. Los objetivos se actualizan periódicamente (más recientemente para reflejar el cambio de nombre de Azure AD a Entra y el cambio de marca de Microsoft 365 Compliance a Purview); como examen fundamental, no se retira en un ciclo de 1 año y la credencial no caduca.
SC-900 (Microsoft Security, Compliance, and Identity Fundamentals) es un examen de nivel Foundational considerado un examen de nivel de entrada que evalúa la amplitud de la comprensión conceptual en lugar de la profundidad práctica. La mayoría de los candidatos necesitan entre 30 y 80 horas de estudio distribuidas en 3 a 6 semanas para los exámenes de nivel fundamental. La mayoría de los candidatos que obtienen consistentemente una puntuación por encima del umbral de aprobación en los exámenes de práctica, aprueban en su primer intento.
La mayoría de los candidatos necesitan entre 30 y 80 horas de estudio distribuidas en 3 a 6 semanas para los exámenes de nivel fundamental. El tiempo para aprobar varía ampliamente según la experiencia previa. Los ingenieros con experiencia práctica en producción en la tecnología subyacente suelen necesitar menos; los candidatos nuevos en la plataforma deben planificar hacia el extremo superior de ese rango.
SC-900 es una credencial reconocida en el ecosistema de Microsoft y señala conocimientos validados a empleadores, reclutadores y clientes. Si vale la pena el tiempo y la tarifa para ti, depende de tu rol y objetivos — tiende a ser más rentable para ingenieros de la nube, arquitectos y consultores que trabajan con Microsoft a diario o quieren pasar a roles que lo hagan.
La puntuación de aprobación para SC-900 es 700 / 1000. El examen contiene 40 preguntas y dura 45 min.
La tarifa del examen SC-900 es de $99 USD. Las tarifas son establecidas por Microsoft y pueden variar según la región; siempre confirma el precio actual en la página oficial de certificación de Microsoft antes de reservar.
Las certificaciones de fundamentos de Microsoft nunca expiran (AZ-900, AI-900, DP-900, SC-900).
Sí. Puedes realizar el examen en línea (supervisado a través del navegador seguro del proveedor, disponible 24/7 en la mayoría de las regiones) o en un centro de examen presencial de Pearson VUE durante el horario comercial. Ambos formatos utilizan las mismas preguntas, límite de tiempo y puntuación de aprobación.
CertLabPro ofrece 15 modos de estudio en todo el banco de preguntas de práctica para SC-900. El modo de simulación de examen reproduce el examen real: 40 preguntas en 45 min, con el mismo umbral de aprobación de 700 / 1000. El modo de navegación te permite leer todas las preguntas y respuestas de forma estática.