Microsoft SC-900 ב-30 דקות: המבוא ליסודות האבטחה והתאימות
SC-900 הוא תעודת האבטחה הקלה ביותר של מיקרוסופט. מי באמת צריך אותה, מי כדאי שידלג עליה לטובת SC-200 או AZ-500, ומה מקבלים תמורת 99$.
SC-900 — Microsoft Certified: Security, Compliance, and Identity Fundamentals — היא הקלה ביותר מבין תעודות האבטחה של מיקרוסופט, וזהו גם יתרונה וגם מגבלתה. היא עולה 99$, אפשר להתכונן אליה בכ-10 שעות אם עבדתם קרוב ל-Microsoft 365 או Azure, והשאלות הן קונספטואליות: הגדר זאת, התאם את זה, זהה איזה מוצר של מיקרוסופט פותר איזו בעיה.
אם אתם אנשי אבטחה טכניים, כנראה שאתם יכולים להפסיק לקרוא ולגשת במקום זאת ל-SC-200 או AZ-500. ה-SC-900 אינו מכוון אליכם. הוא מכוון למבקרים (auditors), מנתחי תאימות (compliance analysts), מהנדסי מכירות (sales engineers), מנהלי פרויקטים (project managers) ומנהלי תיקים (account execs) שצריכים לדבר באמינות על ערימת האבטחה של מיקרוסופט מבלי להיות אלה שמטמיעים אותה.
מה באמת יש במבחן
התוכנית הנוכחית של SC-900 מכסה ארבעה תחומים:
- מושגי אבטחה, תאימות וזהות (~10–15%): היסודות — הגנה לעומק (defense in depth), אחריות משותפת (shared responsibility), Zero Trust, הצפנה במנוחה (encryption at rest) לעומת בהעברה (in transit), מסגרות תאימות נפוצות (GDPR, HIPAA, ISO 27001 ברמת זיהוי שם).
- יכולות Microsoft Entra (~25–30%): Entra ID (שמו המותג מחדש של Azure AD), שיטות אימות (authentication methods), MFA, גישה מותנית (Conditional Access), ממשל זהויות (identity governance), זהויות חיצוניות (External Identities), PIM ברמת אוצר מילים.
- פתרונות אבטחה של מיקרוסופט (~25–30%): Defender for Cloud, Defender for Endpoint, Defender for Office 365, Defender for Identity, Sentinel — מה כל אחד מהם עושה, לא איך להגדיר אותו. בתוספת Azure DDoS protection, Azure Firewall, NSGs, ו-Key Vault כחומר ברמת תכונות.
- פתרונות תאימות של מיקרוסופט (~25–30%): Purview (השם הכולל לכלי תאימות מאז 2022), Information Protection, Data Loss Prevention, Insider Risk Management, eDiscovery, Compliance Manager, ה-Service Trust Portal.
המבחן מכיל 40–60 שאלות, אורכו 60 דקות, והוא מורכב משאלות רב-ברירה (multiple-choice) ורב-בחירה (multi-select). אין מקרים לדוגמה (case studies), אין מעבדות (labs), ואין שאלות גרירה ושחרור (drag-drop sequencing). ציון עובר הוא 700/1000. ניתן לגשת למבחן באופן מקוון דרך Pearson VUE OnVUE או פיזית — בחירתכם.
מחיר מחירון הוא 99$ דולר ארה"ב (תמחור אזורי מוריד אותו לכ-50$ בשווקים מסוימים). התוקף הוא שנה אחת, עם חידוש חינם באמצעות הערכה מקוונת של 25 שאלות. תהליך החידוש של מיקרוסופט לתעודות יסוד הוא באמת קל וללא כאבים.
למי מיועד SC-900
שלושה קהלים שעבורם התעודה משתלמת:
- תפקידים לא טכניים בעבודות קשורות אבטחה. אנליסטים של GRC, קציני תאימות, מבקרים פנימיים ואנשי רכש שצריכים לאמת טענות אבטחה של ספקים. SC-900 מעניק לכם את אוצר המילים לקרוא סקירת אבטחה של Microsoft 365 ולדעת אם הבקרות המתוארות אמיתיות או שיווקיות.
- צוותי Pre-sales וניהול לקוחות בשותפי מיקרוסופט. זהו הקהל הגדול ביותר. סטטוס Microsoft Solutions Partner דורש עובדים מוסמכים, ו-SC-900 נספר למינימום הנדרש עבור דרגות שותפים. מהנדסי מכירות שיכולים לענות "מה ההבדל בין Defender for Endpoint לבין Defender for Cloud Apps?" סוגרים יותר עסקאות מאלה שמתחמקים מתשובות.
- מחליפי קריירה המשתמשים בה כנקודת התחלה. אם אתם עוברים לתחום ה-IT או האבטחה מתחום שאינו קשור, SC-900 היא דרך בעלת סיכון נמוך להפגין רצינות מבלי להוציא 165$ על בחינה מבוססת תפקיד שאינכם מוכנים אליה. צרפו אותה ל-AZ-900 תמורת 198$ ויהיה לכם אות מכובד של שתי תעודות "אני חדש אבל לא תייר".
מי כדאי שידלג עליה
אם אתם כבר מהנדסי אבטחה (security engineer), אנליסטים של SOC, מנהלי זהויות (identity admin), או מהנדסי ענן עם אחריות אבטחה — דלגו על SC-900. התוכן הוא הפרק הראשון של המבחנים מבוססי התפקיד. לא תלמדו דבר, תבזבזו 99$, ו-SC-900 בקורות חיים של מומחה אבטחה בכיר ייראה כמילוי.
למסלולים טכניים, החלופות הן:
- מסלול אנליסט SOC: SC-200 (Security Operations Analyst Associate), 165$, ניסיון מעשי עם Sentinel ו-Defender.
- מסלול מהנדס אבטחת ענן: AZ-500 (Azure Security Engineer Associate), 165$, עשיר בהגדרות (configuration-heavy) בכל Azure.
- מסלול מנהל זהויות: SC-300 (Identity and Access Administrator Associate), 165$, מעמיק ב-Entra ID.
- מסלול אדריכל אבטחה: SC-100 (Cybersecurity Architect Expert), 165$, דורש אחת מהתעודות הנ"ל כתנאי מקדים.
המבחנים מבוססי התפקיד מכסים את כל מה ש-SC-900 מכסה, בתוספת היישום בפועל. דילוג על היסודות כאשר יש לכם את הניסיון למבחנים מבוססי תפקיד אינו קיצור דרך — זו ההחלטה הנכונה.
זמן הכנה, מספרים מציאותיים
| רקע | שעות | לוח זמנים |
|---|---|---|
| כבר עובד/ת עם אבטחת M365 / Azure יומיומית | 5–8 | סוף שבוע אחד |
| איש/אשת IT כללי/ת, חשיפה מדי פעם למיקרוסופט | 10–15 | 1–2 שבועות |
| חדש/ה לגמרי לענן של מיקרוסופט | 20–30 | 3–4 שבועות |
| מחליף/ת קריירה, ללא רקע ב-IT | 40–60 | 6–8 שבועות |
המסלול הרשמי של Microsoft Learn עבור SC-900 הוא חינמי ועדכני — זהו המשאב היחיד שרוב המועמדים צריכים. לערוץ היוטיוב של John Savill יש "קורס בזק" ל-SC-900 ששימושי לקהל הלומדים בשמיעה. דלגו על קורסי Udemy בתשלום אלא אם הם עולים פחות מ-15$ — התוכן הרשמי מקיף מספיק.
נקודת המכשול הגדולה ביותר היא שמות המוצרים. מיקרוסופט שינתה את שמותיהם של מחצית ממוצרי האבטחה שלה בין 2020 ל-2024. Azure AD הפך ל-Entra ID. Microsoft Cloud App Security הפך ל-Defender for Cloud Apps. כלי התאימות אוחדו תחת Purview. המבחן בודק את השמות העדכניים, אך חומר לימוד ישן רב משתמש בשמות ישנים. אם אתם קוראים מדריך SC-900 משנת 2022, ודאו כל שם מוצר מול learn.microsoft.com לפני המבחן.
השפעה על השכר
אין כזו. SC-900 אינה משפיעה ישירות על שכר. זוהי תעודת אוצר מילים, לא תעודת מיומנות. ל-levels.fyi אין עמודה עבורה. ה-BLS אינו עוקב אחריה. מה שהיא כן יכולה לעשות:
- לעזור לכם לעבור סינון HR לתפקיד אבטחה או תאימות ברמת כניסה שבו מצוין "תעודת מיקרוסופט מועדפת" במודעה.
- לחזק קורות חיים של מהנדס מכירות בצד השותף, כאשר אישורי מיקרוסופט משפיעים ישירות על דרגות העמלות.
- לשמש כאבן דרך לקראת SC-200 או AZ-500, שם אות השכר אמיתי (אנליסטים לאבטחת מידע, BLS OEWS מאי 2024: חציון סביב 124k$, אחוזון 90 סביב 182k$ — אך זה למסלול מבוסס תפקיד, לא ל-SC-900).
אם המטרה שלכם היא העלאה בשכר, SC-900 לבדה לא תספק זאת. אם המטרה שלכם היא להשתתף בשיחות אבטחה של מיקרוסופט באופן מושכל, היא בהחלט תעזור.
האם כדאי לגשת אליה?
גשו ל-SC-900 אם:
- אתם בתפקיד לא טכני שצריך לדבר על אבטחת מיקרוסופט באופן אמין.
- אתם עובדים בשותף של מיקרוסופט והתעודה משפיעה על דרגת השותף או מבנה העמלות.
- אתם חדשים לגמרי בתחום ה-IT/אבטחה ורוצים תעודת התחלה בעלות 99$ לפני שתתחייבו למסלול מבוסס תפקיד.
דלגו על SC-900 אם:
- אתם כבר טכניים מספיק עבור SC-200, AZ-500, או SC-300 — התחילו משם.
- אתם לא עובדים ב"חנויות" מיקרוסופט (Microsoft shops) או מוכרים להן. התעודה ספציפית לספק ואין לה משמעות בארגון AWS או Google Cloud.
- אתם רודפים אחרי שכר. SC-900 לא תספק זאת.
אם SC-900 מתאימה לכם, עיינו בשאלות התרגול של SC-900 ב-CertLabPro או התחילו בחינה מתוזמנת. דפוס המבחן שם דגש רב על "התאם את המוצר לבעיה" — תרגול מול פריטים מציאותיים הוא הדרך המהירה ביותר לקלוט את טקסונומיית השמות של מיקרוסופט, שלמעשה מבלבלת את רוב האנשים.