Microsoft SC-900 em 30 minutos: o guia fundamental de segurança/conformidade

SC-900 — Microsoft Certified: Security, Compliance, and Identity Fundamentals — é a mais fácil das certificações de segurança da Microsoft, e esse é tanto seu ponto forte quanto sua limitação. Custa $99, você pode preparar-se para ela em aproximadamente 10 horas se já trabalhou perto de Microsoft 365 ou Azure, e as questões são conceituais: defina isto, associe aquilo, identifique qual produto Microsoft resolve qual problema.

Se você é uma pessoa técnica de segurança, provavelmente pode parar de ler e fazer SC-200 ou AZ-500 em vez disso. O SC-900 não é para você. É direcionada a auditores, analistas de conformidade, engenheiros de vendas, gerentes de projeto e executivos de contas que precisam falar de forma credível sobre o stack de segurança da Microsoft sem serem os responsáveis pela implementação.

O que realmente está no exame

O blueprint atual do SC-900 cobre quatro domínios:

• Conceitos de segurança, conformidade e identidade (~10–15%): os fundamentos — defesa em profundidade, responsabilidade compartilhada, Zero Trust, criptografia em repouso vs em trânsito, frameworks de conformidade comuns (GDPR, HIPAA, ISO 27001 em nível de reconhecimento de nome).
• Capacidades do Microsoft Entra (~25–30%): Entra ID (o Azure AD renomeado), métodos de autenticação, MFA, Acesso Condicional, governança de identidade, Identidades Externas, PIM em nível de vocabulário.
• Soluções de segurança da Microsoft (~25–30%): Defender for Cloud, Defender for Endpoint, Defender for Office 365, Defender for Identity, Sentinel — o que cada um faz, não como configurá-lo. Além de proteção Azure DDoS, Azure Firewall, NSGs e Key Vault como material em nível de recursos.
• Soluções de conformidade da Microsoft (~25–30%): Purview (o nome guarda-chuva para ferramentas de conformidade desde 2022), Proteção de Informações, Prevenção de Perda de Dados, Gerenciamento de Risco Interno, eDiscovery, Compliance Manager, o Portal de Confiança do Serviço.

O exame tem 40–60 questões, 60 minutos, de múltipla escolha e múltipla seleção. Sem estudos de caso, sem laboratórios, sem arrastar e soltar sequências. A nota de aprovação é 700/1000. Online via Pearson VUE OnVUE ou presencialmente — sua escolha.

Preço de tabela de $99 USD (preços regionais o reduzem para ~$50 em alguns mercados). A validade é de 1 ano, com renovação gratuita via uma avaliação online de 25 questões. O processo de renovação da Microsoft para certificações fundamentais é realmente simples.

Para quem é o SC-900

Três públicos para os quais a certificação vale a pena:

Funções não técnicas em trabalhos adjacentes à segurança. Analistas GRC, diretores de conformidade, auditores internos e pessoas de compras que precisam validar reivindicações de segurança de fornecedores. O SC-900 oferece o vocabulário para ler uma revisão de segurança do Microsoft 365 e saber se os controles descritos são reais ou marketing.

Equipes de pré-vendas e contas em parceiros Microsoft. Este é o maior grupo individual. O status de Microsoft Solutions Partner exige funcionários certificados, e o SC-900 conta para os mínimos de nível de parceria. Engenheiros de vendas que podem responder "qual a diferença entre Defender for Endpoint e Defender for Cloud Apps?" fecham mais negócios do que aqueles que apenas acenam.

Pessoas em transição de carreira usando-o como ponto de partida. Se você está se mudando para TI ou segurança de uma área não relacionada, o SC-900 é uma forma de baixo risco de demonstrar seriedade sem gastar $165 em um exame baseado em função para o qual você não está pronto. Junte-o com o AZ-900 por $198 e você terá um respeitável sinal de duas certificações "sou novo, mas não sou turista".

Quem deveria pular

Se você já é um engenheiro de segurança, analista SOC, administrador de identidade ou engenheiro de nuvem com responsabilidades de segurança — pule o SC-900. O conteúdo é o primeiro capítulo dos exames baseados em função. Você não aprenderá nada, gastará $99, e o SC-900 em um currículo de segurança sênior soa como preenchimento.

Para caminhos técnicos, as alternativas:

• Trilha de analista SOC: SC-200 (Security Operations Analyst Associate), $165, prático com Sentinel e Defender.
• Trilha de engenheiro de segurança em nuvem: AZ-500 (Azure Security Engineer Associate), $165, com foco em configuração no Azure.
• Trilha de administrador de identidade: SC-300 (Identity and Access Administrator Associate), $165, aprofundado em Entra ID.
• Trilha de arquiteto de segurança: SC-100 (Cybersecurity Architect Expert), $165, exige uma das anteriores como pré-requisito.

Os exames baseados em função cobrem tudo o que o SC-900 cobre, além da implementação real. Pular os fundamentos quando você tem experiência para exames baseados em função não é um atalho — é a decisão certa.

Tempo de preparação, números realistas

Experiência	Horas	Período
Já trabalha com segurança M365 / Azure diariamente	5–8	Um fim de semana
TI generalista, exposição ocasional à Microsoft	10–15	1–2 semanas
Novo na nuvem Microsoft	20–30	3–4 semanas
Transição de carreira, sem experiência em TI	40–60	6–8 semanas

O caminho oficial do SC-900 no Microsoft Learn é gratuito e atualizado — esse é o único recurso de que a maioria dos candidatos precisa. O YouTube de John Savill tem um resumo de estudo do SC-900 que é útil para o público que aprende por áudio. Pule os cursos pagos do Udemy, a menos que custem menos de $15 — o conteúdo oficial é suficientemente abrangente.

O maior obstáculo é a nomenclatura dos produtos. A Microsoft renomeou metade de seus produtos de segurança entre 2020 e 2024. Azure AD se tornou Entra ID. Microsoft Cloud App Security se tornou Defender for Cloud Apps. As ferramentas de conformidade foram consolidadas sob Purview. O exame testa os nomes atuais, mas muito material de estudo antigo usa nomes antigos. Se você estiver lendo um guia SC-900 de 2022, verifique cada nome de produto em learn.microsoft.com antes do exame.

Impacto no salário

Não há um. O SC-900 não impacta salários diretamente. É uma certificação de vocabulário, não de habilidade. levels.fyi não tem uma coluna para isso. O BLS não o monitora. O que ele pode fazer:

• Fazer você passar por um filtro de RH para uma função de segurança ou conformidade de nível inicial onde "certificação Microsoft preferencial" aparece na descrição.
• Fortalecer um currículo de engenheiro de vendas de parceiro onde as credenciais Microsoft afetam diretamente os níveis de comissão.
• Servir como um trampolim para SC-200 ou AZ-500, onde o sinal salarial é real (Analistas de Segurança da Informação, BLS OEWS maio de 2024: mediana em torno de $124k, percentil 90 em torno de $182k — mas isso é para o caminho baseado em função, não SC-900).

Se seu objetivo é um aumento de salário, o SC-900 sozinho não o proporcionará. Se seu objetivo é participar de forma inteligente em conversas de segurança da Microsoft, ele certamente o fará.

Você deveria fazer isso?

Faça o SC-900 se:

• Você está em uma função não técnica que precisa falar sobre segurança Microsoft de forma credível.
• Você é um parceiro Microsoft e a certificação afeta o nível de parceria ou a estrutura de comissão.
• Você é novo em TI/segurança e quer uma credencial inicial de $99 antes de se comprometer com um caminho baseado em função.

Pule o SC-900 se:

• Você já é técnico o suficiente para SC-200, AZ-500 ou SC-300 — comece por lá.
• Você não trabalha ou vende para empresas que usam Microsoft. A certificação é específica do fornecedor e não significa nada em uma organização AWS ou Google Cloud.
• Você está em busca de salário. O SC-900 não o proporciona.

Se o SC-900 é o certo para você, explore as questões práticas do SC-900 no CertLabPro ou inicie um exame cronometrado. O padrão do exame foca bastante em "associe o produto ao problema" — praticar com itens realistas é a maneira mais rápida de memorizar a taxonomia de nomes da Microsoft que realmente confunde a maioria das pessoas.