Microsoft Security, Compliance, and Identity Fundamentals
175 perguntas de prática
Última revisão: April 2026
Notas pessoais e links de recursos para sua jornada de estudo
Filtrar por Certificação
Microsoft Security, Compliance, and Identity Fundamentals (SC-900) é uma credencial fundamental que valida a compreensão conceitual do portfólio de segurança, conformidade e identidade (SCI) da Microsoft em Microsoft 365 e Azure. É direcionado a partes interessadas de negócios, generalistas de TI, equipes de vendas e parceiros, líderes de conformidade e qualquer pessoa nova em segurança que precise de um vocabulário comum para Microsoft Entra, Microsoft Defender, Microsoft Sentinel, Microsoft Purview e Intune. O exame é conceitual, e não prático: espere reconhecer recursos de serviço, identificar qual produto aborda um determinado cenário (Zero Trust, DLP, acesso condicional, risco de insider) e explicar princípios fundamentais de identidade, criptografia e responsabilidade compartilhada em linguagem simples.
Vocabulário fundamental: Zero Trust, defesa em profundidade, o modelo de responsabilidade compartilhada, conceitos básicos de criptografia e hashing, e os quatro pilares de identidade (administração, autenticação, autorização, auditoria). Menor peso (12%), mas o andaime conceitual sobre o qual o restante do exame se baseia.
Microsoft Entra ID (anteriormente Azure AD), identidades externas (B2B/B2C), acesso condicional, autenticação multifator, autenticação sem senha, Identity Protection, Privileged Identity Management e Entra Permissions Management / Verified ID. Cerca de 28% do exame — o segundo maior domínio.
Maior domínio (38%). Abrange Microsoft Sentinel (SIEM/SOAR nativo da nuvem), a família Microsoft Defender XDR (Defender for Endpoint, Office 365, Identity, Cloud Apps), Defender for Cloud, segurança de rede do Azure (NSGs, Azure Firewall, DDoS Protection) e Azure Bastion. Espere perguntas de cenário que questionam qual produto se encaixa em qual ameaça.
Microsoft Purview (portal de conformidade, proteção de informações, DLP, gerenciamento de risco de insider, eDiscovery, auditoria), Service Trust Portal, Compliance Manager e governança de recursos via Azure Policy e Microsoft Purview Data Governance. Cerca de 22% do exame.
Serviços que você encontrará no exame e por que cada um importa.
Serviço de gerenciamento de identidade e acesso na nuvem que autentica usuários, dispositivos e cargas de trabalho contra contas de diretório, identidades externas B2B/B2C e provedores federados.
Por que está no exame: O Domínio 2 (Funcionalidades do Microsoft Entra) baseia-se no Entra ID como provedor de identidade — espere perguntas sobre autenticação, SSO, MFA e tipos de tenant.
Proteção de identidade baseada em risco que detecta anomalias de login, credenciais vazadas e padrões de viagem impossível, então aplica políticas de risco.
Por que está no exame: O Domínio 2 testa o acesso condicional baseado em risco; o ID Protection é a fonte nomeada de sinais de risco de login e de usuário.
Serviço de identidade descentralizada que emite e verifica credenciais digitais à prova de adulteração baseadas em padrões abertos (W3C DIDs, Verifiable Credentials).
Por que está no exame: O Domínio 2 apresenta o Verified ID como o cenário de identidade descentralizada — distinguindo a verificação baseada em claims de pesquisas de diretório tradicionais.
Fluxos de trabalho de elevação just-in-time e aprovação para funções privilegiadas no Entra ID, recursos do Azure e Microsoft 365, com acesso limitado por tempo e trilhas de auditoria.
Por que está no exame: O Domínio 2 testa padrões de menor privilégio; PIM é a resposta nomeada para "como conceder acesso de administrador sob demanda sem permissões permanentes."
Suíte de defesa unificada pré e pós-violação que correlaciona sinais em endpoints, identidades, e-mail, aplicativos em nuvem e dados em uma única visão de incidente.
Por que está no exame: O Domínio 3 (soluções de segurança Microsoft) depende do Defender XDR como a superfície de investigação de incidentes entre cargas de trabalho.
Plataforma de proteção de aplicações nativas da nuvem (CNAPP) que oferece gerenciamento de postura de segurança (CSPM) e proteção de carga de trabalho (CWP) em Azure, AWS e GCP.
Por que está no exame: O Domínio 3 espera o Defender for Cloud como a resposta de postura multicloud e proteção de carga de trabalho — score de segurança, conformidade regulatória e planos de CWP aparecem nas perguntas.
SIEM e SOAR nativos da nuvem construídos no Azure que ingerem sinais em todo o ambiente, caçam ameaças com KQL e automatizam a resposta via playbooks.
Por que está no exame: O Domínio 3 nomeia o Sentinel como a resposta SIEM/SOAR — as perguntas testam a distinção entre SIEM e SOAR e a arquitetura do conector de dados.
Plataforma de detecção e resposta de endpoint (EDR) empresarial com redução da superfície de ataque, antimalware de próxima geração e investigação automatizada em Windows, macOS, Linux, iOS, Android.
Por que está no exame: O Domínio 3 testa as capacidades de proteção de endpoint; o Defender for Endpoint é o EDR nomeado para cenários de ameaça em nível de dispositivo.
Proteção para caixas de correio do Microsoft 365, Teams, SharePoint e OneDrive contra phishing, comprometimento de e-mail comercial e anexos maliciosos via Safe Links e Safe Attachments.
Por que está no exame: O Domínio 3 inclui cenários de ameaça de e-mail/colaboração; o Defender for Office 365 é o controle nomeado para políticas de Safe Links / Safe Attachments / anti-phishing.
Cloud access security broker (CASB) que descobre shadow IT, aplica controles de sessão e protege aplicativos SaaS sancionados via conectores de API e proxy reverso.
Por que está no exame: O Domínio 3 enquadra cenários de CASB — descoberta de shadow IT, controle de aplicativos de acesso condicional e DLP SaaS apontam para o Defender for Cloud Apps.
Detecção de ameaças do Active Directory local que revela reconhecimento, movimento lateral, domínio de domínio e ataques Golden Ticket a partir do tráfego do controlador de domínio.
Por que está no exame: O Domínio 3 aborda ameaças de identidade híbrida — o Defender for Identity é a camada de detecção focada no AD, distinta do Entra ID Protection, que é apenas na nuvem.
Gerenciamento unificado de endpoint (UEM) para registro de dispositivos, configuração, implantação de aplicativos e avaliação de conformidade em Windows, macOS, iOS, Android e Linux.
Por que está no exame: O Domínio 3 relaciona a conformidade de dispositivos ao Acesso Condicional — o Intune fornece o sinal de conformidade que restringe o acesso aos recursos.
Rótulos de sensibilidade, criptografia e classificação com reconhecimento de conteúdo que acompanham documentos e e-mails em todo o Microsoft 365 e aplicativos de terceiros aprovados.
Por que está no exame: O Domínio 4 (soluções de conformidade Microsoft) testa como os rótulos classificam e protegem dados em repouso, em trânsito e em uso.
Mecanismo de política que detecta, bloqueia ou audita dados sensíveis em movimento em serviços do Microsoft 365, endpoints e SharePoint/OneDrive locais.
Por que está no exame: O Domínio 4 nomeia o DLP como a resposta canônica para cenários de "impedir que conteúdo sensível saia do tenant" em e-mail, Teams e endpoints.
Detecção orientada por ML de atividade interna maliciosa ou inadvertida — exfiltração de dados, roubo por funcionários em saída, violações de política — com fluxos de trabalho de investigação pseudonimizados.
Por que está no exame: O Domínio 4 cobre a ameaça interna como um pilar de conformidade distinto; o Insider Risk Management é a carga de trabalho nomeada.
Recursos de retenção legal, busca e exportação em conteúdo do Microsoft 365 para litígios, investigação e resposta regulatória, com fluxos de trabalho de custódia do eDiscovery (Premium).
Por que está no exame: O Domínio 4 testa fluxos de trabalho de retenção legal/regulatória — o eDiscovery é a ferramenta nomeada para preservação, busca e exportação.
Serviço de política como código que audita e aplica a configuração de recursos em assinaturas do Azure, com Blueprints empacotando políticas, atribuições de função e modelos ARM como uma unidade implantável.
Por que está no exame: O Domínio 1 e o Domínio 4 referenciam a aplicação de políticas como o mecanismo por trás das baselines de governança; Azure Policy + Blueprints é o controle nomeado.
Portal centralizado para documentação de conformidade da nuvem Microsoft, pareado com o Compliance Manager, que pontua a conformidade do tenant contra frameworks como ISO 27001, NIST e GDPR.
Por que está no exame: O Domínio 4 testa explicitamente o Service Trust Portal e o Compliance Manager como as superfícies que os clientes usam para comprovar a postura de conformidade.
Mecanismo de política que avalia sinais — usuário, localização, estado do dispositivo, aplicativo, risco — e impõe controles como MFA, dispositivo compatível ou restrições de sessão antes de conceder acesso.
Por que está no exame: O Domínio 2 trata o Acesso Condicional como o ponto central de aplicação para sinais de Zero Trust; espere perguntas de cenário sobre atribuição de políticas e exclusões.
Serviço gerenciado para chaves, segredos e certificados com proteção de chave apoiada por HSM, integração de chave gerenciada pelo cliente (CMK) e políticas de acesso via RBAC ou políticas de acesso do cofre.
Por que está no exame: O Domínio 3 aborda cenários de proteção de segredos e criptografia CMK — o Key Vault é o armazenamento nomeado em todas as cargas de trabalho do Azure.
$65k–$92k–$130k USD anual
O SC-900 é fundamental e raramente o fator decisivo na remuneração — esses intervalos refletem funções de segurança e adjacentes à identidade no início da carreira nos EUA, onde o SC-900 é um dos vários sinais no currículo. Funções de segurança sênior (onde SC-200, SC-100, AZ-500 ou CISSP são esperados) tendem a ser significativamente mais altas.
Fonte: U.S. BLS OEWS May 2024 (15-1212 information security analysts, mediana ~$120k; 15-1232 computer user support, mediana ~$60k), levels.fyi 2025–2026 funções de segurança e suporte de TI. Os valores são aproximados; a compensação real depende da função, região e experiência.
O conjunto de segurança da Microsoft — Defender XDR, Sentinel, Purview, Entra e Intune — é o padrão em grande parte das empresas que já utilizam Microsoft 365 e Azure, o que torna o SC-900 uma das credenciais de segurança de nível de entrada mais amplamente reconhecidas. Recrutadores o utilizam como um sinal de triagem de que um candidato pode falar o vocabulário de segurança da Microsoft em entrevistas, mesmo antes de assumir uma função prática. É especialmente comum em currículos de equipes de help-desk, generalistas de TI, conformidade e pré-vendas de parceiros que estão migrando para segurança, e para partes interessadas não técnicas (gerentes de projeto, executivos de contas, líderes GRC) que precisam de credibilidade ao discutir Zero Trust, acesso condicional ou DLP com equipes de segurança. Por si só, não qualifica alguém para funções de analista ou engenheiro, mas combina bem com SC-200 ou AZ-500 como próximo passo.
Não há pré-requisitos formais. A Microsoft recomenda familiaridade com conceitos de rede e computação em nuvem, letramento geral em TI e uma compreensão básica de Microsoft Azure e Microsoft 365 — mas candidatos sem experiência anterior com Microsoft passam regularmente após concluir o caminho oficial do Microsoft Learn (~10–14 horas) e uma avaliação prática.
Se você nunca usou Azure ou Microsoft 365, concluir AZ-900 (Azure Fundamentals) ou MS-900 (Microsoft 365 Fundamentals) primeiro tornará o SC-900 visivelmente mais fácil: muitas perguntas do SC-900 presumem que você reconhece os recursos centrais do Azure e a superfície de administração do M365. Os três exames "nível 900" se sobrepõem significativamente e são frequentemente feitos juntos por candidatos que estão construindo uma base de nuvem Microsoft. Laboratórios práticos não são estritamente necessários, mas um tenant de desenvolvedor gratuito do Microsoft 365 e uma conta gratuita do Azure permitem que você navegue pelos portais Entra, Purview e Defender, o que fixa o conhecimento muito melhor do que apenas a leitura.
O SC-900 é classificado como fundamental e é uma das certificações Microsoft mais acessíveis. Planeje 20–40 horas de estudo ao longo de 2–4 semanas se você não tiver experiência anterior com nuvem Microsoft ou segurança, ou 8–15 horas ao longo de uma semana se você já conhece o território AZ-900 / MS-900. O exame dura cerca de 45 minutos com aproximadamente 40–60 questões de múltipla escolha e múltipla resposta; a pontuação de aprovação é 700/1000 em um modelo de pontuação escalonada.
A parte mais difícil para a maioria dos candidatos é o reconhecimento dos nomes dos serviços: o portfólio de segurança da Microsoft foi renomeado e reorganizado repetidamente (Azure AD se tornou Entra ID, o conjunto Defender se consolidou em Defender XDR, Microsoft 365 Compliance se tornou Purview), e as perguntas do exame testam consistentemente se você consegue associar o nome atual do produto à capacidade correta. Memorizar a função de cada produto — Defender for Endpoint vs. Defender for Cloud vs. Defender for Identity, Purview vs. Priva, Entra ID vs. Entra Permissions Management — é o que mais separa a aprovação da reprovação.
Disponibilidade geral em abril de 2021 como parte do trilha Microsoft Security, Compliance, and Identity Fundamentals. Os objetivos são atualizados periodicamente (mais recentemente para refletir a renomeação de Azure AD para Entra e a reformulação da marca Microsoft 365 Compliance para Purview); como um exame fundamental, ele não se aposenta em um ciclo de 1 ano e a credencial não expira.
SC-900 (Microsoft Security, Compliance, and Identity Fundamentals) é um exame de nível Foundational considerado um exame de nível de entrada que testa a amplitude da compreensão conceitual, em vez da profundidade prática. A maioria dos candidatos precisa de 30 a 80 horas de estudo distribuídas em 3 a 6 semanas para exames de nível fundamental. A maioria dos candidatos que pontuam consistentemente acima do limite de aprovação em exames práticos é aprovada na primeira tentativa.
A maioria dos candidatos precisa de 30 a 80 horas de estudo distribuídas em 3 a 6 semanas para exames de nível fundamental. O tempo para aprovação varia amplamente de acordo com a experiência prévia. Engenheiros com experiência prática de produção na tecnologia subjacente geralmente precisam de menos tempo; candidatos novos na plataforma devem planejar-se para o limite superior dessa faixa.
SC-900 é uma credencial reconhecida no ecossistema Microsoft e sinaliza conhecimento validado para empregadores, recrutadores e clientes. Se vale a pena o tempo e a taxa para você, depende do seu papel e objetivos — geralmente compensa mais para engenheiros de nuvem, arquitetos e consultores que trabalham com Microsoft diariamente ou desejam mudar para funções que o fazem.
A pontuação de aprovação para SC-900 é 700 / 1000. O exame contém 40 questões e dura 45 min.
A taxa do exame SC-900 é $99 USD. As taxas são definidas por Microsoft e podem variar por região; sempre confirme o preço atual na página oficial de certificação Microsoft antes de agendar.
As certificações Microsoft fundamentals nunca expiram (AZ-900, AI-900, DP-900, SC-900).
Sim. Você pode fazer o exame online (supervisionado através do navegador seguro do provedor, disponível 24 horas por dia, 7 dias por semana na maioria das regiões) ou em um centro de testes Pearson VUE presencial durante o horário comercial. Ambos os formatos usam as mesmas perguntas, limite de tempo e pontuação de aprovação.
A CertLabPro oferece 15 modos de estudo no banco de questões práticas para SC-900. O modo de simulação de exame espelha o exame real: 40 questões em 45 min, com o mesmo limite de aprovação de 700 / 1000. O modo de navegação permite que você leia todas as perguntas e respostas estaticamente.