Microsoft Security, Compliance, and Identity Fundamentals
Последняя проверка: май 2026 г.
Сжатый справочник архитектурных шаблонов, проверяемых на экзамене SC-900. Читайте сверху вниз или переходите к нужному разделу.
Внедрить модель безопасности, которая предполагает взлом и требует проверки для каждого запроса.
Принять модель безопасности Zero Trust.
Почему: Основывается на трех основных принципах: явная проверка, использование доступа с наименьшими привилегиями и предположение о взломе. Это стратегический подход, а не отдельный продукт.
Определить границы ответственности за безопасность для облачных служб.
Применить модель общей ответственности. Заказчик всегда несет ответственность за: информацию и данные, устройства (конечные точки), учетные записи и идентификаторы.
Почему: Ответственность облачного провайдера увеличивается от IaaS к PaaS и SaaS, но заказчик всегда сохраняет ответственность за свои данные и управление доступом.
Защититься от сбоя одного уровня безопасности.
Внедрить многоуровневую стратегию безопасности (Эшелонированная оборона) на физическом уровне, уровне идентификации, периметра, сети, вычислений, приложений и данных.
Почему: Нарушение в одном слое замедляется или сдерживается последующими слоями, что снижает общий риск и влияние атаки.
Различать проверку личности пользователя и предоставление ему разрешений.
Использовать аутентификацию (AuthN) для проверки личности (доказать, что вы тот, кем себя называете). Использовать авторизацию (AuthZ) для определения прав доступа аутентифицированной личности (что вам разрешено делать).
Почему: Аутентификация всегда должна происходить до авторизации. Пользователь может быть аутентифицирован, но не авторизован для доступа к определенному ресурсу.
Защитить конфиденциальность данных при их хранении и передаче.
Использовать шифрование в состоянии покоя (Encryption at Rest) для хранимых данных (например, на дисках, в базах данных). Использовать шифрование при передаче (Encryption in Transit) для данных, перемещающихся по сети (например, TLS/SSL).
Почему: Защищает от различных векторов угроз. Шифрование в состоянии покоя снижает риск физической кражи носителей данных, в то время как шифрование при передаче предотвращает прослушивание.
Управлять идентификаторами пользователей и доступом к облачным и локальным ресурсам из единой панели управления.
Использовать Microsoft Entra ID в качестве централизованного поставщика идентификаторов.
Почему: Предоставляет единый источник достоверной информации для идентификации, обеспечивая единый вход (SSO), многофакторную аутентификацию (MFA) и единообразные политики доступа в гибридной среде.
Применять динамические средства контроля доступа на основе рисков для приложений и данных.
Настроить политики условного доступа Microsoft Entra.
Почему: Это механизм политики Zero Trust. Он оценивает сигналы (пользователь, местоположение, состояние устройства, риск) для принятия решений, таких как требование MFA, ограничение доступа к сеансу или блокировка доступа.
Минимизировать риски безопасности, связанные с постоянными административными привилегиями.
Внедрить Microsoft Entra Privileged Identity Management (PIM) для ролей Azure и Microsoft 365.
Почему: Предоставляет доступ Just-In-Time (JIT), требуя от пользователей активации ролей при необходимости. Активация может требовать MFA, обоснования и/или одобрения, что значительно сокращает поверхность атаки. Требуется Entra ID P2.
Устранить векторы атак, основанные на паролях, такие как фишинг и распыление паролей.
Внедрить методы беспарольной аутентификации, такие как Windows Hello for Business, ключи безопасности FIDO2 или приложение Microsoft Authenticator.
Почему: Предлагает более безопасную и удобную для пользователя альтернативу паролям, полагаясь на биометрию или криптографические ключи, привязанные к физическому устройству.
Предоставить пользователям единую идентификацию как для локальных, так и для облачных ресурсов.
Синхронизировать локальный Active Directory с Microsoft Entra ID с помощью Microsoft Entra Connect.
Почему: Создает общую идентификацию пользователя, обеспечивая бесшовный единый вход (SSO) и согласованное управление доступом в гибридной среде.
Разрешить внешним партнерам доступ к ресурсам компании без создания и управления учетными записями для них.
Использовать Microsoft Entra B2B (Business-to-Business) для совместной работы.
Почему: Приглашает внешних пользователей в качестве гостей, которые используют свои собственные корпоративные или социальные идентификаторы для аутентификации, снижая административную нагрузку и риски безопасности.
Проактивно обнаруживать и автоматически реагировать на угрозы, связанные с идентификацией.
Включить Microsoft Entra ID Protection.
Почему: Использует машинное обучение для обнаружения рисков идентификации (например, утечка учетных данных, входы с анонимных IP). Сигналы рисков могут быть использованы в условном доступе для запуска автоматических ответов, таких как принудительный сброс пароля или MFA.
Разрешить приложениям, размещенным в Azure, получать доступ к другим ресурсам Azure без управления учетными данными в коде.
Назначить управляемое удостоверение (Managed Identity) ресурсу Azure (например, виртуальной машине, App Service).
Почему: Устраняет необходимость для разработчиков обрабатывать секреты, строки подключения или сертификаты. Azure автоматически управляет жизненным циклом удостоверения.
Сократить нагрузку на службу поддержки и предоставить пользователям возможность самостоятельно решать проблемы с блокировкой учетных записей или забытыми паролями.
Настроить сброс пароля самообслуживанием (SSPR) в Microsoft Entra ID.
Почему: Позволяет пользователям безопасно сбрасывать свои пароли после проверки личности с использованием предварительно зарегистрированных методов (например, телефон, приложение-аутентификатор, секретные вопросы).
Периодически проверять, что доступ пользователей к приложениям и привилегированным ролям по-прежнему необходим.
Запланировать регулярные проверки доступа Microsoft Entra Access Reviews.
Почему: Автоматизирует процесс проверки доступа, обеспечивая соблюдение принципа наименьших привилегий со временем путем удаления ненужных прав доступа.
Агрегировать данные безопасности со всего предприятия для обнаружения угроз и автоматизации реагирования на инциденты.
Развернуть Microsoft Sentinel.
Почему: Действует как облачная платформа Security Information and Event Management (SIEM) для сбора и анализа данных, а также как платформа Security Orchestration, Automation and Response (SOAR), использующая Playbooks для автоматизированных действий.
Постоянно оценивать и укреплять конфигурацию безопасности облачных ресурсов.
Использовать Microsoft Defender for Cloud для его возможностей управления состоянием безопасности облака (CSPM).
Почему: Предоставляет оценку безопасности (Secure Score), действенные рекомендации по безопасности и отслеживает соответствие нормативным стандартам для улучшения общего состояния безопасности.
Защитить облачные и гибридные рабочие нагрузки, такие как виртуальные машины, контейнеры и базы данных, от сложных угроз.
Включить конкретные планы Defender (Cloud Workload Protection - CWP) в Microsoft Defender for Cloud.
Почему: Предоставляет расширенные возможности обнаружения и защиты от угроз, специфичных для рабочих нагрузок, такие как обнаружение конечных точек для серверов и сканирование уязвимостей для реестров контейнеров.
Расследовать и реагировать на сложные атаки, охватывающие конечные точки, электронную почту, идентификаторы и облачные приложения.
Использовать Microsoft 365 Defender.
Почему: Предоставляет решение Extended Detection and Response (XDR), которое коррелирует оповещения от нескольких продуктов Microsoft Defender в один инцидент, предлагая унифицированный опыт расследования и реагирования.
Защитить пользовательские устройства (конечные точки) от вредоносного ПО, программ-вымогателей и других сложных атак.
Развернуть Microsoft Defender for Endpoint.
Почему: Предоставляет превентивную защиту, обнаружение после взлома (EDR), автоматическое расследование и возможности реагирования для защиты конечных точек.
Защититься от фишинга, компрометации деловой переписки и вредоносных вложений в электронной почте и инструментах совместной работы.
Внедрить Microsoft Defender for Office 365.
Почему: Предлагает расширенные функции защиты от угроз, такие как Safe Attachments (камера детонации) и Safe Links (перезапись и сканирование URL-адресов) для служб Microsoft 365.
Обнаруживать атаки, нацеленные на локальную инфраструктуру Active Directory.
Развернуть Microsoft Defender for Identity.
Почему: Мониторит сигналы локального AD для обнаружения сложных угроз, скомпрометированных идентификаторов и злонамеренных действий инсайдеров, которые часто являются предвестниками серьезных нарушений.
Обнаруживать несанкционированные облачные приложения ("теневые ИТ"), используемые сотрудниками, и контролировать поток данных к разрешенным приложениям.
Использовать Microsoft Defender for Cloud Apps.
Почему: Функционирует как Cloud Access Security Broker (CASB), чтобы обеспечить видимость использования облачных приложений, оценивать риски, применять политики и защищать от угроз в облаке.
Контролировать сетевой трафик между ресурсами Azure в виртуальной сети.
Применить группы сетевой безопасности (NSG) к подсетям и/или сетевым интерфейсам.
Почему: Действует как базовый, сохраняющий состояние межсетевой экран для фильтрации пакетов, разрешающий или запрещающий трафик на основе IP-адреса, порта и протокола. Это фундаментальный элемент управления сетевой безопасностью.
Централизованно защищать все ресурсы виртуальной сети с помощью интеллектуальной управляемой службы межсетевого экрана.
Развернуть Azure Firewall в центральной виртуальной сети (hub VNet).
Почему: Полностью управляемый, облачный межсетевой экран как услуга, который обеспечивает фильтрацию на основе аналитики угроз, высокую доступность и неограниченную масштабируемость.
Защитить общедоступные приложения в Azure от перегрузки атаками типа "отказ в обслуживании" (DDoS).
Включить Azure DDoS Protection Standard в виртуальной сети.
Почему: Предоставляет расширенные возможности по снижению угроз, включая адаптивную настройку, аналитику атак и защиту от затрат, помимо стандартной защиты на уровне инфраструктуры.
Обеспечить безопасный доступ по RDP и SSH к виртуальным машинам Azure без exposing портов управления в общедоступный интернет.
Развернуть Azure Bastion в виртуальной сети.
Почему: Обеспечивает безопасное, браузерное подключение к виртуальным машинам через портал Azure по TLS, исключая необходимость в публичных IP-адресах на виртуальных машинах и уменьшая поверхность атаки.
Классифицировать и защищать конфиденциальные документы и электронные письма на основе их содержимого, независимо от того, где они хранятся или отправляются.
Использовать Microsoft Purview Information Protection с метками конфиденциальности (Sensitivity Labels).
Почему: Метки применяют постоянную защиту (шифрование, маркировка содержимого, ограничения доступа), которая перемещается вместе с данными, гарантируя их защиту на протяжении всего жизненного цикла.
Предотвратить случайное или преднамеренное распространение пользователями конфиденциальной информации (например, номера кредитных карт, PII) за пределы организации.
Настроить политики предотвращения потери данных (DLP) Microsoft Purview.
Почему: Политики DLP идентифицируют, отслеживают и автоматически применяют защитные действия к конфиденциальному содержимому в службах Microsoft 365, конечных точках и облачных приложениях.
Оценивать, управлять и отслеживать соответствие отраслевым нормам и стандартам, таким как GDPR, HIPAA и ISO 27001.
Использовать Microsoft Purview Compliance Manager.
Почему: Предоставляет централизованную панель мониторинга с оценкой соответствия, предварительно созданными шаблонами оценки и рекомендуемыми действиями по улучшению для упрощения управления соответствием.
Автоматически сохранять контент на требуемый период и удалять его, когда он больше не нужен по деловым или регуляторным причинам.
Внедрить Microsoft Purview Data Lifecycle Management, используя политики и метки хранения.
Почему: Применяет политики управления данными в Microsoft 365 для управления жизненным циклом контента, снижения рисков и соблюдения нормативных требований.
Юридическое дело требует идентификации, сохранения и сбора электронных данных из Microsoft 365.
Использовать Microsoft Purview eDiscovery (Standard или Premium).
Почему: Предоставляет инструменты для поиска релевантного контента, наложения на него юридического запрета для предотвращения изменения или удаления, а также экспорта для юридической проверки.
Обнаруживать и расследовать потенциальную кражу данных или нарушения политики безопасности сотрудниками.
Настроить Microsoft Purview Insider Risk Management.
Почему: Коррелирует различные сигналы из Microsoft 365 для выявления потенциально рискованных инсайдерских действий и предоставляет рабочие процессы для их расследования и принятия мер.
Регулируемой компании необходимо предотвратить общение между конкретными отделами (например, трейдерами и аналитиками), чтобы избежать конфликтов интересов.
Внедрить Microsoft Purview Information Barriers.
Почему: Применяет политики, ограничивающие общение и совместную работу между определенными группами пользователей в Microsoft Teams, SharePoint и OneDrive.
Создать всеобъемлющую, актуальную карту всех информационных активов в локальных, мультиоблачных и SaaS средах.
Использовать Microsoft Purview Data Map и Data Catalog.
Почему: Автоматизирует обнаружение данных, классификацию конфиденциальных данных и отслеживание происхождения для обеспечения целостного представления о состоянии данных для эффективного управления.
Обнаруживать, фиксировать и реагировать на неприемлемые сообщения (например, домогательства, разглашение секретов) в корпоративных коммуникациях.
Развернуть Microsoft Purview Communication Compliance.
Почему: Помогает минимизировать риски коммуникации, используя машинное обучение для обнаружения нарушений политики в электронной почте, Teams и других каналах для проверки.
Убедиться, что инженеры поддержки Microsoft не могут получить доступ к данным вашей организации без вашего явного, поддающегося аудиту разрешения.
Включить Customer Lockbox для Microsoft 365 или Azure.
Почему: Предоставляет клиентам интерфейс для одобрения или отклонения запросов на доступ к данным от инженеров Microsoft, предоставляя вам окончательный контроль в редких сценариях поддержки.
Расследовать инцидент безопасности или проблему соответствия, просматривая действия пользователей и администраторов в Microsoft 365.
Искать в журнале аудита Microsoft Purview (Standard или Premium).
Почему: Предоставляет унифицированный журнал аудита действий в таких службах, как Exchange Online, SharePoint Online, OneDrive и Entra ID, для судебного расследования.
