30分钟掌握Microsoft SC-900:安全/合规基础入门指南
SC-900是微软最简单的安全认证。谁真正需要它,谁应该跳过它去考SC-200或AZ-500,以及这99美元能买到什么。
SC-900 — Microsoft Certified: Security, Compliance, and Identity Fundamentals — 是微软最简单的安全认证之一,这既是它的卖点,也是它的局限性。它花费99美元,如果你在Microsoft 365或Azure相关领域工作过,大约10小时就可以准备好;考题是概念性的:定义这个,匹配那个,识别哪个Microsoft产品解决哪个问题。
如果你是一名技术安全人员,你可能可以停止阅读,转而去考SC-200或AZ-500。SC-900不适合你。它面向的是审计师、合规分析师、销售工程师、项目经理和客户经理,他们需要可信地谈论微软的安全堆栈,而无需亲自实施它。
考试内容详解
当前的SC-900蓝图涵盖四个领域:
- 安全、合规与身份概念 (~10–15%):基础知识 — 纵深防御、共享责任、零信任、静态加密与传输中加密、常见合规框架(GDPR、HIPAA、ISO 27001,仅需了解其名称层面)。
- Microsoft Entra 功能 (~25–30%):Entra ID(更名前的Azure AD)、身份验证方法、MFA、条件访问、身份治理、外部身份、PIM(仅需了解词汇层面)。
- Microsoft 安全解决方案 (~25–30%):Defender for Cloud、Defender for Endpoint、Defender for Office 365、Defender for Identity、Sentinel — 了解它们各自的功能,而非如何配置。以及作为功能层面材料的Azure DDoS protection、Azure Firewall、NSGs和Key Vault。
- Microsoft 合规解决方案 (~25–30%):Purview(自2022年起合规工具的统称)、Information Protection、Data Loss Prevention、Insider Risk Management、eDiscovery、Compliance Manager、Service Trust Portal。
考试包含40-60道题,时长60分钟,题型为多项选择和多项答案选择题。无案例研究、无实验、无拖放排序题。及格分数是700/1000。可通过Pearson VUE OnVUE在线考试或现场考试 — 任君选择。
标价99美元(在某些市场,区域定价使其降至约50美元)。有效期为1年,通过25道题的在线评估可免费续期。微软的基础认证续期流程确实非常轻松。
SC-900适合哪些人
有三类人群可受益于此认证:
安全相关职位中的非技术角色。 GRC分析师、合规官、内部审计师和采购人员,他们需要验证供应商的安全声明。SC-900为您提供了阅读Microsoft 365安全审查报告的词汇,并能判断其中描述的控制措施是真实的还是营销说辞。
Microsoft合作伙伴的售前和客户团队。 这是最大的单一群体。Microsoft解决方案合作伙伴身份要求有认证员工,SC-900计入合作伙伴层级最低要求。能够回答“Defender for Endpoint和Defender for Cloud Apps有什么区别?”的销售工程师比那些含糊其辞的人能达成更多交易。
以此作为起点的职业转型者。 如果你正从不相关的领域转入IT或安全领域,SC-900是一种低风险的方式来证明你的认真,而无需花费165美元参加你尚未准备好的基于角色的考试。将其与AZ-900搭配,总计198美元,你将获得一份受人尊敬的两项认证,表明“我是新手,但并非旁观者”的信号。
哪些人应该跳过它
如果你已经是安全工程师、SOC分析师、身份管理员或具有安全职责的云工程师 — 跳过SC-900。其内容是基于角色考试的第一章。你将一无所获,浪费99美元,而且SC-900在高级安全简历上看起来只是凑数。
对于技术路径,替代方案包括:
- SOC分析师路径:SC-200 (Security Operations Analyst Associate),165美元,注重Sentinel和Defender的实践操作。
- 云安全工程师路径:AZ-500 (Azure Security Engineer Associate),165美元,涵盖Azure的配置方面。
- 身份管理员路径:SC-300 (Identity and Access Administrator Associate),165美元,深入研究Entra ID。
- 安全架构师路径:SC-100 (Cybersecurity Architect Expert),165美元,需要上述任一认证作为先决条件。
基于角色的考试涵盖了SC-900的所有内容,加上实际实施。当你具备基于角色的考试经验时,跳过基础知识并非捷径 — 而是正确的选择。
准备时间,实际估算
| 背景 | 小时 | 日历时间 |
|---|---|---|
| 每天使用M365 / Azure安全工具 | 5–8 | 一个周末 |
| 通用IT从业者,偶尔接触Microsoft | 10–15 | 1–2周 |
| Microsoft云新手 | 20–30 | 3–4周 |
| 职业转型者,无IT背景 | 40–60 | 6–8周 |
Microsoft Learn的官方SC-900学习路径是免费且最新的 — 这是大多数考生唯一需要的资源。John Savill的YouTube频道有一个SC-900考前突击视频,对听觉型学习者很有用。除非付费Udemy课程低于15美元,否则可以跳过 — 官方内容已经足够全面。
最大的绊脚石是产品命名。微软在2020年至2024年间将其一半的安全产品改了名。Azure AD改名为Entra ID。Microsoft Cloud App Security改名为Defender for Cloud Apps。合规工具整合到Purview旗下。考试考察的是当前名称,但许多旧的学习材料仍使用旧名称。如果你正在阅读2022年的SC-900指南,请在考试前对照learn.microsoft.com核对每个产品名称。
薪资影响
没有直接影响。SC-900不会直接提高薪资。它是一项词汇认证,而非技能认证。levels.fyi没有为它设单独一列。BLS也不追踪它。但它能做到的是:
- 帮助你通过那些在招聘启事中注明“Microsoft认证优先”的入门级安全或合规职位的HR筛选。
- 强化合作伙伴销售工程师的简历,因为Microsoft资质直接影响佣金层级。
- 作为SC-200或AZ-500的垫脚石,这些认证的薪资信号是真实的(信息安全分析师,BLS OEWS 2024年5月:中位数约12.4万美元,90百分位约18.2万美元 — 但这适用于基于角色的路径,而非SC-900)。
如果你的目标是薪资提升,仅凭SC-900是无法实现的。如果你的目标是能够明智地参与Microsoft安全对话,那么它绝对能帮到你。
你该考它吗?
如果你符合以下情况,请考SC-900:
- 你担任非技术角色,需要可信地谈论Microsoft安全。
- 你受雇于Microsoft合作伙伴,且该认证影响合作伙伴层级或佣金结构。
- 你是IT/安全领域的新手,希望在选择基于角色的路径之前获得一份99美元的入门级证书。
如果你符合以下情况,请跳过SC-900:
- 你已经足够技术,可以直接考SC-200、AZ-500或SC-300 — 从那里开始。
- 你不在或不向Microsoft生态系统内的公司工作或销售产品。此认证是供应商特定的,在AWS或Google Cloud组织中没有任何意义。
- 你追求薪资提升。SC-900无法带来薪资提升。
如果SC-900适合你,在CertLabPro上浏览SC-900练习题或开始限时模拟考试。考试模式侧重于“将产品与问题匹配” — 针对真实的考题进行练习是掌握微软命名体系的最快方法,这也是大多数人容易出错的地方。