30分钟掌握Microsoft SC-900：安全/合规基础入门指南

SC-900 — Microsoft Certified: Security, Compliance, and Identity Fundamentals — 是微软最简单的安全认证之一，这既是它的卖点，也是它的局限性。它花费99美元，如果你在Microsoft 365或Azure相关领域工作过，大约10小时就可以准备好；考题是概念性的：定义这个，匹配那个，识别哪个Microsoft产品解决哪个问题。

如果你是一名技术安全人员，你可能可以停止阅读，转而去考SC-200或AZ-500。SC-900不适合你。它面向的是审计师、合规分析师、销售工程师、项目经理和客户经理，他们需要可信地谈论微软的安全堆栈，而无需亲自实施它。

考试内容详解

当前的SC-900蓝图涵盖四个领域：

• 安全、合规与身份概念 (~10–15%)：基础知识 — 纵深防御、共享责任、零信任、静态加密与传输中加密、常见合规框架（GDPR、HIPAA、ISO 27001，仅需了解其名称层面）。
• Microsoft Entra 功能 (~25–30%)：Entra ID（更名前的Azure AD）、身份验证方法、MFA、条件访问、身份治理、外部身份、PIM（仅需了解词汇层面）。
• Microsoft 安全解决方案 (~25–30%)：Defender for Cloud、Defender for Endpoint、Defender for Office 365、Defender for Identity、Sentinel — 了解它们各自的功能，而非如何配置。以及作为功能层面材料的Azure DDoS protection、Azure Firewall、NSGs和Key Vault。
• Microsoft 合规解决方案 (~25–30%)：Purview（自2022年起合规工具的统称）、Information Protection、Data Loss Prevention、Insider Risk Management、eDiscovery、Compliance Manager、Service Trust Portal。

考试包含40-60道题，时长60分钟，题型为多项选择和多项答案选择题。无案例研究、无实验、无拖放排序题。及格分数是700/1000。可通过Pearson VUE OnVUE在线考试或现场考试 — 任君选择。

标价99美元（在某些市场，区域定价使其降至约50美元）。有效期为1年，通过25道题的在线评估可免费续期。微软的基础认证续期流程确实非常轻松。

SC-900适合哪些人

有三类人群可受益于此认证：

安全相关职位中的非技术角色。 GRC分析师、合规官、内部审计师和采购人员，他们需要验证供应商的安全声明。SC-900为您提供了阅读Microsoft 365安全审查报告的词汇，并能判断其中描述的控制措施是真实的还是营销说辞。

Microsoft合作伙伴的售前和客户团队。 这是最大的单一群体。Microsoft解决方案合作伙伴身份要求有认证员工，SC-900计入合作伙伴层级最低要求。能够回答“Defender for Endpoint和Defender for Cloud Apps有什么区别？”的销售工程师比那些含糊其辞的人能达成更多交易。

以此作为起点的职业转型者。 如果你正从不相关的领域转入IT或安全领域，SC-900是一种低风险的方式来证明你的认真，而无需花费165美元参加你尚未准备好的基于角色的考试。将其与AZ-900搭配，总计198美元，你将获得一份受人尊敬的两项认证，表明“我是新手，但并非旁观者”的信号。

哪些人应该跳过它

如果你已经是安全工程师、SOC分析师、身份管理员或具有安全职责的云工程师 — 跳过SC-900。其内容是基于角色考试的第一章。你将一无所获，浪费99美元，而且SC-900在高级安全简历上看起来只是凑数。

对于技术路径，替代方案包括：

• SOC分析师路径：SC-200 (Security Operations Analyst Associate)，165美元，注重Sentinel和Defender的实践操作。
• 云安全工程师路径：AZ-500 (Azure Security Engineer Associate)，165美元，涵盖Azure的配置方面。
• 身份管理员路径：SC-300 (Identity and Access Administrator Associate)，165美元，深入研究Entra ID。
• 安全架构师路径：SC-100 (Cybersecurity Architect Expert)，165美元，需要上述任一认证作为先决条件。

基于角色的考试涵盖了SC-900的所有内容，加上实际实施。当你具备基于角色的考试经验时，跳过基础知识并非捷径 — 而是正确的选择。

准备时间，实际估算

背景	小时	日历时间
每天使用M365 / Azure安全工具	5–8	一个周末
通用IT从业者，偶尔接触Microsoft	10–15	1–2周
Microsoft云新手	20–30	3–4周
职业转型者，无IT背景	40–60	6–8周

Microsoft Learn的官方SC-900学习路径是免费且最新的 — 这是大多数考生唯一需要的资源。John Savill的YouTube频道有一个SC-900考前突击视频，对听觉型学习者很有用。除非付费Udemy课程低于15美元，否则可以跳过 — 官方内容已经足够全面。

最大的绊脚石是产品命名。微软在2020年至2024年间将其一半的安全产品改了名。Azure AD改名为Entra ID。Microsoft Cloud App Security改名为Defender for Cloud Apps。合规工具整合到Purview旗下。考试考察的是当前名称，但许多旧的学习材料仍使用旧名称。如果你正在阅读2022年的SC-900指南，请在考试前对照learn.microsoft.com核对每个产品名称。

薪资影响

没有直接影响。SC-900不会直接提高薪资。它是一项词汇认证，而非技能认证。levels.fyi没有为它设单独一列。BLS也不追踪它。但它能做到的是：

• 帮助你通过那些在招聘启事中注明“Microsoft认证优先”的入门级安全或合规职位的HR筛选。
• 强化合作伙伴销售工程师的简历，因为Microsoft资质直接影响佣金层级。
• 作为SC-200或AZ-500的垫脚石，这些认证的薪资信号是真实的（信息安全分析师，BLS OEWS 2024年5月：中位数约12.4万美元，90百分位约18.2万美元 — 但这适用于基于角色的路径，而非SC-900）。

如果你的目标是薪资提升，仅凭SC-900是无法实现的。如果你的目标是能够明智地参与Microsoft安全对话，那么它绝对能帮到你。

你该考它吗？

如果你符合以下情况，请考SC-900：

• 你担任非技术角色，需要可信地谈论Microsoft安全。
• 你受雇于Microsoft合作伙伴，且该认证影响合作伙伴层级或佣金结构。
• 你是IT/安全领域的新手，希望在选择基于角色的路径之前获得一份99美元的入门级证书。

如果你符合以下情况，请跳过SC-900：

• 你已经足够技术，可以直接考SC-200、AZ-500或SC-300 — 从那里开始。
• 你不在或不向Microsoft生态系统内的公司工作或销售产品。此认证是供应商特定的，在AWS或Google Cloud组织中没有任何意义。
• 你追求薪资提升。SC-900无法带来薪资提升。

如果SC-900适合你，在CertLabPro上浏览SC-900练习题或开始限时模拟考试。考试模式侧重于“将产品与问题匹配” — 针对真实的考题进行练习是掌握微软命名体系的最快方法，这也是大多数人容易出错的地方。