Zero Trust 时代的必备认证,IAM 是每个安全架构的第一道防线,SC-300 就是这个方向的门票。
这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
Microsoft Certified: Identity and Access Administrator Associate(SC-300)验证你用 Microsoft Entra ID(原 Azure AD)管理企业身份和访问策略的能力。考试 40-60 题,120 分钟,及格线 700/1000,考试费 $165 USD。
2023 年微软将 Azure AD 更名为 Microsoft Entra ID,SC-300 考纲同步更新。考试四大域权重均匀(各 20-30%),覆盖用户身份管理、认证方式(MFA/Passwordless/FIDO2)、工作负载身份(Managed Identity/Service Principal)和身份治理(Access Reviews/Entitlement Management/PIM)。
SC-300 在微软安全认证体系中处于 Associate 级别,与 SC-200(Security Operations)和 SC-400(Information Protection)并列。三张证加起来覆盖了企业安全的身份层、运营层和数据层。
你会反复碰到的核心服务
学完以后你能带走什么
- Pass the SC-300 certification exam with confidence
- Master key concepts across all exam domains
- Identify and strengthen weak areas before the exam
考试详情
适合谁考
适合人群
- IAM(身份和访问管理)工程师和管理员
- Cloud Identity Architect 和 Azure AD 管理员
- 负责企业条件访问和 MFA 策略的安全管理员
- 希望掌握 Zero Trust 身份安全的 IT 专业人员
开始前最好先有
- 具备 Azure 基础知识(AZ-900 水平)
- 理解 Active Directory 和 Microsoft Entra ID 基本概念
- 了解身份认证协议(OAuth 2.0、OpenID Connect、SAML)
- 熟悉 Microsoft 365 管理和 PowerShell 基础
值不值得考?职业价值
SC-300 持证人的薪资区间、对应岗位、以及真实的职业影响。
为什么 IAM 岗位需求在涨
Zero Trust 架构的核心假设是"永不信任、始终验证",而验证的起点就是身份。Gartner 2025 报告指出,75% 的企业安全事故与身份管理配置错误直接相关。这意味着每个上了 Entra ID 的企业都需要懂 Conditional Access Policy 和 PIM 的人。
不适合考的人:想做渗透测试或安全开发的人。SC-300 是纯管理方向,不涉及代码审计或漏洞利用。想做安全红队,考 CompTIA PenTest+ 或 OSCP 更对口。
备考节奏
有 AWS 实操经验
零基础切入
建议日投入
学习路径预览
10 章分阶段备考路径
过来人总结的分阶段备考节奏,按周拆分,不是空话。
第一阶段:Entra ID 核心概念(1-2 周)
租户(Tenant)、用户对象(Cloud vs Synced vs Guest)、组(Security vs M365 vs Dynamic)、Entra Connect 同步机制。理解 On-premises AD 和 Entra ID 的混合身份架构。
第二阶段:认证 + 条件访问(2 周)
MFA 注册策略、Passwordless(FIDO2 密钥 / Microsoft Authenticator / Windows Hello)、Conditional Access Policy 的条件(用户/设备/位置/风险等级)和授权控制(Grant/Session)。这是考试占比最大的部分。
第三阶段:身份治理 + 工作负载身份(2 周)
PIM(Privileged Identity Management)的 eligible vs active 角色分配、Access Reviews 自动化、Entitlement Management 的 Access Package。工作负载身份部分考 Managed Identity(System-assigned vs User-assigned)和 App Registration。
第四阶段:模考(1 周)
Microsoft Learn 官方沙盒实验 + MeasureUp 模考。SC-300 的 Case Study 题比较多,一个案例 4-5 个子问题,需要通读全部信息再作答。
通过者的真实经验
过来人的备考时长、分数、以及踩过的坑。
Conditional Access 的题占了至少 30%,而且很多是"给你一个策略配置截图,问这个用户能不能登录"的判断题。必须在 Entra ID 里实际配过策略才能做对。
PIM 的 eligible assignment 和 active assignment 区别是高频考点。eligible 需要用户激活(审批 + MFA),active 直接可用。考试喜欢给你一个场景问应该用哪种。
同赛道认证对比
| SC-300 | Security, Compliance, and Identity Fundamentals | SC-200 | |
|---|---|---|---|
| 机构 | Azure | Azure | Azure |
| 级别 | 助理级 | 基础级 | 助理级 |
| 考试费 | $0 | $99 | $0 |
| 时长 | 90 min | 45 min | 90 min |
| 题量 | 47 | 50 | 46 |
| 有效期 | 3 年 | 0 年 | 3 年 |
备考技巧与常见失误
**Case Study 先读问题再读材料**:SC-300 的 Case Study 材料很长,先看问题再找对应信息效率更高。
**"Least Privilege" 原则**:任何问"最安全"的题,选权限最小的选项。PIM eligible > PIM active > permanent assignment。
**Entra ID P1 vs P2 功能区分**:Conditional Access 需要 P1,PIM 和 Access Reviews 需要 P2。考试会问你"需要什么许可证"。
**Conditional Access 的"排除"逻辑** — 策略是"包含"+"排除"两部分,排除优先。很多人忘了 Break Glass 账户需要排除在 MFA 策略之外。
**Entra Connect 同步方向** — On-prem → Entra ID 是单向同步(Password Hash Sync),不是双向。Cloud 修改不会写回 On-prem(除非启用 Password Writeback)。
**Guest 用户权限** — B2B Guest 默认只能看到自己被邀请的资源,不能枚举租户中的其他用户(除非改了 External Collaboration Settings)。