微软安全合规体系的"通用语言证",永不过期 + $99(VTD 还能免费),适合 Microsoft 生态里的销售/咨询/HR/法务和入门安全岗。
这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
Microsoft Security, Compliance, and Identity Fundamentals(SC-900)是微软在 2021 年 4 月推出的 Foundational 级安全认证,定位是"看懂微软整套安全合规身份产品栈在干什么"。它和 AZ-900、MS-900、AI-900、DP-900 同属微软 Fundamentals 系列,最大的共同特征是 永不过期 —— 一次 $99,终身有效,没有 AWS 那种 3 年续证压力,也不像 CompTIA Security+ 每 3 年要交 CEU 续费。
考纲覆盖四大领域:Security/Compliance/Identity 概念(10-15%)、Entra ID 与身份访问管理(25-30%)、Microsoft 安全解决方案 Defender + Sentinel(35-40%)、Microsoft 合规解决方案 Purview + Priva(20-25%)。考试 40-60 题、60 分钟、700/1000 通过、$99 USD。题型以单选、多选、拖放为主,没有 lab/performance-based 题,对非技术背景非常友好。
SC-900 和 CompTIA Security+ 的根本差别要先讲清楚:Security+ 是 vendor-neutral 的"通用安全工程基础",考密码学、网络协议、攻防原理、风险管理,需要 150-200 小时备考,更接近"安全工程师入门考试";SC-900 是 vendor-specific 的"微软安全产品认知",80-100 小时就能过,考的是"Defender for Cloud / Defender XDR / Sentinel / Purview / Entra ID 各自解决什么问题",更接近"产品使用说明书理解测试"。一个测能力,一个测词汇表。
为什么这张证在 2026 年还值得单独讨论?因为微软安全产品线在企业市场扩张极快 —— Microsoft Security 业务 2025 年已突破 200 亿美元年收入,超过 60 万家组织在用 Defender XDR,Sentinel 是 Gartner SIEM 魔力象限领导者。85% Fortune 500 用 M365,意味着"客户和同事张口闭口 Conditional Access、Defender for Office 365、Purview DLP、Sensitivity Label" —— 这些词你听不懂就没法谈业务。SC-900 给你的就是这套词汇表。
最重要的福利:微软常年通过 Microsoft Virtual Training Days(events.microsoft.com 搜 "SC-900 Virtual Training Day")发免费考试券,参加一天免费在线培训完成后会发 100% 折扣码,相当于 $0 拿证。这是 SC-900 真正的"杀手级 ROI",没有这一条它就只是一张普通基础证。
你会反复碰到的核心服务
学完以后你能带走什么
- 获得 Microsoft 官方认可的 Security, Compliance, and Identity Fundamentals 认证
- 掌握安全、合规和身份管理核心概念
- 了解 Microsoft Entra ID 和条件访问策略
- 理解 Microsoft Defender 和 Sentinel 安全解决方案
考试详情
适合谁考
适合人群
- 希望了解安全基础概念的 IT 从业者
- IT 管理员和系统管理员
- 业务利益相关者和合规人员
- 计算机科学/网络安全专业学生
- 准备进阶 AZ-500/SC-200/SC-300 认证的人员
开始前最好先有
- 无特定安全或编程背景要求
- 建议了解基本的云计算概念
- 对网络安全和身份管理有基本兴趣
- 建议了解 Microsoft 365 基础
值不值得考?职业价值
Security, Compliance, and Identity Fundamentals 持证人的薪资区间、对应岗位、以及真实的职业影响。
先把话说在前面:SC-900 单独不会让一个安全工程师涨薪
mscertquiz 2026 年的薪资分析里,SC-900 持证者起薪区间在 $72K-$92K USD,但这个数字背后有个关键事实 —— 这些岗位本来就在招"具备 Microsoft 安全产品基础认知的人",证书是过滤简历的关键词,不是涨薪的杠杆。如果你已经是安全工程师,加 SC-900 的边际收益接近 0;如果你是销售/咨询/HR/法务,加 SC-900 可能直接帮你拿到一个之前进不去的项目。
最适合考 SC-900 的三类人:
- 微软生态里的销售 / Pre-sales / Customer Success / Solution Consultant — 客户问 "Conditional Access 和 PIM 有什么区别?"、"我们用了 M365 E5,Defender for Endpoint 和 Defender for Cloud 是不是重复买了?" 你要能立刻说清楚。微软 Partner Network 的 Solutions Partner 等级评估里,SC-900 也算合规性认证之一。
- HR / 法务 / 内审 / 合规岗 — 公司部署了 Purview DLP、Sensitivity Label、Insider Risk Management,IT 部门会扔一堆术语过来让你审策略。SC-900 帮你看懂"敏感信息类型"、"DLP policy"、"eDiscovery"、"Records Management" 这些词,开会不再装懂。
- IT 服务台 / 桌面运维想转安全方向 — 你已经在用 M365 Admin Center 了,但完全没接触过 Defender 和 Sentinel。SC-900 是最便宜的"我在学安全"证明,配合内部转岗可以挪到 SOC L1 或者 GRC junior 岗。
这张证不适合谁:
- 想做技术安全岗(pentester、SOC analyst、安全工程师)的人 —— 你需要的是 CompTIA Security+(更广的攻防基础)→ CySA+/SC-200(实操检测响应),SC-900 不会教你怎么读日志、写规则。
- 不在微软生态里工作的人 —— 你公司用 AWS Security Hub、GuardDuty、CrowdStrike、Splunk,那 SC-900 教的 Defender XDR、Sentinel、Purview 在你的工作里 80% 用不上,去考 AWS Security Specialty 或 Security+ 更合适。
- 已经持有 SC-200/SC-300/SC-400 的人 —— Associate 级证书完全覆盖 SC-900 的内容,没必要回头补。
和 Security+ 怎么选?
如果你预算只够一张、目标是技术安全岗、且雇主在国防/政府/外包合同方向(DoD 8570 强制要求 Sec+),选 Security+。如果你目标是微软生态里的非技术岗或入门安全角色、又想用最低成本快速拿一张被认可的证(特别是能拿到 Virtual Training Days 免费券),选 SC-900。两张都拿是最常见的策略 —— 先 SC-900 用 2 周快速上岸建立信心和词汇表,再花 2-3 个月啃 Security+。
考试域分布
这里不是装饰信息,它决定你应该先把时间砸在哪些知识域上。
学习内容分布
1. 描述安全、合规和身份概念
Describe Security, Compliance, and Identity Concepts
2. 描述 Microsoft Entra 功能
Describe Microsoft Entra Capabilities
3. 描述 Microsoft 安全解决方案
Describe Microsoft Security Solutions
4. 描述 Microsoft 合规解决方案
Describe Microsoft Compliance Solutions
备考节奏
有 AWS 实操经验
零基础切入
建议日投入
学习路径预览
7 章分阶段备考路径
过来人总结的分阶段备考节奏,按周拆分,不是空话。
第一阶段:跑完 Microsoft Learn 官方学习路径(4-6 天)
直接去 learn.microsoft.com 搜 "SC-900 learning path",4 个模块共 8-10 小时官方免费课程,由微软自己出,和考纲一一对应。重点理解:Zero Trust 模型、Shared Responsibility、Defense in Depth、Encryption (at rest / in transit)、Hashing vs Signing。再过 Entra ID 部分:Tenant、User、Group、External Identity(B2B/B2C)、MFA、Conditional Access、PIM、Identity Protection 这一组术语必须能互相区分。
第二阶段:把 Microsoft Defender 全家桶搞清楚(3-5 天)
这是 SC-900 最容易混淆的部分,必须单独花时间。**Defender for Cloud**(前身 Azure Security Center,保护 Azure/AWS/GCP 资源的 CSPM + CWPP)、**Defender XDR**(前身 Microsoft 365 Defender,跨产品的 SIEM/XDR 总入口)、**Defender for Endpoint**(终端 EDR)、**Defender for Office 365**(邮件钓鱼防护)、**Defender for Identity**(本地 AD 攻击检测)、**Defender for Cloud Apps**(CASB)—— 6 个 Defender 产品对应 6 个不同保护对象。然后是 **Microsoft Sentinel**:云原生 SIEM + SOAR,跨数据源做关联分析。Defender 们负责"发现",Sentinel 负责"统一调查 + 自动响应"。
第三阶段:Purview 合规和 Priva 隐私(2-3 天)
Purview 是微软合规产品的统一品牌(前身 Microsoft 365 Compliance Center)。重点搞清楚:**Compliance Manager**(合规度评分 + 改进建议)、**Information Protection / Sensitivity Labels**(标记敏感文档并加密)、**Data Loss Prevention (DLP)**(防止敏感数据外发)、**Insider Risk Management**(内部威胁检测)、**eDiscovery**(法律取证)、**Records Management**(记录保留和销毁)、**Communication Compliance**(员工沟通审查)。Priva 是隐私管理(GDPR/CCPA 主体请求处理),考试占比小但必有 1-2 题。
第四阶段:刷题 + 模考(1 周)
至少做 200 道练习题,重点关注产品对比类题目("以下哪个工具用来 X?")。每道错题回去看 Microsoft Learn 对应章节,**不要只记答案**。模考稳定 800/1000 以上再去考。考试可以选 Pearson VUE 线下或 OnVUE 在线监考,新手建议线下。报名前先去 events.microsoft.com 搜 "SC-900 Virtual Training Day",参加一天免费培训能拿 100% 折扣码,省 $99。
通过者的真实经验
过来人的备考时长、分数、以及踩过的坑。
我是被销售总监要求考的,公司接 M365 E5 安全合规项目时客户经常问 Defender 全家桶的差异。考前最大的痛点就是 6 个 Defender 产品名字太像了。我自己画了一张表:保护对象(终端/邮件/Azure 资源/SaaS App/本地 AD/Cloud App)→ Defender 产品名 → 主要功能,背了两遍考场就不慌了。VTD 拿的免费券,等于白嫖一张证。
完全非技术背景,律师转合规岗。考这张证是因为客户的法律电子取证项目要用 Microsoft Purview eDiscovery,IT 部门的人讲半小时我一个词都听不懂。SC-900 的好处是它真的是"概念课",不需要会任何命令行。最难的部分反而是 Entra ID 那些身份概念(B2B vs B2C、Conditional Access vs PIM),多看了两遍才彻底分清。
我有 AZ-900 基础,SC-900 大约 60% 内容是新的(主要是 Defender 全家桶 + Purview + Sentinel)。备考时间真实大概 25 小时。最重要的提醒是:不要把 SC-900 当成"找安全工作的证",它只是一张"我开始学安全了"的证明。考完第二天我就开始报名 SC-200 了,那才是真的能让 helpdesk 转 SOC 的证。
同赛道认证对比
| Security, Compliance, and Identity Fundamentals | Azure Fundamentals | Azure Security Engineer Associate | |
|---|---|---|---|
| 机构 | Azure | Azure | Azure |
| 级别 | 基础级 | 基础级 | 助理级 |
| 考试费 | $99 | $99 | $165 |
| 时长 | 45 min | 65 min | 100 min |
| 题量 | 50 | 40 | 50 |
| 有效期 | 0 年 | 0 年 | 1 年 |
备考技巧与常见失误
**抢 Microsoft Virtual Training Days 免费券**:events.microsoft.com 搜 "SC-900 Virtual Training Day",每月都有,参加完一天免费培训会发 100% 考试折扣码,省 $99。这是 SC-900 最重要的省钱技巧,不抢就亏了。
**ESL 加时**:母语非英语的考生可以申请 ESL Accommodation 多 30 分钟,原本 60 分钟答题加完是 90 分钟。SC-900 题量 40-60,不加时也够,但加了更稳。报名时在 Accommodation 里勾选。
**画一张 Defender 对照表**:把 6 个 Defender 产品的"保护对象 / 主要功能 / 数据来源" 列成表格,考前一晚背一遍。这是 SC-900 最高频考点,背熟能稳拿 5-8 分。
**关键词敏感**:看到 "across cloud platforms (AWS/GCP)" → Defender for Cloud;看到 "phishing email protection" → Defender for Office 365;看到 "on-premises AD attack" → Defender for Identity;看到 "shadow IT / SaaS apps" → Defender for Cloud Apps;看到 "DLP / sensitive data protection" → Purview;看到 "compliance score" → Compliance Manager。
**多选题题目会告诉你选几个**:题目明确写 "Select 2" 或 "Select 3",按要求选,多选少选都算错。SC-900 多选题大约占 10-15%。
**线下优于在线**:OnVUE 在线监考对环境要求严苛(桌面清空、360 度展示房间、不能离开座位),新手紧张容易出问题。有 Pearson VUE 实体考点的城市优先选线下。
**把 Defender for Cloud / Defender XDR / Defender for Endpoint 搞混** — 这是 SC-900 最高频错题。Defender for Cloud 保护 Azure/AWS/GCP 云资源(CSPM+CWPP);Defender XDR 是跨 M365 产品的统一调查门户;Defender for Endpoint 是终端 EDR。三者保护对象完全不同,必须分清楚。
**Azure AD 和 Entra ID 当成两个东西** — 微软 2023 年把 Azure Active Directory 改名为 Microsoft Entra ID,是同一个产品。同时不要和本地 Windows Server 上的 Active Directory Domain Services(AD DS)混淆,那是完全独立的本地身份服务。
**Compliance Manager vs Microsoft Purview 分不清** — Purview 是整个合规品牌(包含 DLP、Sensitivity Label、eDiscovery 等一堆工具);Compliance Manager 只是 Purview 里的**一个工具**,专门用来做合规度评分和改进建议追踪。前者是"产品家族",后者是"家族里的一个工具"。
**RBAC 的 scope 层级理解错** — Azure RBAC 的作用域有 4 层(Management Group → Subscription → Resource Group → Resource),权限会向下继承。题目经常考"在 Subscription 层授予 Reader 权限,用户能不能读 Resource Group 里的某个 VM" —— 答案是能,因为权限自上而下继承。
**Conditional Access 和 PIM 角色混淆** — Conditional Access 是"基于条件(位置/设备/风险)允许或阻止登录"的策略引擎;PIM (Privileged Identity Management) 是"管理员角色按需激活 + 审批"的特权访问管理。前者管所有用户登录,后者只管特权角色,考试很爱在场景题里混着出。
**忽略 Zero Trust 三大原则** — 微软非常强调 Zero Trust 模型:"Verify explicitly / Use least privilege / Assume breach" 是必背三句话,每次考试都至少出 1-2 题,专挑这种官方口号。
FAQ
常见问题
如果你准备考 Security, Compliance, and Identity Fundamentals,先从真题型练习开始。
262+ 练习题、章节学习路径、模考、错题复盘和 AI 导师都在备考页里。
进入备考页$19 起 · 前 2 章可免费试学