微軟證照 MCF SC-900 安全性、合規性與身份識別基礎認證 - 學習整理分享CCChen

SC-900 認證的中英文名稱如下：

• 英文名稱：Microsoft Certified: Security, Compliance, and Identity Fundamentals
• 中文名稱：微軟認證：安全性、合規性與身份識別基礎認證
• 考試編號: SC-900

這是微軟(900系列)的一項入門級認證，專注於安全性、合規性和身份識別的基本概念，適合對 Microsoft 雲端服務（如 Azure 和 Microsoft 365）的安全和合規功能有興趣的人士。

SC-900 認證考試的四大主題的核心概念整理：

1. 描述安全性、合規性，以及身份識別的概念 (10-15%)

核心概念：

• 責任共擔模型 (Shared Responsibility Model)：
• • 這是雲端服務中的基本概念，指雲服務提供商（如 Microsoft Azure）和客戶各自負責的安全範圍。雲端服務商負責基礎設施的安全性（如物理安全性、網路安全等），而客戶則負責雲端上的應用程式和數據的安全性。
• 深層防禦 (Defense in Depth)：
• • 安全層層設置防護，保護系統不僅依賴單一防禦，而是設計多層防禦措施，減少單一漏洞造成重大損失的風險。
• 零信任模型 (Zero Trust Model)：
• • 假設內部和外部的所有流量都不可信，並要求對每一個請求都進行嚴格的身份驗證和授權。這要求對所有用戶、設備和應用程式進行持續的驗證，無論其來源是內部還是外部。
• 加密 (Encryption)：
• • 對敏感數據進行加密，以防止未經授權的訪問和保護隱私。包括靜態數據加密與傳輸中的數據加密。
• 哈希 (Hashing)：
• • 通過數學算法將輸入數據（如密碼）轉換為一個固定長度的代碼（哈希值），即使數據被攔截，亦無法恢復原始數據。
• 治理風險與合規性 (GRC)：
• • 涉及對企業內部風險的管理、規範政策的制定及監控，確保企業遵循法律、政策和內部規範。

2. 描述 Microsoft Entra 的功能 (25-30%)

核心概念：

• Microsoft Entra ID (身份識別)：
• • 提供全面的身份和訪問管理服務，支持多重身份驗證、條件訪問控制、單一登入等功能，幫助企業確保安全的身份識別和資源訪問控制。
• 多重身份驗證 (MFA)：
• • 在用戶登入時，要求提供兩個或以上的身份驗證因素，增加系統的安全性。這包括密碼、手機驗證碼、生物識別等。
• 條件存取 (Conditional Access)：
• • 根據用戶的角色、位置、設備等條件來決定是否允許訪問應用程式或資料。這能減少潛在的安全風險。
• 角色基礎存取控制 (RBAC)：
• • 根據用戶在企業中的角色來設定其可以訪問的資源。這樣能有效控制用戶的權限，確保他們僅能訪問所需的資源。
• 身份治理與保護 (Identity Governance and Protection)：
• • 包括對用戶身份的管理、權限的審核和管理，以確保只有經過授權的用戶能訪問關鍵資源，並能實現對身份的防護與審查。

3. 描述 Microsoft 安全性解決方案的功能 (35-40%)

核心概念：

• Azure Firewall：
• • 具備高效能的防火牆服務，支持流量過濾、虛擬網路間的流量隔離等功能，保護企業免受外部攻擊。
• DDoS Protection：
• • 分佈式拒絕服務攻擊（DDoS）防護，保護雲端應用和基礎設施免受大量惡意流量的影響。
• Microsoft 365 Defender：
• • 提供跨設備和平台的威脅檢測、分析和應對，增強終端、電子郵件、雲端應用的安全性。
• Azure Sentinel：
• • 是一個基於雲端的安全信息和事件管理（SIEM）服務，實時監控企業的安全狀況，並提供智能威脅檢測和回應。
• Microsoft Intune：
• • 用於移動設備和應用管理，支持企業在不犧牲安全的情況下，靈活管理員工使用的設備，並確保數據安全。
• Azure Security Center：
• • 提供全面的安全管理和監控，對 Azure 資源的安全狀況進行評估、警報和改善建議，確保系統遵守最佳安全實踐。

4. 描述 Microsoft 合規性解決方案的功能 (20-25%)

核心概念：

• Microsoft Purview：
• • 提供企業級的數據治理和合規解決方案，能夠對數據進行分類、標籤和追蹤，確保敏感信息的保護和合規性。
• Compliance Manager：
• • 這是 Microsoft 提供的一種合規性管理工具，幫助企業評估其在 Microsoft 服務中的合規性，並提供改進建議。
• Service Trust Portal：
• • 提供有關 Microsoft 服務（如 Azure、Microsoft 365 等）合規性、隱私和安全的詳細報告，幫助企業了解其數據的安全性和遵從性。
• 合規性管理 (Compliance Management)：
• • 幫助企業管理和實施行業標準、法律法規要求，並確保公司能夠持續監控並滿足合規性要求。
• 資訊保護與隱私 (Information Protection and Privacy)：
• • 包括數據保護、加密、權限設置等措施，確保數據在存儲和傳輸過程中的隱私和安全。

SC-900 四大主題的「4 個核心概念＋5 個核心名詞」精簡整理：

1) 描述安全性、合規性，以及身分識別的概念

核心概念（4）：

1. 共享責任模型：雲服務商與客戶各自對安全負責的邊界。
2. 零信任（Zero Trust）：不預設信任，強制驗證、最小權限、假設外洩。
3. 深層防禦 & CIA 三性：多層防護；機密性/完整性/可用性並重。
4. GRC 與資料保護：治理/風險/合規框架搭配加密、DLP、稽核。

核心名詞（5）：

• MFA（多重身分驗證）
• RBAC（角色為本的存取控制）
• 加密（靜態/傳輸中）
• 哈希（含鹽化）
• DLP（資料外洩防護）

2) 描述 Microsoft Entra 的功能

核心概念（4）：

1. Entra ID 身分與存取管理：SSO、聯邦與標準協定（SAML/OIDC/OAuth）。
2. 條件式存取：依使用者/裝置/位置/風險動態授權。
3. 強化驗證：MFA、無密碼登入（FIDO2、Authenticator、Passkeys）。
4. 身分治理：PIM、存取審查、權限生命週期與佈建。

核心名詞（5）：

• Microsoft Entra ID（原 Azure AD）
• Conditional Access（條件式存取）
• MFA / Passwordless
• SSO（SAML / OIDC / OAuth 2.0）
• PIM（Privileged Identity Management）

3) 描述 Microsoft 安全性解決方案 的功能

核心概念（4）：

1. SIEM/SOAR：Microsoft Sentinel 用於集中蒐集、分析、回應。
2. XDR：Microsoft 365 Defender 跨端點、郵件、身分、SaaS 的偵測/回應。
3. 雲工作負載防護：Defender for Cloud（CSPM/CWPP、Secure Score）。
4. 網路與端點控管：Azure Firewall、DDoS 保護、Intune 裝置/應用管理。

核心名詞（5）：

• Microsoft Sentinel（SIEM/SOAR）
• Microsoft 365 Defender（XDR）
• Microsoft Defender for Cloud（含 Secure Score）
• Microsoft Intune（MDM/MAM）
• Azure Firewall（＋DDoS Protection）

4) 描述 Microsoft 合規性解決方案 的功能

核心概念（4）：

1. 資料治理與分類：Purview 中的敏感度標籤、資料地圖與血緣。
2. DLP 策略：跨 M365、端點與雲端應用的敏感資料外流控制。
3. 稽核與風險管理：Audit、Insider Risk、通訊合規。
4. 法證與留存：eDiscovery（標準/進階）、保留與訴訟暫止。

核心名詞（5）：

• Microsoft Purview（Information Protection & Governance）
• Sensitivity Labels（敏感度標籤）
• Data Loss Prevention（DLP）
• eDiscovery（Standard / Premium）
• Compliance Manager（含合規分數/建議）

「費曼學習法× 80/20 筆記」

適合：需講解給他人、重視邏輯推理者

科學依據：Feynman Technique（教是最好的學）、Pareto Principle（關鍵少數）

80/20 核心清單

• 安全概念 Top 20%：共享責任、零信任、CIA、MFA、RBAC
• Entra Top 20%：Conditional Access、PIM、Passkeys、SSO、Identity Governance
• 安全方案 Top 20%：Sentinel、M365 Defender、Defender for Cloud、Intune、Firewall
• 合規方案 Top 20%：Purview、DLP、eDiscovery、Compliance Manager、Insider Risk

「5-Room 記憶宮殿 × 情境故事」

適合：擅長聯想、記住大量名詞者

科學依據：Method of Loci（空間記憶）、情境依賴記憶

1. 宮殿佈局

• 客廳 → 安全概念（牆上放「零信任」海報、桌上「鎖＋鑰匙」模型象徵 MFA/RBAC）
• 書房 → Entra（書架擺「Passkey」鑰匙圈、書桌貼 CA 流程圖）
• 機房 → 安全方案（機櫃標 Sentinel、Defender；牆角放防火牆小雕像）
• 會議室 → 合規方案（白板寫 Purview、DLP，檔案櫃貼 eDiscovery 標籤）
• 中庭 → 整合應用（中央水池 = Governance Center，連四房）

🌟 進階版 「5-Room 記憶宮殿 × 情境故事」

目標：把 SC-900 四大主題的 40+ 重點概念與常見陷阱，透過「空間＋故事＋情緒」三重編碼，一次塞進長期記憶。

特色：

1. 空間階層：5 個房間 → 每房 3～4 個「區域」→ 每區域 2～3 件「道具」。
2. 情境故事：充滿動作、聲音、台灣文化元素（夜市、手搖飲、捷運…）。
3. 考點掛鉤：每道具貼「提示標籤」＝常考關鍵詞或易混淆概念。

2025/08/13 更新

於8/12順利通過微軟認證考試, 取得SC-900證書

終於在2個月內, 自學取得900系列的4張證書