微軟認證 MCF SC-900 重點整理 CCChen

SC-900 的核心觀念重點整理 (使用 Gemini 2.5 pro 彙整)

考題涵蓋範圍很廣，但它們其實都圍繞著微軟在安全、合規與身分識別這三個領域的核心概念。

重點學習整理（考試必考範圍）

• 安全性、合規性、身分識別的核心概念（例如 Zero Trust、Defense in Depth、Multi-factor Authentication、Conditional Access）
• Microsoft 安全與合規解決方案（Microsoft Defender、Sentinel、Purview、Entra ID）
• 雲端安全性與治理工具（CSPM、CWP、Microsoft Secure Score、Compliance Manager）
• 身分存取管理與威脅防禦（PIM、SIEM、SOAR、IRM、DLP）

你可以把它們想像成一個保護組織的黃金三角 🛡️：

• 身分識別 (Identity): 確保「對的人」用「對的權限」，在「對的時間」存取資源。
• 安全性 (Security): 保護你的數位資產，抵禦來自內外部的各種「威脅與攻擊」。
• 合規性 (Compliance): 確保所有資料和使用者行為都遵守「法律與公司規範」。

• 身分識別與存取管理 (例如 Azure AD, MFA, 條件式存取)
• 安全性與威脅防護 (例如 Microsoft Defender, Sentinel)
• 資訊保護與合規性 (例如 Purview, 資訊屏障)

「身分識別與存取管理」可以說是所有安全的基礎。如果沒有管好誰可以進門，那再堅固的城牆也沒用。

你可以把這個領域想像成管理一張進入高科技大樓的「數位通行證」💳。

• 身分證 (Azure Active Directory - Azure AD): 這是最基本的，用來證明「你是誰」。就像每個員工都有一張員工證一樣，Azure AD 就是雲端上的員工目錄。
• 雙重驗證 (Multi-Factor Authentication - MFA): 光有身分證還不夠，萬一被偷了怎麼辦？MFA 就是要求你出示第二個證明，例如用你的手機掃一下臉，或是輸入一個驗證碼，來「再次確認你真的是你」。
• 智慧門禁規則 (Conditional Access - CA): 這是整個系統的大腦。它會根據「情境」來決定是否放行。例如：

  "持有VIP通行證的人，如果是在上班時間從公司大門進入，可以直接通行。但如果是在半夜從一個陌生的地點試圖進入，就必須啟動雙重驗證。"

• 特權鑰匙管理 (Privileged Identity Management - PIM): 對於那些擁有「萬能鑰匙」(系統管理員權限) 的人，我們需要一個特殊的管理方法，確保他們只在「必要時」才使用，而且使用時會被嚴格記錄。

從「安全性與威脅防護」開始。

這部分的核心是「如何主動保護你的數位資產」，從網路邊界到使用者裝置，再到雲端服務本身。

我們可以把它想像成保護一座數位城堡 🏰：

• 網路安全 (Network Security): 負責鞏固城堡的護城河、城牆和唯一的入口。這對應到考題中的 Azure Firewall (防火牆)、NSG (網路安全群組) 和 Azure Bastion (安全連線)。
• 威脅偵測與回應 (Threat Detection & Response): 就像城堡裡的中央監控室和快速反應部隊，負責收集所有情報、發現可疑活動並自動應對。這就是 Microsoft Sentinel (SIEM/SOAR) 的角色。
• 端點與雲端保護 (Endpoint & Cloud Protection): 保護城堡裡的每一位居民和每一間房子。這就是龐大的 Microsoft Defender 家族，例如保護虛擬機器的 Defender for Cloud 和保護使用者電腦的 Defender for Endpoint。

資訊保護與合規性。

如果說「身分識別」是管好門禁，「安全性」是防禦攻擊，那麼這個領域就是確保組織內部的「資訊」本身被妥善對待，並且所有行為都符合「法規」。

你可以把它想像成一個圖書館的管理員兼保全 📚。

• 第一步：為書本分類和貼標籤 (Data Classification & Sensitivity Labels) 管理員要先知道哪些是普通小說，哪些是珍貴的絕版手稿。他會為這些書貼上不同的標籤，例如「公開」、「內部」或「極機密」。在 Microsoft Purview 中，這就是敏感度標籤 (Sensitivity Labels) 的工作。
• 第二步：設定閱覽和攜出規則 (Data Protection & Governance) 根據標籤，管理員會設定規則。例如，「公開」的書誰都可以看，「極機密」的手稿則不准帶出圖書館大門。這就是資料外洩防護 (DLP)。同時，為了避免利益衝突，他還會規定研究A專案的人不能借閱B專案的資料。這就是資訊屏障 (Information Barriers)。
• 第三步：調閱紀錄與尋找特定內容 (Auditing & eDiscovery) 如果需要調查某本書的借閱紀錄，或是找出所有提到某個關鍵字的書籍，管理員有工具可以快速搜尋整個圖書館的館藏和紀錄。這就是電子文件探索 (eDiscovery) 和內容搜尋 (Content Search)。

SC-900 核心觀念是非題 (AI工具: Gemini 2.5 pro 參考資料生成模擬題目)

1. 零信任安全模型假設，只要流量來自公司內部網路，就是可以信任的。（是 / 否）
2. 條件式存取原則是在使用者完成第一級驗證（例如輸入密碼）之後才進行評估的。（是 / 否）
3. Microsoft Defender for Endpoint 主要用於保護 Microsoft SharePoint Online 網站。（是 / 否）
4. 資訊屏障 (Information Barriers) 的主要目的是限制組織內部特定群組之間的通訊。（是 / 否）
5. 在基礎設施即服務 (IaaS) 模型中，管理實體伺服器的硬體是雲端客戶的責任。（是 / 否）
6. Azure AD Privileged Identity Management (PIM) 的核心功能是提供「即時 (Just-In-Time)」的特權存取。（是 / 否）
7. 網路安全群組 (NSG) 可以在第 7 層（應用層）根據 URL 來過濾流量。（是 / 否）
8. 使用 Windows Hello 企業版時，使用者的指紋資料會加密儲存在 Azure AD 中。（是 / 否）
9. Microsoft Sentinel 的「劇本 (Playbooks)」主要用於建立視覺化的儀表板和報告。（是 / 否）
10. 敏感度標籤只能用來對文件進行加密，無法新增浮水印等視覺標記。（是 / 否）
11. Azure Bastion 服務的主要目的是提供分散式阻斷服務 (DDoS) 的防護。（是 / 否）
12. 資料外洩防護 (DLP) 策略可以用來阻止使用者將包含信用卡號碼的檔案上傳到個人的雲端儲存空間。（是 / 否）
13. 一個 Azure 使用者帳戶一次只能被指派一個 Azure AD 角色。（是 / 否）
14. 合規性分數 (Compliance Score) 主要衡量組織遵循特定法規和標準的程度。（是 / 否）
15. 密碼雜湊 (Hashing) 是一種可逆的過程，可以將雜湊值還原為原始資料。（是 / 否）
16. 在 Microsoft 365 中，eDiscovery 工具可以用來搜尋整個組織中符合特定關鍵字的電子郵件和文件。（是 / 否）
17. Microsoft Intune 可用於為公司佈建新的 Azure 訂閱。（是 / 否）
18. 「責任共擔模型」意味著在 SaaS 服務中，客戶需要負責應用程式的更新與修補。（是 / 否）
19. 啟用多重要素驗證 (MFA) 可以提高組織的 Microsoft 安全分數。（是 / 否）
20. 在 Azure AD 中註冊一個應用程式時，會自動為該應用程式在租用戶中建立一個對應的「服務主體 (Service Principal)」。（是 / 否）

解答

1. 否。零信任的核心是「永不信任，一律驗證」，無論流量來源為何。
2. 是。條件式存取是在確認基本身分後，再根據情境（如地點、裝置）套用規則。
3. 否。Defender for Endpoint 保護的是電腦、手機等「端點」裝置；保護 SharePoint 的是 Defender for Office 365。
4. 是。資訊屏障專門用於建立組織內部的「道德牆」，避免利益衝突。
5. 否。根據責任共擔模型，實體基礎設施始終由雲端提供商（微軟）負責。
6. 是。PIM 旨在減少常駐的管理員權限，透過即時、有時限的啟用來降低風險。
7. 否。NSG 在第 4 層（傳輸層）運作，根據 IP 和通訊埠過濾；在應用層根據 URL 過濾是 Azure Firewall 的功能。
8. 否。Windows Hello 的生物識別資料只會加密儲存在裝置本地的 TPM 安全晶片中，絕不離開裝置。
9. 否。劇本 (Playbooks) 用於自動化回應 (SOAR)；視覺化儀表板是由「工作簿 (Workbooks)」提供的。
10. 否。敏感度標籤非常靈活，既可以套用加密，也可以套用浮水印、頁首/頁尾等內容標記。
11. 否。Azure Bastion 提供安全的遠端連線（RDP/SSH）；DDoS 保護由 Azure DDoS Protection 服務提供。
12. 是。這正是 DLP 的典型應用場景，透過識別敏感內容並執行阻擋動作來防止資料外洩。
13. 否。一個使用者可以根據職責需要，被指派多個角色以獲得必要的權限。
14. 是。合規性分數衡量的是對法規（如 GDPR）的遵循情況；而技術安全狀態由「安全分數」衡量。
15. 否。雜湊是單向的，其設計目的就是為了驗證資料完整性，而非加密解密。
16. 是。eDiscovery 和內容搜尋工具正是為此目的而設計，以便應對法律與合規調查。
17. 否。Intune 是端點管理工具，與 Azure 訂閱的生命週期管理無關。
18. 否。在 SaaS 模型中，應用程式層的更新和維護由雲端提供商負責。
19. 是。啟用 MFA 是微軟的一項關鍵安全建議，完成它會直接提升安全分數。
20. 是。服務主體是應用程式在特定租用戶中的本地「身分」，用於進行驗證和授權。

2025/08/13 更新

於8/12順利通過微軟認證考試, 取得SC-900證書

終於在2個月內, 自學取得900系列的4張證書

CCChen