本文档的目的
本学习指南应帮助你了解考试的预期内容,并包含考试可能涵盖的主题摘要以及指向其他资源的链接。 本文档中的信息和材料可以帮助你在准备考试时集中精力学习。
| 有用链接 | 说明 |
|---|---|
| 查看自 2024 年 7 月 30 日起测试的技能 | 此列表表示在提供的日期之后测试的技能。 如果你计划在该日期之后参加考试,请学习此列表。 |
| 查看 2024 年 7 月 30 日之前测试的技能 | 如果在提供的日期之前参加考试,请学习此技能列表。 |
| 更改日志 | 如果想要查看将在提供的日期所做的更改,可以直接转到更改日志。 |
| 如何获得认证 | 有些认证只需要通过一项考试,而另一些认证则需要通过多项考试。 |
| 认证续订 | Microsoft 助理、专业和专家认证每年都会过期。 你可以通过 Microsoft Learn 上的免费在线评估进行续订。 |
| Microsoft Learn 个人资料 | 通过将认证个人资料连接到 Microsoft Learn,可以安排和续订考试以及共享和打印证书。 |
| 考分和成绩报告 | 需要 700 分或更高的分数才能通过。 |
| 考试沙盒 | 可以通过访问我们的考试沙盒来探索考试环境。 |
| 请求便利设施 | 如果你使用辅助设备、需要额外时间或需要修改考试体验的任何部分,你可以申请住宿。 |
| 进行免费的练习评估 | 通过练习题测试技能,帮助你为考试做准备。 |
考试更新
我们的考试会定期更新,以反映执行某一角色所需的技能。 我们提供了两个版本的技能测评目标,具体取决于你参加考试的时间。
我们始终首先更新考试的英语版本。 一些考试已本地化为其他语言,在英语版本更新后大约八周进行更新。 虽然 Microsoft 会尽一切努力更新本地化版本,但有时考试的本地化版本可能未按此计划进行更新。 其他可用语言列在“考试详细信息”网页的“安排考试”部分。 如果考试不以你的首选语言提供,你可以请求额外 30 分钟时间来完成考试。
注意
每项技能下面的项目符号旨在说明我们如何评估该技能。 考试中可能会涉及到相关的主题。
注意
大多数问题都涉及正式发布 (GA) 的功能。 如果经常使用预览功能,该考试可能会包含有关这些功能的问题。
自 2024 年 7 月 30 日起测试的技能
受众概况
作为 Microsoft 标识和访问管理员,你使用 Microsoft Entra 设计、实现和操作组织的标识和访问管理。 配置和管理用户、设备、Microsoft Azure 资源和应用程序整个生命周期中的标识。你负责确保对标识和访问解决方案应用零信任原则。
作为标识和访问管理员,你为用户提供无缝体验和自助服务管理功能。 你负责计划并实施标识、身份验证和授权,以实现跨应用程序和资源的访问。 你还负责对标识和访问进行故障排除、监视和报告。
你与组织中许多其他角色协作,推动战略标识项目、实现标识解决方案的现代化、实现混合标识解决方案以及实现标识治理。
你应该熟悉 Azure、Microsoft 365 服务和工作负载以及 Active Directory 域服务 (AD DS)。 你还应该熟悉 PowerShell 和 Kusto 查询语言 (KQL)。
技能概览
实现和管理用户标识 (20-25%)
实现身份验证和访问管理 (25-30%)
规划和实现工作负载标识 (20-25%)
规划和实现标识治理的自动化 (25-30%)
实现和管理用户标识 (20-25%)
配置和管理 Microsoft Entra 租户
配置和管理内置和自定义 Microsoft Entra 角色
建议何时使用管理单元
配置和管理管理单元
评估 Microsoft Entra 角色的有效权限
在 Microsoft Entra ID 和 Microsoft 365 中配置和管理域
配置公司品牌设置
配置租户属性、用户设置、组设置和设备设置
创建、配置和管理 Microsoft Entra 标识
创建、配置和管理用户
创建、配置和管理组
管理自定义安全属性
使用 Microsoft Entra 管理中心和 PowerShell 自动执行批量操作
在 Microsoft Entra ID 中管理设备加入和设备注册
分配、修改和报告许可证
为外部用户和租户实现和管理标识
在 Microsoft Entra ID 中管理外部协作设置
邀请外部用户(单独或批量)
在 Microsoft Entra ID 中管理外部用户帐户
实现跨租户访问设置
实现和管理跨租户同步
配置外部标识提供者,包括 SAML 和 WS-Fed 等协议
实现和管理混合标识
实现和管理 Microsoft Entra Connect Sync
实现和管理 Microsoft Entra 云同步
实现和管理密码哈希同步
实现和管理直通身份验证
实现和管理无缝单一登录 (SSO)
从 AD FS 迁移到其他身份验证和授权机制
实现和管理 Microsoft Entra Connect Health
实现身份验证和访问管理 (25-30%)
计划、实现和管理 Microsoft Entra 用户身份验证
身份验证规划
实现和管理身份验证方法,包括基于证书的身份验证、临时访问密码、OAUTH 令牌、Microsoft Authenticator 和 FIDO2
实现和管理租户范围的多重身份验证 (MFA) 设置
配置和部署自助式密码重置 (SSPR)
实现和管理 Windows Hello 企业版
禁用帐户并撤销用户会话
实现和管理 Microsoft Entra 密码保护
为混合标识启用 Microsoft Entra Kerberos 身份验证
规划、实现和管理 Microsoft Entra 条件访问
计划条件访问策略
实现条件访问策略分配
实现条件访问策略控制
测试条件访问策略并对其进行故障排除
实现会话管理
实现设备强制实施的限制
实现连续访问评估
配置身份验证上下文
实现受保护的操作
通过模板创建条件访问策略
使用 Microsoft Entra ID 保护管理风险
使用标识保护或条件访问策略实现和管理用户风险
使用标识保护或条件访问策略实现和管理登录风险
实现和管理多重身份验证注册策略
监视、调查和修正高风险用户和高风险登录
监视、调查和修正有风险的工作负载标识
使用 Azure 角色实现 Azure 资源的访问管理
创建自定义 Azure 角色,包括控制平面和数据平面权限
分配内置和自定义 Azure 角色
评估一组 Azure 角色的有效权限
分配 Azure 角色以启用到 Azure 虚拟机的 Microsoft Entra ID 登录
配置 Azure Key Vault 基于角色的访问控制 (RBAC) 和访问策略
实现全球安全访问
部署全球安全访问客户端
部署专用访问
部署 Internet 访问
为 Microsoft 365 部署 Internet 访问
规划和实现工作负载标识 (20-25%)
规划和实现应用程序和 Azure 工作负载的标识
为应用程序和 Azure 工作负载选择适当的标识,包括托管标识、服务主体、用户帐户和托管服务帐户
创建托管标识
将托管标识分配给 Azure 资源
使用分配给 Azure 资源的托管标识访问其他 Azure 资源
计划、实现和监视企业应用程序的集成
规划和实施企业应用程序的设置,包括应用程序级和租户级设置
向用户分配适当的 Microsoft Entra 角色来管理企业应用程序
使用 Microsoft Entra 应用程序代理来设计和实现本地应用集成
设计和实现服务型软件 (SaaS) 应用的集成
为企业应用程序分配、分类和管理用户、组和应用角色
配置和管理用户和管理员同意
创建和管理应用程序集合
规划和实现应用注册
规划应用注册
创建应用注册
配置应用身份验证
配置 API 权限
创建应用角色
使用 Microsoft Defender for Cloud Apps 管理和监视应用访问
使用 Defender for Cloud Apps 配置和分析云发现结果
配置连接的应用
实现应用程序强制实施的限制
配置条件访问应用控制
在 Defender for Cloud Apps 中创建访问和会话策略
为 OAuth 应用实施和管理策略
管理云应用目录
规划和实现标识治理的自动化 (25-30%)
在 Microsoft Entra 中规划和实现权利管理
计划权利
创建和配置目录
创建和配置访问包
管理访问请求
实现和管理使用条款 (ToU)
管理外部用户的生命周期
配置和管理连接的组织
在 Microsoft Entra 中规划、实施和管理访问评审
规划访问评审
创建和配置访问评审
监视访问评审活动
手动响应访问评审活动
计划和实现特权访问
在 Microsoft Entra Privileged Identity Management (PIM) 中规划和管理 Microsoft Entra 角色,包括设置和分配
在 PIM 中计划和管理 Azure 资源,包括设置和分配
规划和配置 PIM 管理的组
管理 PIM 请求和审批过程
分析 PIM 审核历史记录和报告
创建和管理不受限帐户
使用日志、工作簿和报表监视标识活动
使用 Microsoft Entra 管理中心查看和分析登录、审核和预配日志
配置诊断设置,包括配置目标,例如 Log Analytics 工作区、存储帐户和事件中心
在 Log Analytics 中使用 KQL 查询监视 Microsoft Entra ID
使用工作簿和报告分析 Microsoft Entra ID
使用标识安全分数监视和优化安全态势
规划和实现 Microsoft Entra 权限管理
将 Azure 订阅加入权限管理
评估和修正与 Azure 标识、资源和任务相关的风险
评估和修正与 Azure 高特权角色相关的风险
评估和修正与 Azure 中的权限蠕变指数 (PCI) 相关的风险
为 Azure 订阅配置活动警报和触发器
学习资源
我们建议你在参加考试之前进行培训并获得实践经验。 我们提供自学选项和课堂培训,以及指向文档、社区网站和视频的链接。
更改日志
理解表的关键:主题组(也称为功能组)以粗体字样显示,后跟每个组中的目标。 下表比较了两个版本的考试测评技能,第三列描述了更改程度。
| 2024 年 7 月 30 日之前的技能领域 | 自 2024 年 7 月 30 日起的技能领域 | 更改 |
|---|---|---|
| 受众概况 | 主要 | |
| 实现和管理用户标识 | 实现和管理用户标识 | 没有变化 |
| 配置和管理 Microsoft Entra 租户 | 配置和管理 Microsoft Entra 租户 | 次要 |
| 创建、配置和管理 Microsoft Entra 标识 | 创建、配置和管理 Microsoft Entra 标识 | 次要 |
| 为外部用户和租户实现和管理标识 | 为外部用户和租户实现和管理标识 | 次要 |
| 实现和管理混合标识 | 实现和管理混合标识 | 次要 |
| 实现身份验证和访问管理 | 实现身份验证和访问管理 | 没有变化 |
| 计划、实现和管理 Microsoft Entra 用户身份验证 | 计划、实现和管理 Microsoft Entra 用户身份验证 | 次要 |
| 规划、实现和管理 Microsoft Entra 条件访问 | 规划、实现和管理 Microsoft Entra 条件访问 | 主要 |
| 使用 Microsoft Entra ID 保护管理风险 | 使用 Microsoft Entra ID 保护管理风险 | 次要 |
| 使用 Azure 角色实现 Azure 资源的访问管理 | 使用 Azure 角色实现 Azure 资源的访问管理 | 次要 |
| 实现全球安全访问 | 新 | |
| 规划和实现工作负载标识 | 规划和实现工作负载标识 | 没有变化 |
| 规划和实现应用程序和 Azure 工作负载的标识 | 规划和实现应用程序和 Azure 工作负载的标识 | 没有变化 |
| 计划、实现和监视企业应用程序的集成 | 计划、实现和监视企业应用程序的集成 | 没有变化 |
| 计划和实现应用程序注册 | 规划和实现应用注册 | 次要 |
| 使用 Microsoft Defender for Cloud Apps 管理和监视应用访问 | 使用 Microsoft Defender for Cloud Apps 管理和监视应用访问 | 没有变化 |
| 规划和实现标识治理 | 规划和实现标识治理的自动化 | 考试占比增加 |
| 在 Microsoft Entra 中规划和实现权利管理 | 在 Microsoft Entra 中规划和实现权利管理 | 没有变化 |
| 在 Microsoft Entra 中规划、实施和管理访问评审 | 在 Microsoft Entra 中规划、实施和管理访问评审 | 没有变化 |
| 计划和实现特权访问 | 计划和实现特权访问 | 没有变化 |
| 使用日志、工作簿和报表监视标识活动 | 使用日志、工作簿和报表监视标识活动 | 次要 |
| 规划和实现 Microsoft Entra 权限管理 | 规划和实现 Microsoft Entra 权限管理 | 没有变化 |
2024 年 7 月 30 日之前测试的技能
受众概况
作为 Microsoft 标识和访问管理员,你使用 Microsoft Entra ID 设计、实现和操作组织的标识和访问管理。 你负责配置和管理以下内容的标识完整周期:
用户
设备
Microsoft Azure 资源
应用程序
作为标识和访问管理员,你为用户提供无缝体验和自助服务管理功能。 你负责计划并实现标识、授权和访问,以连接 Azure 中的应用程序和资源。 你还负责对标识和访问进行故障排除、监视和报告。 你与组织中的许多其他角色协作,以:
推动战略标识项目。
现代化标识解决方案。
实现混合标识解决方案。
实现标识治理。
你应该熟悉 Azure、Microsoft 365 服务和工作负载以及 Active Directory 域服务 (AD DS)。 你应具有以下方面的经验:
使用 PowerShell 自动管理 Microsoft Entra ID。
使用 Kusto 查询语言 (KQL) 分析事件。
技能概览
实现和管理用户标识 (20-25%)
实现身份验证和访问管理 (25-30%)
规划和实现工作负载标识 (20-25%)
规划和实现标识治理 (20-25%)
实现和管理用户标识 (20-25%)
配置和管理 Microsoft Entra 租户
配置和管理内置和自定义 Microsoft Entra 角色
建议何时使用管理单元
配置和管理管理单元
评估 Microsoft Entra 角色的有效权限
配置和管理自定义域
配置公司品牌设置
配置租户属性、用户设置、组设置和设备设置
创建、配置和管理 Microsoft Entra 标识
创建、配置和管理用户
创建、配置和管理组
管理自定义安全属性
使用 PowerShell 自动管理用户和组
分配、修改和报告许可证
为外部用户和租户实现和管理标识
在 Microsoft Entra ID 中管理外部协作设置
邀请外部用户(单独或批量)
在 Microsoft Entra ID 中管理外部用户帐户
实现跨租户访问设置
实现和管理跨租户同步
配置标识提供者,包括 SAML 和 WS-Fed
创建和管理 Microsoft Entra B2C 租户(Microsoft Entra 外部 ID)
实现和管理混合标识
实现和管理 Microsoft Entra Connect
实现和管理 Microsoft Entra Connect 云同步
实现和管理密码哈希同步
实现和管理直通身份验证
实现和管理无缝单一登录 (SSO)
实施和管理联合身份验证,不包括手动 Active Directory 联合身份验证服务 (AD FS) 部署
实现和管理 Microsoft Entra Connect Health
排查同步错误
实现身份验证和访问管理 (25-30%)
计划、实现和管理 Microsoft Entra 用户身份验证
身份验证规划
实现和管理身份验证方法
实现和管理租户范围的多重身份验证 (MFA) 设置
管理每用户 MFA 设置
配置和部署自助式密码重置 (SSPR)
实现和管理 Windows Hello 企业版
禁用帐户并撤销用户会话
实现和管理密码保护和智能锁定
为混合标识启用 Microsoft Entra Kerberos 身份验证
在 Microsoft Entra 中实现基于证书的身份验证
规划、实现和管理 Microsoft Entra 条件访问
计划条件访问策略
实现条件访问策略分配
实现条件访问策略控制
测试条件访问策略并对其进行故障排除
实现会话管理
实现设备强制实施的限制
实现连续访问评估
通过模板创建条件访问策略
使用 Microsoft Entra ID 保护管理风险
实现和管理用户风险策略
实现和管理登录风险策略
实现和管理 MFA 注册策略
监视、调查和修正风险用户
监视、调查和修正有风险的工作负载标识
使用 Azure 角色实现 Azure 资源的访问管理
创建自定义 Azure 角色,包括控制平面和数据平面权限
分配内置和自定义 Azure 角色
评估一组 Azure 角色的有效权限
分配 Azure 角色以启用到 Azure 虚拟机的 Microsoft Entra ID 登录
配置 Azure Key Vault 基于角色的访问控制 (RBAC) 和访问策略
规划和实现工作负载标识 (20-25%)
规划和实现应用程序和 Azure 工作负载的标识
为应用程序和 Azure 工作负载选择适当的标识,包括托管标识、服务主体、用户帐户和托管服务帐户
创建托管标识
将托管标识分配给 Azure 资源
使用分配给 Azure 资源的托管标识访问其他 Azure 资源
计划、实现和监视企业应用程序的集成
配置和管理用户和管理员同意
使用 AD FS 应用程序活动报表发现应用
规划和实施企业应用程序的设置,包括应用程序级和租户级设置
向用户分配适当的 Microsoft Entra 角色来管理企业应用程序
监视和审核企业应用程序中的活动
使用 Microsoft Entra 应用程序代理来设计和实现本地应用集成
设计和实现服务型软件 (SaaS) 应用的集成
为企业应用程序分配、分类和管理用户、组和应用角色
创建和管理应用程序集合
规划和实现应用注册
规划应用注册
创建应用注册
配置应用身份验证
配置 API 权限
创建应用角色
使用 Microsoft Defender for Cloud Apps 管理和监视应用访问
使用 Defender for Cloud Apps 配置和分析云发现结果
配置连接的应用
实现应用程序强制实施的限制
配置条件访问应用控制
在 Defender for Cloud Apps 中创建访问和会话策略
为 OAuth 应用实施和管理策略
管理云应用目录
规划和实现标识治理 (20-25%)
在 Microsoft Entra 中规划和实现权利管理
计划权利
创建和配置目录
创建和配置访问包
管理访问请求
实现和管理使用条款 (ToU)
管理外部用户的生命周期
配置和管理连接的组织
在 Microsoft Entra 中规划、实施和管理访问评审
规划访问评审
创建和配置访问评审
监视访问评审活动
手动响应访问评审活动
计划和实现特权访问
在 Microsoft Entra Privileged Identity Management (PIM) 中计划和管理 Azure 角色,包括设置和分配
在 PIM 中计划和管理 Azure 资源,包括设置和分配
规划和配置特权访问组
管理 PIM 请求和审批过程
分析 PIM 审核历史记录和报告
创建和管理不受限帐户
使用日志、工作簿和报表监视标识活动
设计用于监视 Microsoft Entra 的策略
使用 Microsoft Entra 管理中心查看和分析登录、审核和预配日志
配置诊断设置,包括配置目标,例如 Log Analytics 工作区、存储帐户和事件中心
在 Log Analytics 中使用 KQL 查询监视 Microsoft Entra
使用工作簿和报告分析 Microsoft Entra
使用标识安全分数监视和优化安全态势
规划和实现 Microsoft Entra 权限管理
将 Azure 订阅加入权限管理
评估和修正与 Azure 标识、资源和任务相关的风险
评估和修正与 Azure 高特权角色相关的风险
评估和修正与 Azure 中的权限蠕变指数 (PCI) 相关的风险
为 Azure 订阅配置活动警报和触发器