測驗 SC-300:Microsoft 身分識別與存取權管理員的學習指南
本文件的目的
此學習指南應可協助您理解測驗的內容範圍,並會包含測驗可能涵蓋的主題摘要,以及其他資源的連結。 本文件中的資訊和教材應可協助您專心準備此測驗。
| 實用的連結 | 描述 |
|---|---|
| 檢閱自 2023 年 10 月 30 日起評量的技能 | 此清單代表在所提供日期「之後」所會評測的技能。 若您計劃在該日期「之後」參加測驗,請詳閱此清單。 |
| 檢閱 2023 年 10 月 30 日之前評量的技能 | 若您計劃在指定日期「之前」參加測驗,請詳閱此清單。 |
| 變更記錄 | 若您想了解會在指定日期進行的變更,可以直接前往變更記錄檔。 |
| 獲取認證的方式 | 部分認證僅需通過一個測驗,而其他認證則需通過多個測驗。 |
| 認證更新 | Microsoft Associate、Expert 與 Specialty 認證每年都會到期。 您可以透過通過 Microsoft Learn 的免費線上評量來進行更新。 |
| 您的 Microsoft Learn 設定檔 | 將認證設定檔連線至 Microsoft Learn 可讓您排程與更新測驗,以及分享與列印認證。 |
| 測驗計分與成績單 | 700 分或以上才能通過。 |
| 測驗沙箱 | 您可以瀏覽我們的測驗沙箱,以探索測驗環境。 |
| 要求無障礙設施 | 如果您使用輔具、需要額外的時間,或需要修改測驗體驗的任何部分,您都可以要求便利設施。 |
| 參加免費的練習評量 | 利用練習問題測試技能,以協助您準備測驗。 |
測驗更新
我們會定期更新測驗,以反映執行角色所需的技能。 取決於您參加測驗的時間,我們已包括兩種版本的技能評測目標。
我們一律會先更新英文版的測驗。 部分測驗會翻譯成其他語言,而且那些語言版本會在英文版更新後約八週進行更新。 雖然 Microsoft 竭盡一切所能更新當地語系化版本,但有時候測驗的當地語系化版本可能會未在此排程上進行更新。 其他可用的語言會列在 [測驗詳細資訊] 網頁的 [安排測驗時間] 區段中。 如果測驗未提供您慣用語言的版本,您可以多要求 30 分鐘來完成測驗。
注意
每種評量技能下的項目,旨在說明評估該技能的方式。 測驗會涵蓋相關主題。
注意
大部分的問題都會涵蓋正式發行 (GA) 的功能。 測驗可能包含常用預覽版功能的問題。
自 2023 年 10 月 30 日起評量的技能
對象個人檔案
作為 Microsoft 身分識別與存取管理員,您使用 Microsoft Entra ID 來設計、實作和操作組織的身分識別與存取管理。 您可以設定及管理下列項目的完整身分識別週期:
使用者
裝置
Microsoft Azure 資源
應用程式
作為身分識別與存取管理員,您為所有使用者提供順暢的體驗和自助式管理功能。 您可以規劃和實作身分識別、授權和存取權,以連結 Azure 中的應用程式和資源。 您也負責對身分識別與存取權進行疑難排解、監視和報告。 您可以與組織中的許多其他角色共同作業,以:
推動策略性身分識別專案。
現代化身分識別解決方案。
實作混合式身分識別解決方案。
實作身分識別治理。
您應該熟悉 Azure、Microsoft 365 服務和工作負載,以及 Active Directory 網域服務 (AD DS)。 您應該具備以下經驗:
使用 PowerShell 自動管理 Microsoft Entra ID。
使用 Kusto 查詢語言來分析事件 (KQL)。
技能一目了然
實作和管理使用者身分識別 (20–25%)
實作驗證與存取權管理 (25–30%)
規劃和實作工作負載身分識別 (20–25%)
規劃和實作身分識別治理 (20–25%)
實作和管理使用者身分識別 (20–25%)
設定和管理 Microsoft Entra 租使用者
設定及管理內建和自訂 Microsoft Entra 角色
建議使用系統管理單位的時機
設定並管理系統管理單位
評估 Microsoft Entra 角色的有效權限
設定及管理自訂網域
設定公司商標設定
設定租使用者屬性、使用者設定、群組設定和裝置設定
建立、設定及管理 Microsoft Entra 身分識別
建立、設定及管理使用者
建立、設定及管理群組
管理自訂安全性屬性
使用 PowerShell 自動管理使用者和群組
指派、修改及報告授權
實作和管理外部使用者和租使用者的身分識別
在 Microsoft Entra ID 中管理外部共同作業設定
個別或大量邀請外部使用者
在 Microsoft Entra ID 中管理外部使用者帳戶
實作跨租用戶存取設定
實作和管理跨租用戶同步處理
設定識別提供者,包括 SAML 和 WS-同盟
建立和管理 Microsoft Entra B2C 租使用者 (Microsoft Entra 外部 ID)
實作及管理混合式身分識別
實作並管理 Microsoft Entra Connect
實作並管理 Microsoft Entra Connect 雲端同步
實作及管理密碼雜湊同步
實作及管理傳遞驗證
實作及管理無縫單一登入 (SSO)
實作及管理不含手動 Active Directory 同盟服務 (AD FS) 部署的同盟
實作並管理 Microsoft Entra Connect Health
疑難排解同步處理錯誤
實作驗證與存取權管理 (25–30%)
規劃、實作及管理 Microsoft Entra ID 使用者驗證
規劃驗證
實作及管理驗證方法
實作及管理全租使用者多重要素驗證 (MFA) 設定
管理每個使用者的 MFA 設定
設定及部署自助式密碼重設 (SSPR)
實作及管理 Windows Hello 企業版
停用帳戶並撤銷使用者工作階段
實作及管理密碼保護和智慧鎖定
啟用混合式身分識別的 Microsoft Entra Kerberos 驗證
在 Microsoft Entra 中實作憑證式驗證
規劃、實作及管理 Microsoft Entra 條件式存取
規劃條件式存取原則
實作條件式存取原則指派
實作條件式存取原則控制
測試「條件式存取」原則並對其進行疑難排解
實作工作階段管理
實作裝置施行的限制
實作持續性存取評估
從範本建立條件式存取原則
使用 Microsoft Entra 身分識別保護管理風險
實作及管理使用者風險原則
實作及管理登入風險原則
實作及管理 MFA 註冊原則
監視、調查及補救風險性使用者
監視、調查及補救有風險的工作負載身分識別
使用 Azure 角色實作 Azure 資源的存取管理
建立自訂 Azure 角色,包括控制平面和資料平面權限
指派內建和自訂 Azure 角色
評估一組 Azure 角色的有效權限
指派 Azure 角色以啟用 Microsoft Entra ID 登入 Azure 虛擬機器
設定 Azure Key Vault 角色型存取控制 (RBAC) 和存取原則
規劃和實作工作負載身分識別 (20–25%)
規劃和實作應用程式和 Azure 工作負載的身分識別
為應用程式和 Azure 工作負載選取適當的身分識別,包括受控識別、服務主體、使用者帳戶和受控服務帳戶
建立受控識別
將受控識別指派給 Azure 資源
使用指派給 Azure 資源的受控識別來存取其他 Azure 資源
規劃、實作及監視企業應用程式的整合
設定及管理使用者和管理員同意
使用 AD FS 應用程式活動報告來探索應用程式
規劃和實作企業應用程式的設定,包括應用層級和租使用者層級設定
將適當的 Microsoft Entra 角色指派給使用者來管理企業應用程式
監視及稽核企業應用程式中的活動
使用 Microsoft Entra 應用程式 Proxy 來設計及實作內部部署應用程式的整合
設計及實作軟體即服務 (SaaS) 應用程式的整合
指派、分類及管理企業應用程式的使用者、群組和應用程式角色
建立及管理應用程式集合
規劃及實作應用程式註冊
規劃應用程式註冊
建立應用程式註冊
設定應用程式驗證
設定 API 權限
建立應用程式角色
使用適用於雲端的 Microsoft Defender 應用程式來管理及監視應用程式存取
使用適用於雲端的 Defender 應用程式設定和分析雲端探索結果
設定已連線應用程式
實作應用程式施行的限制
設定條件式存取應用程式控制
在適用於雲端的 Defender 應用程式中建立存取和工作階段原則
實作及管理 OAuth 應用程式的原則
管理雲端應用程式目錄
規劃和實作身分識別治理 (20–25%)
在 Microsoft Entra 中規劃並實作權利管理
規劃權利
建立及設定目錄
建立及設定存取套件
管理存取要求
實作及管理使用規定 (ToU)
管理外部使用者的生命週期
設定及管理已連線的組織
在 Microsoft Entra 中規劃、實作和管理存取權檢閱
規劃存取權檢閱
建立並設定存取權檢閱
監視存取權檢閱活動
手動回應存取權檢閱活動
規劃並實作特殊權限存取
在 Microsoft Entra Privileged Identity Management (PIM) 中規劃及管理 Azure 角色,包括設定和指派
在 PIM 中規劃及管理 Azure 資源,包括設定和指派
規劃及設定特殊權限存取群組
管理 PIM 要求與核准程序
分析 PIM 稽核歷程記錄與報告
建立及管理緊急安全窗口帳戶
使用記錄、活頁簿和報告監視身分識別活動
設計監視 Microsoft Entra 的策略
使用 Microsoft Entra 系統管理中心來檢閱及分析登入、稽核與佈建記錄
設定診斷設定,包括設定目的地,例如 Log Analytics 工作區、儲存體帳戶和事件中樞
在 Log Analytics 中使用 KQL 查詢監視 Microsoft Entra
使用活頁簿和報告分析 Microsoft Entra
使用身分識別安全分數來監視及改善安全性態勢
規劃並實作 Microsoft Entra 權限管理
將 Azure 訂閱上線至版權管理
評估和補救與 Azure 身分識別、資源和工作相關的風險
評估和補救與 Azure 高特殊權限角色相關的風險
評估及補救與 Azure 中權限蔓延指標 (PCI) 相關的風險
設定 Azure 訂閱的活動警示和觸發程序
學習資源
建議您在參加測驗之前,先進行訓練並取得實作經驗。 我們提供了自學選項和課堂訓練,以及文件、社群網站和影片的連結。
變更記錄檔
資料表理解要點:主題群組 (也稱為功能群組) 的字體為粗體,其後為每個群組的目標。 這份資料表會比較評測技能的兩種版本,而資料表中的第三個資料行則會描述變更範圍。
| 2023 年 10 月 30 日之前的技能領域 | 自 2023 年 10 月 30 日起的技能領域 | 變更 |
|---|---|---|
| 對象個人檔案 | Minor | |
| 在 Azure AD 中實作身分識別 | 實作和管理使用者身分識別 | 沒有變化 |
| 設定及管理 Azure AD 租用戶 | 設定和管理 Microsoft Entra 租使用者 | 主要 |
| 建立、設定及管理 Azure AD 身分識別 | 建立、設定及管理 Microsoft Entra 身分識別 | 主要 |
| 實作及管理外部身分識別 | 實作和管理外部使用者和租使用者的身分識別 | 主要 |
| 實作及管理混合式身分識別 | 實作及管理混合式身分識別 | 沒有變化 |
| 實作驗證與存取權管理 | 實作驗證與存取權管理 | 沒有變化 |
| 規劃、實作及管理 Azure Multifactor Authentication (MFA) 和自助式密碼重設 | 已刪除 | |
| 規劃、實作及管理 Azure AD 使用者驗證 | 規劃、實作及管理 Microsoft Entra ID 使用者驗證 | 主要 |
| 規劃、實作及管理 Azure AD 條件式存取 | 規劃、實作及管理 Microsoft Entra 條件式存取 | 沒有變化 |
| 管理 Azure AD Identity Protection | 使用 Microsoft Entra 身分識別保護管理風險 | 沒有變化 |
| 實作 Azure 資源的存取管理 | 使用 Azure 角色實作 Azure 資源的存取管理 | 主要 |
| 實作應用程式的存取權管理 | 規劃和實作工作負載身分識別 | 測驗占比增加 |
| 使用適用於雲端的 Microsoft Defender 應用程式來管理及監視應用程式存取 | 使用適用於雲端的 Microsoft Defender 應用程式來管理及監視應用程式存取 | 主要 |
| 規劃、實作及監視企業應用程式的整合 | 規劃、實作及監視企業應用程式的整合 | Minor |
| 規劃及實作應用程式註冊 | 規劃及實作應用程式註冊 | 主要 |
| 規劃和實作應用程式和 Azure 工作負載的身分識別 | 新增 | |
| 在 Azure AD 中規劃及實作身分識別控管 | 規劃和實作身分識別治理 | 測驗占比增加 |
| 規劃並實作權利管理 | 在 Microsoft Entra 中規劃並實作權利管理 | Minor |
| 規劃、實作和管理存取權檢閱 | 在 Microsoft Entra 中規劃、實作和管理存取權檢閱 | Minor |
| 規劃並實作特殊權限存取 | 規劃並實作特殊權限存取 | Minor |
| 監視 Azure AD | 使用記錄、活頁簿和報告監視身分識別活動 | Minor |
| 規劃並實作 Microsoft Entra 權限管理 | 新增 |
2023 年 10 月 30 日之前評量的技能
對象個人檔案
作為 Microsoft Entra 的一部分,Microsoft 身分識別與存取管理員會使用 Microsoft Azure Active Directory (Azure AD) 來設計、實作及操作組織的身分識別與存取管理系統。 他們會為使用者、裝置、Azure 資源和應用程式設定及管理身分識別的驗證和授權。
身分識別與存取管理員會為所有使用者提供順暢的體驗和自助式管理功能。 他們會確保身分識別經過明確驗證,以支援零信任準則。 他們會使用 PowerShell 自動管理 Azure AD,並使用 Kusto 查詢語言 (KQL) 來分析事件。 他們也負責對身分識別與存取環境進行疑難排解、監視和報告。
身分識別與存取管理員會與組織中的許多其他角色共同作業,推動策略性的身分識別專案以現代化身分識別解決方案、實作混合式身分識別解決方案,以及實作身分識別治理。 他們應熟悉 Azure 和 Microsoft 365 服務與工作負載。
技能一目了然
在 Azure AD 中實作身分識別 (20–25%)
實作驗證與存取權管理 (25–30%)
實作應用程式的存取權管理 (15–20%)
在 Azure AD 中規劃及實作身分識別控管 (20–25%)
在 Azure AD 中實作身分識別 (20–25%)
設定及管理 Azure AD 租用戶
設定及管理 Azure AD 角色
使用管理單位來設定委派
分析 Azure AD 角色權限
設定及管理自訂網域
設定全租用戶的設定
建立、設定及管理 Azure AD 身分識別
建立、設定及管理使用者
建立、設定及管理群組
設定及管理裝置加入和註冊,包括回寫
指派、修改及報告授權
實作及管理外部身分識別
管理 Azure AD 中的外部共同作業設定
個別或大量邀請外部使用者
管理 Azure AD 中的外部使用者帳戶
設定識別提供者,包括 SAML 或 WS-同盟
實作及管理混合式身分識別
實作及管理 Azure AD Connect
實作及管理 Azure AD Connect 雲端同步
實作及管理密碼雜湊同步 (PHS)
實作及管理傳遞驗證 (PTA)
實作及管理無縫單一登入 (SSO)
實作及管理不含手動 AD FS 部署的同盟
實作和管理 Azure AD Connect Health
疑難排解同步處理錯誤
實作驗證與存取權管理 (25–30%)
規劃、實作及管理 Azure Multifactor Authentication (MFA) 和自助式密碼重設
規劃不含 MFA 伺服器的 Azure MFA 部署
設定及部署自助式密碼重設
實作及管理 Azure MFA 設定
管理使用者的 MFA 設定
將 Azure AD MFA 擴充至協力廠商和內部部署裝置
監視 Azure AD MFA 活動
規劃、實作及管理 Azure AD 使用者驗證
規劃驗證
實作及管理驗證方法
實作及管理 Windows Hello 企業版
實作及管理密碼保護和智慧鎖定
在 Azure AD 中實作憑證式驗證
為 Azure 上的 Windows 和 Linux 虛擬機器設定 Azure AD 使用者驗證
規劃、實作及管理 Azure AD 條件式存取
規劃條件式存取原則
實作條件式存取原則指派
實作條件式存取原則控制
測試條件式存取原則並對其進行疑難排解
實作工作階段管理
實作裝置施行的限制
實作持續性存取評估
從範本建立條件式存取原則
管理 Azure AD Identity Protection
實作及管理使用者風險原則
實作及管理登入風險原則
實作及管理 MFA 註冊原則
監視、調查及補救風險性使用者
實作工作負載身分識別的安全性
實作 Azure 資源的存取管理
指派 Azure 角色
設定自訂的 Azure 角色
建立和設定受控身分識別
使用受控識別來存取 Azure 資源
分析 Azure 角色權限
設定 Azure Key Vault RBAC 和原則
實作應用程式的存取權管理 (15–20%)
使用適用於雲端的 Microsoft Defender 應用程式來管理及監視應用程式存取
使用適用於雲端的 Microsoft Defender 應用程式來探索及管理應用程式
設定應用程式的連接器
實作應用程式施行的限制
設定條件式存取應用程式控制
在適用於雲端的 Microsoft Defender 應用程式中建立存取和工作階段原則
實作及管理 OAuth 應用程式的原則
規劃、實作及監視企業應用程式的整合
設定及管理使用者和管理員同意
使用 ADFS 應用程式活動報告來探索應用程式
設計及實作應用程式的存取權管理
設計和實作應用程式管理角色
監視及稽核企業應用程式中的活動
使用 Azure AD 應用程式 Proxy 來設計及實作內部部署應用程式的整合
設計及實作 SaaS 應用程式的整合
佈建及管理企業應用程式的使用者、群組和角色
建立及管理應用程式集合
規劃及實作應用程式註冊
規劃應用程式註冊
實作應用程式註冊
設定應用程式權限
實作應用程式授權
規劃和設定多層式應用程式權限
使用應用程式控管來管理及監視應用程式
在 Azure AD 中規劃及實作身分識別控管 (20–25%)
規劃並實作權利管理
規劃權利
建立及設定目錄
建立及設定存取套件
管理存取要求
實作及管理使用規定
在 Azure AD Identity Governance 設定中管理外部使用者的生命週期
設定及管理已連線的組織
使用 Azure AD 權利管理來檢閱每個使用者的權利
規劃、實作和管理存取權檢閱
規劃存取權檢閱
建立及設定群組和應用程式的存取權檢閱
建立及設定存取權檢閱程式
監視存取權檢閱活動
回應存取權檢閱活動,包括自動化和手動回應
規劃並實作特殊權限存取
在 Privileged Identity Management (PIM) 中規劃及管理 Azure 角色,包括設定和指派
在 PIM 中規劃及管理 Azure 資源,包括設定和指派
規劃及設定特殊權限存取群組
管理 PIM 要求與核准程序
分析 PIM 稽核歷程記錄與報告
建立及管理緊急安全窗口帳戶
監視 Azure AD
設計監視 Azure AD 的策略
使用 Azure Active Directory 系統管理中心來檢閱及分析登入、稽核與佈建記錄
進行診斷設定,包括 Log Analytics、儲存體帳戶和事件中樞
使用 Log Analytics 來監視 Azure AD,包括 KQL 查詢
在 Azure Active Directory 系統管理中心使用活頁簿和報告來分析 Azure AD
使用身分識別安全分數來監視及改善安全性態勢