2026年微软SC-900认证考试真题题库

2026年微软SC-900认证考试真题题库1.以下哪项是MicrosoftEntraID的主要功能？A.本地网络管理B.云身份和访问管理C.物理服务器监控D.数据库性能优化答案：B解析：MicrosoftEntraID（前身为AzureActiveDirectory）是微软提供的基于云的标识和访问管理服务，其核心功能是为用户、组和应用程序提供身份验证、授权和单一登录等云身份管理能力。选项A、C、D均不属于其核心功能范畴。2.在零信任安全模型中，一个核心原则是“从不信任，始终验证”。以下哪个做法最能体现这一原则？A.允许来自公司内部IP地址的所有流量B.为所有用户分配相同的访问权限C.对每次访问请求，无论其来源，都强制执行身份验证和授权D.仅在外围防火墙部署一次强身份验证答案：C解析：零信任模型假定网络内外都存在威胁，因此不自动信任任何用户或设备，要求对每个访问请求进行严格的、持续的验证。选项A和D依赖于传统的基于边界的安全观念，选项B则违背了最低权限原则。3.在Microsoft365中，合规性管理器的主要作用是什么？A.优化虚拟机性能B.管理软件许可证C.帮助评估和管理组织的合规性风险D.部署网络安全组规则答案：C解析：合规性管理器是Microsoft365合规中心的一项功能，它通过提供合规性评分、推荐操作和证据管理工具，帮助组织评估其数据保护状况并管理跨行业标准（如GDPR、ISO27001）和法规的合规性风险。4.您需要确保存储在AzureBlobStorage中的敏感数据不被未经授权的人员读取。在不更改应用程序代码的情况下，应优先使用哪种方法？A.共享访问签名（SAS）B.客户端加密C.服务器端加密与由Microsoft管理的密钥D.存储访问密钥轮换答案：C解析：Azure存储服务加密（SSE）在数据写入存储时自动对其进行加密，并在读取时解密。使用由Microsoft管理的密钥是一种透明且无需代码更改的默认加密方式，为静态数据提供基本保护。SAS用于委派访问权限，客户端加密需要代码更改，密钥轮换是安全管理实践，但不直接提供加密。5.Azure策略可用于实现以下哪个目标？A.自动缩放虚拟机规模集B.在资源创建时强制执行命名规范C.优化CosmosDB的查询性能D.为AzureFunctions配置触发器答案：B解析：AzurePolicy是一项服务，用于在整个Azure环境中创建、分配和管理策略。这些策略可以强制执行资源属性（如允许的SKU、位置、标签）的规则和效果，确保资源符合公司标准和服务级别协议，例如强制实施资源命名规范。6.MicrosoftDefenderforCloud的安全分数功能主要提供什么？A.对Azure订阅的实时网络攻击告警B.一份根据安全建议实施情况计算出的安全态势评估C.用户登录活动的详细日志D.虚拟机CPU利用率的趋势报告答案：B解析：MicrosoftDefenderforCloud的安全分数（现称安全态势分数）是一个百分比指标，代表组织根据DefenderforCloud提供的安全建议所采取的措施程度。它通过评估安全控制措施的落实情况，帮助衡量和提升整体云安全态势。7.以下关于MicrosoftPurview数据丢失防护（DLP）策略的描述，哪项是正确的？A.DLP策略仅能监控ExchangeOnline中的电子邮件B.DLP策略可以检测、警告或阻止敏感信息的共享或传输C.DLP策略主要用于防御外部恶意软件攻击D.DLP策略的执行完全依赖于终端用户的自觉性答案：B解析：MicrosoftPurview数据丢失防护（DLP）策略旨在识别、监控和保护跨Microsoft365服务（如ExchangeOnline、SharePointOnline、OneDriveforBusiness、Teams）以及端点设备中的敏感信息。它可以通过策略规则，在检测到敏感数据（如信用卡号）被不当共享时，触发通知、记录日志或直接阻止传输。8.在Azure中，哪个服务专门用于集中管理多云和混合云环境的策略与安全？A.AzureMonitorB.AzureArcC.AzureDevOpsD.AzureTrafficManager答案：B解析：AzureArc允许将Azure的管理和安全功能扩展到在本地、边缘或多云环境（如AWS、GCP）中运行的非Azure资源（服务器、Kubernetes集群）。通过AzureArc，可以像管理原生Azure资源一样，对这些资源应用AzurePolicy、启用MicrosoftDefenderforCloud等，实现统一治理。9.您希望记录和分析Azure虚拟机的操作系统级别日志（如Windows事件日志或Syslog）。应使用Azure的哪项服务？A.Azure事件网格B.AzureLogAnalytics工作区C.Azure服务总线D.Azure表存储答案：B解析：AzureLogAnalytics工作区是AzureMonitor的核心组件，用于收集和存储日志数据。通过安装LogAnalytics代理或AzureMonitorAgent（AMA）到虚拟机上，可以将来宾操作系统日志、性能数据等发送到LogAnalytics工作区，以便使用Kusto查询语言（KQL）进行查询和分析。10.将内部部署ActiveDirectory域服务与MicrosoftEntraID集成的推荐工具是什么？A.AzureMigrateB.MicrosoftEntraConnectC.AzureADPowerShell模块D.ActiveDirectoryFederationServices答案：B解析：MicrosoftEntraConnect（原AzureADConnect）是微软提供的官方同步工具，用于在本地ActiveDirectory和MicrosoftEntraID之间同步用户、组和其他对象。它支持密码哈希同步、直通身份验证和联合身份验证等多种混合身份验证方案。11.一个组织希望采用“自带密钥”模式来增强对Azure中加密密钥的控制。他们应使用哪项Azure服务？A.AzureKeyVaultB.AzureSecurityCenterC.AzureInformationProtectionD.AzureDedicatedHSM答案：A解析：AzureKeyVault是一项托管服务，用于安全存储和访问密钥、密码、证书等机密信息。通过KeyVault，客户可以生成或导入自己的密钥（即“自带密钥”，BYOK），用于加密Azure存储、SQL数据库等服务中的数据，从而实现对加密密钥生命周期的集中管理和严格控制。12.在Microsoft365中，电子数据展示（eDiscovery）标准工具的主要用途是？A.实时监控用户聊天内容B.在法律案件或内部调查中识别、保留和导出相关电子内容C.自动归档所有电子邮件D.防止数据泄露答案：B解析：Microsoft365中的电子数据展示（eDiscovery）工具集允许合规性和法律团队对ExchangeOnline邮箱、SharePointOnline站点、OneDriveforBusiness账户、MicrosoftTeams对话等位置中的内容进行搜索、保留和导出，以响应法律诉讼或内部调查。13.以下哪项是实施最低权限原则的最佳示例？A.将所有用户添加到“全局管理员”角色B.为用户分配完成其工作所必需的最小范围访问权限C.创建共享账户供整个部门使用D.允许所有员工访问财务数据库的“读取”权限答案：B解析：最低权限原则是信息安全的核心原则，指只授予用户、程序或系统执行其授权任务所必需的最小权限。选项B直接体现了这一原则。选项A、C、D都授予了过度的权限，增加了安全风险。14.Azure资源的“锁”功能可以防止什么？A.资源因未付费而被删除B.资源的意外删除或配置更改C.来自互联网的未经授权访问D.资源在区域间的复制答案：B解析：Azure资源锁（ResourceLocks）是一种应用于订阅、资源组或单个资源的设置，用于防止意外删除或修改关键资源。锁分为“只读锁”（防止修改和删除）和“删除锁”（仅防止删除）。15.使用条件访问策略时，可以基于以下哪些信号来做出访问决策？（选择所有适用项）A.用户或组身份B.设备平台（如iOS、Android）C.登录风险级别（由MicrosoftEntraID保护检测）D.网络位置（如IP地址范围）E.以上所有答案：E解析：条件访问是MicrosoftEntraID的一项功能，它允许基于各种信号（称为“条件”）来定义和强制执行访问控制策略。这些信号包括用户/组成员身份、应用程序、设备平台、地理位置或IP地址（网络位置）、客户端应用程序以及由MicrosoftEntraID保护评估的实时风险检测（如匿名IP地址、异常登录位置）。16.MicrosoftDefenderforEndpoint主要提供什么保护？A.仅为Azure虚拟机提供防病毒保护B.仅为Microsoft365邮箱提供反钓鱼保护C.为企业网络中的端点设备（如Windows、macOS、Linux）提供预防性保护、攻击检测、调查和响应能力D.仅为AzureSQL数据库提供漏洞评估答案：C解析：MicrosoftDefenderforEndpoint是一个企业级端点安全平台，旨在帮助组织预防、检测、调查和应对针对其网络中的设备（端点）的高级威胁。它提供下一代防病毒、攻击面减少、端点检测与响应（EDR）、自动调查和修复等功能。17.在Azure中，用于定义和管理一组用户对特定资源（如虚拟机、存储账户）的操作权限的服务是？A.Azure策略B.Azure角色基于访问控制（RBAC）C.Azure蓝图D.Azure成本管理答案：B解析：AzureRBAC是Azure资源管理中的授权系统，用于管理对Azure资源的访问。通过创建角色定义（一组权限）并将其分配给特定范围内的用户、组或服务主体，可以精确控制谁可以做什么（如读取、写入、删除）以及在哪里（管理组、订阅、资源组或资源级别）执行操作。18.关于MicrosoftSentinel，以下哪项描述最准确？A.它是一个本地部署的防火墙设备B.它是一个云原生的、可扩展的安全信息和事件管理（SIEM）以及安全编排、自动化与响应（SOAR）解决方案C.它仅用于分析Azure活动日志D.它是一个用于备份和还原Azure虚拟机的服务答案：B解析：MicrosoftSentinel是微软提供的云原生SIEM和SOAR解决方案。它从各种数据源（包括Azure、本地、其他云以及第三方解决方案）大规模收集安全数据，使用内置分析和人工智能进行威胁检测，并提供自动化手册（Playbook）以进行安全编排和响应。19.组织需要确保所有离开公司网络的电子邮件都经过加密。应使用Microsoft365中的哪项功能？A.邮件流规则（传输规则）B.共享邮箱C.聚焦收件箱D.ExchangeOnline存档答案：A解析：在ExchangeOnline或本地ExchangeServer中，邮件流规则（也称为传输规则）可用于根据特定条件（如发件人、收件人、邮件内容、附件）对电子邮件执行操作。可以创建一条规则，当检测到邮件发往组织外部时，自动应用Office365邮件加密或使用其他加密方法。20.您希望确保Azure虚拟机仅允许来自特定IP地址范围的RDP连接。应在哪个层级配置此限制？A.操作系统防火墙B.网络安全组（NSG）C.AzureActiveDirectory条件访问D.AzureDDoS防护答案：B解析：网络安全组（NSG）是Azure资源的一种基本防火墙，用于过滤进出Azure虚拟网络（VNet）中资源的网络流量。可以在NSG中创建入站安全规则，仅允许来自指定源IP地址范围（如公司公网IP）的特定协议（如TCP3389用于RDP）流量到达虚拟机，从而实现对访问的网络层控制。21.计算题：一个组织在Azure中有一个存储账户，其本地冗余存储的容量为100TB。如果该组织希望将数据的持久性提高到能够承受单个区域发生故障，应改用哪种冗余选项？假设该选项的年度持久性为99.999999999%（11个9）。请写出该冗余选项的名称，并简要说明其原理。答案：异地冗余存储解析：本地冗余存储会在单个区域的一个数据中心内复制三次数据，可承受机架、服务器等常规硬件故障。要提升到能够承受整个区域故障的级别，应使用异地冗余存储。GRS在主要区域的一个数据中心内复制三次数据（与LRS相同），同时异步地将数据复制到数百英里外的次要区域数据中心，再复制三次。因此，数据共存储了六份副本，提供了更高的持久性和可用性。其年度持久性目标可达99.999999999%（11个9）。相关计算公式（用于理解冗余提升，非本题要求）可视为数据丢失概率的极大降低，但通常服务等级协议以年度持久性百分比直接给出。22.MicrosoftPurview的主要功能是什么？A.仅对结构化数据库进行编目B.统一的数据治理服务，用于跨本地、多云和SaaS环境的数据发现、分类、编目和绘制谱系图C.实时数据流处理D.仅管理AzureDataLakeStorage中的数据答案：B解析：MicrosoftPurview是一个统一的数据治理服务。它通过自动扫描和数据发现，帮助组织创建其整个数据资产（包括Azure、本地、其他云如AWS、SaaS应用如Salesforce）的统一地图。它可以对敏感数据进行自动分类和标记，并可视化数据谱系，了解数据的来源、移动和转换过程。23.在Azure策略中，“追加”效果与“拒绝”效果的主要区别是什么？A.“追加”会阻止资源创建，“拒绝”会修改资源属性B.“拒绝”会阻止不合规的资源请求，“追加”会在创建或更新资源时向资源添加字段或标签C.两者功能完全相同D.“追加”用于审计，“拒绝”用于修复答案：B解析：AzurePolicy的“拒绝”效果会直接拒绝不符合策略定义的创建或更新资源请求。“追加”效果则不会拒绝请求，而是在创建或更新资源时，向资源添加预定义的字段（例如，为所有存储账户追加一个包含部门名称的标签）。这是两种不同的强制执行方式。24.以下哪项是使用AzureBastion服务的主要优势？A.它提供免费的公共IP地址B.它允许通过浏览器安全地RDP或SSH到虚拟机，而无需向公共互联网暴露虚拟机的公共IP或端口C.它自动备份虚拟机D.它显著降低虚拟机的计算成本答案：B解析：AzureBastion是一项完全托管的PaaS服务，它在虚拟网络中预配，为用户提供通过Azure门户浏览器对虚拟机进行安全、无缝的RDP/SSH连接。用户无需为虚拟机配置公共IP地址、管理NSG规则来开放RDP/SSH端口（如3389、22），所有流量都在Azure内部网络中进行，从而减少了攻击面。25.MicrosoftEntraID保护功能可以检测哪些类型的风险？（选择所有适用项）A.匿名IP地址登录B.不可能旅行（短时间内从地理上遥远的位置登录）C.用户凭据泄露（检测到泄露的密码）D.恶意软件链接的检测E.A,B,C答案：E解析：MicrosoftEntraID保护使用自适应机器学习算法和启发式方法，通过分析登录行为和其他信号来检测身份相关的风险。它能够检测的风险类型包括：从匿名IP地址或Tor节点登录、不可能旅行、从受恶意软件感染的设备登录、从陌生位置登录、以及用户凭据泄露（根据微软持续监控的公开和暗网泄露数据库）。选项D属于电子邮件或端点安全范畴，通常由MicrosoftDefenderforOffice365或DefenderforEndpoint处理。26.组织计划将工作负载迁移到Azure，并希望确保迁移后的环境符合特定的安全基准。应使用哪项服务来获取初始配置建议？A.Azure顾问B.MicrosoftDefenderforCloud的法规符合性仪表板C.Azure成本管理中的预算警报D.AzureMonitor中的指标资源管理器答案：B解析：MicrosoftDefenderforCloud的“法规符合性”仪表板（或工作负载保护仪表板中的安全策略部分）提供了针对特定行业标准（如CIS、NIST、PCIDSS）或法规（如GDPR）的预定义安全基线倡议。组织可以将其分配给订阅或管理组，DefenderforCloud会根据这些基线持续评估资源的安全配置，并提供详细的安全建议和合规状态，这是建立安全起点的有效工具。27.关于Microsoft365中的保留策略和保留标签，以下说法正确的是？A.保留标签只能手动由用户应用B.保留策略和标签用于确保内容在特定时间段内被保留，之后可以自动删除或标记为可处置C.它们的主要目的是提高电子邮件服务器的性能D.保留策略会覆盖用户手动删除项目的操作，但无法覆盖保留标签的设置答案：B解析：保留策略和保留标签是MicrosoftPurview信息治理的一部分，用于管理组织数据的生命周期。其核心目的是确保内容（邮