Accueil · Guides de révision · SC-300

Guide complet SC-300 — Microsoft

Microsoft Identity and Access Administrator · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La certification SC-300 Microsoft Identity and Access Administrator valide les competences pour concevoir, implementer et operer les solutions d'identite avec Microsoft Entra ID (ex-Azure AD). Destinee aux administrateurs IAM, ingenieurs securite et architectes cloud, elle se passe en 100 minutes (40-60 questions QCM et etudes de cas) pour 165 EUR. Aucun prerequis officiel mais une experience Azure et Microsoft 365 est recommandee. Debouches : IAM Engineer, Security Administrator, Cloud Identity Architect avec salaires de 55-85k EUR en France.

Pourquoi passer la certification SC-300 ?

En 2026, l'identite est devenue le nouveau perimetre de securite : 80% des breaches impliquent des credentials compromis selon Verizon DBIR. La SC-300 repond a une demande explosive avec l'adoption massive de Microsoft Entra ID (plus de 720 000 organisations) et la generalisation du Zero Trust. Microsoft domine le marche IAM entreprise avec 60% de parts en Europe, faisant de cette certification un standard incontournable. Le ROI est concret : selon les etudes LinkedIn et Glassdoor 2026, un IAM Engineer certifie SC-300 gagne en moyenne 18% de plus qu'un profil non certifie. La demande sur le marche francais est tres forte : plus de 3 200 offres ouvertes sur LinkedIn France en 2026 mentionnent Entra ID ou Azure AD. La SC-300 valorise considerablement un CV pour les profils security, devops et cloud cherchant a se specialiser. Elle est egalement une porte d'entree vers les certifications expert (SC-100 Cybersecurity Architect). Les directives NIS2 et DORA renforcent encore le besoin de competences identite certifiees dans les secteurs reglementes (banque, sante, energie). Cette cert est particulierement valorisee dans les ESN, les grandes entreprises et les administrations publiques migrant vers le cloud.

Caractéristiques de l'examen

Format QCM 40-60 questions + etudes de cas
Duree 100 minutes
Score requis 700/1000 (70%)
Prix officiel 165 EUR HT
Langues Francais, Anglais, Japonais, Chinois
Validite 1 an (renouvellement gratuit en ligne)
Prerequis Aucun officiel ; experience Azure/M365 recommandee

Programme détaillé par domaine

Domain 1 : Implement and manage user identities 25-30%

Objectifs
Ce domaine couvre la creation et la gestion du tenant Microsoft Entra ID, l'integration avec Active Directory on-premises, et la gestion du cycle de vie des identites. Le candidat doit savoir configurer Entra Connect, gerer les utilisateurs internes et invites (B2B), administrer les groupes dynamiques et statiques, et configurer les roles administratifs. Il faut maitriser la synchronisation hybride, le password hash sync, pass-through authentication et federation. La gestion des licences Microsoft 365 via groupes et l'administration deleguee sont aussi evaluees.
Concepts clés
Tenant Microsoft Entra ID, Entra Connect Sync, Cloud Sync, hybrid identity, password hash synchronization (PHS), pass-through authentication (PTA), federation avec ADFS, seamless SSO. Comprendre les UPN suffixes, le filtering par OU, les writeback (password, device, group). Maitriser les administrative units pour la delegation granulaire, les roles RBAC Entra (Global Admin, User Admin, Authentication Admin), les groupes assignables a des roles. Connaitre B2B collaboration, cross-tenant access settings, B2B direct connect. Les groupes dynamiques avec rules syntax (user.department eq Sales), self-service group management, et access reviews periodiques pour la conformite.
Services / outils
Microsoft Entra admin center, Entra Connect, Entra Cloud Sync, PowerShell Graph SDK (Microsoft.Graph), Azure CLI, Microsoft Graph API, Entra ID Connect Health pour monitoring. Notions sur SCIM provisioning et HR-driven provisioning depuis Workday/SuccessFactors.
Temps estimé
12-15h

Domain 2 : Implement authentication and access management 25-30%

Objectifs
Configuration de l'authentification multifactorielle (MFA), des methodes passwordless, et des politiques d'acces conditionnel (Conditional Access). Le candidat doit savoir deployer FIDO2, Windows Hello for Business, Microsoft Authenticator. Il faut concevoir des politiques CA basees sur utilisateurs, applications, conditions (risk, device, location) et controles (MFA, compliant device, terms of use). La protection Identity Protection avec detection de risques user/sign-in est evaluee, ainsi que la gestion des SSPR (Self-Service Password Reset).
Concepts clés
Conditional Access policies, named locations, device compliance via Intune, Authentication Strengths, Continuous Access Evaluation (CAE), token protection. Methodes MFA : SMS (deprecie), call, Authenticator push/TOTP, FIDO2 security keys, Windows Hello, certificate-based authentication (CBA). Identity Protection avec risk policies (sign-in risk, user risk), Microsoft Defender for Identity integration. Authentication methods policy migration, temporary access pass (TAP) pour onboarding. Comprendre les signaux Risky users, Risky sign-ins, leaked credentials. Privileged Access Workstations et Authentication context pour CA granulaire sur ressources sensibles.
Services / outils
Microsoft Authenticator, Entra Identity Protection, Conditional Access, Microsoft Defender for Identity, Intune pour device compliance, MFA Server (deprecie), SSPR portal.
Temps estimé
15-18h

Domain 3 : Plan and implement workload identities 10-15%

Objectifs
Gestion des identites non-humaines : service principals, managed identities (system-assigned et user-assigned), et workload identity federation. Le candidat configure les app registrations, les permissions API (delegated vs application), le consent admin, et la gouvernance via Workload Identity Premium. Il doit comprendre les certificats vs secrets pour authentification d'applications.
Concepts clés
Service principals, managed identities, app registrations, OAuth 2.0 flows (authorization code, client credentials, device code, on-behalf-of), OIDC, SAML 2.0. Workload Identity Federation pour GitHub Actions, Kubernetes (AKS), Terraform sans secrets. Conditional Access for workload identities, application access policies, app proxy pour publier des apps on-prem. Comprendre les permissions Microsoft Graph (User.Read, Mail.Send), admin consent workflow, consent governance.
Services / outils
Microsoft Entra app registrations, Managed Identities, Microsoft Graph API, Application Proxy, Entra Workload ID Premium.
Temps estimé
8-10h

Domain 4 : Plan and implement identity governance 20-25%

Objectifs
Mise en place d'Entra ID Governance : entitlement management, access reviews, Privileged Identity Management (PIM), lifecycle workflows. Le candidat configure les access packages avec catalogues, policies d'attribution, et approbation. PIM pour roles Entra et Azure avec activation just-in-time, approbations multi-niveaux, MFA obligatoire et justifications. Les lifecycle workflows pour joiner/mover/leaver et les access reviews periodiques sont evalues.
Concepts clés
Entitlement management, access packages, catalogs, connected organizations pour B2B. Privileged Identity Management (PIM) pour Entra roles, Azure roles, groupes. Eligible vs active assignments, activation maximum duration, approval workflow. Access reviews sur groupes, apps, roles PIM avec recommendations basees sur inactivite. Lifecycle workflows declenches par attribut HR (employeeHireDate, employeeLeaveDateTime). Terms of use, Conditional Access integration. Microsoft Entra Permissions Management (CIEM) pour multi-cloud AWS/GCP.
Services / outils
Entra ID Governance, PIM, Access Reviews, Lifecycle Workflows, Entra Permissions Management, Verified ID pour identites verifiables decentralisees.
Temps estimé
12-14h

Domain 5 : Plan and implement access for apps 10-15%

Objectifs
Integration d'applications SaaS et on-premises avec Entra ID pour SSO. Le candidat configure SAML, OIDC, password-based SSO depuis la galerie d'applications (plus de 6000 apps). Provisioning automatique via SCIM vers ServiceNow, Salesforce, Zoom. Application Proxy pour publier des apps on-prem sans VPN. Configuration des Enterprise Applications, gouvernance des consents utilisateurs, et publication d'apps custom.
Concepts clés
Enterprise applications gallery, SAML SSO configuration (entity ID, ACS URL, claims mapping), OIDC apps, SCIM automatic provisioning, JIT provisioning. App Proxy connectors, pre-authentication modes. User consent settings, admin consent requests workflow, permission classifications. Conditional Access app filters, session controls via Microsoft Defender for Cloud Apps (MDCA). My Apps portal personnalisation et collections.
Services / outils
Enterprise Applications, App Proxy, Microsoft Defender for Cloud Apps (MDCA), My Apps portal, SCIM connectors.
Temps estimé
8-10h

Plan de révision hebdomadaire

Planning recommande sur 8 semaines avec 8-10h d'etude hebdomadaire. Semaine 1 : Fondamentaux Entra ID, creation tenant trial, lecture Microsoft Learn parcours SC-300 (modules Identite). Premier lab : creer utilisateurs, groupes dynamiques, administrative units. Semaine 2 : Identite hybride approfondie. Installer Entra Connect en lab, configurer PHS puis tester PTA, comprendre filtering et writeback. Lire la documentation officielle Hybrid Identity Design Considerations. Semaine 3 : Authentication methods et MFA. Deployer Authenticator, configurer FIDO2, tester Windows Hello, migrer vers Authentication methods policy. Semaine 4 : Conditional Access en profondeur. Creer 10+ policies (block legacy auth, require MFA, compliant device, locations), tester avec What-If tool, configurer Authentication Strengths. Semaine 5 : Identity Protection et workload identities. Simuler risky sign-ins, configurer risk policies, creer managed identities et workload federation pour GitHub Actions. Semaine 6 : Identity Governance. Deployer entitlement management avec access packages, configurer PIM sur Global Admin (eligible + approval), lancer access reviews. Tester lifecycle workflows. Semaine 7 : Applications. Integrer 3 apps SaaS depuis galerie (SAML), configurer SCIM provisioning, deployer App Proxy. Semaine 8 : Revision et examens blancs. Passer 3-4 practice tests (MeasureUp, Whizlabs), reviser zones faibles, relire MS Learn study guide officiel, faire un examen blanc dans conditions reelles 100 minutes la veille.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Microsoft Learn - Parcours SC-300

Parcours officiel gratuit avec 5 modules couvrant tous les domaines, labs interactifs inclus.

Microsoft Learn Study Guide SC-300

Guide d'etude officiel avec liste exhaustive des objectifs et liens vers la documentation.

John Savill SC-300 Master Class

Serie YouTube gratuite de reference, 8h de contenu technique tres dense par un MVP Microsoft.

MeasureUp Practice Test SC-300

Tests blancs officiels Microsoft, 200+ questions avec explications detaillees (89 EUR).

Tech Community Microsoft Entra

Forum officiel Microsoft Entra, annonces produit, Q&R avec ingenieurs Microsoft.

5 erreurs classiques à éviter

  • Erreur 1 : Confondre Conditional Access et Identity Protection. CA applique des controles d'acces sur signaux, Identity Protection detecte des risques d'identite. Les deux se complementent via les risk-based CA policies. Pratiquer des scenarios concrets pour bien differencier.
  • Erreur 2 : Negliger les workload identities et managed identities. C'est seulement 10-15% mais souvent mal maitrise. Faire au moins 3 labs : system-assigned MI sur VM, user-assigned sur Function App, workload federation GitHub Actions.
  • Erreur 3 : Sous-estimer PIM et Identity Governance. C'est 20-25% de l'examen mais demande experience pratique. Configurer PIM sur un vrai tenant trial, declencher activations, approbations, reviser via access reviews.
  • Erreur 4 : Memoriser sans pratiquer. SC-300 a beaucoup de questions scenario based. Sans labs reels, on echoue sur les nuances (ex : quel role minimal pour configurer CA ? quel auth flow OAuth pour daemon app ?).
  • Erreur 5 : Ignorer les changements recents : migration vers Authentication methods policy, deprecation MFA per-user, Cross-tenant access settings, Continuous Access Evaluation. Toujours verifier la documentation a jour, l'examen evolue trimestriellement.

5 questions types corrigées

Q1. Vous devez permettre a une Azure Function d'acceder a un Key Vault sans stocker de credentials. Quelle est la meilleure approche ?
Réponse : B
Les managed identities sont la solution recommandee par Microsoft pour authentifier des services Azure entre eux sans gerer de secrets. La system-assigned MI est liee au cycle de vie de la Function et Azure gere automatiquement le renouvellement du token. Le role Key Vault Secrets User (RBAC) donne les permissions minimales necessaires. Les options A et C imposent une gestion manuelle de secrets, source de fuites. La federation SAML ne s'applique pas aux scenarios machine-to-machine Azure.
Q2. Quel controle Conditional Access permet d'exiger une cle de securite FIDO2 specifiquement pour acceder a une application critique ?
Réponse : C
Authentication Strengths est la fonctionnalite moderne permettant d'exiger des methodes d'authentification specifiques. La strength Phishing-resistant MFA n'accepte que FIDO2 security keys, Windows Hello for Business, et certificate-based authentication. Require MFA (A) accepte toute methode MFA incluant SMS, jugee faible. Les options B et D concernent l'etat du device, pas la methode d'auth. Authentication Strengths se configure dans Entra > Security > Authentication methods et s'applique via grant controls dans une CA policy.
Q3. Vous devez accorder le role Global Administrator a un utilisateur uniquement lorsqu'il en a besoin, avec approbation. Quelle configuration ?
Réponse : C
Privileged Identity Management (PIM) permet l'acces just-in-time aux roles privilegies. En configurant l'utilisateur comme eligible (et non active permanent), il doit activer le role pour une duree limitee. Les settings PIM permettent d'exiger MFA, justification, et approbation par un autre admin avant activation. C'est la best practice Zero Trust. L'option A laisse le privilege permanent (risque). L'option B est une assignation, pas du JIT. L'option D concerne les comptes d'urgence exclus de CA, pas la gestion JIT.

Voir plus de questions gratuites →

Carrière & salaire après SC-300

Le marche IAM est en forte tension en France et Europe en 2026. Salaires medians constates : IAM Engineer junior 45-55k EUR, IAM Engineer confirme 55-70k EUR, Senior IAM/Identity Architect 70-95k EUR, Cybersecurity Architect (post SC-100) 85-120k EUR. A Paris et grandes metropoles, ajouter 10-15%. Les ESN (Capgemini, Sopra Steria, Accenture) recrutent massivement, ainsi que les groupes CAC 40 et secteur public. La SC-300 ouvre vers : Identity Engineer, Cloud Security Engineer, M365 Security Administrator, IAM Consultant. Evolutions naturelles : SC-100 (Cybersecurity Architect Expert), SC-200 (Security Operations Analyst), AZ-500 (Azure Security Engineer). Combinee avec CISSP ou CCSP, la SC-300 forme un profil tres recherche pour les postes de Security Architect et Identity Practice Lead dans le conseil.

Détail des salaires SC-300 en 2026 →

FAQ — SC-300

Combien de temps faut-il pour preparer SC-300 ?

Avec experience Azure/M365 prealable, comptez 6-8 semaines a 8h/semaine (50-60h total). Sans experience, prevoyez 10-12 semaines avec labs intensifs. La cle est la pratique sur un tenant trial gratuit.

Cette certification est-elle reconnue en France ?

Oui, tres largement. Microsoft est leader IAM en France et la SC-300 est citee dans plus de 3000 offres LinkedIn France en 2026. Elle est reconnue par toutes les ESN, grands comptes et l'administration publique migrant vers M365.

Quel est le taux de reussite a SC-300 ?

Microsoft ne communique pas officiellement, mais les retours communaute estiment 60-65% de reussite au premier essai. Les candidats avec experience pratique Entra ID depassent 80% de reussite.

Quel est le salaire apres SC-300 ?

En France 2026 : 45-55k EUR pour junior, 55-70k EUR confirme (3-5 ans), 70-95k EUR senior. Bonus 15-25% en region parisienne et dans la finance/luxe.

Faut-il une experience prealable ?

Aucun prerequis officiel, mais Microsoft recommande 1-2 ans d'experience administration Azure AD/Entra ID et M365. Sans experience, completez avec MS-900 et SC-900 (fondamentaux) avant.

SC-300 ou cert concurrente : laquelle choisir ?

Pas de concurrent direct sur Microsoft Entra. Pour Okta : Okta Certified Administrator. Pour vision generaliste IAM : CIAM ou IAM specialiste ISACA. SC-300 reste incontournable si environnement Microsoft.

Combien coute l'examen SC-300 ?

165 EUR HT en 2026 (tarif France). Reductions possibles : 50% via Microsoft Learn Cloud Skills Challenge, gratuit pour etudiants eligibles via Microsoft Imagine Academy.

Combien de fois peut-on repasser SC-300 ?

En cas d'echec : 24h d'attente avant retake. Apres 2eme echec : 14 jours. Maximum 5 tentatives par an. Chaque tentative est payante au tarif plein.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc SC-300 → Test d'orientation