AZ-400: Wie Sie Microsofts einzige DevOps Engineer Expert-Prüfung bestehen
Ein 8-wöchiger AZ-400-Plan, der Azure DevOps, GitHub Actions, IaC und das Fallstudienformat abdeckt, das sonst gut vorbereitete Kandidaten aus dem Konzept bringt.
AZ-400 ist Microsofts Prüfung zum Entwurf und zur Implementierung von Microsoft DevOps-Lösungen (Designing and Implementing Microsoft DevOps Solutions). 165 US-Dollar, 40–60 Fragen, 150 Minuten, zwei Fallstudien plus Standardfragen, skalierter Bestehenswert 700/1000. Es ist der einzige Weg zur DevOps Engineer Expert-Zertifizierung, und Sie können sie nicht ablegen, ohne zuvor entweder die AZ-104 (Administrator) oder die AZ-204 (Developer) zu besitzen.
Die "Expert"-Stufe unterscheidet die AZ-400 von den rollenbasierten Associate-Zertifizierungen. Die Fallstudien sind real. Der Inhalt umfasst CI/CD, Infrastructure as Code, Strategie für die Quellcodeverwaltung, Sicherheit und Observability sowohl in Azure DevOps als auch in GitHub. Acht Wochen mit 8–10 Stunden pro Woche ist das realistische Ziel, wenn Ihre AZ-104- oder AZ-204-Kenntnisse frisch sind.
Was die Prüfung beinhaltet
Der aktuelle Prüfungsleitfaden gliedert sich in fünf Bereiche:
| Bereich | Gewichtung |
|---|---|
| Prozesse und Kommunikation entwerfen und implementieren | 10–15% |
| Eine Strategie für die Quellcodeverwaltung entwerfen und implementieren | 10–15% |
| Build- und Release-Pipelines entwerfen und implementieren | 50–55% |
| Einen Sicherheits- und Compliance-Plan entwickeln | 10–15% |
| Eine Instrumentierungsstrategie implementieren | 5–10% |
Build- und Release-Pipelines machen die Hälfte der Prüfung aus. Hier müssen Sie besonders fit sein. Alles andere ist unterstützend.
Was "Build- und Release-Pipelines" im Jahr 2026 tatsächlich bedeuten:
- Azure DevOps Pipelines in YAML-Form (der klassische visuelle Editor existiert noch, ist aber für neue Arbeiten im Wesentlichen veraltet).
- GitHub Actions, die Microsoft nun als ungefähr gleichwertig positioniert – die Prüfung wird Ihnen Szenarien geben, in denen die richtige Antwort "GitHub Actions verwenden" ist und die falschen Antworten Azure DevOps sind, und umgekehrt. Lesen Sie das Szenario sorgfältig.
- Self-hosted vs. Microsoft-hosted runners / agents, einschließlich Pool-Größenanpassung, Bedarfscaching und Kosten.
- Genehmigungen, Umgebungen, Deployment Gates und Pre-/Post-Deployment-Bedingungen.
- Mehrstufige Pipelines, Blue-Green- und Canary-Muster, Ring-Deployments.
- Artifact Management: Azure Artifacts, GitHub Packages, generische Feeds.
- Secrets Handling: Key Vault Tasks, GitHub Encrypted Secrets, OpenID Connect (OIDC) Federation zwischen GitHub und Azure (dies wurde in den Fragen von 2025-2026 stark betont – Service Principals mit Secrets sind zunehmend die falsche Antwort).
Hinzu kommt IaC. Bicep ist die Microsoft-native Antwort, Terraform ist die zweitrangige, aber immer noch geprüfte Antwort. ARM-Templates tauchen in älteren Fragensammlungen auf, aber neuere Elemente stützen sich auf Bicep. Erwarten Sie sowohl die az deployment group create- als auch die terraform plan/apply-Syntax in Szenariofragen.
Voraussetzung – wählen Sie AZ-104 oder AZ-204
Microsoft verlangt eine davon als Voraussetzung für die Expertenzertifizierung. Wählen Sie basierend auf dem, was Sie tatsächlich tun:
- AZ-104, wenn Ihr Hintergrund Operations, Infrastruktur, Sysadmin oder Plattform-Engineering ist. Ihre AZ-400-Vorbereitung wird stärker auf entwicklerseitige Themen (Artifacts, Branching, Code-Qualitäts-Tools) ausgerichtet sein.
- AZ-204, wenn Ihr Hintergrund Softwareentwicklung ist. Ihre AZ-400-Vorbereitung wird stärker auf Ops-seitige Themen (Azure Monitor, App Insights, Agent Pools, IaC) ausgerichtet sein.
Machen Sie nicht beide vor der AZ-400. Die zusätzliche Zertifizierung hilft nicht bei der AZ-400 selbst, und Sie können diejenige, die für Ihren Job wichtig ist, später nachholen, falls Sie sie tatsächlich benötigen.
Wochenplan
Woche 1: Quellcodeverwaltung und Branching
Der kleinste Bereich nach Gewichtung, aber der Einstiegspunkt. Lesen Sie sich in Git-Workflow-Muster ein: GitHub Flow, GitFlow (wird immer noch gefragt, obwohl es aus der Mode gekommen ist), Trunk-Based Development, Release-Branches, Hotfix-Branches. Lernen Sie den Unterschied zwischen einem Pull-Request-Merge, Squash Merge und Rebase Merge.
In Azure DevOps Repos und GitHub: Branch-Richtlinien, erforderliche Prüfer, Build-Validierung, Statusprüfungen. Üben Sie, diese in beiden Produkten manuell einzurichten. Microsoft liebt das Fragenmuster "Konfigurieren Sie eine Branch-Richtlinie, die X erfordert", und das Menü befindet sich in jedem Produkt an einer leicht anderen Stelle.
Woche 2: Azure DevOps Pipelines – Tiefenanalyse
Verbringen Sie die Woche mit YAML-Pipelines. Erstellen Sie mindestens drei:
- Eine einfache Build- und Test-Pipeline für eine Beispielanwendung.
- Eine mehrstufige Pipeline mit
dev-,staging- undprod-Umgebungen und Genehmigungen für Staging und Prod. - Eine Pipeline, die einen selbst gehosteten Agent-Pool nutzt, und eine weitere, die einen von Microsoft gehosteten Pool verwendet.
Werden Sie mit Templates und Template-Parametern vertraut. Microsoft testet die Muster der Template-Erweiterung und Template-Einbindung direkt. Kennen Sie die extends- vs. template-Syntax.
Woche 3: GitHub Actions
Spiegeln Sie Woche 2, aber in GitHub Actions. Erstellen Sie die gleichen drei Pipelines. Achten Sie genau auf:
- Den
permissions-Block in einem Job – hier zählt das Prinzip der geringsten Rechte, und es ist ein Prüfungsmuster. - Wiederverwendbare Workflows (
workflow_call) und zusammengesetzte Aktionen – wissen Sie, was was ist. - Umgebungen und erforderliche Prüfer, die das Azure DevOps-Konzept widerspiegeln, aber mit eigener Benutzeroberfläche.
- OIDC-Föderation: Konfigurieren Sie ein föderiertes Anmeldeinformationen für eine Microsoft Entra ID App-Registrierung und authentifizieren Sie sich von einem GitHub Actions-Workflow ohne jegliches Client Secret. Diese eine Übung lehrt Sie, was wahrscheinlich in drei Prüfungsfragen vorkommen wird.
Woche 4: IaC
Zuerst Bicep. Erstellen Sie eine Bicep-Datei, die einen App Service Plan, einen App Service und eine Application Insights-Ressource bereitstellt. Stellen Sie sie mit az deployment group create bereit. Refaktorieren Sie sie in Module. Fügen Sie einen what-if-Schritt hinzu. Fügen Sie sie einer Pipeline hinzu.
Dann Terraform. Stellen Sie dieselbe Form mit dem AzureRM-Provider bereit. Konfigurieren Sie ein Remote-Backend in Azure Storage. Beachten Sie die Unterschiede im State Management – hier unterscheiden sich Bicep und ARM grundlegend von Terraform, und die Prüfung erwartet, dass Sie dies wissen.
ARM-Templates: Lesen Sie genug davon, um die Syntax zu erkennen. Sie müssen keines schreiben, aber Sie werden sie in Fallstudien sehen.
Woche 5: Sicherheit und Compliance
Key Vault-Integration in Pipelines: mit Key Vault verknüpfte Variablengruppen, der Azure Key Vault Task, GitHubs azure/get-keyvault-secrets-Aktion.
Defender for DevOps und Microsoft Defender for Clouds DevOps-Sicherheitsempfehlungen. Die Prüfungsaktualisierung 2024-2025 hat mehr davon hinzugefügt – wissen Sie, womit sich Defender for DevOps verbindet (GitHub, Azure DevOps, GitLab, Bitbucket) und was es aufdeckt (Secret Scanning, IaC Scanning, Code Scanning, Dependency Scanning).
GitHub Advanced Security: Code-Scanning mit CodeQL, Secret Scanning, Dependency Review. Wissen Sie, welche Funktionen GHAS (kostenpflichtig) und welche kostenlos sind.
Compliance-Scanning in Pipelines: WhiteSource Bolt ist verschwunden – Mend Bolt ist die umbenannte Version, und Microsofts First-Party-Antwort ist jetzt Defender for DevOps plus GHAS. Alte Lernmaterialien werden dies falsch wiedergeben.
Woche 6: Überwachung und Feedback
Application Insights-Einbindung in eine Pipeline (Release-Annotationen, Deployment-Marker). Azure Monitor-Benachrichtigungen, die Deployments steuern. Die Integration zwischen Benachrichtigungen und Azure Boards / GitHub Issues für die automatische Ticketerstellung.
Feature-Flags über Azure App Configuration und die Microsoft.FeatureManagement-Bibliothek. Microsoft testet die Antwort auf Entwurfsmuster – wissen Sie, wann ein Feature-Flag die richtige Wahl ist im Vergleich zu einem Deployment-Ring oder einem Canary.
Woche 7: Fallstudien-Übung
Legen Sie eine vollständige Übungsprüfung unter Zeitdruck mit den Fallstudien ab. Zwei Fallstudien werden 35–45 Minuten Ihrer 150 Minuten beanspruchen – planen Sie entsprechend. Der Fehler, den die meisten Kandidaten machen, ist, die gesamte Fallstudie beim ersten Durchgang lesen zu wollen; stattdessen überfliegen Sie sie einmal, springen Sie zu den Fragen und lesen Sie nur die für jede Frage relevanten Abschnitte der Fallstudie erneut.
Identifizieren Sie nach der Übungsprüfung schwache Bereiche. Für die meisten Kandidaten sind das die IaC-Syntax (Bicep-Module vs. Terraform-Module), Sicherheitstools (welcher Defender was macht) oder der OIDC-Föderationsfluss.
Woche 8: Übung, Lückenfüllung, Prüfung
Übungsprüfungen jeden zweiten Tag. Lesen Sie die Erklärung jeder falschen Antwort. Der offizielle AZ-400-Pfad von Microsoft Learn ist die Quelle der Wahrheit bei Meinungsverschiedenheiten zwischen Quellen – Anbieter-Studienführer sind bei der Prüfungsaktualisierung 2024-2025 im Rückstand.
Planen Sie die Prüfung. Pearson VUE oder online beaufsichtigt. Die Fallstudien fühlen sich online anders an – man kann nicht einfach zwischen den Abschnitten wechseln – wenn Sie mit dem Format nicht vertraut sind, legen Sie sie in einem Testzentrum ab.
Prüfungsstil
Zwei Dinge bringen sonst gut vorbereitete Kandidaten aus dem Konzept:
- Die Fallstudien. Sie sind lang, textlastig, und die darin enthaltenen Fragen erfordern, dass Sie viel Kontext gleichzeitig behalten. Üben Sie sie.
- Der Rahmen "beste Antwort". Mehrere Optionen sind technisch korrekt; die Prüfung möchte die sauberste, am besten mit den Microsoft-Best Practices übereinstimmende Antwort. Wenn eine Frage Azure DevOps Pipelines und GitHub Actions als Alternativen auflistet und das Szenario keine eindeutige Präferenz zeigt, ist die Antwort normalerweise diejenige, auf die sich der Rest der Fallstudie bereits geeinigt hat.
Karriererelevanz
AZ-400 ist eine nützliche Qualifikation, wenn Sie als DevOps-/Plattform-Ingenieur in einem Microsoft-Umfeld arbeiten und die Expertenstufe in Ihrem Lebenslauf haben möchten. Es ist nicht die richtige Zertifizierung für jemanden, der von außen in DevOps einsteigen möchte – sammeln Sie zuerst praktische Erfahrung und kommen Sie dann zurück. Die Gesamtvergütung für Senior DevOps Engineers in den USA im Jahr 2026 liegt je nach Metropole bei einem Grundgehalt von 150.000–220.000 US-Dollar, wobei FAANG-ähnliche Positionen noch höher liegen; AZ-400 ist ein klares Filterkriterium für dieses Band, wird aber die Erfahrung nicht herbeizaubern.
Wenn Sie bereit sind, Fragen zu pauken, deckt die AZ-400-Fragensammlung auf CertLabPro das Fallstudienformat ab. Betrachten Sie die Fallstudien als eine eigene Disziplin – sie sind der Teil der AZ-400, auf den praktische Erfahrung allein Sie nicht vollständig vorbereitet.