Microsoft Azure DevOps Engineer Expert
225 Übungsfragen
Zuletzt überprüft: April 2026
Persönliche Notizen und Ressourcenlinks für Ihre Lernreise
Nach Zertifizierung Filtern
AZ-400 ist Microsofts Experten-Zertifizierung im DevOps-Bereich — in Kombination mit AZ-104 oder AZ-204 wird der Titel "Microsoft Certified: DevOps Engineer Expert" verliehen. Sie bestätigt die Fähigkeit, DevOps-Praktiken im großen Maßstab zu entwerfen und zu implementieren: Build- und Release-Pipelines (Azure DevOps und GitHub Actions), Quellcodeverwaltungsstrategien, Sicherheits- und Compliance-Integration (DevSecOps, Microsoft Defender for DevOps), Instrumentierung sowie Team- und Prozessdesign. Die Zielgruppe sind erfahrene Plattform-Ingenieure, SREs und leitende Entwickler, die für die Bereitstellungspipelines mehrerer Teams verantwortlich sind. Erwarten Sie 40–60 Fragen in 120 Minuten, darunter Drag-and-Drop, Hot-Area, Multiple-Response und mindestens eine Fallstudie mit szenariobasierten Aufgaben.
Mit 52% der bei weitem größte Bereich. Azure Pipelines und GitHub Actions (YAML, Vorlagen, Agent Pools, Umgebungen, Genehmigungen), Paketverwaltung, IaC (Bicep / Terraform / ARM), Datenbankbereitstellungen, Geheimnisverwaltung und progressive Bereitstellungsmuster (Blue-Green, Canary, Feature Flags).
Ca. 12%. Agile / Scrum-Implementierung in Azure Boards / GitHub Projects, Work-Item-Fluss, Wertstromanalyse und Stakeholder-Kommunikationsmuster.
Ca. 12%. Git-Branching-Strategien (trunk-based, GitHub Flow, GitFlow), Repository-Struktur (Monorepo vs. Multi-Repo), Pull-Request-Richtlinien, Code-Owner-Anforderungen und Umgang mit großen Dateien / Submodulen.
Ca. 12%. DevSecOps-Integration: Microsoft Defender for DevOps, GitHub Advanced Security (CodeQL, Geheimnis-Scanning, Abhängigkeitsprüfung), SBOMs, Supply-Chain-Sicherheit und Policy-as-Code.
Ca. 12%. Application Insights, Azure Monitor, Log Analytics, verteiltes Tracing, Dashboards, Alerts und SLO / Error-Budget-Design im SRE-Stil.
Services, die Sie in der Prüfung antreffen, und warum jeder davon wichtig ist.
Eine gehostete DevOps-Suite, die Pipelines, Repos, Boards, Artifacts und Test Plans für die projektbezogene Zusammenarbeit mit organisationsweiter Identität bündelt.
Warum er in der Prüfung steht: Domäne 1 (Build- und Release-Pipelines) und Domäne 2 (Prozesse und Kommunikation) behandeln Azure DevOps als integrierte Plattform, wobei Dienstverbindungen, Agent-Pools und die Projektstruktur durchgängig eine Rolle spielen.
Gehosteter CI/CD-Dienst, der mehrstufige YAML-Pipelines auf von Microsoft gehosteten oder selbst gehosteten Agents ausführt, mit Umgebungen, Genehmigungen und Gates für die Promotion.
Warum er in der Prüfung steht: Domäne 1 (52 % der Prüfung) wird von Pipelines dominiert — Stagen-Vorlagen, parallele Jobs, Bereitstellungsstrategien, manuelle Genehmigungen und organisationsübergreifende Pipeline-Ausführungen.
Gehostete Git- (und TFVC-) Repositorys mit Branch-Richtlinien, erforderlichen Prüfern, Build-Validierung, Statusüberprüfungen und PR-gesteuerten Workflows.
Warum er in der Prüfung steht: Domäne 3 (Strategie für die Quellcodeverwaltung) prüft Branch-Richtlinien, Trunk-based vs. GitFlow und PR-gesteuertes Gating als die von AZ-400 erwartete Disziplin der Quellcodeverwaltung.
Work-Item-Verfolgung über Agile-, Scrum- und CMMI-Vorlagen hinweg mit Backlogs, Sprints, Abfragen, Dashboards und Git/Pipelines-Deep-Links.
Warum er in der Prüfung steht: Domäne 2 (Prozesse und Kommunikation) benennt Boards als die Planungs- und Rückverfolgbarkeits-Oberfläche, die Commits und Builds mit Work Items verknüpft.
Ein universeller Paket-Feed für NuGet, npm, Maven, Python und Cargo, ergänzt durch Upstream-Quellen, Aufbewahrungsrichtlinien und Ansichten für die Promotion (z. B. @prerelease → @release).
Warum er in der Prüfung steht: Domäne 1 erwartet Artifacts als AZ-400-Antwort für die interne Paketverteilung, versionierte Promotion über Umgebungen hinweg und das Caching von Upstream-Quellen.
YAML-basiertes CI/CD, das auf von GitHub gehosteten oder selbst gehosteten Runnern läuft, mit wiederverwendbaren Workflows, Umgebungen, OIDC-Föderation zu Azure und Matrix-Builds.
Warum er in der Prüfung steht: Domäne 1 behandelt GitHub Actions neben Azure Pipelines — Prüfungsfragen testen die Workflow-Wahl, OIDC-zu-Azure-Authentifizierung und Abwägungen zwischen Actions und Pipelines.
Manuelle und explorative Tests mit Testfällen, Suiten, Ausführungen und Integration in Pipelines für die Veröffentlichung automatisierter Testergebnisse und die Abdeckung.
Warum er in der Prüfung steht: Domäne 1 benennt Test Plans für die manuellen Test-Gates, die automatisierte Suiten in regulierten Release-Pipelines ergänzen.
Code-, Secret- und Abhängigkeitsscanning (CodeQL, Dependabot, Secret Scanning, benutzerdefinierte Muster), integriert in PR-Prüfungen für GitHub und Azure Repos.
Warum er in der Prüfung steht: Domäne 4 (Sicherheits- und Compliance-Plan) prüft Shift-Left-Security — GHAS ist die benannte Microsoft-Stack-Antwort für SAST/SCA-Gating in Pipelines.
Deklarative Infrastructure-as-Code über Azure Resource Manager — Bicep DSL transpilert zu ARM JSON, mit Modulen, Was-wäre-wenn-Vorschauen und Deployment Stacks.
Warum er in der Prüfung steht: Domäne 1 + Domäne 4 stützen sich auf Bicep/ARM für reproduzierbare Umgebungsbereitstellung, Was-wäre-wenn-Änderungsvorschauen und IaC-Scanning in CI.
HashiCorp Terraform mit den AzureRM- und AzAPI-Providern, State in Azure Storage mit Blob-Sperrung und Terraform-Tasks für Azure Pipelines.
Warum er in der Prüfung steht: Domäne 1 (IaC-Wahl) prüft die Abwägungen zwischen Terraform und Bicep sowie das kanonische Remote-State-Muster unter Verwendung von Azure Storage mit Blob-Lease-Locks.
Control-Plane-API unter jeder Azure-Bereitstellung — Ressourcengruppen, Provider, Rollenzuweisungen, Locks, Tags und Bereitstellungsbereich (Abonnement/Verwaltungsgruppe).
Warum er in der Prüfung steht: Domäne 1 + Domäne 4 erwarten ARM-Bereichsbewusstsein für Tenant-/Verwaltungsgruppen-/Abonnement-Bereitstellungen und die Locks/Tags, die destruktive Automatisierung steuern.
PaaS-Webhosting mit Bereitstellungsslots für Staging, Swap-mit-Vorschau, Traffic-Routing für Canary Releases und App-Einstellungen auf Slot-Ebene.
Warum er in der Prüfung steht: Domäne 1 (Bereitstellungsstrategie) benennt Slot-Swap und Traffic-Routing als PaaS-nativen Blue/Green- und Canary-Mechanismus auf App Service.
Verwaltetes Kubernetes mit verwalteten Node-Pools, GitOps via Flux, AKS Automatic, Workload-Identität und Azure Monitor Container Insights.
Warum er in der Prüfung steht: Domäne 1 + Domäne 5 (Instrumentierung) testen AKS-Bereitstellungsmuster — GitOps-Abgleich, Blue/Green via Helm/Argo CD und Container-Observability.
Verwaltete Docker/OCI-Registry mit Geo-Replikation, Content Trust, ACR Tasks für die Build-Automatisierung und Defender for Cloud Image Scanning.
Warum er in der Prüfung steht: Domäne 1 + Domäne 4 erwarten ACR als AZ-400-Image-Registry, mit Tasks-gesteuerten Neu-Builds für Basis-Image-Updates und signierten Image-Promotion-Gates.
Cloud-gehostete VS Code Dev-Umgebungen, die auf einer `devcontainer.json`-Spezifikation basieren, mit Pre-Builds, Secrets und Parität zu lokalen Docker-basierten Dev-Containern.
Warum er in der Prüfung steht: Domäne 2 (Prozesse und Kommunikation) prüft Codespaces / Dev Containers auf "works on my machine"-Parität und zur Reduzierung der Einarbeitungszeit.
APM-Dienst zur Erfassung von Anfrageraten, Abhängigkeiten, Ausnahmen, verteilten Traces und Live Metrics, mit Smart-Detection-Anomalie-Warnungen bei Releases.
Warum er in der Prüfung steht: Domäne 5 (Instrumentierungsstrategie) baut auf App Insights auf — Release-annotierte Dashboards, Smart Detection während Canary-Releases und OpenTelemetry-Ingestion.
Identitätsplattform mit Service Principals, Managed Identities, Workload Identity Federation (OIDC) und Conditional Access für menschliche und CI/CD-Akteure.
Warum er in der Prüfung steht: Domäne 4 testet passwortlose OIDC-Föderation von GitHub Actions / Pipelines zu Azure sowie Bereitstellungen nur mit Managed Identity — Entra ist die benannte Identität.
Verwalteter Speicher für Secrets, Zertifikate und Keys mit RBAC-/Access-Policy-Modi, Versionierung, Soft-Delete, Purge Protection und HSM-gestütztem Managed HSM.
Warum er in der Prüfung steht: Domäne 4 benennt Key Vault für die CI/CD-Secret-Injection (Pipelines Key Vault Task, Actions OIDC + Key Vault Read) und als kanonische Alternative zu Klartext-Variablen.
Vereinheitlichte Metrik- + Log-Plattform mit Kusto Query Language (KQL), Aktionsgruppen, Alert Rules, Workbooks und Release-Annotationen von Pipelines.
Warum er in der Prüfung steht: Domäne 5 (Instrumentierung) erwartet Azure Monitor + Log Analytics für KQL-basierte Release-Health-Dashboards und Pipelines-gesteuerte Bereitstellung von Alert Rules.
Vereinheitlichtes Posture Management über Azure DevOps und GitHub hinweg — deckt IaC-Fehlkonfigurationen, offengelegte Secrets und Code-Scanning-Ergebnisse in Defender for Cloud auf.
Warum er in der Prüfung steht: Domäne 4 (Sicherheits- und Compliance-Plan) benennt Defender for DevOps als die Cross-Repo-Posture-Oberfläche für eine zentralisierte DevSecOps-Governance.
$130k–$175k–$240k USD jährlich
AZ-400 ist eine der bestbezahlten Microsoft-Zertifizierungen auf dem Markt. Die Spanne deckt in den USA ansässige Senior DevOps Engineers ab; Principal SREs und Plattform-Ingenieure bei FAANG / Fintech / Microsoft-Partnern erreichen oft ein Gesamtgehalt von über 300.000 US-Dollar. Das Zertifikat ist ein Screening-Signal; nachgewiesene Produktions-DevOps- und SRE-Führungsqualitäten treiben das obere Ende an.
Quelle: levels.fyi 2025 DevOps / SRE / Plattform-Ingenieur-Rollen, U.S. BLS OEWS Mai 2024 (15-1252 Softwareentwickler, 15-1244 Netzwerk- und Computersystemadministratoren), Glassdoor 2025. Die Zahlen sind ungefähr; die tatsächliche Vergütung hängt von der Rolle, der Region und der Erfahrung ab.
AZ-400 ist die kanonische DevOps-Zertifizierung für Azure-orientierte Plattformorganisationen und eine der gefragtesten Microsoft-Expertenzertifizierungen in Stellenbeschreibungen für leitende Ingenieure. Personalvermittler in Finanzdienstleistungsunternehmen, im Gesundheitswesen, bei Behörden und Microsoft-Partnerberatungen nutzen sie als Nachweis, dass ein Kandidat Pipelines, Quellcodeverwaltungsstrategien und Sicherheitsintegrationen glaubwürdig teamübergreifend gestalten kann. Sie passt natürlich zu AZ-104 (häufigste Kombination) oder AZ-204 (Kombination für Entwickler) um den Titel DevOps Engineer Expert zu verleihen. Viele Kandidaten ergänzen AZ-500 für sicherheitsorientierte DevSecOps-Rollen oder AZ-305, um sich auf Architekturlösungen zu spezialisieren.
AZ-400 ist die einzige Microsoft-Expertenzertifizierung, die eine zusätzliche Zertifizierung erfordert: Kandidaten müssen entweder AZ-104 (Administrator Associate) oder AZ-204 (Developer Associate) besitzen, um den Titel "Microsoft Certified: DevOps Engineer Expert" zu erhalten. Die Prüfung selbst kann in beliebiger Reihenfolge abgelegt werden, der Expertentitel wird jedoch erst verliehen, wenn beide Zertifizierungen vorliegen.
Microsoft empfiehlt drei bis fünf Jahre Berufserfahrung in der Entwicklung oder im Betrieb, einschließlich umfangreicher Erfahrung mit Azure DevOps Services, GitHub Actions und mindestens einem IaC-Tool (Bicep, Terraform, ARM). Der offizielle Microsoft Learn-Pfad deckt alle fünf Domänen in etwa 40–50 Stunden ab. Praktische Laborzeit sowohl mit Azure DevOps Services als auch mit GitHub ist unerlässlich – Microsoft hat die Abdeckung von GitHub Actions in den letzten Aktualisierungen stark erweitert, sodass Kandidaten, deren einzige Erfahrung Azure Pipelines ist, zusätzliche Zeit für GitHub-spezifische Szenarien einplanen sollten.
AZ-400 gehört zur Experten-Stufe — Microsofts höchster Schwierigkeitsgrad, zusammen mit AZ-305 und SC-100. Planen Sie 100–140 Stunden Lernzeit über 10–14 Wochen ein, wenn Sie über Senior DevOps-Erfahrung und vorherige Azure-Kenntnisse verfügen; ohne diesen Hintergrund erheblich länger. Die Prüfung dauert etwa 120 Minuten mit 40–60 Fragen in Multiple-Choice-, Multiple-Response-, Drag-and-Drop-, Hot-Area- und Fallstudienformaten. Fallstudien werden separat zeitlich erfasst und können nicht erneut aufgerufen werden, sobald Sie sie abgeschlossen haben.
Das häufigste Hindernis besteht darin, die Unterschiede zwischen Azure DevOps und GitHub Actions klar zu halten – Microsofts jüngste Aktualisierungen haben das Gleichgewicht zugunsten von GitHub Actions und der vereinheitlichten GitHub Advanced Security Toolchain verschoben, sodass Kandidaten mit umfassender ADO-Erfahrung, aber geringer GitHub-Exposition (oder umgekehrt) oft Nachholbedarf haben. Der Bereich „Build- und Release-Pipelines“ mit 52% Gewichtung bedeutet, dass die Flüssigkeit im Pipeline-Design der wichtigste Bereich ist, den es zu studieren gilt.
Jüngste Aktualisierung der gemessenen Fähigkeiten. Erweiterte Abdeckung von GitHub Actions, hinzugefügt Microsoft Defender for DevOps und GitHub Advanced Security, modernisierte Rahmung der Lieferkettensicherheit. Microsoft aktualisiert AZ-400 ungefähr alle 12–18 Monate, ohne den Prüfungscode zu ändern.
Umstrukturiert in das aktuelle Fünf-Domänen-Layout, Neugewichtung der Domäne „Build- und Release-Pipelines“ auf 52% und Integration von GitHub-fokussierten Inhalten neben Azure DevOps.
Erste GA, ersetzte den eingestellten AZ-400 (Legacy-Code) und die AZ-401 Übergangsprüfung. Die ursprüngliche Gliederung konzentrierte sich auf Azure DevOps Services und lokale TFS / Azure DevOps Server.
AZ-400 (Microsoft Azure DevOps Engineer Expert) ist eine eine anspruchsvolle, szenariobasierte Prüfung, die tiefe praktische Erfahrung und die Fähigkeit erfordert, architektonische Kompromissentscheidungen zu treffen Expert-Level-Prüfung. Die meisten Kandidaten benötigen 150–300 Stunden Lernzeit, verteilt über 3–6 Monate, für Prüfungen auf Professional- und Expertenniveau. Diese Prüfungen setzen in der Regel eine vorherige Associate-Level-Kompetenz voraus. Die meisten Kandidaten, die bei Übungsprüfungen konstant über der Bestehensschwelle liegen, bestehen beim ersten Versuch.
Die meisten Kandidaten benötigen 150–300 Stunden Lernzeit, verteilt über 3–6 Monate, für Prüfungen auf Professional- und Expertenniveau. Diese Prüfungen setzen in der Regel eine vorherige Associate-Level-Kompetenz voraus. Die benötigte Zeit bis zum Bestehen variiert stark je nach Vorerfahrung. Ingenieure mit praktischer Produktionserfahrung in der zugrunde liegenden Technologie benötigen in der Regel weniger; Kandidaten, die neu auf der Plattform sind, sollten sich am oberen Ende dieses Bereichs orientieren.
AZ-400 ist ein anerkanntes Zeugnis im Azure-Ökosystem und signalisiert Arbeitgebern, Personalvermittlern und Kunden validiertes Wissen. Ob es sich für Sie lohnt, hängt von Ihrer Rolle und Ihren Zielen ab – es zahlt sich am meisten für Cloud-Ingenieure, Architekten und Berater aus, die täglich mit Azure arbeiten oder in solche Rollen wechseln möchten.
Die Bestehensgrenze für AZ-400 beträgt 700 / 1000. Die Prüfung enthält 50 Fragen und dauert 2 Std.
Die Prüfungsgebühr für AZ-400 beträgt $165 USD. Die Gebühren werden von Azure festgelegt und können je nach Region variieren; bestätigen Sie immer den aktuellen Preis auf der offiziellen Azure Zertifizierungsseite, bevor Sie buchen.
Microsoft rollenbasierte Zertifizierungen verfallen nach 1 Jahr, können aber kostenlos über eine unüberwachte Online-Bewertung auf Microsoft Learn erneuert werden, beginnend 6 Monate vor dem Ablaufdatum.
Ja. Sie können die Prüfung online (über den sicheren Browser des Anbieters, in den meisten Regionen rund um die Uhr verfügbar) oder in einem persönlichen Pearson VUE Testzentrum während der Geschäftszeiten ablegen. Beide Formate verwenden die gleichen Fragen, Zeitlimits und Bestehensgrenzen.
CertLabPro bietet 15 Lernmodi für die Übungsfragenbank für AZ-400. Der Prüfungssimulationsmodus bildet die echte Prüfung ab: 50 Fragen in 2 Std, mit der gleichen Bestehensschwelle von 700 / 1000. Im Browsing-Modus können Sie jede Frage und Antwort statisch lesen.