Microsoft Azure Security Engineer Associate
225 Übungsfragen
Zuletzt überprüft: April 2026
Persönliche Notizen und Ressourcenlinks für Ihre Lernreise
Nach Zertifizierung Filtern
AZ-500 validiert die täglichen Fähigkeiten eines Azure Security Engineers: Identitäts- und Zugriffsverwaltung über Microsoft Entra, Netzwerksicherung, Härtung von Compute / Speicher / Datenbanken und Durchführung von Sicherheitsoperationen mit Microsoft Defender for Cloud und Microsoft Sentinel. Die Zielgruppe sind praktizierende Security Engineers und Azure-Administratoren, die auf Sicherheit spezialisiert sind. Die Prüfung ist implementierungsfokussiert — stilistisch näher an AZ-104 als an Designprüfungen der Expertenstufe — mit 40–60 Fragen in 120 Minuten, einschließlich Drag-and-Drop, Hot-Area, Multiple-Response und mindestens einer Fallstudie mit szenariobasierten Elementen, die praktische Portal-Erfahrung belohnen.
Größter Bereich mit 27%. Microsoft Entra ID (Benutzer, Gruppen, MFA, Conditional Access, PIM, Identity Protection, B2B / B2C), Unternehmensanwendungen, App-Registrierungen, RBAC und benutzerdefinierte Rollen. Erwarten Sie viele Conditional Access-Szenarien.
Ca. 23%. NSGs, ASGs, Azure Firewall, Web Application Firewall auf Front Door / Application Gateway, DDoS Protection, Private Endpoints / Private Link, Service Endpoints und Bastion. Stark auf Traffic-Flow-Szenarien ausgerichtet.
Ca. 22%. VM-Härtung, Azure Disk Encryption, Microsoft Defender for Servers, Containersicherheit, Speicherkontosicherheit (Firewalls, SAS, Verschlüsselung, Unveränderlichkeit), Key Vault und Azure SQL-Sicherheit (TDE, Always Encrypted, RLS).
Ca. 28%. Microsoft Defender for Cloud (CSPM, CWPP, Einhaltung gesetzlicher Vorschriften), Microsoft Sentinel (Datenkonnektoren, Analyseregeln, Workbooks, KQL-Hunting, Automatisierung), Azure Policy für Sicherheit sowie integrierte Sicherheitswarnungen und Vorfallsreaktion.
Services, die Sie in der Prüfung antreffen, und warum jeder davon wichtig ist.
Cloud-Identitätsverzeichnis mit Benutzern, Gruppen, App-Registrierungen, Richtlinien für bedingten Zugriff, MFA und Privileged Identity Management (PIM) für Just-in-Time-Erhöhung.
Warum er in der Prüfung steht: Domäne 1 (Identität und Zugriff verwalten) konzentriert sich auf Entra ID — bedingter Zugriff, MFA-Erzwingung und PIM-Aktivierung sind die am häufigsten getesteten Themen in der Prüfung.
Risikobasierte Erkennung von Identitätsbedrohungen — Anmelderisiko, Benutzerrisiko und atypische Reisemuster speisen Richtlinien für bedingten Zugriff für adaptive Herausforderungen und Sperrungen.
Warum er in der Prüfung steht: Fragen in Domäne 1 zur Reaktion auf kompromittierte Anmeldeinformationen und riskante Anmeldungen nennen ID Protection als native Azure-Signalquelle.
Cloud-native CSPM + CWPP — Secure Score, Dashboards für die Einhaltung gesetzlicher Vorschriften, Empfehlungen und Defender-Pläne für Server, Speicher, SQL, Container, App Service und DNS.
Warum er in der Prüfung steht: Domäne 4 (Sicherheitsoperationen verwalten) nennt Defender for Cloud als zentrale Oberfläche für Haltungsmanagement und Workload-Schutz über Abonnements hinweg.
Cloud-native SIEM und SOAR — Datenkonnektoren, Analyseregeln (KQL-gesteuert), Entitätsverhaltensanalyse (UEBA), Playbooks (Logic Apps) und Incident-Triage.
Warum er in der Prüfung steht: Domäne 4 testet Sentinel als AZ-500 SIEM — die Einrichtung von Konnektoren, das Erstellen von Analyseregeln und die Playbook-Automatisierung erscheinen in fast jeder Prüfungsform.
Vereinheitlichtes XDR-Portal, das Signale von Defender for Endpoint, Identity, Office 365 und Cloud Apps zu domänenübergreifenden Incidents und automatisierten Untersuchungen korreliert.
Warum er in der Prüfung steht: Domäne 4 (Sicherheitsoperationen verwalten) unterscheidet Defender XDR (produktübergreifende Korrelation) von Sentinel (SIEM) — die Kenntnis dieser Abgrenzung wird wiederholt geprüft.
Verwaltete Stateful-Layer-3/4/7-Firewall mit FQDN-Filterung, Threat-Intelligence-Feeds, TLS-Inspektion (Premium), IDPS und zentralisierter Regelverwaltung über Firewall Policy.
Warum er in der Prüfung steht: Domäne 2 (Netzwerke sichern) nennt Azure Firewall als die Egress-/Ingress-Inspektionsschicht in Hub-Spoke- und Virtual WAN-Topologien.
Layer-7 WAF, bereitgestellt auf Application Gateway oder Front Door, mit OWASP Core Rule Sets, benutzerdefinierten Regeln, Bot-Schutz und richtlinienbasierten Erkennungs-/Verhinderungsmodi.
Warum er in der Prüfung steht: Fragen in Domäne 2 + Domäne 3 zum Schutz öffentlicher Web-Endpunkte vor Injection, Scraping und L7-DDoS nennen WAF als native Azure-Edge-Verteidigung.
EDR/EPP für Windows, macOS, Linux, iOS, Android — Reduzierung der Angriffsfläche, automatisierte Untersuchung und Behebung, Schwachstellenmanagement und Bedrohungsjagd.
Warum er in der Prüfung steht: Domäne 3 (Compute, Speicher und Datenbanken sichern) und Domäne 4 zeigen MDE als Workload-Level-Verteidigung, die Defender for Cloud und Defender XDR mit Endpunktsignalen versorgt.
Immer aktive Plattform-DDoS (kostenlos) plus Network- und IP Protection SKUs, die Anwendungsschicht-Telemetrie, Kostenschutzgarantien und schnellen SRT-Zugriff hinzufügen.
Warum er in der Prüfung steht: Domäne 2 unterscheidet zwischen dem kostenlosen, immer aktiven Tarif und dem kostenpflichtigen Network-/IP-Schutz — ein wiederkehrendes Prüfungsszenario zur Härtung öffentlich zugänglicher Workloads.
Verwaltete Jumpbox, die RDP/SSH-Verbindungen zu VMs über das Portal oder einen nativen Client vermittelt, ohne öffentliche IPs freizulegen oder eingehende NSG-Regeln zu öffnen.
Warum er in der Prüfung steht: Sichere Zugriffsszenarien in Domäne 2 + Domäne 3 nennen Bastion als Lösung für die VM-Administration ohne Jumpbox-Infrastruktur oder öffentliche IPs.
Zugriff über private IPs auf Azure PaaS (Storage, SQL, Key Vault usw.) und Partnerdienste über das Microsoft-Backbone, wodurch die Exposition gegenüber dem öffentlichen Internet entfällt.
Warum er in der Prüfung steht: Domäne 2 + Domäne 3 testen Private Endpoint als kanonisches Muster zum Entfernen öffentlicher Endpunkte von PaaS bei gleichzeitiger Beibehaltung der Dienstfunktionalität.
Stateful Layer-3/4-ACLs auf Subnetz- oder NIC-Ebene mit prioritätsgeordneten Erlaubnis-/Verweigerungsregeln, Anwendungssicherheitsgruppen (ASGs) und NSG-Flow-Logs für forensische Zwecke.
Warum er in der Prüfung steht: Domäne 2 (Netzwerke sichern) testet die Rangfolge von NSG-Regeln, ASG-basierte Segmentierung und die Erfassung von Flow-Logs für die Überprüfung des Datenverkehrs in fast jeder Form.
Schutzpläne auf Workload-Ebene in Defender for Cloud — Defender for Servers (MDE-Integration), Storage (Malware-Scan), SQL (Schwachstellen- + Bedrohungserkennung), Containers (Kubernetes-fähige Laufzeit).
Warum er in der Prüfung steht: Domäne 3 (Compute, Speicher und Datenbanken sichern) befasst sich hauptsächlich mit der Auswahl des richtigen Defender-Plans pro Workload-Ebene und der Feinabstimmung seiner Warnmeldungen.
Bedrohungserkennung für lokale AD — Pass-the-Hash, Pass-the-Ticket, Golden Ticket, Aufklärung und Lateral-Movement-Signale aus dem Domänencontroller-Verkehr.
Warum er in der Prüfung steht: Fragen in Domäne 1 + Domäne 4 zur Erkennung hybrider Identitätskompromittierungen nennen Defender for Identity als den AD-fähigen Bedrohungssensor, der Defender XDR speist.
Vertraulichkeitsbezeichnungen, Verschlüsselung und Richtlinien zur Verhinderung von Datenverlusten über Microsoft 365, Endpoint DLP und Azure-Datenquellen hinweg — Erkennung, Klassifizierung und Erzwingung.
Warum er in der Prüfung steht: Domäne 3 (Compute, Speicher und Datenbanken sichern) nennt Purview IP + DLP als Datenklassifizierungs- und Schutzschicht für sensible Inhalte im Ruhezustand und während der Übertragung.
Verwaltetes Repository mit Defender for Containers-Image-Scanning, Content Trust, Aufbewahrungsrichtlinien und Geo-Replikation für Pull-Pfade in mehreren Regionen.
Warum er in der Prüfung steht: Containerszenarien in Domäne 3 nennen ACR mit Defender-Scanning als Antwort der sicheren Lieferkette für die Kubernetes/AKS-Image-Verteilung.
Verwalteter Speicher für Geheimnisse, Zertifikate und software- oder HSM-gestützte Schlüssel mit Entra-integriertem RBAC, Soft-Delete, Purge-Schutz und BYOK/HYOK-Flüssen.
Warum er in der Prüfung steht: Domäne 3 (Compute, Speicher und Datenbanken sichern) testet Key Vault für die Verwaltung von Speicherkonto-/Datenbank-TDE-Verschlüsselungsschlüsseln und CMK-Mustern (Customer-Managed-Key).
Deklarative Governance mit deny-/audit-/deployIfNotExists-Effekten, Initiative-Bundles (z.B. CIS, ISO 27001, NIST 800-53) und Blueprints für Umgebungs-Baselines.
Warum er in der Prüfung steht: Domäne 4 (Sicherheitsoperationen verwalten) nennt Azure Policy als Erzwingungsmechanismus für Sicherheits-Baselines, Verschlüsselungsanforderungen und Tagging im großen Maßstab.
Cloud Access Security Broker (CASB) — Shadow-IT-Erkennung, SaaS-Haltungsmanagement, Sitzungssteuerungen über Conditional Access App Control und Integration des Informationsschutzes.
Warum er in der Prüfung steht: Domäne 1 + Domäne 4 nennen Defender for Cloud Apps für die SaaS-seitige Governance — das Erkennen nicht autorisierter Apps und das Erzwingen von Echtzeit-Sitzungsrichtlinien auf Microsoft 365 / verbundenen SaaS-Diensten.
Vereinheitlichte Telemetrie — Aktivitätsprotokolle, Diagnoseeinstellungen, Metriken und Log Analytics-Arbeitsbereiche, die über KQL abgefragt werden; das Substrat, in das Sentinel und Defender for Cloud Daten aufnehmen.
Warum er in der Prüfung steht: Domäne 4 (Sicherheitsoperationen verwalten) stützt sich auf Azure Monitor für das Routing von Diagnoseeinstellungen an einen zentralen Arbeitsbereich und KQL-Abfragen, die Sentinel-Analyseregeln speisen.
$110k–$150k–$205k USD jährlich
Die Spanne deckt Cloud-Security-Ingenieure im mittleren bis Senior-Bereich in den USA ab, bei denen Azure-Kenntnisse erforderlich sind. Senior Cloud Security Engineers bei FAANG / Fintech / regulierten Branchen erreichen oft ein Gesamtgehalt (TC) von über 230.000 $. Das Zertifikat ist ein Screening-Signal; praktische Erfahrung in der Reaktion auf Sicherheitsvorfälle treibt das obere Ende an.
Quelle: levels.fyi 2025 Cloud Security / IAM-Engineer-Rollen, U.S. BLS OEWS Mai 2024 (15-1212 information security analysts), Glassdoor 2025. Die Zahlen sind ungefähr; die tatsächliche Vergütung hängt von der Rolle, der Region und der Erfahrung ab.
AZ-500 ist das gefragteste Azure-Sicherheitszertifikat in Stellenbeschreibungen und eine der Microsoft-Sicherheitsprüfungen mit dem höchsten Volumen insgesamt. Die Nachfrage hat sich zwischen 2024 und 2026 beschleunigt, da Unternehmen ihre Sicherheits-Tools auf Microsoft Defender for Cloud und Microsoft Sentinel konsolidieren. Personalvermittler in Finanzdienstleistungen, Gesundheitswesen, bei Regierungsauftragnehmern und Microsoft-Partnerberatungsunternehmen betrachten es als den kanonischen Nachweis der Azure-Sicherheitskompetenz. Es lässt sich gut mit AZ-104 kombinieren (die häufigste Kombination für sicherheitsorientierte Administratoren), mit AZ-305 für sicherheitsorientierte Architekten, mit AZ-700 für Netzwerksicherheits-Ingenieure und mit SC-200 (Security Operations Analyst) und SC-100 (Cybersecurity Architect), um das Microsoft-Sicherheitsportfolio abzurunden.
Es gibt keine formalen Voraussetzungen. Microsoft empfiehlt ein bis zwei Jahre Erfahrung in der Azure-Administration sowie Kenntnisse der Identitäts-, Netzwerk- und Sicherheitsprinzipien. AZ-104 ist sehr komplementär – viele AZ-500-Fragen setzen Kenntnisse auf Azure-Administrator-Niveau mit Microsoft Entra, RBAC und dem Kernnetzwerk voraus. SC-900 ist ein nützlicher konzeptioneller Einstieg für Kandidaten, die neu in Microsoft-Sicherheit sind, wird aber nicht verlangt.
Der offizielle Microsoft Learn-Pfad deckt alle vier Bereiche in etwa 35–45 Stunden ab. Praktische Laborzeit ist unerlässlich: Ein persönliches Azure-Abonnement mit Microsoft Entra P2-Testversion, aktiviertem Microsoft Defender for Cloud und einem kleinen Sentinel-Arbeitsbereich ermöglicht es Kandidaten, Conditional Access, PIM, Sicherheitswarnungen und KQL-Hunting-Abfragen zu üben. Viele Kandidaten ergänzen dies mit der offiziellen Übungsbewertung und einem Video-Kurs eines Drittanbieters.
AZ-500 gehört zur Associate-Stufe und gilt allgemein als mittelschwer bis sehr anspruchsvoll — vergleichbar mit AZ-204 in Bezug auf den Schwierigkeitsgrad, aber deutlich schwerer als AZ-104, angesichts der Tiefe der Microsoft Entra- und Sentinel-Inhalte. Planen Sie 80–120 Stunden Lernzeit über 8–12 Wochen mit vorheriger Azure-Administrator-Erfahrung ein; erheblich länger ohne diesen Hintergrund. Die Prüfung dauert etwa 120 Minuten — länger als die meisten Associate-Prüfungen — mit 40–60 Fragen in Multiple-Choice-, Multiple-Response-, Drag-and-Drop-, Hot-Area- und Fallstudienformaten.
Der häufigste Stolperstein ist die Breite der erweiterten Microsoft Entra-Funktionen — Conditional Access, PIM, Identity Protection, Entitlement Management und Access Reviews haben jeweils unterschiedliche Konfigurationsoberflächen, und die Prüfung testet subtile Szenario-Unterschiede. Microsoft Sentinel KQL-Hunting-Abfragen und die Konfiguration von Analyseregeln überraschen auch häufig Kandidaten, deren einzige Azure-Erfahrung administrativ ist.
Aktuellstes Update der gemessenen Fähigkeiten. Erweiterte CSPM-Abdeckung von Microsoft Defender for Cloud, zusätzliche Inhalte für Microsoft Defender for Containers und DevOps, modernisierte Sentinel-Automatisierungsrahmen. Microsoft aktualisiert AZ-500 etwa alle 12–18 Monate, ohne den Prüfungscode zu ändern.
Umstrukturierung in das aktuelle Vier-Domain-Layout, Neuausrichtung auf Sicherheitsoperationen, Umbenennung von Azure AD-Referenzen in Microsoft Entra ID und Integration vereinheitlichter Microsoft Defender XDR-Konzepte.
Erste allgemeine Verfügbarkeit (GA). Das ursprüngliche Konzept konzentrierte sich auf Azure AD, Netzwerksicherheitsgruppen, Azure Security Center und Azure Sentinel (damals als Vorschau).
AZ-500 (Microsoft Azure Security Engineer Associate) ist eine eine mittelschwere Prüfung, die praktische Erfahrung sowie ein solides Verständnis der Best Practices erwartet Associate-Level-Prüfung. Die meisten Kandidaten benötigen 80–150 Stunden Lernzeit, verteilt über 6–12 Wochen, für Prüfungen auf Associate-Niveau. Die meisten Kandidaten, die bei Übungsprüfungen konstant über der Bestehensschwelle liegen, bestehen beim ersten Versuch.
Die meisten Kandidaten benötigen 80–150 Stunden Lernzeit, verteilt über 6–12 Wochen, für Prüfungen auf Associate-Niveau. Die benötigte Zeit bis zum Bestehen variiert stark je nach Vorerfahrung. Ingenieure mit praktischer Produktionserfahrung in der zugrunde liegenden Technologie benötigen in der Regel weniger; Kandidaten, die neu auf der Plattform sind, sollten sich am oberen Ende dieses Bereichs orientieren.
AZ-500 ist ein anerkanntes Zeugnis im Azure-Ökosystem und signalisiert Arbeitgebern, Personalvermittlern und Kunden validiertes Wissen. Ob es sich für Sie lohnt, hängt von Ihrer Rolle und Ihren Zielen ab – es zahlt sich am meisten für Cloud-Ingenieure, Architekten und Berater aus, die täglich mit Azure arbeiten oder in solche Rollen wechseln möchten.
Die Bestehensgrenze für AZ-500 beträgt 700 / 1000. Die Prüfung enthält 50 Fragen und dauert 2 Std.
Die Prüfungsgebühr für AZ-500 beträgt $165 USD. Die Gebühren werden von Azure festgelegt und können je nach Region variieren; bestätigen Sie immer den aktuellen Preis auf der offiziellen Azure Zertifizierungsseite, bevor Sie buchen.
Microsoft rollenbasierte Zertifizierungen verfallen nach 1 Jahr, können aber kostenlos über eine unüberwachte Online-Bewertung auf Microsoft Learn erneuert werden, beginnend 6 Monate vor dem Ablaufdatum.
Ja. Sie können die Prüfung online (über den sicheren Browser des Anbieters, in den meisten Regionen rund um die Uhr verfügbar) oder in einem persönlichen Pearson VUE Testzentrum während der Geschäftszeiten ablegen. Beide Formate verwenden die gleichen Fragen, Zeitlimits und Bestehensgrenzen.
CertLabPro bietet 15 Lernmodi für die Übungsfragenbank für AZ-500. Der Prüfungssimulationsmodus bildet die echte Prüfung ab: 50 Fragen in 2 Std, mit der gleichen Bestehensschwelle von 700 / 1000. Im Browsing-Modus können Sie jede Frage und Antwort statisch lesen.