Microsoft Azure Network Engineer Associate
225 Übungsfragen
Zuletzt überprüft: April 2026
Persönliche Notizen und Ressourcenlinks für Ihre Lernreise
Nach Zertifizierung Filtern
AZ-700 validiert die täglichen Fähigkeiten eines Azure-Netzwerktechnikers: Entwurf und Implementierung von Kernnetzwerken, Routing, sicheren und überwachten Netzwerken, Hybridkonnektivität und privatem Zugriff auf Azure-Dienste. Die Zielgruppe sind professionelle Netzwerktechniker, die ihre traditionelle Netzwerkkompetenz (BGP, VPN, MPLS) auf Azure ausweiten, sowie Azure-Administratoren, die sich auf Netzwerke spezialisieren. Die Prüfung ist implementierungsorientiert – stilistisch näher an AZ-500 als an Architekturprüfungen – mit 40–60 Fragen in 120 Minuten, darunter Drag-and-Drop, Hot-Area, Multiple-Response und mindestens eine Fallstudie mit szenariobasierten Elementen, die praktische Netzwerkerfahrung belohnen.
Ca. 22%. VNets, Subnetze, IP-Adressierung, Peering (regional und global), VNet-zu-VNet-Konnektivität, benutzerdefiniertes DNS, Azure DNS Private Resolver und zentrale IP-Planung für Hub-Spoke-Topologien.
Größter Bereich mit 28%. UDRs und BGP, Azure Load Balancer (intern und extern), Application Gateway mit WAF, Azure Front Door, Traffic Manager und Route-Server-/NVA-Szenarien. Starker Fokus auf Fragen zum Datenverkehrsfluss.
Ca. 18%. Azure Firewall (und Firewall Manager), DDoS Protection, NSGs vs. ASGs, Network Watcher, Connection Monitor, NSG-Fluss-Logs und Datenverkehrsanalyse.
Ca. 16%. Site-to-Site- und Point-to-Site-VPN-Gateways, ExpressRoute (Verbindungen, Peerings, Global Reach, FastPath), Virtual WAN und SD-WAN-Integrationsmuster.
Ca. 16%. Service Endpoints, Private Endpoints / Private Link, Private DNS Zones, benutzerdefinierte DNS-Auflösung für private Endpunkte und Netzwerkintegration von Platform-as-a-Service.
Services, die Sie in der Prüfung antreffen, und warum jeder davon wichtig ist.
Softwaredefiniertes Netzwerk mit Subnetzen, Adressraumplanung, globalem VNet-Peering, Dienstendpunkten, NSGs und UDRs als grundlegende Bausteine.
Warum er in der Prüfung steht: Domäne 1 (Entwerfen und Implementieren von Core-Netzwerkinfrastruktur) beginnt jedes Szenario mit der VNet-Topologie – CIDR-Dimensionierung, Hub-Spoke- vs. Mesh-Peering und Subnetz-Delegierungsentscheidungen.
Verwaltetes globales WAN, das VNet-, VPN-, ExpressRoute- und SD-WAN-Niederlassungsanbindungen unter einem einzigen virtuellen Hub mit integrierter Routing-Absicht und Any-to-Any-Konnektivität vereint.
Warum er in der Prüfung steht: Domäne 4 (Hybrid-Netzwerke) nennt Virtual WAN als die kanonische Antwort für Multi-Region-Hub-Spoke, das manuell verbundene Hubs in großem Maßstab ersetzt.
Verwaltete Site-to-Site- und Point-to-Site-IPsec-VPN-Terminierung mit BGP, Active-Active-Redundanz, routen- und richtlinienbasierten Tunneln sowie SKU-gestuftem Durchsatz.
Warum er in der Prüfung steht: Domäne 4 testet die Wahl von VPN Gateway vs. ExpressRoute nach Bandbreite/SLA, die Konfiguration von BGP ASNs und Active-Active-Failover-Muster für Hybrid-Backbones.
Dedizierte private Leitungen zu Azure mit privatem und Microsoft-Peering, BGP, ExpressRoute Global Reach für Site-to-Site-Routing über das Microsoft-Backbone und FastPath für Latenzen unter 10 ms.
Warum er in der Prüfung steht: Hybrid-Design-Fragen in Domäne 4 hängen von ExpressRoute-Peering-Typen, Circuit-SKUs (Local/Standard/Premium), Global Reach und BGP-Pfadmanipulation ab.
Verwalteter BGP-Route-Reflector, der Routen zwischen Azure VNets und NVAs (Network Virtual Appliances) über BGP austauscht und so die manuelle UDR-Wartung eliminiert.
Warum er in der Prüfung steht: Domäne 2 (Entwerfen und Implementieren von Routing) nennt Route Server als Antwort, wenn SDWAN-Appliances oder NVAs BGP-Routen in die Azure-Routing-Fabric injizieren müssen.
Netzwerkdiagnosetoolset: Connection Monitor, IP Flow Verify, NSG Diagnostics, Packet Capture, VNet Flow Logs und Introspektion von effektiven Routen/Sicherheitsregeln.
Warum er in der Prüfung steht: Domäne 3 (Absichern und Überwachen von Netzwerken) basiert auf Network Watcher – Connection Monitor für Pfadtests, Flow Logs für Verkehrsübersicht und NSG-Diagnose für das Debuggen von Regeln.
Autoritatives öffentliches DNS-Hosting plus Private DNS Zones mit VNet-Links, Auto-Registrierung und DNS Private Resolver für die eingehende/ausgehende hybride Namensauflösung.
Warum er in der Prüfung steht: Domäne 4 + Domäne 5 testen hybride DNS-Muster – bedingte Weiterleitungen, Private Resolver-Endpunkte und Private DNS-Auto-Registrierung über Hub-Spoke-Topologien hinweg.
Drei Load-Balancing-Ebenen: Standard Load Balancer (L4, regional), Application Gateway (L7 mit WAF, regional) und Front Door (L7 mit WAF, globaler Anycast-Edge).
Warum er in der Prüfung steht: Domäne 1 unterscheidet regionalen L4 (Load Balancer) vs. regionalen L7 (Application Gateway) vs. globalen L7 (Front Door) als wiederkehrendes Distraktor-Muster in Prüfungsszenarien.
Verwaltete Stateful-Firewall-as-a-Service mit FQDN-Filterung, TLS-Inspektion (Premium), IDPS und Firewall Manager für die zentralisierte Richtlinienhierarchie über Hubs und VNets hinweg.
Warum er in der Prüfung steht: Domäne 3 East-West- und Egress-Inspektionsszenarien nennen Azure Firewall als verwaltete Alternative zu selbst gehosteten NVAs, mit Firewall Manager für Multi-Hub-Richtlinien.
Immer aktive DDoS-Minderung auf Netzwerk- und IP-Ebene mit Traffic-Profiling, Angriffsanalysen, schneller Reaktion und Kostenschutz für automatisch skalierte Ziele.
Warum er in der Prüfung steht: Fragen in Domäne 3 zur Minderung volumetrischer und Protokoll-Angriffe für internetseitige Endpunkte nennen DDoS Protection Network/IP SKU als Antwort.
L7 WAF, die auf Application Gateway, Front Door oder Azure CDN bereitgestellt wird, mit verwalteten Regelsätzen (OWASP CRS, Microsoft Bot Manager), benutzerdefinierten Regeln und Ratenbegrenzung.
Warum er in der Prüfung steht: Domäne 3 Szenarien zum Schutz auf Anwendungsebene testen die WAF-Platzierung – Front Door (globaler Edge) vs. App Gateway (regional) – und die Abstimmung verwalteter Regeln.
Verwalteter reiner Outbound-SNAT-Dienst mit bis zu 16 öffentlichen IPs, 64k SNAT-Ports pro IP und Pro-Subnetz-Anbindung – ersetzt unvorhersehbares Standard-Outbound oder LB-basierten SNAT.
Warum er in der Prüfung steht: Domäne 2 Routing-Fragen zur deterministischen Outbound-Konnektivität, SNAT-Port-Erschöpfungsbehebungen und Zonen-redundantem Egress-Design nennen NAT Gateway als Antwort.
Private Konnektivität zu PaaS-Diensten und kundeneigenen Diensten über Private Endpoints (NICs im Consumer-VNet) mit Datenverkehr über das Microsoft-Backbone – niemals über das Internet.
Warum er in der Prüfung steht: Domäne 5 (Entwerfen und Implementieren von privatem Zugriff auf Azure-Dienste) basiert auf Private Link / Private Endpoint als kanonischem PaaS-ohne-öffentliche-IP-Muster.
10 Gbit/s oder 100 Gbit/s Portpaare, die Kunden eine direkte Verbindung zum Microsoft-Backbone ermöglichen, mit der Fähigkeit, mehrere Circuits und MACsec-Verschlüsselung zu erstellen.
Warum er in der Prüfung steht: Domäne 4 Hybrid-Design-Szenarien, die >10 Gbit/s aggregierte Bandbreite, MACsec oder physische Port-Isolation erfordern, nennen ExpressRoute Direct gegenüber Standard ExpressRoute.
Kontinuierliche Erreichbarkeits- und Latenzprüfung über Azure VMs, On-Prem-Agents und Azure-Endpunkte hinweg mit Topologieansicht, Paketverlustverfolgung und Log Analytics-Integration.
Warum er in der Prüfung steht: Domäne 3 Überwachungsszenarien zu Hybridpfad-Latenz, ExpressRoute-Pfadtests und Pre-vs-Post-Failover-Validierung nennen Connection Monitor als operatives Tool.
Zentrale Verwaltungsebene für VNet-Gruppen, Konnektivitätskonfigurationen (Hub-Spoke, Mesh) und Sicherheitsadministratorregeln, die NSGs über mehrere Abonnements hinweg überschreiben.
Warum er in der Prüfung steht: Domäne 1 + Domäne 3 Designfragen zur Skalierung von Hub-Spoke über manuelles Peering hinaus und zur Durchsetzung von Sicherheitsbaselines über Admin-Regeln nennen Virtual Network Manager.
Stateful L3/L4-Filterung auf Subnetz- und NIC-Ebene über NSGs, plus ASGs, die Regeln die Referenzierung von Workload-Gruppen (z.B. "WebTier", "DBTier") anstelle statischer IP-Bereiche ermöglichen.
Warum er in der Prüfung steht: Domäne 3 Sicherheitsfragen zu Default-Deny-Haltung, Regelpriorität/Präzedenz und dem Ersetzen von IP-Tupel-Regeln durch ASG-basierte Regeln sind ein wiederkehrender Prüfungsbestandteil.
Identitätsverzeichnis mit Conditional Access-Richtlinien, die den Zugriff auf Bastion, P2S VPN und die Verwaltungsebene nach Benutzer, Gerät, Standort und Risikosignalen steuern.
Warum er in der Prüfung steht: Domäne 3 + Domäne 5 sichere Zugriffsszenarien – Entra-authentifiziertes P2S VPN, Bastion mit MFA und Conditional Access auf der Admin-Ebene – basieren auf Entra + Conditional Access.
Vereinheitlichter Telemetrie-Sink für VNet Flow Logs, NSG-Diagnose, ExpressRoute-/VPN Gateway-Metriken und Connection Monitor-Ergebnisse, abfragbar über KQL-Workbooks.
Warum er in der Prüfung steht: Domäne 3 Überwachungsmuster erfordern Azure Monitor + Log Analytics, um Flow Logs zu zentralisieren, bei Schwellenwertüberschreitungen zu alarmieren und Traffic-Analytics-Workbooks zu erstellen.
CSPM + Workload-Schutz, der Empfehlungen für Netzwerkfehlkonfigurationen (offene Ports, uneingeschränkte NSG-Regeln), adaptive Netzwerkhärtung und Just-in-Time-VM-Zugriff aufzeigt.
Warum er in der Prüfung steht: Domäne 3 Governance-Fragen zu kontinuierlichem Posture Management, JIT-VM-Zugriff und Empfehlungen zur adaptiven Härtung nennen Defender for Cloud als Antwort.
$110k–$150k–$200k USD jährlich
Der Bereich deckt Cloud-Netzwerktechniker mit mittlerer bis hoher Berufserfahrung in den USA ab; Senior-Netzwerkarchitekten bei großen Unternehmen und Microsoft-Partnerberatungen erreichen oft über 220.000 USD Gesamtkompensation. Traditionelle On-Premises-Netzwerktechniker, die in die Cloud wechseln, tendieren zum unteren Ende, bis sie Azure-spezifische Erfahrung gesammelt haben.
Quelle: levels.fyi 2025 Netzwerk-/Cloud-Netzwerktechniker-Positionen, U.S. BLS OEWS May 2024 (15-1241 computer network architects, 15-1244 network and computer systems administrators), Glassdoor 2025. Die Zahlen sind ungefähr; die tatsächliche Vergütung hängt von der Rolle, der Region und der Erfahrung ab.
Die Nachfrage nach AZ-700 ist stabil und wird durch laufende Cloud-Migrationsprogramme von Unternehmen vorangetrieben, die Expertise in ExpressRoute, Hub-Spoke, Virtual WAN und Private Endpoint erfordern. Personalvermittler in Finanzdienstleistungen, Gesundheitswesen, bei Regierungsaftragnehmern und Microsoft-Partnerberatungen nutzen es als den kanonischen Nachweis für Azure-Netzwerkkompetenz. Es lässt sich natürlich mit AZ-104 für Cloud-Administrator-orientierte Netzwerktechniker, mit AZ-305 für netzwerkorientierte Architekten und mit AZ-500 für Ingenieure, die sowohl Netzwerk- als auch Sicherheitsrollen abdecken, kombinieren. Die Nachfrage ist besonders stark in regulierten Branchen mit erheblichen Anforderungen an Hybridkonnektivität.
Es gibt keine formalen Voraussetzungen. Microsoft empfiehlt praktisches Wissen über Netzwerke (TCP/IP, DNS, Routing, BGP, IPsec) sowie frühere Azure-Erfahrung, die AZ-104 entspricht. Kandidaten ohne tiefgreifendes traditionelles Netzwerkverständnis haben typischerweise Schwierigkeiten mit Routing- und ExpressRoute-Szenarien. AZ-900 ist ein nützlicher konzeptueller Einstieg für neue Azure-Kandidaten, aber nicht erforderlich.
Der offizielle Microsoft Learn-Pfad deckt alle fünf Domänen in etwa 30–40 Stunden ab. Praktische Laborzeit ist im Wesentlichen erforderlich: Ein persönliches Azure-Abonnement mit Hub-Spoke-VNets, einem VPN-Gateway und einer kleinen Reihe privater Endpunkte ermöglicht es Kandidaten, die Routing- und DNS-Szenarien zu üben, die die Prüfung dominieren. ExpressRoute ist ohne Unternehmenszugang schwieriger praktisch zu üben; Kandidaten verlassen sich für diesen Bereich typischerweise auf Microsoft Learn-Module und Artikel des Architekturzentrums.
AZ-700 gehört zur Associate-Stufe und gilt allgemein als mittelschwer – vergleichbar mit AZ-500 in Bezug auf den Schwierigkeitsgrad, schwieriger als AZ-104 in der Netzwerktiefe, aber insgesamt enger im Umfang. Planen Sie 70–110 Stunden Lernzeit über 7–10 Wochen mit vorheriger Netzwerk- und Azure-Admin-Erfahrung ein; wesentlich länger für Kandidaten, die in einem der Bereiche neu sind. Die Prüfung dauert etwa 120 Minuten mit 40–60 Fragen in Multiple-Choice-, Multiple-Response-, Drag-and-Drop-, Hot-Area- und Fallstudienformaten. Fallstudien sind separat zeitgesteuert und können nicht erneut aufgerufen werden.
Der häufigste Stolperstein ist der Routing-Bereich – UDRs, die mit BGP-gelernten Routen von VPN/ExpressRoute interagieren, das Verhalten der Routenverteilung und Szenarien mit erzwungenem Tunneling sind komplex und werden häufig getestet. Die private DNS-Auflösung für private Endpunkte (benutzerdefinierte DNS-Weiterleiter, bedingte Weiterleiter, Integration von Private DNS Zone-Gruppen) ist ein weiterer häufiger Problembereich.
Neuestes Update der gemessenen Fähigkeiten. Erweiterte Abdeckung des Azure DNS Private Resolver, modernisierte Virtual WAN-Inhalte, aktualisierte Positionierung der Azure Front Door SKU. Microsoft aktualisiert AZ-700 etwa alle 12–18 Monate, ohne den Prüfungscode zu ändern.
Neugewichtung zugunsten der Routing- und Private-Access-Domänen, Ergänzung der Abdeckung von Azure Route Server und ExpressRoute FastPath sowie tiefere Integration von Virtual WAN.
Erste GA. Ursprünglicher Entwurf konzentrierte sich auf Hub-Spoke-Topologien, VPN/ExpressRoute, NSGs und PaaS-Netzwerkintegration.
AZ-700 (Microsoft Azure Network Engineer Associate) ist eine eine mittelschwere Prüfung, die praktische Erfahrung sowie ein solides Verständnis der Best Practices erwartet Associate-Level-Prüfung. Die meisten Kandidaten benötigen 80–150 Stunden Lernzeit, verteilt über 6–12 Wochen, für Prüfungen auf Associate-Niveau. Die meisten Kandidaten, die bei Übungsprüfungen konstant über der Bestehensschwelle liegen, bestehen beim ersten Versuch.
Die meisten Kandidaten benötigen 80–150 Stunden Lernzeit, verteilt über 6–12 Wochen, für Prüfungen auf Associate-Niveau. Die benötigte Zeit bis zum Bestehen variiert stark je nach Vorerfahrung. Ingenieure mit praktischer Produktionserfahrung in der zugrunde liegenden Technologie benötigen in der Regel weniger; Kandidaten, die neu auf der Plattform sind, sollten sich am oberen Ende dieses Bereichs orientieren.
AZ-700 ist ein anerkanntes Zeugnis im Azure-Ökosystem und signalisiert Arbeitgebern, Personalvermittlern und Kunden validiertes Wissen. Ob es sich für Sie lohnt, hängt von Ihrer Rolle und Ihren Zielen ab – es zahlt sich am meisten für Cloud-Ingenieure, Architekten und Berater aus, die täglich mit Azure arbeiten oder in solche Rollen wechseln möchten.
Die Bestehensgrenze für AZ-700 beträgt 700 / 1000. Die Prüfung enthält 50 Fragen und dauert 2 Std.
Die Prüfungsgebühr für AZ-700 beträgt $165 USD. Die Gebühren werden von Azure festgelegt und können je nach Region variieren; bestätigen Sie immer den aktuellen Preis auf der offiziellen Azure Zertifizierungsseite, bevor Sie buchen.
Microsoft rollenbasierte Zertifizierungen verfallen nach 1 Jahr, können aber kostenlos über eine unüberwachte Online-Bewertung auf Microsoft Learn erneuert werden, beginnend 6 Monate vor dem Ablaufdatum.
Ja. Sie können die Prüfung online (über den sicheren Browser des Anbieters, in den meisten Regionen rund um die Uhr verfügbar) oder in einem persönlichen Pearson VUE Testzentrum während der Geschäftszeiten ablegen. Beide Formate verwenden die gleichen Fragen, Zeitlimits und Bestehensgrenzen.
CertLabPro bietet 15 Lernmodi für die Übungsfragenbank für AZ-700. Der Prüfungssimulationsmodus bildet die echte Prüfung ab: 50 Fragen in 2 Std, mit der gleichen Bestehensschwelle von 700 / 1000. Im Browsing-Modus können Sie jede Frage und Antwort statisch lesen.