AZ-400: cómo aprobar el único examen de Ingeniero Experto en DevOps de Microsoft
Un plan de 8 semanas para el AZ-400 que cubre Azure DevOps, GitHub Actions, IaC y el formato de estudio de caso que desconcierta a candidatos de otra manera preparados.
El AZ-400 es el examen de Microsoft Designing and Implementing Microsoft DevOps Solutions. $165 USD, 40–60 preguntas, 150 minutos, dos estudios de caso más elementos estándar, con una puntuación de aprobación escalada de 700/1000. Es el único camino hacia la credencial de Ingeniero Experto en DevOps, y no puedes presentarte sin tener primero el AZ-104 (Administrador) o el AZ-204 (Desarrollador).
El nivel de "experto" es lo que diferencia al AZ-400 de los asociados basados en roles. Los estudios de caso son reales. El contenido abarca CI/CD, infraestructura como código, estrategia de control de código fuente, seguridad y observabilidad tanto en Azure DevOps como en GitHub. Ocho semanas de 8 a 10 horas semanales es el objetivo realista si tu AZ-104 o AZ-204 está reciente.
Qué incluye el examen
La guía de examen actual se divide en cinco dominios:
| Dominio | Ponderación |
|---|---|
| Diseñar e implementar procesos y comunicaciones | 10–15% |
| Diseñar e implementar una estrategia de control de código fuente | 10–15% |
| Diseñar e implementar pipelines de compilación y lanzamiento | 50–55% |
| Desarrollar un plan de seguridad y cumplimiento | 10–15% |
| Implementar una estrategia de instrumentación | 5–10% |
Las pipelines de compilación y lanzamiento son la mitad del examen. Ahí es donde tienes que estar más preparado. Todo lo demás es de apoyo.
Lo que "pipelines de compilación y lanzamiento" realmente significa en 2026:
- Azure DevOps Pipelines en formato YAML (el editor visual clásico todavía existe, pero está esencialmente obsoleto para trabajos nuevos).
- GitHub Actions, que Microsoft ahora posiciona como más o menos igualitario — el examen te dará escenarios donde la respuesta correcta es "usar GitHub Actions" y las incorrectas son Azure DevOps, y viceversa. Lee el escenario con atención.
- Runners / agentes autoalojados vs. alojados por Microsoft, incluyendo el tamaño del pool, el almacenamiento en caché bajo demanda y el costo.
- Aprobaciones, entornos, puertas de despliegue y condiciones pre/post-despliegue.
- Pipelines de múltiples etapas, patrones azul-verde y canary, despliegues en anillos.
- Gestión de artefactos: Azure Artifacts, GitHub Packages, feeds genéricos.
- Gestión de secretos: tareas de Key Vault, Secretos Encriptados de GitHub, federación OpenID Connect (OIDC) entre GitHub y Azure (esto se ha enfatizado mucho en las preguntas de 2025-2026 — los service principals con secretos son cada vez más la respuesta incorrecta).
Además, IaC. Bicep es la respuesta nativa de Microsoft, Terraform es la respuesta de segunda clase pero aún evaluada. Las plantillas ARM aparecen en pools de preguntas más antiguos, pero los elementos más recientes se apoyan en Bicep. Espera sintaxis de az deployment group create y terraform plan/apply en las preguntas de escenario.
Requisito previo — elige AZ-104 o AZ-204
Microsoft requiere uno de ellos como co-requisito para la credencial de experto. Elige basándote en lo que realmente haces:
- AZ-104 si tu experiencia es en operaciones, infraestructura, administración de sistemas o ingeniería de plataformas. Tu preparación para el AZ-400 se centrará más en los temas del lado del desarrollador (artefactos, branching, herramientas de calidad de código).
- AZ-204 si tu experiencia es en desarrollo de software. Tu preparación para el AZ-400 se centrará más en los temas del lado de operaciones (Azure Monitor, App Insights, pools de agentes, IaC).
No tomes ambos antes del AZ-400. La certificación adicional no ayuda en el AZ-400 en sí, y puedes obtener la que sea relevante para tu trabajo más tarde si realmente la necesitas.
Plan semana a semana
Semana 1: control de código fuente y branching
El dominio de menor ponderación, pero el punto de entrada. Infórmate sobre los patrones de flujo de trabajo de Git: GitHub Flow, GitFlow (todavía se pregunta a pesar de estar pasado de moda), desarrollo basado en trunk, ramas de lanzamiento, ramas de hotfix. Aprende la diferencia entre una fusión de pull-request, una fusión squash y una fusión rebase.
En Azure DevOps Repos y GitHub: políticas de rama, revisores requeridos, validación de compilación, comprobaciones de estado. Practica configurarlos manualmente en ambos productos. A Microsoft le encanta el patrón de preguntas "configurar una política de rama que requiera X", y el menú está en un lugar ligeramente diferente en cada producto.
Semana 2: inmersión profunda en Azure DevOps Pipelines
Dedica la semana a las pipelines YAML. Crea al menos tres:
- Una pipeline simple de compilación y prueba para una aplicación de ejemplo.
- Una pipeline de múltiples etapas con entornos
dev,staging,prody aprobaciones en staging y prod. - Una pipeline que consume un pool de agentes autoalojado y otra que utiliza un pool alojado por Microsoft.
Familiarízate con las plantillas y los parámetros de plantilla. Microsoft evalúa directamente los patrones de extensión de plantilla e inclusión de plantilla. Conoce la sintaxis de extends vs template.
Semana 3: GitHub Actions
Refleja la semana 2 pero en GitHub Actions. Crea las mismas tres pipelines. Presta especial atención a:
- El bloque
permissionsen un job — el principio de mínimo privilegio importa aquí y es un patrón de examen. - Flujos de trabajo reutilizables (
workflow_call) y acciones compuestas — sabe cuál es cuál. - Entornos y revisores requeridos, que reflejan el concepto de Azure DevOps pero con su propia interfaz de usuario.
- Federación OIDC: configura una credencial federada en un registro de aplicación de Microsoft Entra ID y autentícate desde un flujo de trabajo de GitHub Actions sin ningún secreto de cliente. Este único ejercicio te enseña lo que probablemente aparecerá en tres preguntas del examen.
Semana 4: IaC
Primero Bicep. Crea un archivo Bicep que despliegue un plan de App Service, un App Service y un recurso de Application Insights. Despliégalo con az deployment group create. Refactorízalo en módulos. Añade un paso what-if. Añádelo a una pipeline.
Luego Terraform. Despliega la misma estructura con el proveedor AzureRM. Configura un backend remoto en Azure Storage. Ten en cuenta las diferencias en la gestión de estado — aquí es donde Bicep y ARM difieren fundamentalmente de Terraform, y el examen espera que lo sepas.
Plantillas ARM: lee lo suficiente de una para reconocer la sintaxis. No tendrás que escribir una, pero las verás en estudios de caso.
Semana 5: seguridad y cumplimiento
Integración de Key Vault en pipelines: grupos de variables vinculados a Key Vault, la tarea de Azure Key Vault, la acción azure/get-keyvault-secrets de GitHub.
Defender for DevOps y las recomendaciones de seguridad DevOps de Microsoft Defender for Cloud. La actualización del examen de 2024-2025 añadió más de esto — sabe a qué se conecta Defender for DevOps (GitHub, Azure DevOps, GitLab, Bitbucket) y qué revela (escaneo de secretos, escaneo de IaC, escaneo de código, escaneo de dependencias).
GitHub Advanced Security: escaneo de código con CodeQL, escaneo de secretos, revisión de dependencias. Sabe qué características son GHAS (de pago) y cuáles son gratuitas.
Escaneo de cumplimiento en pipelines: WhiteSource Bolt ya no existe — Mend Bolt es la versión renombrada, y la respuesta de primera parte de Microsoft ahora es Defender for DevOps más GHAS. Los materiales de estudio antiguos lo entenderán mal.
Semana 6: monitorización y retroalimentación
Conexión de Application Insights a una pipeline (anotaciones de lanzamiento, marcadores de despliegue). Alertas de Azure Monitor que controlan los despliegues. La integración entre alertas y Azure Boards / GitHub Issues para la creación automática de tickets.
Feature flags a través de Azure App Configuration y la biblioteca Microsoft.FeatureManagement. Microsoft evalúa la respuesta del patrón de diseño — sabe cuándo una feature flag es la opción correcta frente a un anillo de despliegue o un canary.
Semana 7: práctica de estudios de caso
Realiza un examen de práctica completo bajo condiciones de tiempo, con los estudios de caso. Dos estudios de caso consumirán 35–45 minutos de tus 150 — planifica tu tiempo en consecuencia. El error que cometen la mayoría de los candidatos es intentar leer todo el estudio de caso en la primera pasada; en su lugar, échale un vistazo rápido una vez, salta a las preguntas y vuelve a leer solo las secciones del estudio de caso relevantes para cada pregunta.
Después del examen de práctica, identifica los dominios débiles. Para la mayoría de los candidatos, esto es la sintaxis de IaC (módulos Bicep vs. módulos Terraform), las herramientas de seguridad (qué Defender hace qué), o el flujo de federación OIDC.
Semana 8: repaso, relleno de lagunas, examen
Exámenes de práctica cada dos días. Lee la explicación de cada respuesta incorrecta. La ruta oficial del AZ-400 en Microsoft Learn es la fuente de verdad para cualquier desacuerdo entre fuentes — las guías de estudio de los proveedores se han quedado atrás con la actualización del examen de 2024-2025.
Programa el examen. Pearson VUE o supervisado en línea. Los estudios de caso se sienten diferentes en línea — no puedes alternar fácilmente entre secciones — así que si no estás seguro con el formato, ríndelo en un centro de pruebas.
Estilo del examen
Dos cosas desconciertan a candidatos de otra manera preparados:
- Los estudios de caso. Son largos, con mucho texto, y las preguntas dentro de ellos requieren que retengas mucho contexto a la vez. Practícalos.
- El enfoque de la "mejor respuesta". Múltiples opciones son técnicamente correctas; el examen busca la respuesta más limpia y más alineada con las mejores prácticas de Microsoft. Cuando una pregunta enumera Azure DevOps Pipelines y GitHub Actions como alternativas y el escenario no favorece fuertemente a una, la respuesta suele ser aquella en la que el resto del estudio de caso ya se ha estandarizado.
Adecuación para la carrera
El AZ-400 es una credencial útil si eres un ingeniero de DevOps / plataforma trabajando en una empresa Microsoft y quieres el nivel experto en tu currículum. No es la certificación adecuada para alguien que intenta entrar en DevOps desde fuera — primero adquiere experiencia práctica, luego vuelve. La compensación total para ingenieros de DevOps senior en EE. UU. en 2026 oscila entre $150k y $220k de base dependiendo de la ciudad, con roles adyacentes a FAANG superando esas cifras; el AZ-400 es un filtro claro para ese rango, pero no te dará la experiencia.
Cuando estés listo para practicar preguntas, el banco de preguntas del AZ-400 en CertLabPro cubre el formato de estudio de caso. Trata los estudios de caso como una disciplina propia — son la parte del AZ-400 para la que la experiencia práctica por sí sola no te prepara completamente.