Microsoft Azure Network Engineer Associate
225 preguntas de práctica
Última revisión: April 2026
Notas personales y enlaces de recursos para tu camino de estudio
Filtrar por Certificación
AZ-700 valida las habilidades diarias de un ingeniero de redes de Azure: diseñar e implementar redes centrales, enrutamiento, redes seguras y monitoreadas, conectividad híbrida y acceso privado a los servicios de Azure. La audiencia son ingenieros de redes que extienden la experiencia de redes tradicionales (BGP, VPN, MPLS) a Azure, y administradores de Azure especializados en redes. El examen está centrado en la implementación —más cercano al estilo de AZ-500 que a los exámenes de arquitectura— con 40–60 preguntas en 120 minutos que incluyen arrastrar y soltar, áreas interactivas (hot-area), respuestas múltiples y al menos un estudio de caso con elementos basados en escenarios que premian la experiencia práctica en redes.
Aproximadamente el 22%. VNets, subredes, direccionamiento IP, emparejamiento (regional y global), conectividad VNet a VNet, DNS personalizado, Azure DNS Private Resolver y planificación IP central para topologías hub-spoke.
El dominio más grande con un 28%. UDRs y BGP, Azure Load Balancer (interno y externo), Application Gateway con WAF, Azure Front Door, Traffic Manager y escenarios de servidor de rutas / NVA. Gran cantidad de preguntas sobre flujo de tráfico.
Aproximadamente el 18%. Azure Firewall (y Firewall Manager), DDoS Protection, NSGs vs. ASGs, Network Watcher, Connection Monitor, registros de flujo de NSG y análisis de tráfico.
Aproximadamente el 16%. Gateways VPN de sitio a sitio y de punto a sitio, ExpressRoute (circuitos, peerings, Global Reach, FastPath), Virtual WAN e integración de patrones SD-WAN.
Aproximadamente el 16%. Service Endpoints, Private Endpoints / Private Link, Private DNS Zones, resolución DNS personalizada para Private Endpoints e integración de red de plataforma como servicio (PaaS).
Servicios que encontrarás en el examen y por qué cada uno importa.
Red definida por software con subredes, planificación de espacio de direcciones, emparejamiento global de VNet, puntos de conexión de servicio, NSGs y UDRs como bloques de construcción fundamentales.
Por qué está en el examen: El Dominio 1 (Diseño e implementación de infraestructura de red principal) inicia cada escenario con la topología de VNet: dimensionamiento CIDR, emparejamiento de tipo hub-spoke frente a malla, y opciones de delegación de subredes.
WAN global administrada que unifica los adjuntos de sucursales de VNet, VPN, ExpressRoute y SD-WAN bajo un único Virtual Hub con intención de enrutamiento incorporada y conectividad any-to-any.
Por qué está en el examen: El Dominio 4 (Redes híbridas) cita Virtual WAN como la respuesta canónica para el hub-spoke multirregión que reemplaza los hubs cosidos manualmente a escala.
Terminación de VPN IPsec site-to-site y point-to-site administrada con BGP, redundancia activa-activa, túneles basados en ruta y en políticas, y rendimiento por niveles de SKU.
Por qué está en el examen: El Dominio 4 evalúa la elección de VPN Gateway frente a ExpressRoute por ancho de banda/SLA, la configuración de ASNs BGP y los patrones de conmutación por error activa-activa para backbones híbridos.
Circuitos privados dedicados a Azure con emparejamiento privado y de Microsoft, BGP, ExpressRoute Global Reach para enrutamiento site-to-site a través del backbone de Microsoft, y FastPath para latencia inferior a 10 ms.
Por qué está en el examen: Las preguntas de diseño híbrido del Dominio 4 giran en torno a los tipos de emparejamiento de ExpressRoute, los SKUs de circuitos (Local/Standard/Premium), Global Reach y la manipulación de rutas BGP.
Reflector de rutas BGP administrado que intercambia rutas entre Azure VNets y NVAs (Network Virtual Appliances) sobre BGP, eliminando el mantenimiento manual de UDR.
Por qué está en el examen: El Dominio 2 (Diseño e implementación de enrutamiento) nombra a Route Server como la respuesta cuando los dispositivos SDWAN o NVAs necesitan inyectar rutas BGP en el tejido de enrutamiento de Azure.
Conjunto de herramientas de diagnóstico de red: Connection Monitor, IP Flow Verify, NSG Diagnostics, Packet Capture, VNet Flow Logs, e introspección de rutas/reglas de seguridad efectivas.
Por qué está en el examen: El Dominio 3 (Protección y monitoreo de redes) se basa en Network Watcher: Connection Monitor para pruebas de ruta, Flow Logs para visibilidad del tráfico y diagnóstico de NSG para depuración de reglas.
Alojamiento de DNS público autoritativo más Private DNS Zones con enlaces de VNet, registro automático y DNS Private Resolver para resolución de nombres híbrida de entrada/salida.
Por qué está en el examen: El Dominio 4 + Dominio 5 evalúan patrones de DNS híbrido: reenviadores condicionales, puntos de conexión de Private Resolver y registro automático de Private DNS a través de hub-spoke.
Tres niveles de equilibrio de carga: Standard Load Balancer (L4, regional), Application Gateway (L7 con WAF, regional) y Front Door (L7 con WAF, borde global anycast).
Por qué está en el examen: El Dominio 1 distingue el L4 regional (Load Balancer) del L7 regional (Application Gateway) y del L7 global (Front Door) como un patrón distractor recurrente en los escenarios del examen.
Firewall-as-a-service con estado administrado con filtrado FQDN, inspección TLS (Premium), IDPS y Firewall Manager para una jerarquía de políticas centralizada en hubs y VNets.
Por qué está en el examen: Los escenarios de inspección este-oeste y de egreso del Dominio 3 citan a Azure Firewall como la alternativa administrada a los NVAs autoalojados, con Firewall Manager para políticas multi-hub.
Mitigación de DDoS siempre activa a nivel de red y IP con creación de perfiles de tráfico, análisis de ataques, respuesta rápida y protección de costos para objetivos autoescalados.
Por qué está en el examen: Las preguntas del Dominio 3 sobre mitigación de ataques volumétricos y de protocolo para puntos de conexión orientados a internet nombran a DDoS Protection Network/IP SKU como la respuesta.
WAF L7 desplegado en Application Gateway, Front Door o Azure CDN con conjuntos de reglas administrados (OWASP CRS, Microsoft bot manager), reglas personalizadas y limitación de velocidad.
Por qué está en el examen: Los escenarios de protección de capa de aplicación del Dominio 3 prueban la elección de ubicación de WAF — Front Door (borde global) frente a App Gateway (regional) — y el ajuste de reglas administradas.
Servicio SNAT administrado solo de salida con hasta 16 IPs públicas, 64k puertos SNAT por IP y adjunto por subred; reemplaza el SNAT saliente predeterminado impredecible o basado en LB.
Por qué está en el examen: Las preguntas de enrutamiento del Dominio 2 sobre conectividad saliente determinista, soluciones de agotamiento de puertos SNAT y diseño de egreso redundante por zona nombran a NAT Gateway como la respuesta.
Conectividad privada a servicios PaaS y servicios propiedad del cliente a través de Private Endpoints (NICs en la VNet del consumidor) con tráfico en el backbone de Microsoft, sin atravesar nunca internet.
Por qué está en el examen: El Dominio 5 (Diseño e implementación de acceso privado a servicios de Azure) se basa en Private Link / Private Endpoint como el patrón canónico de PaaS sin IP pública.
Pares de puertos de 10 Gbps o 100 Gbps que proporcionan a los clientes conexión directa al backbone de Microsoft, con la capacidad de crear múltiples circuitos y cifrado MACsec.
Por qué está en el examen: Los escenarios de diseño híbrido del Dominio 4 que requieren un ancho de banda agregado >10 Gbps, MACsec o aislamiento de puertos físicos citan a ExpressRoute Direct sobre ExpressRoute estándar.
Pruebas continuas de accesibilidad y latencia entre VMs de Azure, agentes locales y puntos de conexión de Azure con vista de topología, seguimiento de pérdida de paquetes e integración con Log Analytics.
Por qué está en el examen: Los escenarios de monitoreo del Dominio 3 sobre latencia de ruta híbrida, pruebas de ruta de ExpressRoute y validación pre/post-failover nombran a Connection Monitor como la herramienta operativa.
Plano de gestión central para grupos de VNet, configuraciones de conectividad (hub-spoke, malla) y reglas de administración de seguridad que anulan los NSG en el ámbito de múltiples suscripciones.
Por qué está en el examen: Las preguntas de diseño del Dominio 1 + Dominio 3 sobre escalar hub-spoke más allá del emparejamiento manual y aplicar líneas base de seguridad mediante reglas de administración citan a Virtual Network Manager.
Filtrado L3/L4 con estado en el ámbito de subred y NIC a través de NSG, además de ASG que permiten que las reglas hagan referencia a grupos de cargas de trabajo (p. ej., "WebTier", "DBTier") en lugar de rangos de IP estáticos.
Por qué está en el examen: Las preguntas de seguridad del Dominio 3 sobre postura de denegación predeterminada, prioridad/precedencia de reglas y reemplazo de reglas de tupla de IP con reglas basadas en ASG son un pilar recurrente del examen.
Directorio de identidades con políticas de Conditional Access que controlan el acceso a Bastion, P2S VPN y al plano de administración por usuario, dispositivo, ubicación y señales de riesgo.
Por qué está en el examen: Los escenarios de acceso seguro del Dominio 3 + Dominio 5 — P2S VPN autenticada con Entra, Bastion con MFA y Conditional Access en el plano de administración — se basan en Entra + Conditional Access.
Receptor unificado de telemetría para VNet Flow Logs, diagnósticos de NSG, métricas de ExpressRoute / VPN Gateway y resultados de Connection Monitor, consultable mediante libros de KQL.
Por qué está en el examen: Los patrones de monitoreo del Dominio 3 requieren Azure Monitor + Log Analytics para centralizar los registros de flujo, alertar sobre incumplimientos de umbrales y producir libros de análisis de tráfico.
CSPM + protección de cargas de trabajo que muestra recomendaciones de configuración incorrecta de red (puertos abiertos, reglas de NSG sin restricciones), endurecimiento de red adaptativo y acceso justo a tiempo a VMs.
Por qué está en el examen: Las preguntas de gobernanza del Dominio 3 sobre gestión continua de la postura, acceso JIT a VMs y recomendaciones de endurecimiento adaptativo citan a Defender for Cloud como la respuesta.
$110k–$150k–$200k USD anual
El rango cubre ingenieros de redes en la nube de nivel medio a sénior con base en EE. UU.; los arquitectos de redes sénior en grandes empresas y consultorías asociadas a Microsoft a menudo superan los $220k TC. Los ingenieros de redes tradicionales en entornos locales que hacen la transición a la nube tienden a la parte inferior del rango hasta que acumulan experiencia específica en Azure.
Fuente: roles de ingeniero de redes / redes en la nube de levels.fyi 2025, U.S. BLS OEWS mayo de 2024 (15-1241 arquitectos de redes informáticas, 15-1244 administradores de sistemas informáticos y de redes), Glassdoor 2025. Las cifras son aproximadas; la compensación real depende del rol, la región y la experiencia.
La demanda de AZ-700 es constante, impulsada por los programas de migración a la nube empresariales en curso que requieren experiencia en ExpressRoute, hub-spoke, Virtual WAN y Private Endpoint. Los reclutadores de servicios financieros, atención médica, contratistas gubernamentales y consultorías asociadas a Microsoft lo utilizan como la prueba canónica de competencia en redes de Azure. Se combina naturalmente con AZ-104 para ingenieros de redes con inclinación hacia la administración de la nube, con AZ-305 para arquitectos con inclinación hacia las redes y con AZ-500 para ingenieros que abarcan roles de red y seguridad. La demanda es especialmente fuerte en industrias reguladas con requisitos significativos de conectividad híbrida.
No hay prerrequisitos formales. Microsoft recomienda conocimientos de redes a nivel de profesional (TCP/IP, DNS, enrutamiento, BGP, IPsec) más una exposición previa a Azure equivalente a AZ-104. Los candidatos sin una base profunda en redes tradicionales suelen tener dificultades con los escenarios de enrutamiento y ExpressRoute. AZ-900 es una rampa de acceso conceptual útil para candidatos nuevos en Azure, pero no es obligatorio.
La ruta oficial de Microsoft Learn cubre los cinco dominios en aproximadamente 30–40 horas. El tiempo de laboratorio práctico es esencialmente obligatorio: una suscripción personal de Azure con VNets hub-spoke, un gateway VPN y un pequeño conjunto de Private Endpoints permite a los candidatos practicar los escenarios de enrutamiento y DNS que dominan el examen. ExpressRoute es más difícil de practicar de forma práctica sin acceso empresarial; los candidatos suelen depender de los módulos de Microsoft Learn y de los artículos del centro de arquitectura para esa área.
AZ-700 se encuentra en el nivel Asociado y generalmente se considera moderadamente desafiante — comparable a AZ-500 en dificultad, más difícil que AZ-104 en profundidad de redes pero de alcance más limitado en general. Planifique entre 70 y 110 horas de estudio durante 7 a 10 semanas con experiencia previa en redes y administración de Azure; sustancialmente más tiempo para candidatos nuevos en cualquiera de las áreas. El examen dura aproximadamente 120 minutos con 40–60 preguntas en formatos de opción múltiple, respuesta múltiple, arrastrar y soltar, áreas interactivas (hot-area) y estudio de caso. Los estudios de caso se cronometran por separado y no se pueden volver a visitar.
El escollo más común es el dominio de enrutamiento — los UDRs que interactúan con las rutas aprendidas por BGP de VPN / ExpressRoute, el comportamiento de propagación de rutas y los escenarios de tunelización forzada son densos y se evalúan con frecuencia. La resolución DNS privada para Private Endpoints (reenviadores DNS personalizados, reenviadores condicionales, integración de grupos de Private DNS Zone) es otra área de trampa constante.
La actualización más reciente de habilidades medidas. Cobertura expandida de Azure DNS Private Resolver, contenido modernizado de Virtual WAN, posicionamiento de SKU de Azure Front Door actualizado. Microsoft actualiza AZ-700 aproximadamente cada 12–18 meses sin cambiar el código del examen.
Pesos reequilibrados hacia los dominios de enrutamiento y acceso privado, se añadió cobertura de Azure Route Server y ExpressRoute FastPath, y se integró Virtual WAN más profundamente.
Lanzamiento inicial (GA). El esquema original se centró en topologías hub-spoke, VPN / ExpressRoute, NSGs e integración de red PaaS.
AZ-700 (Microsoft Azure Network Engineer Associate) es un examen de nivel Associate un examen de dificultad moderada que espera experiencia práctica y una sólida comprensión de las mejores prácticas. La mayoría de los candidatos necesitan entre 80 y 150 horas de estudio distribuidas en 6 a 12 semanas para los exámenes de nivel asociado. La mayoría de los candidatos que obtienen consistentemente una puntuación por encima del umbral de aprobación en los exámenes de práctica, aprueban en su primer intento.
La mayoría de los candidatos necesitan entre 80 y 150 horas de estudio distribuidas en 6 a 12 semanas para los exámenes de nivel asociado. El tiempo para aprobar varía ampliamente según la experiencia previa. Los ingenieros con experiencia práctica en producción en la tecnología subyacente suelen necesitar menos; los candidatos nuevos en la plataforma deben planificar hacia el extremo superior de ese rango.
AZ-700 es una credencial reconocida en el ecosistema de Azure y señala conocimientos validados a empleadores, reclutadores y clientes. Si vale la pena el tiempo y la tarifa para ti, depende de tu rol y objetivos — tiende a ser más rentable para ingenieros de la nube, arquitectos y consultores que trabajan con Azure a diario o quieren pasar a roles que lo hagan.
La puntuación de aprobación para AZ-700 es 700 / 1000. El examen contiene 50 preguntas y dura 2 h.
La tarifa del examen AZ-700 es de $165 USD. Las tarifas son establecidas por Azure y pueden variar según la región; siempre confirma el precio actual en la página oficial de certificación de Azure antes de reservar.
Las certificaciones basadas en roles de Microsoft expiran después de 1 año, pero pueden renovarse de forma gratuita a través de una evaluación en línea sin supervisión en Microsoft Learn, a partir de 6 meses antes de la caducidad.
Sí. Puedes realizar el examen en línea (supervisado a través del navegador seguro del proveedor, disponible 24/7 en la mayoría de las regiones) o en un centro de examen presencial de Pearson VUE durante el horario comercial. Ambos formatos utilizan las mismas preguntas, límite de tiempo y puntuación de aprobación.
CertLabPro ofrece 15 modos de estudio en todo el banco de preguntas de práctica para AZ-700. El modo de simulación de examen reproduce el examen real: 50 preguntas en 2 h, con el mismo umbral de aprobación de 700 / 1000. El modo de navegación te permite leer todas las preguntas y respuestas de forma estática.