Microsoft Azure Security Engineer Associate
225 questions de pratique
Dernière révision : April 2026
Notes personnelles et liens de ressources pour votre parcours d'étude
Filtrer par Certification
L'AZ-500 valide les compétences quotidiennes d'un ingénieur en sécurité Azure : gestion de l'identité et de l'accès via Microsoft Entra, sécurisation des réseaux, durcissement du calcul / du stockage / des bases de données, et exécution des opérations de sécurité avec Microsoft Defender for Cloud et Microsoft Sentinel. L'audience est composée d'ingénieurs en sécurité et d'administrateurs Azure spécialisés dans la sécurité. L'examen est axé sur l'implémentation — plus proche du style de l'AZ-104 que des examens de conception de niveau expert — avec 40 à 60 questions en 120 minutes, y compris des glisser-déposer, des zones cliquables, des réponses multiples, et au moins une étude de cas avec des éléments basés sur des scénarios récompensant l'expérience pratique du portail.
Domaine le plus vaste à 27 %. Microsoft Entra ID (utilisateurs, groupes, MFA, Accès conditionnel, PIM, Identity Protection, B2B / B2C), applications d'entreprise, enregistrements d'applications, RBAC et rôles personnalisés. Attendez-vous à de nombreux scénarios d'Accès conditionnel.
Environ 23 %. NSGs, ASGs, Azure Firewall, Web Application Firewall sur Front Door / Application Gateway, DDoS Protection, Private Endpoints / Private Link, Service Endpoints et Bastion. Grande importance des scénarios de flux de trafic.
Environ 22 %. Durcissement des VM, Azure Disk Encryption, Microsoft Defender for Servers, sécurité des conteneurs, sécurité des comptes de stockage (pare-feu, SAS, chiffrement, immuabilité), Key Vault et sécurité Azure SQL (TDE, Always Encrypted, RLS).
Environ 28 %. Microsoft Defender for Cloud (CSPM, CWPP, conformité réglementaire), Microsoft Sentinel (connecteurs de données, règles d'analyse, classeurs, chasse KQL, automatisation), Azure Policy pour la sécurité, et alertes de sécurité intégrées et réponse aux incidents.
Les services que vous rencontrerez à l'examen et pourquoi chacun compte.
Annuaire d'identité cloud avec utilisateurs, groupes, enregistrements d'applications, stratégies d'accès conditionnel, MFA et gestion des identités privilégiées (PIM) pour l'élévation juste-à-temps.
Pourquoi il est à l'examen : Le Domaine 1 (Gérer l'identité et l'accès) est basé sur Entra ID — l'accès conditionnel, l'application du MFA et l'activation du PIM sont les sujets les plus testés de l'examen.
Détection des menaces d'identité basée sur les risques — les signaux de risque de connexion, de risque utilisateur et de déplacement atypique alimentent les stratégies d'accès conditionnel pour des défis et des blocs adaptatifs.
Pourquoi il est à l'examen : Les questions du Domaine 1 sur la réponse aux informations d'identification compromises et aux connexions risquées désignent ID Protection comme la source de signal native d'Azure.
CSPM + CWPP natif du cloud — Score de sécurité, tableaux de bord de conformité réglementaire, recommandations et plans Defender pour serveurs, stockage, SQL, conteneurs, App Service et DNS.
Pourquoi il est à l'examen : Le Domaine 4 (Gérer les opérations de sécurité) désigne Defender for Cloud comme le tableau de bord unique pour la gestion de la posture et la protection des charges de travail sur l'ensemble des abonnements.
SIEM et SOAR natifs du cloud — connecteurs de données, règles d'analyse (basées sur KQL), analyse du comportement des entités (UEBA), playbooks (Logic Apps) et triage des incidents.
Pourquoi il est à l'examen : Le Domaine 4 teste Sentinel comme le SIEM de l'AZ-500 — la configuration des connecteurs, la création de règles d'analyse et l'automatisation des playbooks apparaissent sur presque toutes les formes d'examen.
Portail XDR unifié corrélant les signaux de Defender for Endpoint, Identity, Office 365 et Cloud Apps en incidents inter-domaines et investigations automatisées.
Pourquoi il est à l'examen : Le Domaine 4 (Gérer les opérations de sécurité) distingue Defender XDR (corrélation inter-produits) de Sentinel (SIEM) — la connaissance de cette distinction est testée à plusieurs reprises.
Pare-feu géré et étatique de couche 3/4/7 avec filtrage FQDN, flux de renseignements sur les menaces, inspection TLS (Premium), IDPS et gestion centralisée des règles via une stratégie de pare-feu.
Pourquoi il est à l'examen : Le Domaine 2 (Sécuriser le réseau) désigne Azure Firewall comme le plan d'inspection d'entrée/sortie dans les topologies hub-spoke et Virtual WAN.
WAF de couche 7 déployé sur Application Gateway ou Front Door avec des ensembles de règles de base OWASP, des règles personnalisées, une protection contre les bots et des modes de détection/prévention par stratégie.
Pourquoi il est à l'examen : Les questions des Domaines 2 et 3 sur la protection des points de terminaison web publics contre l'injection, le scraping et les DDoS L7 désignent le WAF comme la défense de périphérie native d'Azure.
EDR/EPP pour Windows, macOS, Linux, iOS, Android — réduction de la surface d'attaque, investigation et remédiation automatisées, gestion des vulnérabilités et recherche de menaces.
Pourquoi il est à l'examen : Le Domaine 3 (Sécuriser le calcul) et le Domaine 4 présentent MDE comme la défense au niveau de la charge de travail alimentant Defender for Cloud et Defender XDR avec des signaux de point de terminaison.
Protection DDoS de plateforme toujours active (gratuite) et SKU de protection réseau et IP ajoutant la télémétrie de la couche application, des garanties de protection des coûts et un accès rapide au SRT.
Pourquoi il est à l'examen : Le Domaine 2 distingue le niveau gratuit toujours actif des protections réseau/IP payantes — un scénario d'examen récurrent sur le renforcement des charges de travail exposées au public.
Jumpbox gérée acheminant le RDP/SSH vers les machines virtuelles via le portail ou le client natif sans exposer d'adresses IP publiques ni ouvrir de règles NSG entrantes.
Pourquoi il est à l'examen : Les scénarios d'accès sécurisé des Domaines 2 et 3 désignent Bastion comme la solution pour l'administration de machines virtuelles sans infrastructure de jumpbox ni adresses IP publiques.
Accès par IP privée aux services Azure PaaS (Stockage, SQL, Key Vault, etc.) et aux services partenaires via le réseau principal de Microsoft, éliminant l'exposition à l'Internet public.
Pourquoi il est à l'examen : Les Domaines 2 et 3 testent Private Endpoint comme le modèle canonique pour supprimer les points de terminaison publics des PaaS tout en préservant les fonctionnalités du service.
ACLs étatiques de couche 3/4 au niveau du sous-réseau ou de la carte réseau avec des règles d'autorisation/refus ordonnées par priorité, des groupes de sécurité d'application (ASGs) et des journaux de flux NSG pour la criminalistique.
Pourquoi il est à l'examen : Le Domaine 2 (Sécuriser le réseau) teste la précédence des règles NSG, la segmentation basée sur les ASG et la capture des journaux de flux pour l'audit du trafic sur presque toutes les formes.
Plans de protection au niveau de la charge de travail dans Defender for Cloud — Defender for Servers (intégration MDE), Stockage (analyse des logiciels malveillants), SQL (détection des vulnérabilités + menaces), Conteneurs (runtime compatible Kubernetes).
Pourquoi il est à l'examen : Le Domaine 3 (Sécuriser le calcul, le stockage et les bases de données) consiste en grande partie à choisir le bon plan Defender par niveau de charge de travail et à ajuster ses alertes.
Détection des menaces AD sur site — signaux de pass-the-hash, pass-the-ticket, golden ticket, reconnaissance et mouvement latéral provenant du trafic des contrôleurs de domaine.
Pourquoi il est à l'examen : Les questions des Domaines 1 et 4 sur la détection des compromissions d'identité hybride citent Defender for Identity comme le capteur de menaces compatible AD alimentant Defender XDR.
Étiquettes de sensibilité, chiffrement et stratégies de prévention de la perte de données (DLP) sur Microsoft 365, Endpoint DLP et les sources de données Azure — découverte, classification et application.
Pourquoi il est à l'examen : Le Domaine 3 (Sécuriser le calcul, le stockage et les bases de données) désigne Purview IP + DLP comme la couche de classification des données et de protection au repos/en transit pour les contenus sensibles.
Registre géré avec analyse d'images Defender for Containers, confiance de contenu, stratégies de rétention et géoréplication pour les chemins d'extraction multi-régions.
Pourquoi il est à l'examen : Les scénarios de conteneurs du Domaine 3 désignent l'ACR avec analyse Defender comme la solution de chaîne d'approvisionnement sécurisée pour la distribution d'images Kubernetes/AKS.
Magasin géré pour les secrets, certificats et clés protégées par logiciel ou HSM avec RBAC intégré à Entra, suppression réversible, protection contre la purge et flux BYOK/HYOK.
Pourquoi il est à l'examen : Le Domaine 3 (Sécuriser le calcul, le stockage et les bases de données) teste Key Vault pour la garde des clés de chiffrement TDE de comptes de stockage/bases de données et les modèles de clés gérées par le client (CMK).
Gouvernance déclarative avec effets deny/audit/deployIfNotExists, bundles d'initiatives (ex. CIS, ISO 27001, NIST 800-53) et Blueprints pour les lignes de base d'environnement.
Pourquoi il est à l'examen : Le Domaine 4 (Gérer les opérations de sécurité) désigne Azure Policy comme le mécanisme d'application des lignes de base de sécurité, des exigences de chiffrement et du marquage à grande échelle.
Courtier de sécurité d'accès au cloud (CASB) — découverte du shadow-IT, gestion de la posture SaaS, contrôles de session via le contrôle d'applications d'accès conditionnel et intégration de la protection des informations.
Pourquoi il est à l'examen : Les Domaines 1 et 4 citent Defender for Cloud Apps pour la gouvernance côté SaaS — découverte des applications non autorisées et application de stratégies de session en temps réel sur Microsoft 365 / SaaS connectés.
Télémétrie unifiée — journaux d'activités, paramètres de diagnostic, métriques et espaces de travail Log Analytics interrogés via KQL ; le substrat dans lequel Sentinel et Defender for Cloud ingèrent.
Pourquoi il est à l'examen : Le Domaine 4 (Gérer les opérations de sécurité) s'appuie sur Azure Monitor pour le routage des paramètres de diagnostic vers un espace de travail central et les requêtes KQL qui alimentent les règles d'analyse Sentinel.
$110k–$150k–$205k USD annuel
Cette fourchette couvre les ingénieurs en sécurité cloud de niveau intermédiaire à senior basés aux États-Unis, pour lesquels une maîtrise d'Azure est requise. Les ingénieurs senior en sécurité cloud dans les entreprises FAANG / fintech / industries réglementées dépassent souvent les 230k $ TC. La certification est un signal de sélection ; l'expérience en réponse aux incidents de sécurité en production est le facteur déterminant pour les salaires élevés.
Source : Rôles d'ingénieur en sécurité cloud / IAM de levels.fyi 2025, U.S. BLS OEWS May 2024 (15-1212 information security analysts), Glassdoor 2025. Les chiffres sont approximatifs ; la rémunération réelle dépend du rôle, de la région et de l'expérience.
L'AZ-500 est la certification de sécurité Azure la plus demandée dans les descriptions de poste (JD) et l'un des examens de sécurité Microsoft les plus passés dans l'ensemble. La demande s'est accélérée entre 2024 et 2026, à mesure que les entreprises consolident leurs outils de sécurité sur Microsoft Defender for Cloud et Microsoft Sentinel. Les recruteurs des services financiers, de la santé, des sous-traitants gouvernementaux et des cabinets de conseil partenaires de Microsoft la considèrent comme la preuve canonique des compétences en sécurité Azure. Elle s'associe naturellement à l'AZ-104 (la combinaison la plus courante pour les administrateurs orientés sécurité), à l'AZ-305 pour les architectes orientés sécurité, à l'AZ-700 pour les ingénieurs en sécurité réseau, et aux SC-200 (Security Operations Analyst) et SC-100 (Cybersecurity Architect) pour compléter le portefeuille de sécurité de Microsoft.
Il n'y a pas de prérequis formels. Microsoft recommande un à deux ans d'expérience en administration Azure, ainsi qu'une connaissance pratique des principes d'identité, de réseau et de sécurité. L'AZ-104 est fortement complémentaire — de nombreuses questions de l'AZ-500 supposent une maîtrise de Microsoft Entra, de RBAC et des réseaux fondamentaux au niveau d'un administrateur Azure. Le SC-900 est une introduction conceptuelle utile pour les candidats débutant dans la sécurité Microsoft, mais n'est pas obligatoire.
Le parcours officiel Microsoft Learn couvre les quatre domaines en environ 35 à 45 heures. Un temps de laboratoire pratique est essentiel : un abonnement Azure personnel avec essai Microsoft Entra P2, Microsoft Defender for Cloud activé, et un petit espace de travail Sentinel permet aux candidats de pratiquer l'Accès conditionnel, PIM, les alertes de sécurité et les requêtes de chasse KQL. De nombreux candidats complètent leur préparation avec l'évaluation pratique officielle et un cours vidéo tiers.
L'AZ-500 se situe au niveau Associate et est largement considéré comme modérément à très difficile — comparable à l'AZ-204 en difficulté, plus difficile que l'AZ-104 par une marge significative étant donné la profondeur du contenu de Microsoft Entra et Sentinel. Prévoyez 80 à 120 heures d'étude sur 8 à 12 semaines avec une expérience préalable d'administrateur Azure ; beaucoup plus longtemps sans cette expérience. L'examen dure environ 120 minutes — plus longtemps que la plupart des examens Associate — avec 40 à 60 questions sous des formats à choix multiples, à réponses multiples, glisser-déposer, zones cliquables et études de cas.
L'obstacle le plus courant est l'étendue des fonctionnalités avancées de Microsoft Entra — Accès conditionnel, PIM, Identity Protection, Entitlement Management et Access Reviews ont chacun des interfaces de configuration distinctes et l'examen teste des différences subtiles de scénarios. Les requêtes de chasse KQL de Microsoft Sentinel et la configuration des règles d'analyse surprennent également fréquemment les candidats dont la seule expérience Azure est administrative.
Mise à jour la plus récente des compétences mesurées. Couverture CSPM étendue de Microsoft Defender for Cloud, ajout de contenu Microsoft Defender for Containers et DevOps, modernisation de l'encadrement de l'automatisation Sentinel. Microsoft actualise l'AZ-500 environ tous les 12 à 18 mois sans modifier le code de l'examen.
Restructuré selon la disposition actuelle en quatre domaines, rééquilibré vers les opérations de sécurité, renommage des références Azure AD en Microsoft Entra ID, et intégration des concepts unifiés de Microsoft Defender XDR.
Disponibilité générale initiale. L'ébauche originale était axée sur Azure AD, les groupes de sécurité réseau, Azure Security Center et Azure Sentinel (en préversion à l'époque).
AZ-500 (Microsoft Azure Security Engineer Associate) est un examen de niveau Associate un examen de difficulté modérée exigeant une expérience pratique concrète ainsi qu'une solide compréhension des meilleures pratiques. La plupart des candidats ont besoin de 80 à 150 heures d'étude réparties sur 6 à 12 semaines pour les examens de niveau associé. La plupart des candidats qui obtiennent des scores constamment supérieurs au seuil de réussite lors des examens pratiques réussissent dès leur première tentative.
La plupart des candidats ont besoin de 80 à 150 heures d'étude réparties sur 6 à 12 semaines pour les examens de niveau associé. Le temps nécessaire pour réussir varie considérablement en fonction de l'expérience antérieure. Les ingénieurs ayant une expérience pratique en production avec la technologie sous-jacente en ont généralement besoin de moins ; les candidats novices sur la plateforme devraient viser la limite supérieure de cette fourchette.
AZ-500 est une certification reconnue dans l'écosystème Azure et signale des connaissances validées aux employeurs, recruteurs et clients. Sa valeur en termes de temps et de coût dépend de votre rôle et de vos objectifs — elle est la plus avantageuse pour les ingénieurs cloud, architectes et consultants qui travaillent quotidiennement avec Azure ou souhaitent évoluer vers des rôles similaires.
Le score de réussite pour le AZ-500 est de 700 / 1000. L'examen contient 50 questions et dure 2 h.
Les frais d'examen AZ-500 sont de $165 USD. Les frais sont fixés par Azure et peuvent varier selon la région ; confirmez toujours le prix actuel sur la page de certification officielle de Azure avant de réserver.
Les certifications Microsoft basées sur les rôles expirent après 1 an mais peuvent être renouvelées gratuitement via une évaluation en ligne non supervisée sur Microsoft Learn, à partir de 6 mois avant l'expiration.
Oui. Vous pouvez passer l'examen en ligne (supervisé via le navigateur sécurisé du fournisseur, disponible 24h/24 et 7j/7 dans la plupart des régions) ou dans un centre de test Pearson VUE en personne pendant les heures ouvrables. Les deux formats utilisent les mêmes questions, la même limite de temps et le même score de réussite.
CertLabPro propose 15 modes d'étude à travers la banque de questions pratiques pour le AZ-500. Le mode de simulation d'examen reproduit l'examen réel : 50 questions en 2 h, avec le même seuil de réussite de 700 / 1000. Le mode navigation vous permet de lire chaque Q&A de manière statique.