Microsoft Azure Network Engineer Associate
225 questions de pratique
Dernière révision : April 2026
Notes personnelles et liens de ressources pour votre parcours d'étude
Filtrer par Certification
L'AZ-700 valide les compétences quotidiennes d'un ingénieur réseau Azure : conception et implémentation de l'infrastructure réseau principale, du routage, des réseaux sécurisés et surveillés, de la connectivité hybride et de l'accès privé aux services Azure. Le public visé est constitué d'ingénieurs réseau expérimentés qui étendent leur expertise réseau traditionnelle (BGP, VPN, MPLS) à Azure, et d'administrateurs Azure spécialisés dans le réseau. L'examen est axé sur l'implémentation — plus proche de l'AZ-500 que des examens d'architecture — avec 40 à 60 questions en 120 minutes, incluant des glisser-déposer, des zones cliquables, des questions à réponses multiples, et au moins une étude de cas avec des éléments basés sur des scénarios récompensant l'expérience pratique du réseau.
Environ 22 %. VNets, sous-réseaux, adressage IP, peering (régional et global), connectivité VNet-à-VNet, DNS personnalisé, Résolveur DNS privé Azure et planification IP de base pour les topologies hub-spoke.
Le domaine le plus vaste, à 28 %. UDRs et BGP, Azure Load Balancer (interne et externe), Application Gateway avec WAF, Azure Front Door, Traffic Manager, et scénarios de serveur de routes / NVA. Beaucoup de questions sur le flux de trafic.
Environ 18 %. Azure Firewall (et Firewall Manager), Protection DDoS, NSGs vs. ASGs, Network Watcher, Connection Monitor, journaux de flux NSG et analyses de trafic.
Environ 16 %. Passerelles VPN site-à-site et point-à-site, ExpressRoute (circuits, peerings, Global Reach, FastPath), Virtual WAN et modèles d'intégration SD-WAN.
Environ 16 %. Points de terminaison de service, Points de terminaison privés / Private Link, Zones DNS privées, résolution DNS personnalisée pour les points de terminaison privés et intégration réseau plateforme-en-tant-que-service.
Les services que vous rencontrerez à l'examen et pourquoi chacun compte.
Réseau défini par logiciel avec des sous-réseaux, la planification de l'espace d'adressage, le peering de VNet global, les points de terminaison de service, les NSG et les UDR comme blocs de construction fondamentaux.
Pourquoi il est à l'examen : Le Domaine 1 (Conception et implémentation de l'infrastructure réseau de base) commence chaque scénario par la topologie VNet — le dimensionnement CIDR, le peering hub-spoke vs maillé et les choix de délégation de sous-réseau.
WAN global géré qui unifie les attachements de VNet, VPN, ExpressRoute et de branches SD-WAN sous un Virtual Hub unique avec intention de routage et connectivité any-to-any intégrées.
Pourquoi il est à l'examen : Le Domaine 4 (Réseaux hybrides) cite Virtual WAN comme la réponse canonique pour le modèle hub-spoke multi-régions remplaçant les hubs cousus manuellement à l'échelle.
Terminaison VPN IPsec site-à-site et point-à-site gérée avec BGP, redondance active-active, tunnels basés sur les routes et sur les politiques, et débit par niveau de SKU.
Pourquoi il est à l'examen : Le Domaine 4 teste le choix entre VPN Gateway et ExpressRoute en fonction de la bande passante/SLA, la configuration des ASN BGP et les modèles de basculement actif-actif pour les backbones hybrides.
Circuits privés dédiés à Azure avec peering privé et Microsoft, BGP, ExpressRoute Global Reach pour le routage site-à-site via le backbone Microsoft, et FastPath pour une latence inférieure à 10ms.
Pourquoi il est à l'examen : Les questions de conception hybride du Domaine 4 dépendent des types de peering ExpressRoute, des SKU de circuit (Local/Standard/Premium), de Global Reach et de la manipulation de chemin BGP.
Réflecteur de routes BGP géré qui échange des routes entre les VNet Azure et les NVA (Network Virtual Appliances) via BGP, éliminant la maintenance manuelle des UDR.
Pourquoi il est à l'examen : Le Domaine 2 (Conception et implémentation du routage) nomme Route Server comme la réponse lorsque les appliances SDWAN ou les NVA doivent injecter des routes BGP dans la fabrique de routage Azure.
Ensemble d'outils de diagnostic réseau : Connection Monitor, IP Flow Verify, NSG Diagnostics, Packet Capture, VNet Flow Logs et introspection des routes effectives / règles de sécurité effectives.
Pourquoi il est à l'examen : Le Domaine 3 (Sécurisation et surveillance des réseaux) s'appuie sur Network Watcher — Connection Monitor pour les tests de chemin, Flow Logs pour la visibilité du trafic et les diagnostics NSG pour le débogage des règles.
Hébergement DNS public faisant autorité, plus Private DNS Zones avec liens VNet, auto-enregistrement et DNS Private Resolver pour la résolution de noms hybride entrante/sortante.
Pourquoi il est à l'examen : Le Domaine 4 et le Domaine 5 testent les modèles DNS hybrides — les forwarders conditionnels, les points de terminaison Private Resolver et l'auto-enregistrement Private DNS sur le modèle hub-spoke.
Trois niveaux d'équilibrage de charge : Standard Load Balancer (L4, régional), Application Gateway (L7 avec WAF, régional) et Front Door (L7 avec WAF, périphérie anycast globale).
Pourquoi il est à l'examen : Le Domaine 1 distingue le L4 régional (Load Balancer) du L7 régional (Application Gateway) et du L7 global (Front Door) comme un schéma de distracteur récurrent dans les scénarios d'examen.
Pare-feu d'état managé en tant que service avec filtrage FQDN, inspection TLS (Premium), IDPS et Firewall Manager pour une hiérarchie de politiques centralisée sur les hubs et les VNet.
Pourquoi il est à l'examen : Les scénarios d'inspection est-ouest et d'égression du Domaine 3 citent Azure Firewall comme l'alternative gérée aux NVA auto-hébergées, avec Firewall Manager pour la politique multi-hub.
Atténuation DDoS de niveau réseau et IP toujours active avec profilage du trafic, analyse des attaques, engagement de réponse rapide et protection des coûts pour les cibles auto-scalées.
Pourquoi il est à l'examen : Les questions du Domaine 3 sur l'atténuation des attaques volumétriques et protocolaires pour les points de terminaison exposés à Internet nomment DDoS Protection Network/IP SKU comme réponse.
WAF L7 déployé sur Application Gateway, Front Door ou Azure CDN avec des ensembles de règles gérés (OWASP CRS, gestionnaire de bots Microsoft), des règles personnalisées et la limitation de débit.
Pourquoi il est à l'examen : Les scénarios de protection de la couche application du Domaine 3 testent le choix de placement du WAF — Front Door (périphérie globale) vs App Gateway (régional) — et le réglage des règles gérées.
Service SNAT géré uniquement sortant avec jusqu'à 16 IP publiques, 64k ports SNAT par IP et attachement par sous-réseau — remplace le SNAT sortant par défaut imprévisible ou basé sur LB.
Pourquoi il est à l'examen : Les questions de routage du Domaine 2 sur la connectivité sortante déterministe, les correctifs d'épuisement des ports SNAT et la conception d'égression redondante inter-zones nomment NAT Gateway comme réponse.
Connectivité privée aux services PaaS et aux services détenus par le client via des Private Endpoints (NICs dans le VNet consommateur) avec un trafic sur le backbone Microsoft — ne traversant jamais l'internet.
Pourquoi il est à l'examen : Le Domaine 5 (Conception et implémentation de l'accès privé aux services Azure) est ancré sur Private Link / Private Endpoint comme le modèle canonique PaaS sans IP publique.
Paires de ports 10 Gbps ou 100 Gbps offrant aux clients une connexion directe au backbone Microsoft, avec la possibilité de créer plusieurs circuits et un chiffrement MACsec.
Pourquoi il est à l'examen : Les scénarios de conception hybride du Domaine 4 nécessitant une bande passante agrégée >10 Gbps, MACsec ou l'isolation de port physique citent ExpressRoute Direct plutôt que ExpressRoute standard.
Tests continus d'accessibilité et de latence entre les VM Azure, les agents sur site et les points de terminaison Azure avec vue de la topologie, suivi des pertes de paquets et intégration Log Analytics.
Pourquoi il est à l'examen : Les scénarios de surveillance du Domaine 3 sur la latence des chemins hybrides, les tests de chemin ExpressRoute et la validation pré/post-basculement nomment Connection Monitor comme l'outil opérationnel.
Plan de gestion central pour les groupes de VNet, les configurations de connectivité (hub-spoke, maillé) et les règles d'administration de sécurité qui remplacent les NSG sur un périmètre multi-abonnement.
Pourquoi il est à l'examen : Les questions de conception du Domaine 1 et du Domaine 3 sur l'extension du modèle hub-spoke au-delà du peering manuel et l'application de bases de sécurité via des règles d'administration citent Virtual Network Manager.
Filtrage L3/L4 avec état au niveau des sous-réseaux et des NIC via les NSG, plus les ASG qui permettent aux règles de référencer des groupes de charges de travail (par exemple "WebTier", "DBTier") au lieu de plages d'IP statiques.
Pourquoi il est à l'examen : Les questions de sécurité du Domaine 3 sur la posture de refus par défaut, la priorité/précédence des règles et le remplacement des règles par tuple IP par des règles basées sur les ASG sont un classique récurrent de l'examen.
Annuaire d'identité avec des politiques d'accès conditionnel qui gèrent l'accès à Bastion, au VPN P2S et au plan de gestion par utilisateur, appareil, emplacement et signaux de risque.
Pourquoi il est à l'examen : Les scénarios d'accès sécurisé du Domaine 3 et du Domaine 5 — VPN P2S authentifié par Entra, Bastion avec MFA et accès au plan d'administration par accès conditionnel — s'appuient sur Entra + Accès conditionnel.
Puits de télémétrie unifié pour les VNet Flow Logs, les diagnostics NSG, les métriques ExpressRoute / VPN Gateway et les résultats de Connection Monitor, interrogeables via les classeurs KQL.
Pourquoi il est à l'examen : Les modèles de surveillance du Domaine 3 nécessitent Azure Monitor + Log Analytics pour centraliser les journaux de flux, alerter sur les dépassements de seuil et produire des classeurs d'analyse du trafic.
CSPM + protection des charges de travail affichant des recommandations de mauvaise configuration réseau (ports ouverts, règles NSG illimitées), renforcement adaptatif du réseau et accès VM juste-à-temps.
Pourquoi il est à l'examen : Les questions de gouvernance du Domaine 3 sur la gestion continue de la posture, l'accès JIT aux VM et les recommandations de durcissement adaptatif citent Defender for Cloud comme réponse.
$110k–$150k–$200k USD annuel
Cette fourchette couvre les ingénieurs réseau cloud de niveau intermédiaire à senior basés aux États-Unis ; les architectes réseau seniors dans les grandes entreprises et les cabinets de conseil partenaires de Microsoft dépassent souvent les 220 000 $ en rémunération totale. Les ingénieurs réseau traditionnels sur site qui passent au cloud tendent vers l'extrémité inférieure de la fourchette jusqu'à ce qu'ils accumulent de l'expérience spécifique à Azure.
Source : Rôles d'ingénieurs réseau / ingénieurs réseau cloud levels.fyi 2025, U.S. BLS OEWS mai 2024 (15-1241 architectes de réseaux informatiques, 15-1244 administrateurs de réseaux et de systèmes informatiques), Glassdoor 2025. Les chiffres sont approximatifs ; la rémunération réelle dépend du rôle, de la région et de l'expérience.
La demande pour l'AZ-700 est stable, alimentée par les programmes continus de migration vers le cloud des entreprises qui nécessitent une expertise en ExpressRoute, hub-spoke, Virtual WAN et Private Endpoint. Les recruteurs des services financiers, de la santé, des entreprises sous contrat avec le gouvernement et des cabinets de conseil partenaires de Microsoft l'utilisent comme preuve canonique de compétence en réseau Azure. Il s'associe naturellement à l'AZ-104 pour les ingénieurs réseau à dominante administrateur cloud, à l'AZ-305 pour les architectes à dominante réseau, et à l'AZ-500 pour les ingénieurs couvrant les rôles réseau et sécurité. La demande est particulièrement forte dans les industries réglementées ayant des exigences importantes en matière de connectivité hybride.
Il n'y a pas de prérequis formels. Microsoft recommande une connaissance pratique des réseaux (TCP/IP, DNS, routage, BGP, IPsec) ainsi qu'une expérience préalable d'Azure équivalente à l'AZ-104. Les candidats sans une connaissance approfondie des réseaux traditionnels ont généralement des difficultés avec les scénarios de routage et d'ExpressRoute. L'AZ-900 est un bon point de départ conceptuel pour les candidats novices sur Azure, mais il n'est pas obligatoire.
Le parcours officiel Microsoft Learn couvre les cinq domaines en environ 30 à 40 heures. Du temps en laboratoire pratique est pratiquement requis : un abonnement Azure personnel avec des VNets hub-spoke, une passerelle VPN et un petit ensemble de points de terminaison privés permet aux candidats de pratiquer les scénarios de routage et DNS qui dominent l'examen. ExpressRoute est plus difficile à pratiquer sans accès d'entreprise ; les candidats s'appuient généralement sur les modules Microsoft Learn et les articles du centre d'architecture pour ce domaine.
L'AZ-700 se situe au niveau Associé et est généralement considéré comme modérément difficile — comparable à l'AZ-500 en difficulté, plus ardu que l'AZ-104 en profondeur de réseau mais plus restreint en portée globale. Prévoyez 70 à 110 heures d'étude sur 7 à 10 semaines avec une expérience préalable en réseau et en administration Azure ; beaucoup plus longtemps pour les candidats novices dans l'un ou l'autre domaine. L'examen dure environ 120 minutes avec 40 à 60 questions sous des formats à choix multiples, à réponses multiples, glisser-déposer, zones cliquables et études de cas. Les études de cas sont chronométrées séparément et ne peuvent pas être revisitées.
Le principal obstacle est le domaine du routage — les UDRs interagissant avec les routes apprises via BGP depuis VPN / ExpressRoute, le comportement de propagation des routes, et les scénarios de tunneling forcé sont denses et fréquemment testés. La résolution DNS privée pour les points de terminaison privés (redirecteurs DNS personnalisés, redirecteurs conditionnels, intégration de groupe de zones DNS privées) est un autre piège récurrent.
Mise à jour la plus récente des compétences mesurées. Couverture étendue du Résolveur DNS privé Azure, contenu Virtual WAN modernisé, positionnement actualisé des SKU Azure Front Door. Microsoft rafraîchit l'AZ-700 environ tous les 12 à 18 mois sans changer le code de l'examen.
Rééquilibrage des pondérations vers les domaines de routage et d'accès privé, ajout de la couverture d'Azure Route Server et d'ExpressRoute FastPath, et intégration plus approfondie de Virtual WAN.
Disponibilité générale initiale. L'aperçu original était axé sur les topologies hub-spoke, VPN / ExpressRoute, les NSG et l'intégration réseau PaaS.
AZ-700 (Microsoft Azure Network Engineer Associate) est un examen de niveau Associate un examen de difficulté modérée exigeant une expérience pratique concrète ainsi qu'une solide compréhension des meilleures pratiques. La plupart des candidats ont besoin de 80 à 150 heures d'étude réparties sur 6 à 12 semaines pour les examens de niveau associé. La plupart des candidats qui obtiennent des scores constamment supérieurs au seuil de réussite lors des examens pratiques réussissent dès leur première tentative.
La plupart des candidats ont besoin de 80 à 150 heures d'étude réparties sur 6 à 12 semaines pour les examens de niveau associé. Le temps nécessaire pour réussir varie considérablement en fonction de l'expérience antérieure. Les ingénieurs ayant une expérience pratique en production avec la technologie sous-jacente en ont généralement besoin de moins ; les candidats novices sur la plateforme devraient viser la limite supérieure de cette fourchette.
AZ-700 est une certification reconnue dans l'écosystème Azure et signale des connaissances validées aux employeurs, recruteurs et clients. Sa valeur en termes de temps et de coût dépend de votre rôle et de vos objectifs — elle est la plus avantageuse pour les ingénieurs cloud, architectes et consultants qui travaillent quotidiennement avec Azure ou souhaitent évoluer vers des rôles similaires.
Le score de réussite pour le AZ-700 est de 700 / 1000. L'examen contient 50 questions et dure 2 h.
Les frais d'examen AZ-700 sont de $165 USD. Les frais sont fixés par Azure et peuvent varier selon la région ; confirmez toujours le prix actuel sur la page de certification officielle de Azure avant de réserver.
Les certifications Microsoft basées sur les rôles expirent après 1 an mais peuvent être renouvelées gratuitement via une évaluation en ligne non supervisée sur Microsoft Learn, à partir de 6 mois avant l'expiration.
Oui. Vous pouvez passer l'examen en ligne (supervisé via le navigateur sécurisé du fournisseur, disponible 24h/24 et 7j/7 dans la plupart des régions) ou dans un centre de test Pearson VUE en personne pendant les heures ouvrables. Les deux formats utilisent les mêmes questions, la même limite de temps et le même score de réussite.
CertLabPro propose 15 modes d'étude à travers la banque de questions pratiques pour le AZ-700. Le mode de simulation d'examen reproduit l'examen réel : 50 questions en 2 h, avec le même seuil de réussite de 700 / 1000. Le mode navigation vous permet de lire chaque Q&A de manière statique.