Microsoft Azure Network Engineer Associate
225 שאלות תרגול
נבדק לאחרונה: April 2026
הערות אישיות וקישורים למשאבים למסע הלמידה שלך
סנן לפי הסמכה
AZ-700 מאמת את הכישורים היומיומיים של מהנדס רשתות Azure: תכנון והטמעת רשתות ליבה, ניתוב, רשתות מאובטחות ומנוטרות, קישוריות היברידית וגישה פרטית לשירותי Azure. קהל היעד הוא מהנדסי רשתות עובדים המרחיבים מומחיות רשתות מסורתית (BGP, VPN, MPLS) ל-Azure, ומנהלי Azure המתמחים ברשתות. הבחינה מתמקדת ביישום — קרובה יותר ל-AZ-500 בסגנונה מאשר לבחינות ארכיטקטורה — וכוללת 40–60 שאלות ב-120 דקות, כולל שאלות גרירה ושחרור, אזור חם, תגובה מרובה ולפחות מקרה מבחן אחד עם פריטים מונחי-תרחיש המתגמלים ניסיון מעשי ברשתות.
כ-22%. רשתות וירטואליות (VNets), תתי-רשתות, כתובות IP, הצלבה (peering) (אזורית וגלובלית), קישוריות VNet-to-VNet, DNS מותאם אישית, Azure DNS Private Resolver, ותכנון IP ליבה עבור טופולוגיות hub-spoke.
התחום הגדול ביותר עם 28%. UDRs ו-BGP, Azure Load Balancer (פנימי וחיצוני), Application Gateway עם WAF, Azure Front Door, Traffic Manager, ותרחישי שרת נתבים / NVA. דגש חזק על שאלות בנושא זרימת תעבורה.
כ-18%. Azure Firewall (ו-Firewall Manager), הגנת DDoS, NSGs לעומת ASGs, Network Watcher, Connection Monitor, יומני זרימה של NSG, וניתוח תעבורה.
כ-16%. שערי VPN מסוג Site-to-site ו-point-to-site, ExpressRoute (מעגלים, הצלבות, Global Reach, FastPath), Virtual WAN, ותבניות אינטגרציה של SD-WAN.
כ-16%. Service Endpoints, Private Endpoints / Private Link, Private DNS Zones, רזולוציית DNS מותאמת אישית עבור Private Endpoints, ואינטגרציית רשת של platform-as-a-service.
שירותים שתפגוש במבחן ומדוע כל אחד מהם חשוב.
רשת מוגדרת-תוכנה עם תת-רשתות, תכנון מרחב כתובות, VNet peering גלובלי, נקודות קצה של שירות, NSG ו-UDR כאבני הבניין הבסיסיות.
מדוע הוא במבחן: דומיין 1 (תכנון ויישום תשתית רשת ליבה) מתחיל כל תרחיש עם טופולוגיית VNet — קביעת גודל CIDR, VNet peering בטופולוגיית hub-spoke לעומת mesh, ובחירות הקצאת תת-רשת.
רשת WAN גלובלית מנוהלת המאחדת חיבורי VNet, VPN, ExpressRoute וסניפי SD-WAN תחת Virtual Hub יחיד עם כוונת ניתוב מובנית וקישוריות כלשהי לכל.
מדוע הוא במבחן: דומיין 4 (רשתות היברידיות) מציין את Virtual WAN כתשובה הקנונית לטופולוגיית hub-spoke מרובת-אזורים המחליפה מרכזי (hubs) מחוברים ידנית בקנה מידה גדול.
סיום VPN IPsec מנוהל מסוג site-to-site ו-point-to-site עם BGP, יתירות active-active, מנהרות מבוססות נתיב ומבוססות מדיניות, ותפוקה מדורגת לפי SKU.
מדוע הוא במבחן: דומיין 4 בוחן בחירה בין VPN Gateway לבין ExpressRoute לפי רוחב פס/SLA, הגדרת BGP ASNs, ודפוסי failover מסוג active-active עבור רשתות ליבה היברידיות.
מעגלים פרטיים ייעודיים ל-Azure עם private ו-Microsoft peering, BGP, ExpressRoute Global Reach לניתוב site-to-site דרך רשת הליבה של Microsoft, ו-FastPath להשהיה של פחות מ-10ms.
מדוע הוא במבחן: שאלות עיצוב היברידיות בדומיין 4 תלויות בסוגי ה-peering של ExpressRoute, SKUs של המעגלים (Local/Standard/Premium), Global Reach, ומניפולציית נתיבי BGP.
BGP route reflector מנוהל שמחליף נתיבים בין Azure VNets לבין NVAs (Network Virtual Appliances) על גבי BGP, ומבטל את התחזוקה הידנית של UDR.
מדוע הוא במבחן: דומיין 2 (תכנון ויישום ניתוב) מציין את Route Server כתשובה כאשר התקני SDWAN או NVAs צריכים להזריק נתיבי BGP אל בסיס הניתוב של Azure.
ערכת כלים לאבחון רשת: Connection Monitor, IP Flow Verify, NSG Diagnostics, Packet Capture, VNet Flow Logs, וחקירת effective-route / effective-security-rule.
מדוע הוא במבחן: דומיין 3 (אבטחה וניטור רשתות) מתמקד ב-Network Watcher — Connection Monitor לבדיקת נתיבים, Flow Logs לנראות תעבורה, ו-NSG diagnostics לדיבוג כללים.
אירוח DNS ציבורי אוטוריטטיבי בתוספת Private DNS Zones עם קישורי VNet, רישום אוטומטי, ו-DNS Private Resolver לרזולוציית שמות היברידית נכנסת/יוצאת.
מדוע הוא במבחן: דומיין 4 + דומיין 5 בוחנים דפוסי DNS היברידיים — conditional forwarders, נקודות קצה של Private Resolver, ורישום אוטומטי של Private DNS על פני hub-spoke.
שלוש שכבות של איזון עומסים: Standard Load Balancer (L4, אזורי), Application Gateway (L7 עם WAF, אזורי), ו-Front Door (L7 עם WAF, קצה anycast גלובלי).
מדוע הוא במבחן: דומיין 1 מבחין בין L4 אזורי (Load Balancer) לבין L7 אזורי (Application Gateway) לבין L7 גלובלי (Front Door) כדפוס מסיח חוזר בתרחישי הבחינה.
Firewall מנוהל מסוג stateful firewall-as-a-service עם סינון FQDN, בדיקת TLS (Premium), IDPS, ו-Firewall Manager להיררכיית מדיניות מרכזית על פני hubs ו-VNets.
מדוע הוא במבחן: תרחישי east-west ו-egress-inspection בדומיין 3 מציינים את Azure Firewall כחלופה המנוהלת ל-NVAs באירוח עצמי, יחד עם Firewall Manager למדיניות מרובת hubs.
הפחתת DDoS תמיד-פעילה ברמת הרשת וברמת ה-IP עם פרופיל תעבורה, ניתוח התקפות, מעורבות תגובה מהירה, והגנת עלויות עבור יעדים המורחבים אוטומטית.
מדוע הוא במבחן: שאלות בדומיין 3 על הפחתת התקפות נפחיות והתקפות פרוטוקול עבור נקודות קצה הפונות לאינטרנט מציינות את SKU ה-DDoS Protection Network/IP כתשובה.
WAF L7 פרוס על Application Gateway, Front Door, או Azure CDN עם קבוצות כללים מנוהלות (OWASP CRS, Microsoft bot manager), כללים מותאמים אישית, והגבלת קצב.
מדוע הוא במבחן: תרחישי הגנת שכבת היישום בדומיין 3 בוחנים את בחירת מיקום ה-WAF — Front Door (קצה גלובלי) לעומת App Gateway (אזורי) — וכוונון כללים מנוהלים.
שירות SNAT מנוהל ליוצא בלבד עם עד 16 כתובות IP ציבוריות, 64k פורטי SNAT לכל IP, וחיבור לכל תת-רשת — מחליף SNAT יוצא ברירת מחדל בלתי צפוי או SNAT מבוסס LB.
מדוע הוא במבחן: שאלות ניתוב בדומיין 2 על קישוריות יוצאת דטרמיניסטית, תיקוני ניצול פורטי SNAT, ועיצוב יציאה (egress) עמיד לאזורים מציינות את NAT Gateway כתשובה.
קישוריות פרטית לשירותי PaaS ושירותים בבעלות לקוחות באמצעות Private Endpoints (כרטיסי רשת ב-VNet של הצרכן) עם תעבורה על גבי רשת הליבה של Microsoft — לעולם לא עוברת דרך האינטרנט.
מדוע הוא במבחן: דומיין 5 (תכנון ויישום גישה פרטית לשירותי Azure) מתמקד ב-Private Link / Private Endpoint כדפוס הקנוני של PaaS ללא כתובת IP ציבורית.
זוגות פורטים במהירות 10 Gbps או 100 Gbps המעניקים ללקוחות חיבור ישיר לרשת הליבה של Microsoft, עם היכולת ליצור מעגלים מרובים והצפנת MACsec.
מדוע הוא במבחן: תרחישי עיצוב היברידיים בדומיין 4 הדורשים רוחב פס מצטבר של >10 Gbps, MACsec, או בידוד פורטים פיזיים מציינים את ExpressRoute Direct על פני ExpressRoute רגיל.
בדיקת קשר ותעבורה והשהיה רציפה על פני מכונות וירטואליות של Azure, סוכנים מקומיים ונקודות קצה של Azure עם תצוגת טופולוגיה, מעקב אחר איבוד מנות ושילוב עם Log Analytics.
מדוע הוא במבחן: תרחישי ניטור בדומיין 3 על השהיה בנתיב היברידי, בדיקת נתיבי ExpressRoute, ואימות לפני ואחרי failover מציינים את Connection Monitor ככלי התפעולי.
מישור ניהול מרכזי עבור קבוצות VNet, תצורות קישוריות (hub-spoke, mesh), וכללי אבטחה מנהליים העוקפים NSGs על פני היקף רב-מנויים.
מדוע הוא במבחן: שאלות עיצוב בדומיין 1 + דומיין 3 על הרחבת hub-spoke מעבר ל-peering ידני ואכיפת קווי בסיס אבטחתיים באמצעות כללי ניהול מציינות את Virtual Network Manager.
סינון stateful L3/L4 בהיקף תת-רשת וכרטיס רשת באמצעות NSGs, בתוספת ASGs המאפשרות לכללים להפנות לקבוצות עומסי עבודה (למשל, "WebTier", "DBTier") במקום לטווחי IP סטטיים.
מדוע הוא במבחן: שאלות אבטחה בדומיין 3 על תצורת default-deny, עדיפות/קדימות כללים, והחלפת כללים מבוססי-צמדי IP בכללים מבוססי ASG הן מרכיב חוזר בבחינה.
ספריית זהויות עם מדיניות Conditional Access שמגבילה גישת Bastion, P2S VPN וגישת מישור ניהול לפי משתמש, מכשיר, מיקום ואותות סיכון.
מדוע הוא במבחן: תרחישי גישה מאובטחת בדומיין 3 + דומיין 5 — P2S VPN מאומת באמצעות Entra, Bastion עם MFA, ו-Conditional Access למישור הניהול — מתבססים על Entra + Conditional Access.
מקור יחיד לטלמטריה עבור VNet Flow Logs, NSG diagnostics, מדדי ExpressRoute / VPN Gateway, ותוצאות Connection Monitor, הניתנים לשאילתה באמצעות חוברות עבודה של KQL.
מדוע הוא במבחן: דפוסי ניטור בדומיין 3 דורשים את Azure Monitor + Log Analytics לריכוז יומני זרימה, התראה על חריגות סף, ויצירת חוברות עבודה לניתוח תעבורה.
CSPM + הגנת עומסי עבודה החושפים המלצות על תצורות שגויות של רשת (פורטים פתוחים, כללי NSG בלתי מוגבלים), הקשחת רשת אדפטיבית וגישת VM בדיוק בזמן (just-in-time).
מדוע הוא במבחן: שאלות ממשל בדומיין 3 על ניהול עמדה רציף, גישת JIT VM, והמלצות הקשחה אדפטיבית מציינות את Defender for Cloud כתשובה.
$110k–$150k–$200k USD שנתי
הטווח מכסה מהנדסי רשתות ענן ברמת ביניים עד בכירה בארה"ב; ארכיטקטי רשתות בכירים בחברות גדולות ובחברות ייעוץ שותפות של מיקרוסופט מגיעים לעיתים קרובות לשכר כולל של 220 אלף דולר. מהנדסי רשתות מסורתיים המבוססים על תשתיות מקומיות (on-premises) המעבר לענן נוטים לתחתית הטווח עד לצבירת ניסיון ספציפי ב-Azure.
מקור: משרות מהנדסי רשתות / רשתות ענן ב-levels.fyi 2025, הלשכה האמריקאית לסטטיסטיקת עבודה OEWS מאי 2024 (15-1241 computer network architects, 15-1244 network and computer systems administrators), Glassdoor 2025. הנתונים משוערים; התגמול בפועל תלוי בתפקיד, באזור ובניסיון.
הדרישה ל-AZ-700 יציבה, מונעת על ידי תוכניות הגירת ענן ארגוניות מתמשכות הדורשות מומחיות ב-ExpressRoute, hub-spoke, Virtual WAN ו-Private Endpoint. מגייסים בחברות שירותים פיננסיים, בריאות, קבלני ממשלה וחברות ייעוץ שותפות של מיקרוסופט משתמשים בו כהוכחה קנונית ליכולת בתחום רשתות Azure. הוא משתלב באופן טבעי עם AZ-104 עבור מהנדסי רשתות בעלי אוריינטציה של מנהלי ענן, עם AZ-305 עבור ארכיטקטים בעלי אוריינטציה לרשתות, ועם AZ-500 עבור מהנדסים המשלבים תפקידי רשת ואבטחה. הביקוש חזק במיוחד בתעשיות מוסדרות עם דרישות משמעותיות לקישוריות היברידית.
אין דרישות קדם רשמיות. מיקרוסופט ממליצה על ידע ברשתות ברמת מתרגל (TCP/IP, DNS, ניתוב, BGP, IPsec) בתוספת חשיפה קודמת ל-Azure השווה ל-AZ-104. מועמדים ללא עומק ברשתות מסורתיות מתקשים בדרך כלל בתרחישי ניתוב ו-ExpressRoute. AZ-900 הוא מסלול קונספטואלי מועיל עבור מועמדים חדשים ל-Azure אך אינו נדרש.
המסלול הרשמי של Microsoft Learn מכסה את כל חמשת התחומים בכ-30–40 שעות. זמן מעבדה מעשי נדרש באופן מהותי: מינוי Azure אישי עם רשתות וירטואליות מסוג hub-spoke, שער VPN וסט קטן של נקודות קצה פרטיות מאפשרים למועמדים לתרגל את תרחישי הניתוב וה-DNS השולטים בבחינה. ExpressRoute קשה יותר לתרגול מעשי ללא גישה ארגונית; מועמדים בדרך כלל מסתמכים על מודולים של Microsoft Learn ומאמרי מרכז ארכיטקטורה עבור תחום זה.
AZ-700 ממוקם ברמת Associate ונחשב בדרך כלל מאתגר בינוני — דומה ל-AZ-500 בקושי, קשה יותר מ-AZ-104 בעומק הרשתות אך צר יותר בהיקפו הכולל. יש לתכנן 70–110 שעות לימוד על פני 7–10 שבועות עם ניסיון קודם ברשתות וניהול Azure; זמן רב יותר משמעותית עבור מועמדים חדשים לאחד מהתחומים. הבחינה אורכת כ-120 דקות עם 40–60 שאלות בפורמטים של בחירה מרובה, תגובה מרובה, גרירה ושחרור, אזור חם, ומקרה מבחן. מקרי מבחן מתוזמנים בנפרד ולא ניתן לחזור אליהם.
נקודת המכשול הנפוצה ביותר היא תחום הניתוב — UDRs המקיימים אינטראקציה עם נתיבים שנלמדו מ-BGP מ-VPN / ExpressRoute, התנהגות הפצת נתיבים ותרחישי "מנהור כפוי" (forced-tunneling) הם צפופים ונבדקים לעיתים קרובות. רזולוציית DNS פרטית עבור נקודות קצה פרטיות (מפנים DNS מותאמים אישית, מפנים מותנים, אינטגרציה של קבוצת Private DNS Zone) היא תחום מלכודות עקבי נוסף.
עדכון הכישורים הנמדדים האחרון. הרחבת הכיסוי של Azure DNS Private Resolver, תוכן Virtual WAN מודרני, עדכון מיקום SKU של Azure Front Door. מיקרוסופט מרענשת את AZ-700 בערך כל 12–18 חודשים מבלי לשנות את קוד הבחינה.
איזון מחדש של המשקלים לכיוון תחומי ניתוב וגישה פרטית, הוספת כיסוי ל-Azure Route Server ו-ExpressRoute FastPath, ושילוב עמוק יותר של Virtual WAN.
זמינות כללית ראשונית (GA). המתאר המקורי התמקד בטופולוגיות hub-spoke, VPN / ExpressRoute, NSGs, ואינטגרציית רשת של PaaS.
AZ-700 (Microsoft Azure Network Engineer Associate) הוא מבחן ברמת Associate מבחן קשה במידה, המצפה לניסיון מעשי בתוספת הבנה מוצקה של שיטות עבודה מומלצות. רוב המועמדים זקוקים ל-80–150 שעות לימוד הפרוסות על פני 6–12 שבועות עבור מבחני רמת Associate. רוב המועמדים שמקבלים ציונים באופן עקבי מעל סף המעבר במבחני תרגול עוברים בניסיון הראשון.
רוב המועמדים זקוקים ל-80–150 שעות לימוד הפרוסות על פני 6–12 שבועות עבור מבחני רמת Associate. משך הזמן למעבר משתנה מאוד בהתאם לניסיון קודם. מהנדסים בעלי ניסיון מעשי בסביבת ייצור בטכנולוגיה הבסיסית זקוקים בדרך כלל לפחות זמן; מועמדים חדשים לפלטפורמה צריכים לתכנן את לימודיהם לכיוון הקצה העליון של טווח זה.
AZ-700 הוא אישור מוכר במערכת האקולוגית של Azure ומסמן ידע מאומת למעסיקים, מגייסים ולקוחות. האם זה שווה את הזמן והעמלה עבורך תלוי בתפקיד ובמטרות שלך – זה נוטה להשתלם ביותר עבור מהנדסי ענן, אדריכלים ויועצים שעובדים עם Azure על בסיס יומיומי או רוצים לעבור לתפקידים כאלה.
ציון המעבר עבור AZ-700 הוא 700 / 1000. המבחן מכיל 50 שאלות ונמשך 2 שע'.
עמלת מבחן ה-AZ-700 היא $165 USD. העמלות נקבעות על ידי Azure ועשויות להשתנות לפי אזור; תמיד אשרו את המחיר הנוכחי בדף ההסמכה הרשמי של Azure לפני ההזמנה.
הסמכות מבוססות תפקיד של Microsoft פגות תוקף לאחר שנה אך ניתן לחדשן בחינם באמצעות הערכה מקוונת ללא פיקוח ב-Microsoft Learn, החל מ-6 חודשים לפני התפוגה.
כן. ניתן לגשת למבחן באופן מקוון (בפיקוח דרך הדפדפן המאובטח של הספק, זמין 24/7 ברוב האזורים) או במרכז בחינה פיזי של Pearson VUE בשעות הפעילות. שני הפורמטים משתמשים באותן שאלות, מגבלת זמן וציון מעבר.
CertLabPro מספק 15 מצבי לימוד על פני בנק השאלות לתרגול עבור AZ-700. מצב סימולציית המבחן משקף את המבחן האמיתי: 50 שאלות ב-2 שע', עם אותו סף מעבר של 700 / 1000. מצב עיון מאפשר לך לקרוא כל שאלה ותשובה באופן סטטי.