AZ-400: como passar no único exame de Engenheiro DevOps Expert da Microsoft
Um plano de 8 semanas para o AZ-400 cobrindo Azure DevOps, GitHub Actions, IaC, e o formato de estudo de caso que desorienta candidatos de outra forma preparados.
O AZ-400 é o exame de Design e Implementação de Soluções DevOps da Microsoft. Custa US$ 165, tem 40 a 60 questões, 150 minutos, dois estudos de caso mais itens padrão, e a aprovação é escalonada em 700/1000. É o único caminho para a credencial DevOps Engineer Expert, e você não pode fazê-lo sem primeiro possuir o AZ-104 (Administrador) ou o AZ-204 (Desenvolvedor).
O nível "expert" é o que torna o AZ-400 diferente dos associados baseados em função. Os estudos de caso são reais. O conteúdo abrange CI/CD, infraestrutura como código, estratégia de controle de código-fonte, segurança e observabilidade tanto no Azure DevOps quanto no GitHub. Oito semanas de 8 a 10 horas por semana é o objetivo realista se seu AZ-104 ou AZ-204 estiver fresco.
O que cai no exame
O guia de exame atual se divide em cinco domínios:
| Domínio | Peso |
|---|---|
| Projetar e implementar processos e comunicações | 10–15% |
| Projetar e implementar uma estratégia de controle de código-fonte | 10–15% |
| Projetar e implementar pipelines de build e release | 50–55% |
| Desenvolver um plano de segurança e conformidade | 10–15% |
| Implementar uma estratégia de instrumentação | 5–10% |
Pipelines de build e release representam metade do exame. É aí que você precisa ser afiado. Todo o resto é suporte.
O que "pipelines de build e release" realmente significa em 2026:
- Azure DevOps Pipelines em formato YAML (o editor visual clássico ainda existe, mas está essencialmente obsoleto para novos trabalhos).
- GitHub Actions, que a Microsoft agora posiciona como aproximadamente equivalentes — o exame lhe dará cenários onde a resposta certa é "usar GitHub Actions" e as respostas erradas são Azure DevOps, e vice-versa. Leia o cenário cuidadosamente.
- Runners / agentes auto-hospedados vs. hospedados pela Microsoft, incluindo dimensionamento de pool, cache de demanda e custo.
- Aprovações, ambientes, gates de implantação e condições pré/pós-implantação.
- Pipelines multiestágio, padrões blue-green e canary, implantações em anel.
- Gerenciamento de artefatos: Azure Artifacts, GitHub Packages, feeds genéricos.
- Tratamento de segredos: tarefas do Key Vault, Segredos Criptografados do GitHub, federação OpenID Connect (OIDC) entre GitHub e Azure (isso tem sido fortemente enfatizado nas questões de 2025-2026 — service principals com segredos são cada vez mais a resposta errada).
Além de IaC. Bicep é a resposta nativa da Microsoft, Terraform é a resposta de segunda categoria, mas ainda testada. Os modelos ARM aparecem em pools de questões mais antigas, mas os itens mais recentes se apoiam no Bicep. Espere sintaxe az deployment group create e terraform plan/apply em questões de cenário.
Pré-requisito — escolha AZ-104 ou AZ-204
A Microsoft exige um deles como co-requisito para a credencial expert. Escolha com base no que você realmente faz:
- AZ-104 se sua experiência for em operações, infraestrutura, sysadmin ou engenharia de plataforma. Sua preparação para o AZ-400 será mais focada em tópicos do lado do desenvolvedor (artefatos, branching, ferramentas de qualidade de código).
- AZ-204 se sua experiência for em desenvolvimento de software. Sua preparação para o AZ-400 será mais focada em tópicos do lado de operações (Azure Monitor, App Insights, pools de agentes, IaC).
Não faça ambos antes do AZ-400. A certificação extra não ajuda no AZ-400 em si, e você pode preencher aquela que for importante para o seu trabalho mais tarde, se realmente precisar.
Plano semana a semana
Semana 1: controle de código-fonte e branching
O menor domínio em peso, mas o ponto de entrada. Estude os padrões de fluxo de trabalho Git: GitHub Flow, GitFlow (ainda cobrado apesar de estar fora de moda), desenvolvimento baseado em trunk, branches de release, branches de hotfix. Aprenda a diferença entre um merge de pull request, squash merge e rebase merge.
No Azure DevOps Repos e GitHub: políticas de branch, revisores obrigatórios, validação de build, verificações de status. Pratique configurá-los manualmente em ambos os produtos. A Microsoft adora o padrão de pergunta "configure uma política de branch que exige X", e o menu está em um lugar ligeiramente diferente em cada produto.
Semana 2: Mergulho profundo em Azure DevOps Pipelines
Passe a semana em pipelines YAML. Construa pelo menos três:
- Um pipeline simples de build e teste para um aplicativo de exemplo.
- Um pipeline multiestágio com ambientes
dev,staging,prode aprovações em staging e prod. - Um pipeline que consome um pool de agentes auto-hospedado e outro que usa um pool hospedado pela Microsoft.
Fique fluente com templates e parâmetros de template. A Microsoft testa diretamente os padrões de template-extension e template-include. Conheça a sintaxe extends vs template.
Semana 3: GitHub Actions
Espelhe a semana 2, mas no GitHub Actions. Construa os mesmos três pipelines. Preste muita atenção a:
- O bloco
permissionsem um job — o princípio do menor privilégio é importante aqui e é um padrão de exame. - Fluxos de trabalho reutilizáveis (
workflow_call) e ações compostas — saiba qual é qual. - Ambientes e revisores obrigatórios, que espelham o conceito do Azure DevOps, mas com sua própria interface de usuário.
- Federação OIDC: configure uma credencial federada em um registro de aplicativo do Microsoft Entra ID e autentique-se a partir de um fluxo de trabalho do GitHub Actions sem nenhum segredo de cliente. Este único exercício ensina o que provavelmente estará em três questões do exame.
Semana 4: IaC
Bicep primeiro. Crie um arquivo Bicep que implante um plano do Serviço de Aplicativo, um Serviço de Aplicativo e um recurso do Application Insights. Implante-o com az deployment group create. Refatore-o em módulos. Adicione uma etapa what-if. Adicione-o a um pipeline.
Depois Terraform. Implante a mesma estrutura com o provedor AzureRM. Configure um backend remoto no Azure Storage. Observe as diferenças no gerenciamento de estado — é aqui que Bicep e ARM diferem fundamentalmente do Terraform, e o exame espera que você saiba.
Modelos ARM: leia o suficiente para reconhecer a sintaxe. Você não precisará escrever um, mas os verá em estudos de caso.
Semana 5: segurança e conformidade
Integração do Key Vault em pipelines: grupos de variáveis vinculados ao Key Vault, a tarefa do Azure Key Vault, a ação azure/get-keyvault-secrets do GitHub.
Defender para DevOps e as recomendações de segurança DevOps do Microsoft Defender for Cloud. A atualização do exame 2024-2025 adicionou mais disso — saiba a quais sistemas o Defender para DevOps se conecta (GitHub, Azure DevOps, GitLab, Bitbucket) e o que ele expõe (verificação de segredos, verificação de IaC, verificação de código, verificação de dependências).
GitHub Advanced Security: verificação de código com CodeQL, verificação de segredos, revisão de dependências. Saiba quais recursos são GHAS (pagos) e quais são gratuitos.
Verificação de conformidade em pipelines: WhiteSource Bolt não existe mais — Mend Bolt é a versão renomeada, e a resposta primária da Microsoft agora é Defender para DevOps mais GHAS. Materiais de estudo antigos estarão errados neste ponto.
Semana 6: monitoramento e feedback
Conexão do Application Insights a um pipeline (anotações de release, marcadores de implantação). Alertas do Azure Monitor que controlam implantações. A integração entre alertas e Azure Boards / GitHub Issues para criação automática de tickets.
Feature flags via Azure App Configuration e a biblioteca Microsoft.FeatureManagement. A Microsoft testa a resposta do padrão de design — saiba quando uma feature flag é a escolha certa versus um anel de implantação versus um canary.
Semana 7: prática de estudo de caso
Faça um exame prático completo em condições cronometradas, com os estudos de caso. Dois estudos de caso consumirão 35 a 45 minutos dos seus 150 — planeje-se adequadamente. O erro que a maioria dos candidatos comete é tentar ler o estudo de caso inteiro na primeira passada; em vez disso, faça uma leitura rápida, vá para as perguntas e releia apenas as seções do estudo de caso relevantes para cada pergunta.
Após o exame prático, identifique os domínios fracos. Para a maioria dos candidatos, isso inclui a sintaxe de IaC (módulos Bicep vs. módulos Terraform), ferramentas de segurança (qual Defender faz o quê), ou o fluxo de federação OIDC.
Semana 8: revisão, preenchimento de lacunas, exame
Exames práticos dia sim, dia não. Leia a explicação de cada resposta errada. O caminho oficial do AZ-400 no Microsoft Learn é a fonte da verdade para qualquer desacordo entre as fontes — os guias de estudo de fornecedores ficaram para trás na atualização do exame de 2024-2025.
Agende o exame. Pearson VUE ou supervisionado online. Os estudos de caso parecem diferentes online — você não consegue alternar facilmente entre as seções — então, se você não estiver confiante com o formato, faça-o em um centro de testes.
Estilo do exame
Duas coisas desorientam candidatos de outra forma preparados:
- Os estudos de caso. Eles são longos, com muito texto, e as perguntas exigem que você retenha muito contexto de uma só vez. Pratique-os.
- A estrutura da "melhor resposta". Múltiplas opções são tecnicamente corretas; o exame quer a resposta mais limpa e mais alinhada com as melhores práticas da Microsoft. Quando uma pergunta lista Azure DevOps Pipelines e GitHub Actions como alternativas e o cenário não favorece fortemente um, a resposta geralmente é aquela que o restante do estudo de caso já padronizou.
Adequação à carreira
O AZ-400 é uma credencial útil se você é um engenheiro DevOps / de plataforma trabalhando em um ambiente Microsoft e deseja o nível expert em seu currículo. Não é a certificação certa para quem está tentando entrar em DevOps vindo de fora — primeiro obtenha experiência prática, depois volte. A remuneração total para engenheiros DevOps sêniores nos EUA em 2026 varia entre US$ 150 mil e US$ 220 mil de base, dependendo da metrópole, com funções adjacentes à FAANG subindo ainda mais; o AZ-400 é um filtro claro para essa faixa, mas não irá conjurar a experiência.
Quando estiver pronto para resolver questões, o banco de questões do AZ-400 no CertLabPro abrange o formato de estudo de caso. Trate os estudos de caso como sua própria disciplina — eles são a parte do AZ-400 para a qual a experiência prática por si só não o prepara totalmente.