Microsoft Azure DevOps Engineer Expert
225 perguntas de prática
Última revisão: April 2026
Notas pessoais e links de recursos para sua jornada de estudo
Filtrar por Certificação
AZ-400 é a credencial DevOps de nível especialista da Microsoft — combinada com AZ-104 ou AZ-204 para conferir o título de Microsoft Certified: DevOps Engineer Expert. Ela valida a capacidade de projetar e implementar práticas DevOps em escala: pipelines de build e release (Azure DevOps e GitHub Actions), estratégia de controle de código-fonte, integração de segurança e conformidade (DevSecOps, Microsoft Defender for DevOps), instrumentação e design de equipes / processos. O público-alvo são engenheiros de plataforma seniores, SREs e desenvolvedores líderes responsáveis por pipelines de entrega em várias equipes. Espere 40–60 questões em 120 minutos, incluindo arrastar e soltar, hot-area, múltipla resposta e pelo menos um estudo de caso com itens baseados em cenário.
O maior domínio de longe, com 52%. Azure Pipelines e GitHub Actions (YAML, templates, pools de agentes, ambientes, aprovações), gerenciamento de pacotes, IaC (Bicep / Terraform / ARM), implantações de banco de dados, gerenciamento de segredos e padrões de entrega progressiva (blue-green, canary, feature flags).
Cerca de 12%. Implementação de Agile / Scrum no Azure Boards / GitHub Projects, fluxo de itens de trabalho, mapeamento de fluxo de valor e padrões de comunicação com as partes interessadas.
Cerca de 12%. Estratégias de branching Git (trunk-based, GitHub flow, GitFlow), estrutura de repositório (monorepo vs. multi-repo), políticas de pull-request, requisitos de proprietário de código e tratamento de arquivos grandes / submódulos.
Cerca de 12%. Integração DevSecOps: Microsoft Defender for DevOps, GitHub Advanced Security (CodeQL, secret scanning, dependency review), SBOMs, segurança da cadeia de suprimentos e policy-as-code.
Cerca de 12%. Application Insights, Azure Monitor, Log Analytics, rastreamento distribuído, dashboards, alertas e design de SLO / orçamento de erro no estilo SRE.
Serviços que você encontrará no exame e por que cada um importa.
Pacote DevOps hospedado que reúne Pipelines, Repos, Boards, Artifacts e Test Plans em colaboração com escopo de projeto e identidade em nível de organização.
Por que está no exame: O Domínio 1 (Build e Release Pipelines) e o Domínio 2 (Processos e Comunicações) tratam o Azure DevOps como a plataforma integrada — conexões de serviço, pools de agentes e estrutura de projeto aparecem em todo o exame.
Serviço CI/CD hospedado que executa pipelines YAML multiestágio em agentes hospedados pela Microsoft ou auto-hospedados, com ambientes, aprovações e gates para promoção.
Por que está no exame: O Domínio 1 (52% do exame) é dominado por Pipelines — templates de estágio, jobs paralelos, estratégias de implantação, aprovações manuais e execuções de pipeline entre organizações.
Repositórios Git (e TFVC) hospedados com políticas de branch, revisores obrigatórios, validação de build, verificações de status e workflows orientados por PR.
Por que está no exame: O Domínio 3 (Estratégia de Controle de Código-Fonte) testa políticas de branch, trunk-based vs. GitFlow e gating orientado por PR como a disciplina de controle de código-fonte que o AZ-400 espera.
Rastreamento de itens de trabalho em templates Agile, Scrum e CMMI com backlogs, sprints, consultas, dashboards e deep links para Git/Pipelines.
Por que está no exame: O Domínio 2 (Processos e Comunicações) nomeia Boards como a superfície de planejamento e rastreabilidade — vinculando commits e builds a itens de trabalho.
Feed de pacotes universal para NuGet, npm, Maven, Python e Cargo, além de fontes upstream, políticas de retenção e views para promoção (ex: @prerelease → @release).
Por que está no exame: O Domínio 1 espera Artifacts como a resposta do AZ-400 para distribuição interna de pacotes, promoção versionada entre ambientes e caching de fontes upstream.
CI/CD baseado em YAML executado em runners hospedados pelo GitHub ou auto-hospedados com workflows reutilizáveis, ambientes, federação OIDC para Azure e builds de matriz.
Por que está no exame: O Domínio 1 cobre GitHub Actions juntamente com Azure Pipelines — as questões do exame testam a escolha do workflow, autenticação OIDC para Azure e os tradeoffs entre Actions e Pipelines.
Testes manuais e exploratórios com casos de teste, suites, execuções e integração a Pipelines para publicação de resultados de testes automatizados e cobertura.
Por que está no exame: O Domínio 1 nomeia Test Plans para os gates de teste manual que complementam suites automatizadas em pipelines de release regulamentados.
Verificação de código, segredos e dependências (CodeQL, Dependabot, secret scanning, padrões personalizados) integrada a verificações de PR para GitHub e Azure Repos.
Por que está no exame: O Domínio 4 (Plano de Segurança e Conformidade) testa a segurança "shift-left" — GHAS é a resposta nomeada na stack da Microsoft para gating SAST/SCA em pipelines.
Infraestrutura como código declarativa sobre o Azure Resource Manager — Bicep DSL transpila para ARM JSON, com módulos, previews what-if e deployment stacks.
Por que está no exame: O Domínio 1 + Domínio 4 dependem de Bicep/ARM para provisionamento de ambiente reproduzível, preview de mudanças what-if e varredura de IaC em CI.
HashiCorp Terraform com os provedores AzureRM e AzAPI, estado no Azure Storage com bloqueio de blob e tarefas Terraform para Azure Pipelines.
Por que está no exame: O Domínio 1 (escolha de IaC) testa os tradeoffs entre Terraform e Bicep e o padrão canônico de estado remoto usando Azure Storage com bloqueios de lease de blob.
API de plano de controle subjacente a cada implantação do Azure — grupos de recursos, provedores, atribuições de função, bloqueios, tags e escopo de implantação (assinatura/grupo de gerenciamento).
Por que está no exame: O Domínio 1 + Domínio 4 esperam a consciência do escopo do ARM para implantações de tenant/grupo de gerenciamento/assinatura e os bloqueios/tags que controlam a automação destrutiva.
Hospedagem web PaaS com slots de implantação para staging, swap-com-preview, roteamento de tráfego para releases canary e configurações de aplicativo em nível de slot.
Por que está no exame: O Domínio 1 (estratégia de implantação) nomeia slot-swap e roteamento de tráfego como o mecanismo blue/green e canary nativo de PaaS no App Service.
Kubernetes gerenciado com pools de nós gerenciados, GitOps via Flux, AKS Automatic, identidade de workload e Azure Monitor container insights.
Por que está no exame: O Domínio 1 + Domínio 5 (Instrumentação) testam padrões de implantação AKS — reconciliação GitOps, blue/green via Helm/Argo CD e observabilidade de contêineres.
Registro Docker/OCI gerenciado com geo-replicação, confiança de conteúdo, ACR Tasks para automação de build e Defender for Cloud para varredura de imagem.
Por que está no exame: O Domínio 1 + Domínio 4 esperam o ACR como o registro de imagem do AZ-400, com reconstruções de atualização de imagem base impulsionadas por Tasks e gates de promoção de imagem assinada.
Ambientes de desenvolvimento VS Code hospedados na nuvem, suportados por uma especificação devcontainer.json, com pre-builds, segredos e paridade com contêineres de desenvolvimento locais baseados em Docker.
Por que está no exame: O Domínio 2 (Processos e Comunicações) testa Codespaces / Dev Containers para paridade "funciona na minha máquina" e redução do tempo de onboarding.
Serviço APM que captura taxas de requisição, dependências, exceções, traces distribuídos e Live Metrics, com alertas de anomalias de detecção inteligente em releases.
Por que está no exame: O Domínio 5 (Estratégia de Instrumentação) é construído sobre o App Insights — dashboards anotados com releases, detecção inteligente durante canary e ingestão OpenTelemetry.
Plataforma de identidade com service principals, managed identities, federação de identidade de workload (OIDC) e Conditional Access para atores humanos e CI/CD.
Por que está no exame: O Domínio 4 testa a federação OIDC sem senha de GitHub Actions / Pipelines para Azure, além de implantações apenas com managed identity — Entra é a identidade nomeada.
Armazenamento gerenciado para segredos, certificados e chaves com modos RBAC/política de acesso, versionamento, soft-delete, proteção contra purga e Managed HSM com suporte HSM.
Por que está no exame: O Domínio 4 nomeia Key Vault para injeção de segredos em CI/CD (tarefa Key Vault de Pipelines, Actions OIDC + leitura de Key Vault) e como a alternativa canônica a variáveis em plaintext.
Plataforma unificada de métricas + logs com Kusto Query Language (KQL), grupos de ação, regras de alerta, workbooks e anotações de release de Pipelines.
Por que está no exame: O Domínio 5 (Instrumentação) espera Azure Monitor + Log Analytics para dashboards de saúde de release baseados em KQL e implantação de regras de alerta orientada por Pipelines.
Gerenciamento unificado de postura em Azure DevOps e GitHub — expondo erros de configuração de IaC, segredos expostos e achados de varredura de código no Defender for Cloud.
Por que está no exame: O Domínio 4 (Plano de Segurança e Conformidade) nomeia Defender for DevOps como a superfície de postura cross-repo para governança centralizada de DevSecOps.
$130k–$175k–$240k USD anual
AZ-400 é uma das certificações Microsoft mais bem pagas no mercado. A faixa abrange engenheiros DevOps seniores baseados nos EUA; SREs principais e engenheiros de plataforma de empresas FAANG / fintech / parceiras Microsoft frequentemente ultrapassam $300k TC. A certificação é um sinal de triagem; a liderança comprovada em DevOps e SRE em produção impulsiona o limite superior.
Fonte: Cargos de DevOps / SRE / engenheiro(a) de plataforma do levels.fyi 2025, U.S. BLS OEWS maio de 2024 (15-1252 software developers, 15-1244 network and computer systems administrators), Glassdoor 2025. Os valores são aproximados; a compensação real depende da função, região e experiência.
AZ-400 é a credencial DevOps canônica para organizações de plataforma alinhadas com Azure e uma das certificações Microsoft de nível especialista mais solicitadas em descrições de cargo (JDs) de engenharia sênior. Recrutadores em serviços financeiros, saúde, governo e consultorias parceiras da Microsoft a utilizam como evidência de que um candidato pode projetar de forma crível pipelines, estratégia de controle de código-fonte e integração de segurança entre várias equipes. Ela se combina naturalmente com AZ-104 (combinação mais comum) ou AZ-204 (combinação para trilha de desenvolvedor) para conferir o título de DevOps Engineer Expert. Muitos candidatos adicionam AZ-500 para funções de DevSecOps com foco em segurança ou AZ-305 para expandir para trabalhos de arquitetura.
AZ-400 é a única certificação Microsoft de nível especialista que exige uma certificação conjunta: os candidatos devem possuir AZ-104 (Administrator Associate) ou AZ-204 (Developer Associate) para receber o título de Microsoft Certified: DevOps Engineer Expert. O exame em si pode ser feito em qualquer ordem, mas o título de Expert é concedido somente após ambas as certificações serem obtidas.
A Microsoft recomenda de três a cinco anos de experiência profissional em desenvolvimento ou operações, incluindo tempo significativo com Azure DevOps Services, GitHub Actions e pelo menos uma ferramenta IaC (Bicep, Terraform, ARM). O caminho oficial do Microsoft Learn cobre todos os cinco domínios em aproximadamente 40–50 horas. Tempo de laboratório prático em Azure DevOps Services e GitHub é essencialmente exigido — a Microsoft expandiu agressivamente a cobertura do GitHub Actions em atualizações recentes, então candidatos cuja única experiência é com Azure Pipelines devem planejar tempo extra para cenários específicos do GitHub.
AZ-400 se enquadra no nível Expert — a faixa de dificuldade mais alta da Microsoft, ao lado de AZ-305 e SC-100. Planeje de 100 a 140 horas de estudo em 10–14 semanas com experiência sênior em DevOps e exposição prévia ao Azure; substancialmente mais tempo sem essa bagagem. O exame dura cerca de 120 minutos com 40–60 questões em formatos de múltipla escolha, múltipla resposta, arrastar e soltar, hot-area e estudo de caso. Os estudos de caso são cronometrados separadamente e não podem ser revisitados depois de avançar.
O obstáculo mais comum é manter claras as distinções entre Azure DevOps e GitHub Actions — as atualizações recentes da Microsoft reequilibraram o foco para o GitHub Actions e a ferramenta unificada GitHub Advanced Security, então candidatos com profunda experiência em ADO, mas pouca exposição ao GitHub (ou vice-versa), frequentemente precisam preencher essa lacuna. O domínio de build-and-release, com 52%, significa que a fluência no design de pipelines é a área de estudo com maior alavancagem.
Atualização mais recente das habilidades medidas. Cobertura expandida do GitHub Actions, adição do Microsoft Defender for DevOps e GitHub Advanced Security, e modernização do enquadramento da segurança da cadeia de suprimentos. A Microsoft atualiza o AZ-400 aproximadamente a cada 12–18 meses sem alterar o código do exame.
Reestruturado para o layout atual de cinco domínios, reequilibrou o domínio de pipelines de build e release para um peso de 52%, e integrou conteúdo com prioridade no GitHub juntamente com o Azure DevOps.
GA inicial, substituindo o AZ-400 (código legado) aposentado e o exame de transição AZ-401. O esboço original focava em Azure DevOps Services e TFS / Azure DevOps Server on-premises.
AZ-400 (Microsoft Azure DevOps Engineer Expert) é um exame de nível Expert um exame desafiador, com muitos cenários, que exige profunda experiência prática e a capacidade de tomar decisões de trade-off arquitetônicas. A maioria dos candidatos precisa de 150 a 300 horas de estudo distribuídas em 3 a 6 meses para exames de nível profissional e especialista. Esses exames geralmente esperam proficiência anterior em nível associado. A maioria dos candidatos que pontuam consistentemente acima do limite de aprovação em exames práticos é aprovada na primeira tentativa.
A maioria dos candidatos precisa de 150 a 300 horas de estudo distribuídas em 3 a 6 meses para exames de nível profissional e especialista. Esses exames geralmente esperam proficiência anterior em nível associado. O tempo para aprovação varia amplamente de acordo com a experiência prévia. Engenheiros com experiência prática de produção na tecnologia subjacente geralmente precisam de menos tempo; candidatos novos na plataforma devem planejar-se para o limite superior dessa faixa.
AZ-400 é uma credencial reconhecida no ecossistema Azure e sinaliza conhecimento validado para empregadores, recrutadores e clientes. Se vale a pena o tempo e a taxa para você, depende do seu papel e objetivos — geralmente compensa mais para engenheiros de nuvem, arquitetos e consultores que trabalham com Azure diariamente ou desejam mudar para funções que o fazem.
A pontuação de aprovação para AZ-400 é 700 / 1000. O exame contém 50 questões e dura 2 h.
A taxa do exame AZ-400 é $165 USD. As taxas são definidas por Azure e podem variar por região; sempre confirme o preço atual na página oficial de certificação Azure antes de agendar.
As certificações Microsoft baseadas em função expiram após 1 ano, mas podem ser renovadas gratuitamente por meio de uma avaliação online não supervisionada no Microsoft Learn, a partir de 6 meses antes do vencimento.
Sim. Você pode fazer o exame online (supervisionado através do navegador seguro do provedor, disponível 24 horas por dia, 7 dias por semana na maioria das regiões) ou em um centro de testes Pearson VUE presencial durante o horário comercial. Ambos os formatos usam as mesmas perguntas, limite de tempo e pontuação de aprovação.
A CertLabPro oferece 15 modos de estudo no banco de questões práticas para AZ-400. O modo de simulação de exame espelha o exame real: 50 questões em 2 h, com o mesmo limite de aprovação de 700 / 1000. O modo de navegação permite que você leia todas as perguntas e respostas estaticamente.