Microsoft Azure Network Engineer Associate
225 perguntas de prática
Última revisão: April 2026
Notas pessoais e links de recursos para sua jornada de estudo
Filtrar por Certificação
AZ-700 valida as habilidades diárias de um engenheiro de rede Azure: projetar e implementar redes principais, roteamento, redes seguras e monitoradas, conectividade híbrida e acesso privado a serviços Azure. O público-alvo são engenheiros de rede que estendem a experiência tradicional em redes (BGP, VPN, MPLS) para o Azure, e administradores Azure especializados em redes. O exame é focado na implementação — mais próximo do AZ-500 em estilo do que dos exames de arquitetura — com 40–60 questões em 120 minutos, incluindo arrastar e soltar, hot-area, múltipla escolha e pelo menos um estudo de caso com itens baseados em cenários que recompensam a experiência prática em redes.
Cerca de 22%. VNets, sub-redes, endereçamento IP, peering (regional e global), conectividade VNet-to-VNet, DNS personalizado, Azure DNS Private Resolver e planejamento de IP central para topologias hub-spoke.
O maior domínio, com 28%. UDRs e BGP, Azure Load Balancer (interno e externo), Application Gateway com WAF, Azure Front Door, Traffic Manager e cenários de route-server / NVA. Forte em questões de fluxo de tráfego.
Cerca de 18%. Azure Firewall (e Firewall Manager), DDoS Protection, NSGs vs. ASGs, Network Watcher, Connection Monitor, logs de fluxo NSG e análises de tráfego.
Cerca de 16%. Gateways VPN site-a-site e ponto-a-site, ExpressRoute (circuitos, peerings, Global Reach, FastPath), Virtual WAN e padrões de integração SD-WAN.
Cerca de 16%. Service Endpoints, Private Endpoints / Private Link, Private DNS Zones, resolução DNS personalizada para private endpoints e integração de rede de plataforma como serviço.
Serviços que você encontrará no exame e por que cada um importa.
Rede definida por software com sub-redes, planejamento de espaço de endereçamento, peering global de VNet, service endpoints, NSGs e UDRs como os blocos de construção fundamentais.
Por que está no exame: O Domínio 1 (Projetar e Implementar Infraestrutura de Rede Central) inicia todo cenário com a topologia de VNet — dimensionamento CIDR, peering hub-spoke vs malha e escolhas de delegação de sub-rede.
WAN global gerenciada que unifica anexos de VNet, VPN, ExpressRoute e filiais SD-WAN sob um único Virtual Hub com intenção de roteamento integrada e conectividade any-to-any.
Por que está no exame: O Domínio 4 (Redes Híbridas) cita o Virtual WAN como a resposta canônica para hub-spoke multi-região, substituindo hubs montados manualmente em escala.
Terminação VPN IPsec gerenciada site-to-site e ponto a site com BGP, redundância ativo-ativo, túneis baseados em rota e em política, e throughput escalonado por SKU.
Por que está no exame: O Domínio 4 testa a escolha entre VPN Gateway e ExpressRoute por largura de banda/SLA, configuração de ASNs BGP e padrões de failover ativo-ativo para backbones híbridos.
Circuitos privados dedicados ao Azure com peering privado e Microsoft, BGP, ExpressRoute Global Reach para roteamento site-to-site através do backbone Microsoft, e FastPath para latência sub-10ms.
Por que está no exame: Questões de design híbrido do Domínio 4 dependem dos tipos de peering ExpressRoute, SKUs de circuito (Local/Standard/Premium), Global Reach e manipulação de caminho BGP.
Route reflector BGP gerenciado que troca rotas entre VNets do Azure e NVAs (Network Virtual Appliances) via BGP, eliminando a manutenção manual de UDR.
Por que está no exame: O Domínio 2 (Projetar e Implementar Roteamento) nomeia o Route Server como a resposta quando appliances SDWAN ou NVAs precisam injetar rotas BGP na malha de roteamento do Azure.
Conjunto de ferramentas de diagnóstico de rede: Connection Monitor, IP Flow Verify, NSG Diagnostics, Packet Capture, VNet Flow Logs e introspecção de effective-route / effective-security-rule.
Por que está no exame: O Domínio 3 (Proteger e Monitorar Redes) se baseia no Network Watcher — Connection Monitor para teste de caminho, Flow Logs para visibilidade de tráfego e NSG diagnostics para depuração de regras.
Hospedagem autoritativa de DNS público, além de Private DNS Zones com links VNet, registro automático e DNS Private Resolver para resolução de nomes híbrida inbound/outbound.
Por que está no exame: Os Domínios 4 + 5 testam padrões de DNS híbrido — encaminhadores condicionais, Private Resolver endpoints e registro automático de Private DNS em hub-spoke.
Três camadas de balanceamento de carga: Standard Load Balancer (L4, regional), Application Gateway (L7 com WAF, regional) e Front Door (L7 com WAF, global anycast edge).
Por que está no exame: O Domínio 1 distingue L4 regional (Load Balancer) vs L7 regional (Application Gateway) vs L7 global (Front Door) como um padrão distrator recorrente em cenários de exame.
Firewall-as-a-service gerenciado e stateful com filtragem FQDN, inspeção TLS (Premium), IDPS e Firewall Manager para hierarquia de políticas centralizada em hubs e VNets.
Por que está no exame: Os cenários de inspeção leste-oeste e de saída do Domínio 3 citam o Azure Firewall como a alternativa gerenciada a NVAs auto-hospedados, com o Firewall Manager para políticas multi-hub.
Mitigação de DDoS sempre ativa na camada de Rede e camada de IP com perfil de tráfego, análise de ataques, engajamento de resposta rápida e proteção de custos para alvos autoescalados.
Por que está no exame: Questões do Domínio 3 sobre mitigação de ataques volumétricos e de protocolo para endpoints voltados para a internet nomeiam o SKU de Proteção DDoS Rede/IP como a resposta.
WAF L7 implantado no Application Gateway, Front Door ou Azure CDN com conjuntos de regras gerenciados (OWASP CRS, Microsoft bot manager), regras personalizadas e limitação de taxa.
Por que está no exame: Cenários de proteção da camada de aplicação do Domínio 3 testam a escolha de posicionamento do WAF — Front Door (borda global) vs App Gateway (regional) — e ajuste de regras gerenciadas.
Serviço SNAT gerenciado apenas de saída com até 16 IPs públicos, 64 mil portas SNAT por IP e anexo por sub-rede — substitui SNAT de saída padrão imprevisível ou baseado em LB.
Por que está no exame: Questões de roteamento do Domínio 2 sobre conectividade de saída determinística, correções de exaustão de porta SNAT e design de saída redundante por zona nomeiam o NAT Gateway como a resposta.
Conectividade privada a serviços PaaS e serviços de propriedade do cliente via Private Endpoints (NICs na VNet do consumidor) com tráfego no backbone Microsoft — nunca atravessando a internet.
Por que está no exame: O Domínio 5 (Projetar e Implementar Acesso Privado a Serviços Azure) é ancorado no Private Link / Private Endpoint como o padrão canônico de PaaS sem IP público.
Pares de portas de 10 Gbps ou 100 Gbps que fornecem aos clientes conexão direta com o backbone Microsoft, com a capacidade de criar múltiplos circuitos e criptografia MACsec.
Por que está no exame: Cenários de design híbrido do Domínio 4 que exigem largura de banda agregada >10 Gbps, MACsec ou isolamento de porta física citam o ExpressRoute Direct em vez do ExpressRoute padrão.
Teste contínuo de acessibilidade e latência em VMs Azure, agentes on-prem e endpoints Azure com visualização de topologia, rastreamento de perda de pacotes e integração com o Log Analytics.
Por que está no exame: Cenários de monitoramento do Domínio 3 sobre latência de caminho híbrido, teste de caminho ExpressRoute e validação pré-vs-pós-failover nomeiam o Connection Monitor como a ferramenta operacional.
Plano de gerenciamento central para grupos de VNet, configurações de conectividade (hub-spoke, malha) e regras de segurança administrativas que substituem NSGs em escopo de múltiplas assinaturas.
Por que está no exame: Questões de design dos Domínios 1 + 3 sobre escalar hub-spoke além do peering manual e aplicar linhas de base de segurança via regras administrativas citam o Virtual Network Manager.
Filtragem stateful L3/L4 no escopo de sub-rede e NIC via NSGs, além de ASGs que permitem que as regras referenciem grupos de carga de trabalho (por exemplo, "WebTier", "DBTier") em vez de intervalos de IP estáticos.
Por que está no exame: Questões de segurança do Domínio 3 sobre postura de default-deny, prioridade/precedência de regras e substituição de regras de tupla de IP por regras baseadas em ASG são um pilar recorrente do exame.
Diretório de identidade com políticas de Acesso Condicional que controlam o acesso a Bastion, VPN P2S e plano de gerenciamento por usuário, dispositivo, localização e sinais de risco.
Por que está no exame: Cenários de acesso seguro dos Domínios 3 + 5 — VPN P2S autenticada por Entra, Bastion com MFA e Acesso Condicional do plano de administração — se baseiam em Entra + Acesso Condicional.
Receptor unificado de telemetria para VNet Flow Logs, diagnósticos NSG, métricas ExpressRoute / VPN Gateway e resultados do Connection Monitor, consultáveis via KQL workbooks.
Por que está no exame: Padrões de monitoramento do Domínio 3 exigem Azure Monitor + Log Analytics para centralizar logs de fluxo, alertar sobre violações de limite e produzir workbooks de análise de tráfego.
CSPM + proteção de workload que apresenta recomendações de configuração incorreta de rede (portas abertas, regras NSG irrestritas), hardening de rede adaptativo e acesso just-in-time a VMs.
Por que está no exame: Questões de governança do Domínio 3 sobre gerenciamento contínuo de postura, acesso JIT a VMs e recomendações de hardening adaptativo citam o Defender for Cloud como a resposta.
$110k–$150k–$200k USD anual
A faixa cobre engenheiros de rede em nuvem de nível médio a sênior nos EUA; arquitetos de rede sênior em grandes empresas e consultorias parceiras da Microsoft frequentemente ultrapassam $220k de remuneração total. Engenheiros de rede tradicionais on-premises em transição para a nuvem tendem para a extremidade inferior até acumularem experiência específica em Azure.
Fonte: funções de engenheiro de rede / rede em nuvem levels.fyi 2025, U.S. BLS OEWS maio de 2024 (15-1241 computer network architects, 15-1244 network and computer systems administrators), Glassdoor 2025. Os valores são aproximados; a compensação real depende da função, região e experiência.
A demanda pelo AZ-700 é constante, impulsionada por programas contínuos de migração de nuvem empresarial que exigem experiência em ExpressRoute, hub-spoke, Virtual WAN e Private Endpoint. Recrutadores em serviços financeiros, saúde, contratantes governamentais e consultorias parceiras da Microsoft o utilizam como prova canônica de competência em redes Azure. Ele se complementa naturalmente com o AZ-104 para engenheiros de rede com inclinação para administração em nuvem, com o AZ-305 para arquitetos com inclinação para rede e com o AZ-500 para engenheiros que abrangem funções de rede e segurança. A demanda é especialmente forte em indústrias regulamentadas com requisitos significativos de conectividade híbrida.
Não há pré-requisitos formais. A Microsoft recomenda conhecimento de rede em nível de praticante (TCP/IP, DNS, roteamento, BGP, IPsec) além de exposição prévia ao Azure equivalente ao AZ-104. Candidatos sem profundidade em redes tradicionais geralmente têm dificuldade em cenários de roteamento e ExpressRoute. O AZ-900 é uma rampa de acesso conceitual útil para candidatos novos no Azure, mas não é obrigatório.
O caminho oficial do Microsoft Learn cobre todos os cinco domínios em aproximadamente 30–40 horas. O tempo de laboratório prático é essencialmente exigido: uma assinatura pessoal do Azure com VNets hub-spoke, um gateway VPN e um pequeno conjunto de private endpoints permite que os candidatos pratiquem os cenários de roteamento e DNS que dominam o exame. O ExpressRoute é mais difícil de praticar sem acesso empresarial; os candidatos geralmente dependem de módulos do Microsoft Learn e artigos do centro de arquitetura para essa área.
O AZ-700 está no nível Associate e é geralmente considerado moderadamente desafiador — comparável ao AZ-500 em dificuldade, mais difícil que o AZ-104 em profundidade de rede, mas com um escopo geral mais restrito. Planeje de 70 a 110 horas de estudo ao longo de 7 a 10 semanas com experiência prévia em redes e administração Azure; substancialmente mais longo para candidatos novos em qualquer uma das áreas. O exame dura cerca de 120 minutos com 40–60 questões em formatos de múltipla escolha, múltipla resposta, arrastar e soltar, hot-area e estudo de caso. Os estudos de caso são cronometrados separadamente e não podem ser revisitados.
O obstáculo mais comum é o domínio de roteamento — UDRs interagindo com rotas aprendidas por BGP de VPN / ExpressRoute, comportamento de propagação de rota e cenários de tunelamento forçado são densos e frequentemente testados. A resolução DNS privada para private endpoints (custom DNS forwarders, conditional forwarders, integração de grupo de Private DNS Zone) é outra área de armadilha consistente.
Atualização mais recente das habilidades medidas. Cobertura expandida do Azure DNS Private Resolver, conteúdo modernizado do Virtual WAN, posicionamento atualizado das SKUs do Azure Front Door. A Microsoft atualiza o AZ-700 aproximadamente a cada 12–18 meses sem alterar o código do exame.
Pesos reequilibrados em direção aos domínios de roteamento e acesso privado, adicionada cobertura do Azure Route Server e ExpressRoute FastPath, e Virtual WAN mais profundamente integrado.
Lançamento GA inicial. O esboço original focava em topologias hub-spoke, VPN / ExpressRoute, NSGs e integração de rede PaaS.
AZ-700 (Microsoft Azure Network Engineer Associate) é um exame de nível Associate um exame de dificuldade moderada que exige experiência prática e um sólido entendimento das melhores práticas. A maioria dos candidatos precisa de 80 a 150 horas de estudo distribuídas em 6 a 12 semanas para exames de nível associado. A maioria dos candidatos que pontuam consistentemente acima do limite de aprovação em exames práticos é aprovada na primeira tentativa.
A maioria dos candidatos precisa de 80 a 150 horas de estudo distribuídas em 6 a 12 semanas para exames de nível associado. O tempo para aprovação varia amplamente de acordo com a experiência prévia. Engenheiros com experiência prática de produção na tecnologia subjacente geralmente precisam de menos tempo; candidatos novos na plataforma devem planejar-se para o limite superior dessa faixa.
AZ-700 é uma credencial reconhecida no ecossistema Azure e sinaliza conhecimento validado para empregadores, recrutadores e clientes. Se vale a pena o tempo e a taxa para você, depende do seu papel e objetivos — geralmente compensa mais para engenheiros de nuvem, arquitetos e consultores que trabalham com Azure diariamente ou desejam mudar para funções que o fazem.
A pontuação de aprovação para AZ-700 é 700 / 1000. O exame contém 50 questões e dura 2 h.
A taxa do exame AZ-700 é $165 USD. As taxas são definidas por Azure e podem variar por região; sempre confirme o preço atual na página oficial de certificação Azure antes de agendar.
As certificações Microsoft baseadas em função expiram após 1 ano, mas podem ser renovadas gratuitamente por meio de uma avaliação online não supervisionada no Microsoft Learn, a partir de 6 meses antes do vencimento.
Sim. Você pode fazer o exame online (supervisionado através do navegador seguro do provedor, disponível 24 horas por dia, 7 dias por semana na maioria das regiões) ou em um centro de testes Pearson VUE presencial durante o horário comercial. Ambos os formatos usam as mesmas perguntas, limite de tempo e pontuação de aprovação.
A CertLabPro oferece 15 modos de estudo no banco de questões práticas para AZ-700. O modo de simulação de exame espelha o exame real: 50 questões em 2 h, com o mesmo limite de aprovação de 700 / 1000. O modo de navegação permite que você leia todas as perguntas e respostas estaticamente.