Microsoft Azure Network Engineer Associate
225 практических вопросов
Последняя проверка: April 2026
Личные заметки и ссылки на ресурсы для вашего учебного пути
Фильтр по сертификации
AZ-700 подтверждает повседневные навыки инженера по сетям Azure: проектирование и внедрение базовых сетевых решений, маршрутизация, создание безопасных и контролируемых сетей, гибридная связность и частный доступ к службам Azure. Целевая аудитория — действующие сетевые инженеры, расширяющие свои традиционные сетевые знания (BGP, VPN, MPLS) на Azure, а также администраторы Azure, специализирующиеся на сетях. Экзамен ориентирован на внедрение — по стилю ближе к AZ-500, чем к архитектурным экзаменам — с 40–60 вопросами за 120 минут, включая перетаскивание, горячие области, множественный выбор и как минимум одно ситуационное исследование с задачами, основанными на сценариях, что поощряет практический опыт работы с сетями.
Около 22%. VNets, подсети, IP-адресация, пиринг (региональный и глобальный), подключение VNet-to-VNet, пользовательский DNS, Azure DNS Private Resolver и базовое IP-планирование для топологий hub-spoke.
Крупнейший раздел — 28%. UDRs и BGP, Azure Load Balancer (внутренний и внешний), Application Gateway с WAF, Azure Front Door, Traffic Manager и сценарии с маршрутными серверами / NVA. Много вопросов по потокам трафика.
Около 18%. Azure Firewall (и Firewall Manager), DDoS Protection, NSG против ASG, Network Watcher, Connection Monitor, журналы потоков NSG и аналитика трафика.
Около 16%. VPN-шлюзы типа "сеть-сеть" и "точка-сеть", ExpressRoute (каналы, пиринги, Global Reach, FastPath), Virtual WAN и модели интеграции SD-WAN.
Около 16%. Служебные конечные точки, частные конечные точки / Private Link, частные DNS-зоны, настраиваемое разрешение DNS для частных конечных точек и сетевая интеграция "платформа как услуга".
Сервисы, с которыми вы столкнётесь на экзамене, и почему каждый из них важен.
Программно-определяемая сеть с подсетями, планированием адресного пространства, глобальным пирингом VNet, конечными точками служб, NSG и UDR в качестве основных строительных блоков.
Почему он на экзамене: Домен 1 (Проектирование и внедрение основной сетевой инфраструктуры) начинает каждый сценарий с топологии VNet — выбора размера CIDR, пиринга «звезда» или «сетка» и делегирования подсетей.
Управляемая глобальная WAN, объединяющая подключения VNet, VPN, ExpressRoute и SD-WAN филиалов под одним виртуальным хабом со встроенной маршрутизацией и связностью «любой-с-любым».
Почему он на экзамене: Домен 4 (Гибридные сети) называет Virtual WAN каноническим ответом для многорегиональной архитектуры «звезда», заменяющей вручную настроенные хабы в масштабе.
Управляемая терминация IPsec VPN типа «сеть-сеть» и «точка-сеть» с BGP, активно-активным резервированием, туннелями на основе маршрутов и политик, а также пропускной способностью, зависящей от SKU.
Почему он на экзамене: Домен 4 проверяет выбор VPN Gateway или ExpressRoute по пропускной способности/SLA, настройку BGP ASNs и паттерны активно-активного переключения для гибридных магистралей.
Выделенные частные каналы к Azure с частным и Microsoft-пирингом, BGP, ExpressRoute Global Reach для маршрутизации «сеть-сеть» через магистраль Microsoft и FastPath для задержки менее 10 мс.
Почему он на экзамене: Вопросы Домена 4 по гибридному дизайну зависят от типов пиринга ExpressRoute, SKU каналов (Local/Standard/Premium), Global Reach и манипуляции путями BGP.
Управляемый отражатель маршрутов BGP, который обменивается маршрутами между Azure VNets и NVAs (Network Virtual Appliances) по BGP, устраняя ручное обслуживание UDR.
Почему он на экзамене: Домен 2 (Проектирование и внедрение маршрутизации) называет Route Server решением, когда устройства SDWAN или NVAм необходимо инжектировать BGP-маршруты в маршрутизирующую фабрику Azure.
Набор инструментов для диагностики сети: Connection Monitor, IP Flow Verify, NSG Diagnostics, Packet Capture, VNet Flow Logs и интроспекция эффективных маршрутов/правил безопасности.
Почему он на экзамене: Домен 3 (Защита и мониторинг сетей) опирается на Network Watcher — Connection Monitor для тестирования пути, Flow Logs для видимости трафика и NSG diagnostics для отладки правил.
Авторитетный хостинг публичных DNS-зон плюс приватные DNS-зоны со связями VNet, авторегистрацией и DNS Private Resolver для входящего/исходящего гибридного разрешения имён.
Почему он на экзамене: Домен 4 + Домен 5 проверяют гибридные DNS-паттерны — условные пересылки, конечные точки Private Resolver и авторегистрацию Private DNS в архитектуре «звезда».
Три уровня балансировки нагрузки: Standard Load Balancer (L4, региональный), Application Gateway (L7 с WAF, региональный) и Front Door (L7 с WAF, глобальный anycast-edge).
Почему он на экзамене: Домен 1 различает региональный L4 (Load Balancer) от регионального L7 (Application Gateway) от глобального L7 (Front Door) как повторяющийся отвлекающий паттерн в сценариях экзамена.
Управляемый stateful-фаервол-как-сервис с фильтрацией по FQDN, инспекцией TLS (Premium), IDPS и Firewall Manager для централизованной иерархии политик между хабами и VNets.
Почему он на экзамене: Сценарии инспекции трафика «восток-запад» и исходящего трафика в Домене 3 называют Azure Firewall управляемой альтернативой саморазмещаемым NVA, с Firewall Manager для политики нескольких хабов.
Всегда включенная защита от DDoS на сетевом и IP-уровнях с профилированием трафика, аналитикой атак, быстрым реагированием и защитой от затрат для автомасштабируемых целей.
Почему он на экзамене: Вопросы Домена 3 по смягчению объёмных и протокольных атак для конечных точек, обращённых в интернет, называют DDoS Protection Network/IP SKU ответом.
L7 WAF, развёрнутый на Application Gateway, Front Door или Azure CDN с управляемыми наборами правил (OWASP CRS, Microsoft bot manager), пользовательскими правилами и ограничением скорости.
Почему он на экзамене: Сценарии защиты на уровне приложений в Домене 3 проверяют выбор размещения WAF — Front Door (глобальный периметр) или App Gateway (региональный) — и тонкую настройку управляемых правил.
Управляемый сервис SNAT только для исходящего трафика с до 16 публичными IP, 64 тыс. портов SNAT на каждый IP и привязкой к каждой подсети — заменяет непредсказуемый исходящий трафик по умолчанию или SNAT на основе LB.
Почему он на экзамене: Вопросы маршрутизации Домена 2 о детерминированной исходящей связности, устранении исчерпания SNAT-портов и проектировании зонно-избыточного исходящего трафика называют NAT Gateway ответом.
Приватное подключение к сервисам PaaS и собственным сервисам клиента через Private Endpoints (NICs в потребительской VNet) с трафиком по магистрали Microsoft — никогда не проходящим через интернет.
Почему он на экзамене: Домен 5 (Проектирование и внедрение частного доступа к сервисам Azure) опирается на Private Link / Private Endpoint как на канонический паттерн PaaS без публичного IP.
Пары портов 10 Гбит/с или 100 Гбит/с, предоставляющие клиентам прямое подключение к магистрали Microsoft, с возможностью выделения нескольких каналов и шифрованием MACsec.
Почему он на экзамене: Сценарии гибридного дизайна Домена 4, требующие совокупной пропускной способности >10 Гбит/с, MACsec или изоляции физических портов, называют ExpressRoute Direct вместо стандартного ExpressRoute.
Непрерывное тестирование доступности и задержки между виртуальными машинами Azure, локальными агентами и конечными точками Azure с топологическим представлением, отслеживанием потери пакетов и интеграцией с Log Analytics.
Почему он на экзамене: Сценарии мониторинга Домена 3 по задержке гибридного пути, тестированию пути ExpressRoute и валидации до/после сбоя называют Connection Monitor операционным инструментом.
Центральная плоскость управления для групп VNet, конфигураций связности («звезда», «сетка») и административных правил безопасности, которые переопределяют NSG в рамках нескольких подписок.
Почему он на экзамене: Вопросы Домена 1 + Домена 3 по дизайну о масштабировании архитектуры «звезда» за пределы ручного пиринга и обеспечении базовых показателей безопасности через административные правила называют Virtual Network Manager.
Stateful L3/L4 фильтрация на уровне подсети и NIC через NSG, а также ASG, позволяющие правилам ссылаться на группы рабочих нагрузок (например, "WebTier", "DBTier") вместо статических диапазонов IP.
Почему он на экзамене: Вопросы безопасности Домена 3 о политике «запретить по умолчанию», приоритете/старшинстве правил и замене правил на основе IP-кортежей правилами на основе ASG являются повторяющейся основой экзамена.
Каталог удостоверений с политиками условного доступа, которые регулируют доступ к Bastion, P2S VPN и плоскости управления по пользователю, устройству, местоположению и сигналам риска.
Почему он на экзамене: Сценарии безопасного доступа Домена 3 + Домена 5 — P2S VPN с аутентификацией Entra, Bastion с MFA и условный доступ к плоскости администрирования — опираются на Entra + Conditional Access.
Унифицированный приёмник телеметрии для VNet Flow Logs, NSG diagnostics, метрик ExpressRoute / VPN Gateway и результатов Connection Monitor, доступный для запросов через рабочие книги KQL.
Почему он на экзамене: Паттерны мониторинга Домена 3 требуют Azure Monitor + Log Analytics для централизации журналов потоков, оповещения о превышении пороговых значений и создания рабочих книг по анализу трафика.
CSPM + защита рабочих нагрузок, предлагающая рекомендации по неправильной настройке сети (открытые порты, неограниченные правила NSG), адаптивное усиление защиты сети и JIT-доступ к VM.
Почему он на экзамене: Вопросы управления Домена 3 по непрерывному управлению состоянием безопасности, JIT-доступу к VM и рекомендациям по адаптивному усилению защиты называют Defender for Cloud ответом.
$110k–$150k–$200k USD годовая
Диапазон охватывает облачных сетевых инженеров среднего и старшего уровня в США; старшие сетевые архитекторы в крупных предприятиях и консалтинговых компаниях-партнерах Microsoft часто зарабатывают более 220 тыс. долларов США. Традиционные сетевые инженеры, переходящие в облако, склонны получать зарплату ближе к нижней границе, пока не накопят опыт работы с Azure.
Источник: levels.fyi 2025 роли сетевых инженеров / инженеров облачных сетей, Бюро статистики труда США OEWS, май 2024 г. (15-1241 сетевые архитекторы, 15-1244 администраторы сетей и компьютерных систем), Glassdoor 2025. Цифры приблизительны; фактическая компенсация зависит от роли, региона и опыта.
Спрос на AZ-700 стабилен, обусловлен текущими программами миграции предприятий в облако, требующими экспертизы в ExpressRoute, hub-spoke, Virtual WAN и Private Endpoint. Рекрутеры в сфере финансовых услуг, здравоохранения, государственных подрядчиках и консалтинговых компаниях-партнерах Microsoft используют его как каноническое доказательство компетенции в сетевых технологиях Azure. Он естественно сочетается с AZ-104 для сетевых инженеров с уклоном в облачное администрирование, с AZ-305 для архитекторов с уклоном в сети и с AZ-500 для инженеров, которые охватывают сетевые функции и функции безопасности. Спрос особенно высок в регулируемых отраслях со значительными требованиями к гибридной связности.
Формальных предварительных условий нет. Microsoft рекомендует иметь практические знания в области сетей (TCP/IP, DNS, маршрутизация, BGP, IPsec) плюс предыдущий опыт работы с Azure, эквивалентный AZ-104. Кандидаты без глубоких традиционных сетевых знаний обычно испытывают трудности со сценариями маршрутизации и ExpressRoute. AZ-900 является полезным концептуальным началом для кандидатов, новых в Azure, но не является обязательным.
Официальный путь обучения Microsoft Learn охватывает все пять доменов примерно за 30–40 часов. Практические лабораторные работы по сути необходимы: личная подписка Azure с VNets типа hub-spoke, VPN-шлюз и небольшой набор частных конечных точек позволяют кандидатам практиковать сценарии маршрутизации и DNS, которые преобладают на экзамене. ExpressRoute сложнее освоить на практике без корпоративного доступа; кандидаты обычно полагаются на модули Microsoft Learn и статьи архитектурного центра для этой области.
AZ-700 относится к уровню Associate и, как правило, считается умеренно сложным — сопоставим с AZ-500 по сложности, сложнее AZ-104 по глубине сетевых знаний, но уже по общему объему. Планируйте 70–110 часов обучения в течение 7–10 недель при наличии предыдущего опыта работы с сетями и администрирования Azure; значительно дольше для кандидатов, новых в любой из этих областей. Экзамен длится около 120 минут и содержит 40–60 вопросов в форматах множественного выбора, множественного ответа, перетаскивания, горячих областей и ситуационных исследований. Ситуационные исследования отводятся отдельно по времени и не могут быть пересмотрены.
Наиболее распространенным камнем преткновения является область маршрутизации — UDRs, взаимодействующие с BGP-изученными маршрутами из VPN / ExpressRoute, поведение распространения маршрутов и сценарии принудительного туннелирования являются плотными и часто проверяются. Разрешение частных DNS для частных конечных точек (пользовательские переадресаторы DNS, условные переадресаторы, интеграция групп частных DNS-зон) является еще одной постоянной областью-ловушкой.
Последнее обновление измеряемых навыков. Расширен охват Azure DNS Private Resolver, модернизирован контент Virtual WAN, обновлено позиционирование SKU Azure Front Door. Microsoft обновляет AZ-700 примерно каждые 12–18 месяцев без изменения кода экзамена.
Перераспределение весов в сторону доменов маршрутизации и частного доступа, добавление охвата Azure Route Server и ExpressRoute FastPath, а также более глубокая интеграция Virtual WAN.
Первоначальный GA. Первоначальный обзор был сосредоточен на топологиях hub-spoke, VPN / ExpressRoute, NSGs и сетевой интеграции PaaS.
AZ-700 (Microsoft Azure Network Engineer Associate) — это Associate-уровневый экзамен, экзамен средней сложности, требующий практического опыта и глубокого понимания лучших практик. Большинству кандидатов требуется 80–150 часов обучения, распределенных на 6–12 недель, для экзаменов уровня Associate. Большинство кандидатов, которые стабильно набирают баллы выше проходного порога на пробных экзаменах, сдают его с первой попытки.
Большинству кандидатов требуется 80–150 часов обучения, распределенных на 6–12 недель, для экзаменов уровня Associate. Время, необходимое для сдачи, сильно варьируется в зависимости от предыдущего опыта. Инженерам с практическим опытом работы с базовой технологией обычно требуется меньше времени; кандидатам, новым для платформы, следует ориентироваться на верхнюю границу этого диапазона.
AZ-700 — это признанная квалификация в экосистеме Azure, которая подтверждает знания для работодателей, рекрутеров и клиентов. Стоит ли это затраченного времени и платы, зависит от вашей роли и целей — это чаще всего окупается для облачных инженеров, архитекторов и консультантов, которые ежедневно работают с Azure или хотят перейти на такие должности.
Проходной балл для AZ-700 составляет 700 / 1000. Экзамен содержит 50 вопросов и длится 2 ч.
Стоимость экзамена AZ-700 составляет $165 USD. Сборы устанавливаются Azure и могут варьироваться в зависимости от региона; всегда уточняйте текущую цену на официальной странице сертификации Azure перед бронированием.
Сертификации Microsoft, основанные на ролях, истекают через 1 год, но могут быть бесплатно продлены с помощью непроверяемого онлайн-оценки на Microsoft Learn, начиная за 6 месяцев до истечения срока действия.
Да. Вы можете сдать экзамен онлайн (с прокторингом через безопасный браузер провайдера, доступный 24/7 в большинстве регионов) или в очном центре тестирования Pearson VUE в рабочее время. Оба формата используют одни и те же вопросы, ограничение по времени и проходной балл.
CertLabPro предлагает 15 режимов обучения по банку практических вопросов для AZ-700. Режим симуляции экзамена имитирует реальный экзамен: 50 вопросов за 2 ч, с тем же проходным порогом 700 / 1000. Режим просмотра позволяет статически читать каждый вопрос и ответ.