AZ-500

核心服务

• Microsoft Entra IDAWS 文档 ↗

  云身份目录，包含用户、组、应用程序注册、条件访问策略、MFA，以及用于即时提升的特权身份管理 (PIM)。

  为什么会出现在考试中： 领域 1（身份与访问管理）围绕 Entra ID 构建——条件访问、MFA 强制执行和 PIM 激活是考试中最常考的主题。

• Microsoft Entra ID ProtectionAWS 文档 ↗

  基于风险的身份威胁检测——登录风险、用户风险和异常行程信号为条件访问策略提供信息，以实现自适应挑战和阻止。

  为什么会出现在考试中： 领域 1 关于响应受损凭据和风险登录的问题，将 ID Protection 列为 Azure 原生信号源。

• Microsoft Defender for CloudAWS 文档 ↗

  云原生 CSPM + CWPP——安全分数、法规遵从性仪表板、建议，以及针对服务器、存储、SQL、容器、App Service 和 DNS 的 Defender 计划。

  为什么会出现在考试中： 领域 4（安全运营管理）将 Defender for Cloud 列为跨订阅的态势管理和工作负载保护的单一管理平台。

• Microsoft SentinelAWS 文档 ↗

  云原生 SIEM 和 SOAR——数据连接器、分析规则（KQL 驱动）、实体行为分析 (UEBA)、自动化剧本 (Logic Apps) 和事件分类。

  为什么会出现在考试中： 领域 4 将 Sentinel 作为 AZ-500 SIEM 进行测试——连接器设置、分析规则编写和自动化剧本几乎出现在每个考试题型中。

• Microsoft Defender XDRAWS 文档 ↗

  统一的 XDR 门户，将来自 Defender for Endpoint、Identity、Office 365 和 Cloud Apps 的信号关联起来，形成跨领域事件和自动化调查。

  为什么会出现在考试中： 领域 4（安全运营管理）区分了 Defender XDR（跨产品关联）与 Sentinel (SIEM)——了解这一界限是反复测试的考点。

• Azure FirewallAWS 文档 ↗

  托管的有状态的第 3/4/7 层防火墙，具备 FQDN 过滤、威胁情报源、TLS 检查（高级版）、IDPS，并通过防火墙策略实现集中式规则管理。

  为什么会出现在考试中： 领域 2（网络安全）将 Azure Firewall 列为辐射型和虚拟 WAN 拓扑中的出口/入口检查平面。

• Azure Web Application Firewall (WAF)AWS 文档 ↗

  部署在 Application Gateway 或 Front Door 上的第 7 层 WAF，具备 OWASP 核心规则集、自定义规则、机器人保护以及按策略的检测/预防模式。

  为什么会出现在考试中： 领域 2 + 领域 3 中关于保护公共 Web 端点免受注入、抓取和 L7 DDoS 攻击的问题，将 WAF 列为 Azure 原生边缘防御。

• Microsoft Defender for EndpointAWS 文档 ↗

  适用于 Windows、macOS、Linux、iOS、Android 的 EDR/EPP——攻击面减少、自动化调查和修复、漏洞管理和威胁搜寻。

  为什么会出现在考试中： 领域 3（计算、存储和数据库安全）和领域 4 将 MDE 作为工作负载级别的防御，向 Defender for Cloud 和 Defender XDR 提供端点信号。

专用服务

• Azure DDoS ProtectionAWS 文档 ↗

  始终开启的平台 DDoS（免费）以及网络和 IP 保护 SKU，增加了应用层遥测、成本保护保证和快速响应 SRT 访问。

  为什么会出现在考试中： 领域 2 区分了免费的始终开启层和付费的网络/IP 保护——这是考试中关于强化面向公共的工作负载的常见场景。

• Azure BastionAWS 文档 ↗

  托管的跳转盒，通过门户或原生客户端将 RDP/SSH 代理到虚拟机，而无需公开公共 IP 或打开入站 NSG 规则。

  为什么会出现在考试中： 领域 2 + 领域 3 的安全访问场景将 Bastion 列为无需跳转盒基础设施或公共 IP 即可进行 VM 管理的解决方案。

• Azure Private Link + Private EndpointAWS 文档 ↗

  通过 Microsoft 主干网对 Azure PaaS（存储、SQL、Key Vault 等）和合作伙伴服务进行私有 IP 访问，消除公共互联网暴露。

  为什么会出现在考试中： 领域 2 + 领域 3 将 Private Endpoint 作为从 PaaS 中移除公共端点同时保留服务功能的典型模式进行测试。

• Azure Network Security Groups (NSGs)AWS 文档 ↗

  在子网或 NIC 范围内的有状态第 3/4 层 ACL，具有按优先级排序的允许/拒绝规则、应用程序安全组 (ASG) 和用于取证的 NSG 流日志。

  为什么会出现在考试中： 领域 2（网络安全）几乎在每种题型中都测试 NSG 规则优先级、基于 ASG 的分段以及用于流量审计的流日志捕获。

• Microsoft Defender for Servers / Storage / SQL / ContainersAWS 文档 ↗

  Defender for Cloud 中的工作负载层保护计划——Defender for Servers（MDE 集成）、Storage（恶意软件扫描）、SQL（漏洞 + 威胁检测）、Containers（Kubernetes 感知运行时）。

  为什么会出现在考试中： 领域 3（计算、存储和数据库安全）主要在于为每个工作负载层选择正确的 Defender 计划并调整其警报。

• Microsoft Defender for IdentityAWS 文档 ↗

  本地 AD 威胁检测——来自域控制器流量的哈希传递、票据传递、黄金票据、侦察和横向移动信号。

  为什么会出现在考试中： 领域 1 + 领域 4 中关于检测混合身份泄露的问题，将 Defender for Identity 列为向 Defender XDR 提供信息的 AD 感知威胁传感器。

• Microsoft Purview Information Protection + DLPAWS 文档 ↗

  跨 Microsoft 365、Endpoint DLP 和 Azure 数据源的敏感度标签、加密和数据丢失防护策略——发现、分类和强制执行。

  为什么会出现在考试中： 领域 3（计算、存储和数据库安全）将 Purview IP + DLP 列为敏感内容的静态/动态数据分类和保护层。

• Azure Container Registry (image scanning)AWS 文档 ↗

  托管的注册表，具备 Defender for Containers 镜像扫描、内容信任、保留策略以及用于多区域拉取路径的地理复制功能。

  为什么会出现在考试中： 领域 3 容器场景将带有 Defender 扫描的 ACR 列为 Kubernetes/AKS 镜像分发的安全供应链解决方案。

安全与治理

• Azure Key Vault (incl. Managed HSM)AWS 文档 ↗

  用于机密、证书以及软件或 HSM 支持密钥的托管存储，具备 Entra 集成的 RBAC、软删除、清除保护和 BYOK/HYOK 流程。

  为什么会出现在考试中： 领域 3（计算、存储和数据库安全）测试 Key Vault 在存储账户/数据库 TDE 加密密钥保管和客户管理密钥 (CMK) 模式中的应用。

• Azure Policy + Initiatives + BlueprintsAWS 文档 ↗

  声明式治理，具有拒绝/审计/部署（如果不存在）效果、计划捆绑包（例如 CIS、ISO 27001、NIST 800-53）和用于环境基线的蓝图。

  为什么会出现在考试中： 领域 4（安全运营管理）将 Azure Policy 列为大规模实施安全基线、加密要求和标记的强制机制。

• Microsoft Defender for Cloud AppsAWS 文档 ↗

  云访问安全代理 (CASB)——影子 IT 发现、SaaS 态势管理、通过条件访问应用控制的会话控制以及信息保护集成。

  为什么会出现在考试中： 领域 1 + 领域 4 引用 Defender for Cloud Apps 进行 SaaS 侧治理——发现未经授权的应用程序并在 Microsoft 365 / 连接的 SaaS 上强制执行实时会话策略。

• Azure Monitor + Log AnalyticsAWS 文档 ↗

  统一遥测——活动日志、诊断设置、指标和通过 KQL 查询的 Log Analytics 工作区；是 Sentinel 和 Defender for Cloud 摄取数据的底层基础。

  为什么会出现在考试中： 领域 4（安全运营管理）依赖 Azure Monitor 进行诊断设置路由到中央工作区以及为 Sentinel 分析规则提供数据的 KQL 查询。

典型职位

• Azure 安全工程师
• 云安全工程师
• 安全运营工程师
• DevSecOps 工程师
• 高级云安全工程师
• 云安全顾问
• 身份与访问管理工程师

薪资范围（美国，估算）

$110k–$150k–$205k USD 每年

该范围涵盖美国境内需要 Azure 熟练度的中高级云安全工程师。在 FAANG / 金融科技 / 受监管行业的高级云安全工程师的总薪酬通常超过 23 万美元。此认证是一个筛选信号；生产环境下的安全事件响应经验决定了薪酬上限。

来源：levels.fyi 2025 年云安全/IAM 工程师职位，美国劳工统计局 OEWS 2024 年 5 月 (15-1212 information security analysts)，Glassdoor 2025。数据为估算值；实际薪酬取决于职位、地区和经验。

市场需求

AZ-500 是职位描述中需求量最大的 Azure 安全认证，也是微软整体安全考试中考量最大的考试之一。随着企业将安全工具整合到 Microsoft Defender for Cloud 和 Microsoft Sentinel 上，其需求在 2024–2026 年间加速增长。金融服务、医疗保健、政府承包商和微软合作伙伴咨询公司的招聘人员将其视为 Azure 安全能力的权威证明。它自然地与 AZ-104（安全倾向管理员最常见的组合）、与 AZ-305（安全倾向架构师）、与 AZ-700（网络安全工程师），以及与 SC-200（安全运营分析师）和 SC-100（网络安全架构师）搭配，以完善微软安全产品组合。