Azure 生态里唯一真正把 Entra ID、Defender for Cloud、Sentinel 串起来考的 Associate 级安全证,SecOps 岗位筛简历的默认关键词。
这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
Microsoft Certified: Azure Security Engineer Associate(考试代码 AZ-500)是 Microsoft 在 Azure 安全方向唯一的 Associate 级认证,定位填在 SC-900(入门)和 SC-100(Cybersecurity Architect Expert)中间。考试费 165 USD,100 分钟 40-60 题,700/1000 分通过,证书有效期 1 年,每年通过 Microsoft Learn 上的免费在线 Renewal Assessment 续期(不用再交一次考试费)。
AZ-500 考的不是"安全理论",而是在真实 Azure 租户里把安全控制配出来。四大领域权重基本对半分:管理身份和访问(25-30%)、保护网络安全(20-25%)、保护计算/存储/数据库(20-25%)、管理安全运维(25-30%)。最后一个域是近两年权重持续上升的部分 — 因为 Microsoft 把整个 Defender 产品线和 Sentinel 都塞进了这一域。
2023 年 Microsoft 把 Azure AD 正式改名为 Microsoft Entra ID,同时把 Azure Security Center / Azure Defender 合并重命名为 Microsoft Defender for Cloud。AZ-500 考纲在 2024 年完成术语切换,现在考试里出现的是 Entra ID、Conditional Access、PIM、Defender for Cloud、Defender for Servers、Sentinel 这一整套新命名。你看到的老教程里如果还写着 "Azure AD",内容本身不一定错,但一定要在脑子里把名字换过来。
和 AWS 安全类认证(SCS-C02)相比,AZ-500 对"产品矩阵"的考察更重 — 因为 Microsoft 把 XDR、SIEM、CASB、IAM 做成了一个相互集成的套件,考试会大量出现"该选 Defender for Cloud 还是 Sentinel"、"用 Conditional Access 还是 PIM"这类选型题。能背服务名单没用,必须知道每个服务的触发场景和定价边界。
你会反复碰到的核心服务
学完以后你能带走什么
- 获得 Microsoft 官方 Azure Security Engineer Associate 认证
- 掌握 Azure 身份管理、网络安全和安全运维
- 能够实施企业级 Azure 安全策略和控制
- 熟练使用 Microsoft Defender for Cloud 和 Sentinel
考试详情
适合谁考
适合人群
- Azure 安全工程师和云安全专家
- 安全运维和 SOC 分析师
- Azure 管理员希望专精安全领域
- 企业信息安全管理人员
- 准备升级安全架构师的 IT 从业者
开始前最好先有
- 具备 Azure 管理基础(建议已了解 AZ-104 内容)
- 了解网络安全基础概念
- 熟悉身份管理和访问控制
- 有 Azure 门户和 CLI 操作经验
值不值得考?职业价值
Azure Security Engineer Associate 持证人的薪资区间、对应岗位、以及真实的职业影响。
为什么 Azure 安全岗薪资普遍比普通 Azure 管理员高 15-25%
云安全是 2025-2026 年整个 IT 行业缺口最大的细分方向之一。ISC2 在 2024 年的 Cybersecurity Workforce Study 里给出的数字是全球安全岗位缺口约 400 万;Microsoft 自己的 Security Partner 数据显示 Defender/Sentinel 的企业采购增速连续 3 年超过 40%。这两个数字加在一起直接传导到薪资 — 澳洲市场上 Azure Security Engineer 的中位年薪比同级别的 Azure Administrator(AZ-104 对应岗位)平均高出约 2 万澳元。
这张证最适合的三类人:
- Azure 管理员想专精安全方向:已经有 AZ-104 或同等 Azure 运维经验,但在组织里发现"安全"这个口子缺人、预算又多。AZ-500 是你从"运维工程师"切到"安全工程师"title 的最短路径 — 考纲 80% 的内容你都能在现有的 Azure 租户里直接上手练。
- 传统安全从业者转云:有 CISSP、Security+ 或 SOC 背景,但客户 / 公司开始全面上 Azure,你对 Entra ID、Conditional Access、Sentinel KQL 没概念。AZ-500 帮你把已有的安全方法论映射到 Azure 产品矩阵。
- MSP / 咨询公司的云工程师:给客户做 Microsoft 365 + Azure 落地的咨询顾问,客户动不动就问"合规怎么做、零信任怎么落"。AZ-500 是你在客户面前开口讲 Defender / Sentinel 的底气。
不适合考的人:完全没有 Azure 经验的纯安全学习者建议先考 SC-900(基础级),否则会在 Conditional Access、PIM 的实操题上撞墙;职业方向是"应用安全 / AppSec / 渗透测试"的人不推荐考 AZ-500,它完全不考 web 漏洞、代码审计、pentest,你的预算应该投给 OSCP 或 OSWE;已经在做 Azure 安全架构师 3 年以上的资深工程师建议直接冲 SC-100(Expert 级别)。
和 CISSP 的关系经常被问:两者不冲突也不重叠。CISSP 考的是安全管理体系、风险评估、合规治理,是"manager 级别的横向知识";AZ-500 考的是 Azure 单一平台的具体产品配置,是"工程师级别的纵向实操"。现实中,一个在澳洲做 Cloud Security Engineer 的典型简历会同时写 CISSP(证明安全思维)+ AZ-500(证明 Azure 动手能力),两张证的组合比单独任何一张都更容易过 HR 关键词筛选。
考试域分布
这里不是装饰信息,它决定你应该先把时间砸在哪些知识域上。
学习内容分布
1. 管理身份与访问
Manage Identity and Access
2. 保护网络安全
Secure Networking
3. 保护计算、存储和数据库
Secure Compute, Storage, and Databases
4. 管理安全运营
Manage Security Operations
备考节奏
有 AWS 实操经验
零基础切入
建议日投入
学习路径预览
6 章分阶段备考路径
过来人总结的分阶段备考节奏,按周拆分,不是空话。
第一阶段:补齐 Azure 基础 + 术语切换(1-2 周,可跳过)
如果你还没考过 AZ-104 或没有 1 年 Azure 实操经验,先用 1-2 周把 Virtual Network、Subnet、Resource Group、RBAC、Azure Portal 基本操作过一遍。同时把所有"Azure AD"在脑子里换成"Entra ID",把"Security Center / Azure Defender"换成"Defender for Cloud"。这一步很多老教程没做,直接开始学会被旧术语坑。
第二阶段:Entra ID + Conditional Access + PIM 主攻(2-3 周)
身份域权重 25-30%,是第一大考点。开一个免费的 Microsoft 365 Developer 租户(有 25 个 E5 账号),实际配置:Conditional Access 策略(按位置/设备/风险等级分别写一条)、PIM 激活流程(含审批 + MFA)、Identity Protection 的风险用户策略、Managed Identity 给 VM 访问 Key Vault。理论看视频没用,必须在租户里点出来。
第三阶段:网络 + 计算 + 存储安全(2-3 周)
这一段内容最杂但最好拿分。重点:NSG 规则处理顺序和 effective rules 诊断、Azure Firewall vs NSG 的选型、Private Endpoint 和 Service Endpoint 的区别(考试最爱出)、Key Vault 的 Access Policy vs RBAC 两种授权模式、Storage Account 的 SAS Token 类型、SQL TDE 和 Always Encrypted 的适用场景。每个知识点做 20 题巩固。
第四阶段:Defender for Cloud + Sentinel 深入(2-3 周)
运维域权重 25-30%,是第二大考点,也是 AZ-500 最能拉开分差的部分。必须搞清楚:Defender 每个 plan(Servers P1/P2、SQL、Storage、Containers、Key Vault)分别保护什么、价格怎么算;JIT VM Access 的工作流程;Sentinel 的 Data Connector → Analytics Rule → Incident → Playbook 全链路;KQL 基础语法(考试会出简单查询让你补全或纠错)。建议把 Microsoft Learn 上的 Sentinel Ninja Training 至少过一遍。
第五阶段:模考冲刺(最后 1-2 周)
MeasureUp、Whizlabs、Tutorials Dojo 三选一,做至少 4 套全真模考。考纲看起来平均分配,但实际考试里"身份"和"运维"两域加起来超过一半题目,冲刺阶段优先回顾这两域的错题。稳定 78% 以上再去考 — AZ-500 题型里有拖拽和案例分析,实际比模考更耗时间,考试紧张还会再掉 5-10 个百分点。
通过者的真实经验
过来人的备考时长、分数、以及踩过的坑。
之前做 on-prem SOC 3 年,公司迁 Azure 后要求团队全员考 AZ-500。最难的是 Entra ID 那套 — Conditional Access、PIM、Identity Protection 三个东西经常在同一道题里出现,刚开始完全分不清楚。后来逼自己在 Developer 租户里把每个功能至少点三遍,考试才有底气。
有 AZ-104 基础的话,AZ-500 最难的不是技术,是 Defender for Cloud 的 plan 和定价。题目经常问"启用哪个 plan 能保护 XX 场景且成本最低",如果没真的在账单页面看过每个 plan 的单价(Servers P1 是 $5/VM/月,P2 是 $15),这种题只能瞎猜。建议报名前一定要进 Azure Pricing Calculator 把 Defender 全系列算一遍。
我日常就是写 Sentinel 规则的,本来以为运维域能横扫,结果身份域差点挂掉。PIM 的 eligible vs active assignment、approval workflow、access review 这些细节在工作里很少碰,全靠突击。教训是:不要以为有工作经验就可以不看基础教材,AZ-500 考的是"全覆盖",任何一块短板都会拖分。
同赛道认证对比
| Azure Security Engineer Associate | Azure Administrator | Security, Compliance, and Identity Fundamentals | |
|---|---|---|---|
| 机构 | Azure | Azure | Azure |
| 级别 | 助理级 | 助理级 | 基础级 |
| 考试费 | $165 | $165 | $99 |
| 时长 | 100 min | 120 min | 45 min |
| 题量 | 50 | 50 | 50 |
| 有效期 | 1 年 | 1 年 | 0 年 |
备考技巧与常见失误
**申请 ESL +30 分钟**:母语非英语的考生在 Pearson VUE 报名时可以申请 ESL Accommodation,免费多 30 分钟,总时长 130 分钟。案例分析题很吃时间,这 30 分钟非常关键。
**先过单选再打案例分析**:AZ-500 有 1-2 个案例分析题(一个案例 4-6 问),题干超长。建议先把前面的单选和多选快速过一遍,最后集中 30 分钟攻案例,避免一上来就在一个案例上耗 20 分钟。
**关键词条件反射**:看到 "least privilege + temporary" 选 **PIM**;看到 "block legacy authentication" 选 **Conditional Access**;看到 "automate response to incident" 选 **Sentinel Playbook**;看到 "protect SQL from SQL injection" 选 **Defender for SQL**;看到 "store secrets for app" 选 **Key Vault + Managed Identity**。
**多选题一定看清 "Select 2"**:AZ-500 的多选题会明确写 "Select two" 或 "Select three",少选或多选都算整题错,不给部分分。
**考完立刻收藏 Renewal 页面**:拿到证书后第一件事是在 Microsoft Learn 上收藏你的续证页面,证书到期前 6 个月系统会开放免费续证考试,设一个日历提醒,不然钱白花。
**把 Conditional Access 和 RBAC 混为一谈** — Conditional Access 控制的是"能不能登录以及登录时满足什么条件"(比如要 MFA、要合规设备),RBAC 控制的是"登录后能操作哪些资源"。考试经常出"用户登录成功但无法创建 VM"的场景,答案永远是 RBAC 不是 CA;反之"用户从海外登录被拦截"才是 CA。
**忽略 Defender for Cloud 的 plan 粒度和定价** — Defender for Cloud 不是一个开关,而是按资源类型分 7 个独立 plan(Servers、App Service、Databases、Storage、Containers、Key Vault、Resource Manager),每个 plan 单独计费。考试高频题:给一个场景让你选"开哪个 plan 最省钱又满足要求",不知道每个 plan 保护什么就是死题。
**Sentinel 里只会点 UI 不会写 KQL** — Sentinel 的 Analytics Rule 底层就是 KQL 查询。考试会出简单 KQL 让你补全(比如用 `where`、`summarize`、`project` 过滤事件),完全不懂语法会丢 3-5 分。至少把 `SigninLogs | where ResultType != 0 | summarize count() by UserPrincipalName` 这种基础结构背下来。
**把 Just-in-Time VM Access 当成网络功能** — JIT 是 Defender for Servers 的功能,不是 NSG 的功能。它通过动态修改 NSG 规则来临时开放端口(默认 3 小时),但管理面在 Defender for Cloud 里。题目经常把 JIT 放在网络域的选项里做干扰项。
**Key Vault 授权选错模式** — Key Vault 有两种授权:传统的 Access Policy 和新的 Azure RBAC。两种**不能混用**,一个 Vault 只能选一种。Microsoft 2023 年后主推 RBAC 模式,考试默认场景也是 RBAC。看到题目里说"grant permission via role assignment"立刻想到 RBAC 模式。
**低估续证机制导致白考** — AZ-500 证书有效期只有 1 年,必须在到期前 6 个月内通过 Microsoft Learn 上的免费 Renewal Assessment 续期,过期后必须重新交 165 USD 考试费。不少人考完就忘了,隔年发现证书已失效。
FAQ
常见问题
如果你准备考 Azure Security Engineer Associate,先从真题型练习开始。
465+ 练习题、章节学习路径、模考、错题复盘和 AI 导师都在备考页里。
进入备考页$29 起 · 前 2 章可免费试学