logo
Azure助理级🔒 安全

Microsoft Certified: Azure Security Engineer Associate (AZ-500)

验证您在 Azure 身份管理、网络安全、计算/存储安全和安全运维方面的专业能力。Microsoft Azure 核心安全认证。

Start PracticeBrowse Learning Path
$165
Exam Fee
50
Questions
100m
Exam Duration
700/1000
Passing Score
Bottom line · Worth it

Azure 生态里唯一真正把 Entra ID、Defender for Cloud、Sentinel 串起来考的 Associate 级安全证,SecOps 岗位筛简历的默认关键词。

MEMBERSHIP

JR Academy Membership

Unlock all certifications, courses & tools at a fraction of the cost

  • All certification exam prep included
  • Course discounts up to 50%
  • AI tools & Chrome extensions
  • Priority 1-on-1 coaching
View Membership Plans

What this certification covers

This page is structured for quick scanning first: exam format, fit, prep time, and the actual study scope.

Microsoft Certified: Azure Security Engineer Associate(考试代码 AZ-500)是 Microsoft 在 Azure 安全方向唯一的 Associate 级认证,定位填在 SC-900(入门)和 SC-100(Cybersecurity Architect Expert)中间。考试费 165 USD,100 分钟 40-60 题,700/1000 分通过,证书有效期 1 年,每年通过 Microsoft Learn 上的免费在线 Renewal Assessment 续期(不用再交一次考试费)。

AZ-500 考的不是"安全理论",而是在真实 Azure 租户里把安全控制配出来。四大领域权重基本对半分:管理身份和访问(25-30%)、保护网络安全(20-25%)、保护计算/存储/数据库(20-25%)、管理安全运维(25-30%)。最后一个域是近两年权重持续上升的部分 — 因为 Microsoft 把整个 Defender 产品线和 Sentinel 都塞进了这一域。

2023 年 Microsoft 把 Azure AD 正式改名为 Microsoft Entra ID,同时把 Azure Security Center / Azure Defender 合并重命名为 Microsoft Defender for Cloud。AZ-500 考纲在 2024 年完成术语切换,现在考试里出现的是 Entra ID、Conditional Access、PIM、Defender for Cloud、Defender for Servers、Sentinel 这一整套新命名。你看到的老教程里如果还写着 "Azure AD",内容本身不一定错,但一定要在脑子里把名字换过来。

和 AWS 安全类认证(SCS-C02)相比,AZ-500 对"产品矩阵"的考察更重 — 因为 Microsoft 把 XDR、SIEM、CASB、IAM 做成了一个相互集成的套件,考试会大量出现"该选 Defender for Cloud 还是 Sentinel"、"用 Conditional Access 还是 PIM"这类选型题。能背服务名单没用,必须知道每个服务的触发场景和定价边界。

You will work with

Azure ADConditional AccessPIMAzure FirewallNSGAzure DDoS ProtectionKey VaultMicrosoft Defender for CloudMicrosoft SentinelAzure PolicyStorage EncryptionSQL Security

After preparation

  • 获得 Microsoft 官方 Azure Security Engineer Associate 认证
  • 掌握 Azure 身份管理、网络安全和安全运维
  • 能够实施企业级 Azure 安全策略和控制
  • 熟练使用 Microsoft Defender for Cloud 和 Sentinel

Exam details

Exam Code
AZ-500
Provider
Microsoft Azure
Duration
100 minutes
Question Count
50 questions
Passing Score
700/1000
Validity
1 years
Exam Fee
$165 USD
Question Types
单选题, 多选题, 案例分析, 拖拽题
Languages
English, 中文(简体), 日本語, 한국어
Official Page
Open AWS page

Who should take it

Good fit

  • Azure 安全工程师和云安全专家
  • 安全运维和 SOC 分析师
  • Azure 管理员希望专精安全领域
  • 企业信息安全管理人员
  • 准备升级安全架构师的 IT 从业者

Before you start

  • 具备 Azure 管理基础(建议已了解 AZ-104 内容)
  • 了解网络安全基础概念
  • 熟悉身份管理和访问控制
  • 有 Azure 门户和 CLI 操作经验

Is it worth it? Career value

Salary ranges, target job titles, and the real career impact of holding Azure Security Engineer Associate.

澳洲
$125K-175KAUD
美国
$140K-205KUSD
中国
¥380K-650KCNY
新加坡
$105K-160KSGD
Cloud Security EngineerAzure Security EngineerSOC AnalystSecOps EngineerCloud Security ConsultantSecurity Architect (Azure)云安全工程师安全运维工程师

为什么 Azure 安全岗薪资普遍比普通 Azure 管理员高 15-25%

云安全是 2025-2026 年整个 IT 行业缺口最大的细分方向之一。ISC2 在 2024 年的 Cybersecurity Workforce Study 里给出的数字是全球安全岗位缺口约 400 万;Microsoft 自己的 Security Partner 数据显示 Defender/Sentinel 的企业采购增速连续 3 年超过 40%。这两个数字加在一起直接传导到薪资 — 澳洲市场上 Azure Security Engineer 的中位年薪比同级别的 Azure Administrator(AZ-104 对应岗位)平均高出约 2 万澳元。

这张证最适合的三类人

  1. Azure 管理员想专精安全方向:已经有 AZ-104 或同等 Azure 运维经验,但在组织里发现"安全"这个口子缺人、预算又多。AZ-500 是你从"运维工程师"切到"安全工程师"title 的最短路径 — 考纲 80% 的内容你都能在现有的 Azure 租户里直接上手练。
  2. 传统安全从业者转云:有 CISSP、Security+ 或 SOC 背景,但客户 / 公司开始全面上 Azure,你对 Entra ID、Conditional Access、Sentinel KQL 没概念。AZ-500 帮你把已有的安全方法论映射到 Azure 产品矩阵。
  3. MSP / 咨询公司的云工程师:给客户做 Microsoft 365 + Azure 落地的咨询顾问,客户动不动就问"合规怎么做、零信任怎么落"。AZ-500 是你在客户面前开口讲 Defender / Sentinel 的底气。

不适合考的人:完全没有 Azure 经验的纯安全学习者建议先考 SC-900(基础级),否则会在 Conditional Access、PIM 的实操题上撞墙;职业方向是"应用安全 / AppSec / 渗透测试"的人不推荐考 AZ-500,它完全不考 web 漏洞、代码审计、pentest,你的预算应该投给 OSCP 或 OSWE;已经在做 Azure 安全架构师 3 年以上的资深工程师建议直接冲 SC-100(Expert 级别)。

和 CISSP 的关系经常被问:两者不冲突也不重叠。CISSP 考的是安全管理体系、风险评估、合规治理,是"manager 级别的横向知识";AZ-500 考的是 Azure 单一平台的具体产品配置,是"工程师级别的纵向实操"。现实中,一个在澳洲做 Cloud Security Engineer 的典型简历会同时写 CISSP(证明安全思维)+ AZ-500(证明 Azure 动手能力),两张证的组合比单独任何一张都更容易过 HR 关键词筛选。

Exam domains

Use this breakdown to decide where to spend study time first instead of reading chapters evenly.

Content Distribution

28%

1. 管理身份与访问

Manage Identity and Access

Core Knowledge
Microsoft Entra IDPIMConditional AccessMFARBACService Principal
22%

2. 保护网络安全

Secure Networking

Core Knowledge
NSGAzure FirewallApplication Gateway WAFPrivate LinkDDoS ProtectionVPN
22%

3. 保护计算、存储和数据库

Secure Compute, Storage, and Databases

Core Knowledge
VM 安全AKS 安全Key Vault存储加密SQL 审计Defender for Cloud
28%

4. 管理安全运营

Manage Security Operations

Core Knowledge
Microsoft SentinelDefender for Cloud安全策略威胁防护安全评分事件响应

Study preparation

With hands-on AWS

6-8 weeks

From scratch

12-16 weeks

Daily pace

1.5-2 hours/day

Learning path preview

6 chapters
1
AZ-500 考试概述与备考指南
45 min
2
管理身份和访问
180 min
3
保护网络安全
150 min
4
保护计算、存储和数据库
150 min
5
管理安全运维
180 min
6
考前冲刺与实战演练
60 min

Step-by-step preparation

A concrete week-by-week plan from past test-takers — not generic advice.

1

第一阶段:补齐 Azure 基础 + 术语切换(1-2 周,可跳过)

如果你还没考过 AZ-104 或没有 1 年 Azure 实操经验,先用 1-2 周把 Virtual Network、Subnet、Resource Group、RBAC、Azure Portal 基本操作过一遍。同时把所有"Azure AD"在脑子里换成"Entra ID",把"Security Center / Azure Defender"换成"Defender for Cloud"。这一步很多老教程没做,直接开始学会被旧术语坑。

2

第二阶段:Entra ID + Conditional Access + PIM 主攻(2-3 周)

身份域权重 25-30%,是第一大考点。开一个免费的 Microsoft 365 Developer 租户(有 25 个 E5 账号),实际配置:Conditional Access 策略(按位置/设备/风险等级分别写一条)、PIM 激活流程(含审批 + MFA)、Identity Protection 的风险用户策略、Managed Identity 给 VM 访问 Key Vault。理论看视频没用,必须在租户里点出来。

3

第三阶段:网络 + 计算 + 存储安全(2-3 周)

这一段内容最杂但最好拿分。重点:NSG 规则处理顺序和 effective rules 诊断、Azure Firewall vs NSG 的选型、Private Endpoint 和 Service Endpoint 的区别(考试最爱出)、Key Vault 的 Access Policy vs RBAC 两种授权模式、Storage Account 的 SAS Token 类型、SQL TDE 和 Always Encrypted 的适用场景。每个知识点做 20 题巩固。

4

第四阶段:Defender for Cloud + Sentinel 深入(2-3 周)

运维域权重 25-30%,是第二大考点,也是 AZ-500 最能拉开分差的部分。必须搞清楚:Defender 每个 plan(Servers P1/P2、SQL、Storage、Containers、Key Vault)分别保护什么、价格怎么算;JIT VM Access 的工作流程;Sentinel 的 Data Connector → Analytics Rule → Incident → Playbook 全链路;KQL 基础语法(考试会出简单查询让你补全或纠错)。建议把 Microsoft Learn 上的 Sentinel Ninja Training 至少过一遍。

5

第五阶段:模考冲刺(最后 1-2 周)

MeasureUp、Whizlabs、Tutorials Dojo 三选一,做至少 4 套全真模考。考纲看起来平均分配,但实际考试里"身份"和"运维"两域加起来超过一半题目,冲刺阶段优先回顾这两域的错题。稳定 78% 以上再去考 — AZ-500 题型里有拖拽和案例分析,实际比模考更耗时间,考试紧张还会再掉 5-10 个百分点。

Real test-taker experiences

What it actually took for real candidates to pass — prep time, scores, and lessons learned.

之前做 on-prem SOC 3 年,公司迁 Azure 后要求团队全员考 AZ-500。最难的是 Entra ID 那套 — Conditional Access、PIM、Identity Protection 三个东西经常在同一道题里出现,刚开始完全分不清楚。后来逼自己在 Developer 租户里把每个功能至少点三遍,考试才有底气。

D. Chen812/1000
SOC Analyst → Cloud Security Engineer · 10 weeks prep

有 AZ-104 基础的话,AZ-500 最难的不是技术,是 Defender for Cloud 的 plan 和定价。题目经常问"启用哪个 plan 能保护 XX 场景且成本最低",如果没真的在账单页面看过每个 plan 的单价(Servers P1 是 $5/VM/月,P2 是 $15),这种题只能瞎猜。建议报名前一定要进 Azure Pricing Calculator 把 Defender 全系列算一遍。

M. Patel876/1000
Azure 管理员 5 年 · 7 weeks prep

我日常就是写 Sentinel 规则的,本来以为运维域能横扫,结果身份域差点挂掉。PIM 的 eligible vs active assignment、approval workflow、access review 这些细节在工作里很少碰,全靠突击。教训是:不要以为有工作经验就可以不看基础教材,AZ-500 考的是"全覆盖",任何一块短板都会拖分。

Sentinel 工程师 2 年738/1000
MSSP 安全顾问 · 6 weeks prep

Certification comparison

Azure Security Engineer AssociateAzure AdministratorSecurity, Compliance, and Identity Fundamentals
ProviderAzureAzureAzure
Level助理级助理级基础级
Fee$165$165$99
Duration100 min120 min45 min
Question count505050
Validity1 yrs1 yrs0 yrs

Study tips and common mistakes

💡

**申请 ESL +30 分钟**:母语非英语的考生在 Pearson VUE 报名时可以申请 ESL Accommodation,免费多 30 分钟,总时长 130 分钟。案例分析题很吃时间,这 30 分钟非常关键。

💡

**先过单选再打案例分析**:AZ-500 有 1-2 个案例分析题(一个案例 4-6 问),题干超长。建议先把前面的单选和多选快速过一遍,最后集中 30 分钟攻案例,避免一上来就在一个案例上耗 20 分钟。

💡

**关键词条件反射**:看到 "least privilege + temporary" 选 **PIM**;看到 "block legacy authentication" 选 **Conditional Access**;看到 "automate response to incident" 选 **Sentinel Playbook**;看到 "protect SQL from SQL injection" 选 **Defender for SQL**;看到 "store secrets for app" 选 **Key Vault + Managed Identity**。

💡

**多选题一定看清 "Select 2"**:AZ-500 的多选题会明确写 "Select two" 或 "Select three",少选或多选都算整题错,不给部分分。

💡

**考完立刻收藏 Renewal 页面**:拿到证书后第一件事是在 Microsoft Learn 上收藏你的续证页面,证书到期前 6 个月系统会开放免费续证考试,设一个日历提醒,不然钱白花。

⚠️

**把 Conditional Access 和 RBAC 混为一谈** — Conditional Access 控制的是"能不能登录以及登录时满足什么条件"(比如要 MFA、要合规设备),RBAC 控制的是"登录后能操作哪些资源"。考试经常出"用户登录成功但无法创建 VM"的场景,答案永远是 RBAC 不是 CA;反之"用户从海外登录被拦截"才是 CA。

⚠️

**忽略 Defender for Cloud 的 plan 粒度和定价** — Defender for Cloud 不是一个开关,而是按资源类型分 7 个独立 plan(Servers、App Service、Databases、Storage、Containers、Key Vault、Resource Manager),每个 plan 单独计费。考试高频题:给一个场景让你选"开哪个 plan 最省钱又满足要求",不知道每个 plan 保护什么就是死题。

⚠️

**Sentinel 里只会点 UI 不会写 KQL** — Sentinel 的 Analytics Rule 底层就是 KQL 查询。考试会出简单 KQL 让你补全(比如用 `where`、`summarize`、`project` 过滤事件),完全不懂语法会丢 3-5 分。至少把 `SigninLogs | where ResultType != 0 | summarize count() by UserPrincipalName` 这种基础结构背下来。

⚠️

**把 Just-in-Time VM Access 当成网络功能** — JIT 是 Defender for Servers 的功能,不是 NSG 的功能。它通过动态修改 NSG 规则来临时开放端口(默认 3 小时),但管理面在 Defender for Cloud 里。题目经常把 JIT 放在网络域的选项里做干扰项。

⚠️

**Key Vault 授权选错模式** — Key Vault 有两种授权:传统的 Access Policy 和新的 Azure RBAC。两种**不能混用**,一个 Vault 只能选一种。Microsoft 2023 年后主推 RBAC 模式,考试默认场景也是 RBAC。看到题目里说"grant permission via role assignment"立刻想到 RBAC 模式。

⚠️

**低估续证机制导致白考** — AZ-500 证书有效期只有 1 年,必须在到期前 6 个月内通过 Microsoft Learn 上的免费 Renewal Assessment 续期,过期后必须重新交 165 USD 考试费。不少人考完就忘了,隔年发现证书已失效。

FAQ

Frequently Asked Questions

If you plan to take Azure Security Engineer Associate, start with real practice.

465+ questions, chapter-by-chapter learning, mock exams, wrong-question review, and AI tutor support live in the exam page.

Go to exam prep

From $29 · 2 free chapters

Related certifications

Azure Administrator

Azure · 助理级
$16550 questions120 min

Security, Compliance, and Identity Fundamentals

Azure · 基础级
$9950 questions45 min

CISSP

其他 · 大师级
$749150 questions180 min