本文档的目的
本学习指南应帮助你了解考试的预期内容,并包含考试可能涵盖的主题摘要以及指向其他资源的链接。 本文档中的信息和材料可以帮助你在准备考试时集中精力学习。
| 有用链接 | 说明 |
|---|---|
| 如何获得认证 | 有些认证只需要通过一项考试,而另一些认证则需要通过多项考试。 |
| 认证续订 | Microsoft 助理、专业和专家认证每年都会过期。 你可以通过 Microsoft Learn 上的免费在线评估进行续订。 |
| Microsoft Learn 个人资料 | 通过将认证个人资料连接到 Microsoft Learn,可以安排和续订考试以及共享和打印证书。 |
| 考分和成绩报告 | 需要 700 分或更高的分数才能通过。 |
| 考试沙盒 | 可以通过访问我们的考试沙盒来探索考试环境。 |
| 请求便利设施 | 如果你使用辅助设备、需要额外时间或需要修改考试体验的任何部分,你可以申请住宿。 |
| 进行免费的练习评估 | 通过练习题测试技能,帮助你为考试做准备。 |
考试更新
我们始终首先更新考试的英语版本。 一些考试已本地化为其他语言,在英语版本更新后大约八周进行更新。 其他可用语言列在“考试详细信息”网页的“安排考试”部分。 如果考试不以你的首选语言提供,你可以请求额外 30 分钟时间来完成考试。
注意
每项技能下面的项目符号旨在说明我们如何评估该技能。 考试中可能会涉及到相关的主题。
注意
大多数问题都涉及正式发布 (GA) 的功能。 如果经常使用预览功能,该考试可能会包含有关这些功能的问题。
自 2025 年 1 月 31 日起测试的技能
受众概况
Azure 安全工程师在端到端基础结构中实现、管理和监视 Azure、多云和混合环境中资源的安全性。 可使用 Microsoft Defender for Cloud 和其他工具来实现和管理安全组件和配置。 确保基础结构符合标准与最佳做法,如 Microsoft 云安全基准 (MCSB)。
Azure 安全工程师的职责包括:
管理安全状况。
实施威胁防护。
识别和修正漏洞。
你负责为 Azure 基础结构实施监管合规性控制,包括身份验证和访问控制、网络、计算、存储、数据、应用程序、资产管理、备份和恢复以及 devops 安全性。
Azure 安全工程师与架构师、管理员和开发人员合作,规划和实现满足安全性和合规性要求的解决方案。 还可与安全操作协作,以应对 Azure 中的安全事件。
你应该具备以下能力:
管理 Microsoft Azure 和混合环境的实践经验。
非常熟悉 Microsoft Entra ID 以及 Azure 中的计算、网络和存储。
技能概览
保护身份验证和访问控制 (15–20%)
安全网络 (20-25%)
保护计算、存储和数据库 (20-25%)
使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 保护 Azure (30–35%)
保护身份验证和访问控制 (15–20%)
管理身份验证和访问控制的安全控制
管理 Azure 内置角色分配
管理自定义角色,包括 Azure 角色和 Microsoft Entra 角色
实现和管理 Microsoft Entra 权限管理
在 Microsoft Entra Privileged Identity Management 中计划和管理 Azure 资源,包括设置和分配
实现多重身份验证 (MFA) 以访问 Azure 资源
在 Azure 中为云资源实施条件访问策略
管理 Microsoft Entra 应用程序访问
在 Microsoft Entra ID 中管理对企业应用程序的访问权限(包括 OAuth 权限授予)
管理 Microsoft Entra 应用程序注册
配置应用程序注册权限范围
管理应用注册权限同意
管理和使用服务主体
管理托管标识
安全网络 (20-25%)
计划和实现虚拟网络安全性
计划和实现网络安全组 (NSG) 和应用程序安全组 (ASG)
使用 Azure Virtual Network Manager 管理虚拟网络
计划和实现用户定义的路由 (UDR)
计划和实现虚拟网络对等互连或 VPN 网关
计划和实现虚拟 WAN(包括安全虚拟中心)
安全 VPN 连接(包括点到站点和站点到站点)
实现基于 ExpressRoute 的加密
配置 Azure 资源的防火墙设置
使用网络观察程序监视网络安全
计划和实现对 Azure 资源的专用访问的安全性
计划和实现虚拟网络服务终结点
计划和实现专用终结点
计划和实现专用链接服务
计划和实现 Azure 应用服务和 Azure Functions 的网络集成
计划和实现应用服务环境 (ASE) 的网络安全配置
计划和实现 Azure SQL 托管实例的网络安全配置
计划和实现对 Azure 资源的公共访问的安全性
计划和实现应用程序的传输层安全性 (TLS),包括 Azure 应用服务和 API 管理
计划、实现和管理 Azure 防火墙(包括 Azure 防火墙管理器和防火墙策略)
计划和实现 Azure 应用程序网关
计划和实现 Azure Front Door(包括内容分发网络 [CDN])
计划和实现 Web 应用程序防火墙 (WAF)
就何时使用 Azure DDoS 防护标准层提供建议
保护计算、存储和数据库 (20-25%)
计划和实现计算的高级安全性
计划和实现对虚拟机的远程访问,包括 Azure Bastion 和即时 (JIT)
配置 Azure Kubernetes 服务 (AKS) 的网络隔离
保护和监视 AKS
配置 AKS 的身份验证
配置 Azure 容器实例 (ACI) 的安全监视
配置 Azure 容器应用 (ACA) 的安全监视
管理对 Azure 容器注册表 (ACR) 的访问权限
配置磁盘加密,包括 Azure 磁盘加密 (ADE)、主机加密和机密磁盘加密
就 Azure API 管理安全配置提供建议
计划和实现存储安全性
配置存储帐户的访问控制
管理存储帐户访问密钥
选择并配置访问 Azure 文件存储的适当方法
选择并配置访问 Azure Blob 存储的适当方法
选择并配置防范数据安全威胁的适当方法(包括软删除、备份、版本控制以及不可变存储)
配置创建自己的密钥 (BYOK)
在 Azure 存储基础结构级别启用双重加密
计划和实现 Azure SQL 数据库及 Azure SQL 托管实例的安全性
启用 Microsoft Entra 数据库身份验证
启用数据库审核
计划和实现动态掩码
实现透明数据加密 (TDE)
就何时使用 Azure SQL 数据库 Always Encrypted 提供建议
使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 保护 Azure (30–35%)
实施和管理云治理策略的强制措施
在 Azure Policy 中创建、分配和解释策略和计划
配置 Azure Key Vault 网络设置
配置对 Key Vault 的访问权限(包括保管库访问策略和 Azure 基于角色的访问控制)
管理证书、机密和密钥
配置密钥轮换
执行证书、机密和密钥的备份和恢复
实施安全控制以保护备份
实现资产管理的安全控制
使用 Microsoft Defender for Cloud 管理安全状况
使用 Microsoft Defender for Cloud 安全分数和清单识别和修正安全风险
通过使用 Microsoft Defender for Cloud 对安全框架进行合规性评估
管理 Microsoft Defender for Cloud 中的合规性标准
将自定义标准添加到 Microsoft Defender for Cloud
将混合云和多云环境连接到 Microsoft Defender for Cloud,包括 Amazon Web Services (AWS) 和 Google Cloud Platform (GCP)
实现和使用 Microsoft Defender 外部攻击面管理 (EASM)
使用 Microsoft Defender for Cloud 配置和管理威胁防护
在 Microsoft Defender for Cloud 中启用工作负载保护服务
配置 Microsoft Defender for Servers、Microsoft Defender for Databases 以及 Microsoft Defender for Storage
在 Microsoft Defender for Servers 中实现与管理虚拟机的无代理扫描
为 Azure 虚拟机实现和进行 Microsoft Defender 漏洞管理
在 Microsoft Defender for Cloud Devops 安全性(包括 GitHub、Azure DevOps 和 GitLab)中连接和配置设置
配置和管理安全监视和自动化解决方案
在 Microsoft Defender for Cloud 中管理和响应安全警报
使用 Microsoft Defender for Cloud 配置工作流自动化
通过在 Azure Monitor 中配置数据收集规则 (DCR) 来监视网络安全事件和性能数据
在 Microsoft Sentinel 中配置数据连接器
启用 Microsoft Sentinel 中的分析规则
配置 Microsoft Sentinel 中的自动化
学习资源
我们建议你在参加考试之前进行培训并获得实践经验。 我们提供自学选项和课堂培训,以及指向文档、社区网站和视频的链接。
更改日志
下表总结了当前版本和上一版本的测评技能更改。 功能组采用粗体字样,后跟每个组中的目标。 下表比较了上一版本和当前版本的考试测评技能,第三列描述了更改程度。
| 2025 年 1 月 31 日之前的技能领域 | 自 2025 年 1 月 31 日起的技能领域 | 更改 |
|---|---|---|
| 受众概况 | 主要 | |
| 管理身份验证和访问控制 | 保护身份验证和访问控制 | 考试占比下降 |
| 管理 Microsoft Entra 标识 | 已删除 | |
| 管理 Microsoft Entra 身份验证 | 已删除 | |
| 管理 Microsoft Entra 授权 | 管理身份验证和访问控制的安全控制 | 主要 |
| 管理 Microsoft Entra 应用程序访问 | 管理 Microsoft Entra 应用程序访问 | 次要 |
| 安全网络 | 安全网络 | 考试占比增加 |
| 计划和实现虚拟网络安全性 | 计划和实现虚拟网络安全性 | 次要 |
| 保护计算、存储和数据库 | 保护计算、存储和数据库 | 没有变化 |
| 计划和实现计算的高级安全性 | 计划和实现计算的高级安全性 | 次要 |
| 计划和实现存储安全性 | 计划和实现存储安全性 | 主要 |
| 计划和实现 Azure SQL 数据库及 Azure SQL 托管实例的安全性 | 计划和实现 Azure SQL 数据库及 Azure SQL 托管实例的安全性 | 主要 |
| 管理安全操作 | 使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 保护 Azure | 考试占比增加 |
| 计划、实现和管理安全治理 | 实施和管理云治理策略的强制措施 | 主要 |
| 使用 Microsoft Defender for Cloud 管理安全状况 | 使用 Microsoft Defender for Cloud 管理安全状况 | 次要 |
| 使用 Microsoft Defender for Cloud 配置和管理威胁防护 | 使用 Microsoft Defender for Cloud 配置和管理威胁防护 | 主要 |
| 配置和管理安全监视和自动化解决方案 | 配置和管理安全监视和自动化解决方案 | 次要 |