本文件的用途
警告
此考試將於2026年8月31日中部標準時間晚上11:59停止。 了解更多。
此學習指南應可協助您理解測驗的內容範圍,並會包含測驗可能涵蓋的主題摘要,以及其他資源的連結。 本文件中的資訊和教材應可協助您專心準備此測驗。
| 實用的連結 | 描述 |
|---|---|
| 獲取認證的方式 | 部分認證僅需通過一個測驗,而其他認證則需通過多個測驗。 |
| 認證更新 | Microsoft Associate、Expert 與 Specialty 認證每年都會到期。 您可以透過通過 Microsoft Learn 的免費線上評量來進行更新。 |
| 您的 Microsoft Learn 設定檔 | 將認證設定檔連線至 Microsoft Learn 可讓您排程與更新測驗,以及分享與列印認證。 |
| 測驗計分與成績單 | 700 分或以上才能通過。 |
| 測驗沙箱 | 您可以瀏覽我們的測驗沙箱,以探索測驗環境。 |
| 要求無障礙設施 | 如果您使用輔具、需要額外時間或需要修改測驗體驗的任何部分,您都可以申請合理調整。 |
| 進行免費的練習測驗 | 利用練習問題測試技能,以協助您準備測驗。 |
測驗更新
我們一律會先更新英文版的測驗。 部分測驗會翻譯成其他語言,而且那些語言版本會在英文版更新後約八週進行更新。 其他可用的語言會列在 [測驗詳細資訊] 網頁的 [安排測驗時間] 區段中。 如果測驗未提供您慣用語言的版本,您可以多要求 30 分鐘來完成測驗。
注意
每個受測技能後所列的項目,旨在展示我們如何評估該技能。 測驗會涵蓋相關主題。
注意
大部分問題都涵蓋一般可用性(GA)的功能。 測驗可能會包含與預覽版功能有關的問題,如果這些功能是常用的話。
技能測量數據截至2026年1月22日
對象概況
身為 Azure 資訊安全工程師,您以端對端基礎結構的形式,在 Azure、多雲端和混合式環境中實作、管理及監視資源的安全性。 可使用適用於雲端的 Microsoft Defender 和其他工具來實作及管理安全性元件和組態。 確定基礎結構符合標準與最佳做法,例如 Microsoft 雲端安全性基準 (MCSB)。
您作為 Azure 安全性工程師的責任包括:
管理安全防護態勢。
實作威脅防護。
識別和補救弱點。
您負責實作 Azure 基礎結構的監管合規性控制,包括身分識別與存取、網路、計算、儲存體、資料、應用程式、資產管理、備份與復原,以及 devops 安全性。
身為 Azure 資訊安全工程師,您與架構師、系統管理員和開發人員合作,以規劃及實作符合安全性與合規性需求的解決方案。 您也可與安全性作業共同作業,以回應 Azure 中的安全性事件。
您應該具備:
管理 Microsoft Azure 和混合式環境的實際經驗。
非常熟悉 Microsoft Entra ID,以及 Azure 中的計算、網路和儲存體。
技能一目了然
保護身分識別與存取 (15–20%)
安全網路 (20–25%)
保護計算、儲存體與資料庫 (20–25%)
使用適用於雲端的 Microsoft Defender 和 Microsoft Sentinel 保護 Azure (30–35%)
保護身分識別與存取 (15–20%)
管理身分識別與存取的安全性控制
管理 Azure 內建角色指派
管理自訂角色,包括 Azure 角色與 Microsoft Entra 角色
在 Microsoft Entra Privileged Identity Management 中規劃及管理 Azure 資源,包括設定和指派
實作多重要素驗證 (MFA) 以存取 Azure 資源
在 Azure 中為雲端資源實作條件式存取原則
管理 Microsoft Entra 應用程式存取與受管理身份
在 Microsoft Entra 識別碼中管理企業應用程式存取權,包括 OAuth 權限授與
管理 Microsoft Entra 應用程式註冊
設定應用程式註冊權限範圍
管理應用程式註冊權限同意
管理及使用服務主體身份
管理受控識別
安全網路 (20–25%)
規劃及實作虛擬網路的安全性
規劃及實作網路安全性群組 (NSG) 與應用程式安全性群組 (ASG)
使用 Azure Virtual Network Manager 管理虛擬網路
規劃及實作使用者定義的路由 (UDR)
規劃及實作虛擬網路對等互連或 VPN 閘道
規劃及實作虛擬 WAN,包括安全的虛擬中樞
保護 VPN 連線,包括點對站與站對站
透過 ExpressRoute 實作加密
進行 Azure 資源上的防火牆設定
使用網路監看員監視網路安全性
規劃及實作私人存取 Azure 資源的安全性
規劃及實作虛擬網路服務端點
規劃及實作私人端點
規劃及實作 Private Link 服務
規劃及實作 Azure App Service 與 Azure Functions 的網路整合
規劃及實作 App Service 環境 (ASE) 的網路安全性設定
規劃及實作 Azure SQL 受控執行個體的網路安全性設定
規劃及實作公用存取 Azure 資源的安全性
規劃及實作傳輸層安全性 (TLS) 至應用程式,包括 Azure App Service 與 API 管理
規劃、實作及管理 Azure 防火牆,包括 Azure 防火牆管理員與防火牆原則
規劃及實作 Azure 應用程式閘道
進行 Azure Front Door 的規劃與實作,包括內容傳遞網路 (CDN)
規劃及實作 Web 應用程式防火牆 (WAF)
建議使用 Azure DDoS 保護標準的時機
保護計算、儲存體與資料庫 (20–25%)
規劃及實作進階的計算安全性
規劃並實施對虛擬機器的遠端存取,包括使用 Azure Bastion 和即時(JIT)虛擬機器存取功能。
設定 Azure Kubernetes Service (AKS) 的網路隔離
保護及監控 AKS
設定 AKS 的驗證
設定 Azure 容器執行個體 (ACI) 的安全性監視
設定 Azure 容器應用程式 (ACA) 的安全性監視
管理 Azure Container Registry (ACR) 的存取權
設定磁碟加密,包括 Azure 磁碟加密 (ADE)、主機加密,以及機密磁碟加密
建議 Azure API 管理的安全性設定
規劃及實作儲存體的安全性
設定儲存體帳戶的存取控制
管理儲存體帳戶存取金鑰
選取並設定適當的方法來存取 Azure 檔案儲存體
選取並設定適當的方法來存取 Azure Blob 儲存體
選取並設定適當的方法來防範資料安全性威脅,包括虛刪除、備份、版本設定,以及不可變儲存體
設定攜帶您自己的金鑰 (BYOK)
在 Azure 儲存體基礎結構層級啟用雙重加密
規劃及實作 Azure SQL Database 與 Azure SQL 受控執行個體的安全性
啟用 Microsoft Entra 資料庫驗證
啟用資料庫稽核
規劃及實作動態遮罩
實作透明資料加密 (TDE)
建議使用 Azure SQL Database Always Encrypted 的時機
使用適用於雲端的 Microsoft Defender 和 Microsoft Sentinel 保護 Azure (30–35%)
實作與管理雲端治理原則的強制執行
在 Azure Policy 中建立、指派及解釋原則與方案
設定 Azure Key Vault 網路設定
設定 Key Vault 的存取權,包括保存庫存取原則與 Azure 角色型存取控制
管理憑證、祕密與金鑰
設定金鑰輪替
執行憑證、祕密與金鑰的備份與復原
實作安全性控制以保護備份
實作資產管理的安全性控制
使用適用於雲端的 Microsoft Defender 來管理安全性態勢
使用 Microsoft Defender for Cloud 的安全分數和資產清單來識別並補救安全性風險
透過適用於雲端的 Microsoft Defender,評估安全性架構的合規性
管理適用於雲端的 Microsoft Defender 的合規性標準
將自訂標準新增至適用於雲端的 Microsoft Defender
將混合式雲端和多重雲端環境連線到 Microsoft Defender for Cloud,包括 Amazon Web Services (AWS) 和 Google Cloud Platform (GCP)
實作和使用 Microsoft Defender 外部攻擊面管理 (EASM)
使用適用於雲端的 Microsoft Defender 來設定及管理威脅防護
在 Microsoft Defender for Cloud 中啟用雲端工作負載保護計畫
設定適用於伺服器的 Microsoft Defender、適用於資料庫的 Microsoft Defender,以及適用於儲存體的 Microsoft Defender
在適用於伺服器的 Microsoft Defender 中為虛擬機器實作和管理無代理程式掃描
實作和進行 Azure 虛擬機器的 Microsoft Defender 弱點管理
在 Microsoft Defender for Cloud DevOps Security 中進行連線和設定,包括 GitHub、Azure DevOps 和 GitLab。
設定及管理安全性監視與自動化解決方案
管理及回應適用於雲端的 Microsoft Defender 中的安全性警示
使用適用於雲端的 Microsoft Defender 設定工作流程自動化
在 Azure 監視器中設定資料收集規則 (DCR) 來監視網路安全性事件和效能資料
在 Microsoft Sentinel 中設定資料連接器
啟用 Microsoft Sentinel 中的分析規則
在 Microsoft Sentinel 中設定自動化
學習資源
建議您在參加測驗之前,先進行訓練並取得實作經驗。 我們提供了自學選項和課堂訓練,以及文件、社群網站和影片的連結。
變更記錄檔
下表摘要說明所測量到的目前與先前版本技能之間的變更。 功能群組採用粗體字樣,後面接著每個群組內的目標。 這份資料表會比較受測驗技能的先前與目前版本,而資料表中的第三個資料行則會描述變更範圍。
| 2026年1月22日之前的技能領域 | 截至2026年1月22日的技能範圍 | 變更 |
|---|---|---|
| 安全性、身分識別與存取 | 安全性、身分識別與存取 | 沒有變化 |
| 管理 Microsoft Entra 應用程式存取權 | 管理 Microsoft Entra 應用程式存取與受管理身份 | Minor |
| 安全的運算、儲存與資料庫 | 安全的運算、儲存與資料庫 | 沒有變化 |
| 規劃及實作進階的計算安全性 | 規劃及實作進階的計算安全性 | Minor |
| 使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 保護 Azure | 使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 保護 Azure | 沒有變化 |
| 使用適用於雲端的 Microsoft Defender 來設定及管理威脅防護 | 使用適用於雲端的 Microsoft Defender 來設定及管理威脅防護 | Minor |