Accueil · Guides de révision · AZ-700

Guide complet AZ-700 — Microsoft

Designing and Implementing Microsoft Azure Networking Solutions · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

L'AZ-700 certifie les ingenieurs reseau Azure capables de concevoir, implementer et maintenir des solutions reseau cloud hybrides. Destinee aux administrateurs reseau avec experience Azure, elle valide les competences sur VNet, VPN, ExpressRoute, Application Gateway et securite reseau. Format QCM/labs de 40-60 questions en 100 minutes, score 700/1000. Prerequis recommande : AZ-104. Debouches : Cloud Network Engineer, Architecte Azure, Consultant Cloud avec salaires 55-85k EUR en France.

Pourquoi passer la certification AZ-700 ?

En 2026, la migration cloud massive des entreprises europeennes fait exploser la demande d'ingenieurs reseau Azure certifies. Microsoft Azure detient 24% du marche cloud mondial et progresse de 30% par an, notamment en Europe ou la souverainete numerique pousse les entreprises vers des architectures hybrides complexes. L'AZ-700 est la SEULE certification Microsoft dediee 100% au networking cloud, ce qui la rend rare et tres valorisee. Sur LinkedIn France, plus de 3500 offres mentionnent explicitement AZ-700 ou Azure Networking en 2026, avec une remuneration superieure de 18% a un ingenieur reseau traditionnel. Le ROI est rapide : 165 EUR d'examen pour une augmentation moyenne de 8000 EUR/an. Les architectes hybrid cloud, profil ultra-recherche, considerent AZ-700 comme un passage oblige avant AZ-305 (Solutions Architect). Avec l'arrivee massive d'Azure Virtual WAN, Azure Firewall Premium et Private Link dans les SI, maitriser ces technologies devient critique. Cette certification valorise votre CV face aux generalistes cloud et vous positionne sur des missions a forte valeur ajoutee : migration, refonte reseau, Zero Trust, connectivite multi-cloud. Elle est particulierement strategique pour les profils issus du networking on-premise (Cisco, Fortinet) souhaitant pivoter vers le cloud sans perdre leur expertise.

Caractéristiques de l'examen

Format	QCM, cas d'etude, labs interactifs (40-60 questions)
Duree	100 minutes (120 min avec labs)
Score requis	700/1000 (soit 70%)
Prix officiel	165 EUR HT en France
Langues	Anglais, Japonais, Chinois, Coreen, Allemand, Francais (selon disponibilite)
Validite	1 an, renouvellement gratuit en ligne via Microsoft Learn
Prerequis	AZ-104 recommande, experience networking et Azure de 6-12 mois

Programme détaillé par domaine

Domain 1 : Design, implement, and manage hybrid networking 10-15%

Objectifs: Ce domaine couvre la conception et l'implementation de connexions hybrides entre les sites on-premise et Azure. Vous devez savoir choisir la solution adaptee (VPN site-to-site, point-to-site, ExpressRoute) selon les contraintes de bande passante, latence, SLA et budget. Maitrise du dimensionnement des passerelles VPN (SKU Basic, VpnGw1-5, AZ), configuration BGP, redondance active-active, et migration depuis des solutions legacy. Comprehension fine des protocoles IPsec/IKEv2 et des scenarios de coexistence VPN + ExpressRoute.
Concepts clés: Virtual Network Gateway, Local Network Gateway, ExpressRoute circuit (Standard/Premium), ExpressRoute Direct, ExpressRoute Global Reach, FastPath, Azure Virtual WAN (Basic vs Standard), Hub-and-spoke topology, Site-to-Site VPN, Point-to-Site VPN avec OpenVPN/IKEv2/SSTP, certificats RADIUS et Azure AD authentication, BGP routing et AS path, redondance et SLA (99.95% vs 99.99%), zone-redundant gateways. Comprendre les SKU de gateway et leur bande passante associee est critique pour l'examen.
Services / outils: Azure VPN Gateway, ExpressRoute, Azure Virtual WAN, Azure Route Server, Connection Monitor, Network Performance Monitor, Azure CLI az network vnet-gateway, Terraform azurerm_virtual_network_gateway.
Temps estimé: 12-15h

Domain 2 : Design and implement core networking infrastructure 20-25%

Objectifs: Fondations de tout reseau Azure : conception des Virtual Networks, plans d'adressage IP, segmentation par subnets, et resolution DNS. Vous devez planifier des espaces d'adressage non chevauchants entre VNets et reseaux on-premise, anticiper la croissance, et appliquer les bonnes pratiques de delegation de subnet pour les services PaaS (App Service, AKS, SQL Managed Instance). Maitrise du peering VNet inter-region et inter-tenant, et de la resolution DNS hybride avec forwarders conditionnels.
Concepts clés: VNet, Subnet, CIDR planning (RFC 1918), Public IP (Basic, Standard, zonal/zone-redundant), IP Prefix, NAT Gateway, VNet peering (gateway transit, allow forwarded traffic), Azure DNS (public et private zones), Private DNS Resolver, conditional forwarding, DNS auto-registration, IPv6 dual-stack, service endpoints vs private endpoints. La gestion des adresses IPv4 epuisables impose souvent IPv6 ou NAT Gateway pour les sorties.
Services / outils: Azure Virtual Network, Azure DNS, Azure Private DNS, Azure NAT Gateway, Azure Bastion, Public IP, Azure Private DNS Resolver, az network vnet peering, ARM templates.
Temps estimé: 15-18h

Domain 3 : Design and implement routing and load balancing 20-25%

Objectifs: Ce domaine traite du routage personnalise et des solutions d'equilibrage de charge L4/L7. Vous devez savoir manipuler les User Defined Routes (UDR), comprendre la priorite des routes systeme vs UDR vs BGP, et concevoir des architectures hub-and-spoke avec NVA (Network Virtual Appliance). Choix critique entre Azure Load Balancer, Application Gateway, Front Door et Traffic Manager selon le scope (regional/global) et le niveau OSI cible.
Concepts clés: User Defined Routes, BGP route propagation, route tables, system routes, Azure Load Balancer (Basic/Standard, public/internal), Application Gateway v2 avec WAF, Azure Front Door Premium, Traffic Manager (priority, weighted, performance, geographic), Cross-region Load Balancer, health probes, backend pools, SSL termination et end-to-end TLS, URL-based routing, session affinity, Web Application Firewall (OWASP rules, custom rules, bot protection).
Services / outils: Azure Load Balancer, Application Gateway, Azure Front Door, Traffic Manager, Web Application Firewall, Route Server, BGP. Outils : az network lb, az network application-gateway.
Temps estimé: 15-18h

Domain 4 : Secure and monitor networks 15-20%

Objectifs: Securisation perimetrique et interne via les NSG, ASG, Azure Firewall et DDoS Protection. Vous devez concevoir une defense en profondeur avec Zero Trust, segmenter les flux est-ouest, et implementer la journalisation et le monitoring centralise. Comprehension de Azure Firewall Premium (TLS inspection, IDPS, URL filtering) et de son integration dans Virtual WAN comme Secured Virtual Hub.
Concepts clés: Network Security Group, Application Security Group, regles de priorite et evaluation, Azure Firewall (Standard/Premium/Basic), DNAT/SNAT rules, Azure DDoS Protection (Network/IP), Azure Bastion (Standard/Premium), Just-In-Time access, Network Watcher, NSG flow logs v2, Traffic Analytics, Connection Monitor, VNet Flow Logs, integration avec Log Analytics et Sentinel.
Services / outils: Azure Firewall, Azure Firewall Manager, DDoS Protection Standard, Network Watcher, NSG, ASG, Azure Bastion, Log Analytics, Microsoft Defender for Cloud.
Temps estimé: 12-15h

Domain 5 : Design and implement private access to Azure services 20-25%

Objectifs: Connectivite privee aux services PaaS Azure et tiers via Private Link et Service Endpoints. Vous devez choisir entre service endpoints (moins cher, regional) et private endpoints (plus securise, supporte les services tiers et on-premise). Conception de zones DNS privees pour la resolution des FQDN PaaS et integration avec les forwarders DNS hybrides.
Concepts clés: Azure Private Link, Private Endpoint, Private Link Service, Service Endpoint, Service Endpoint Policies, Private DNS zones (privatelink.*), DNS integration on-premise, Network Policies for Private Endpoints, App Service VNet Integration, AKS networking (Azure CNI, kubenet, Overlay), Azure SQL Private Link, Storage Account firewall, exposition de services internes a des clients externes via Private Link Service.
Services / outils: Private Link, Private Endpoint, Service Endpoints, Private DNS, App Service VNet Integration, Azure Kubernetes Service networking.
Temps estimé: 12-15h

Plan de révision hebdomadaire

Planning recommande sur 8 semaines pour un ingenieur ayant deja AZ-104. Semaine 1-2 : Fondations VNet et adressage IP. Lire la documentation Microsoft Learn parcours AZ-700 (modules 1-3), realiser les labs guides sur le peering, NSG, DNS prive. Deployer un environnement hub-and-spoke avec Terraform ou Bicep. Semaine 3 : Connectivite hybride. Approfondir VPN Gateway (SKU, BGP, active-active) et ExpressRoute (circuits, peerings, FastPath). Lab : monter un VPN site-to-site avec une VM simulant un routeur on-premise (RouterOS, pfSense). Semaine 4 : Routage et NVA. Maitriser UDR, Route Server, integration NVA. Lab : forcer le trafic via Azure Firewall avec UDR personnalisees. Semaine 5 : Load balancing. Comparer Load Balancer, Application Gateway, Front Door, Traffic Manager. Lab : deployer une app multi-region avec Front Door + WAF + backend pools. Semaine 6 : Securite et monitoring. Azure Firewall Premium avec TLS inspection, DDoS Protection, Network Watcher, NSG Flow Logs vers Log Analytics. Semaine 7 : Private Link et services PaaS. Configurer Private Endpoints pour Storage, SQL, App Service avec resolution DNS hybride. Realiser 2 examens blancs MeasureUp ou Whizlabs. Semaine 8 : Revision finale. Refaire les examens blancs jusqu'a 85%+, relire les fiches techniques officielles, revoir les SKU et limites de service par coeur. Reserver l'examen le vendredi pour profiter du weekend de detente avant.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Microsoft Learn - Parcours AZ-700

Parcours officiel gratuit avec modules interactifs, sandbox Azure et evaluations. Reference absolue, mise a jour en continu avec les nouveautes (Virtual WAN, Firewall Premium).

John Savill's AZ-700 Study Cram

Video YouTube gratuite de 4h couvrant tout le programme. Excellente synthese pedagogique par un Principal Engineer Microsoft, ideale pour reviser avant l'examen.

Microsoft Hands-on Labs / Azure Free Tier

200 USD de credit gratuit pour 30 jours + services gratuits 12 mois. Indispensable pour pratiquer VPN, ExpressRoute (en mode metered) et Application Gateway.

Tech Community Azure Networking

Forum officiel Microsoft, blogs des PM produits, annonces de roadmap. Reddit r/AzureCertification complete avec retours d'experience candidats francophones.

5 erreurs classiques à éviter

Erreur 1 : Confondre Service Endpoint et Private Endpoint. Le premier ouvre un acces optimise depuis un subnet vers un service PaaS via l'IP publique, le second cree une interface reseau privee dans votre VNet. Pour l'examen, retenir que Private Endpoint supporte on-premise via VPN/ER, pas Service Endpoint.
Erreur 2 : Mal dimensionner les SKU de VPN Gateway. Beaucoup choisissent VpnGw1 par defaut sans calculer la bande passante reelle (650 Mbps agregee) ni le nombre de tunnels (30 max). Toujours verifier le tableau officiel des SKU avant l'examen et savoir qu'on ne peut PAS resize entre Basic et Generation 2.
Erreur 3 : Oublier la propagation BGP dans les route tables. Quand on associe une UDR a un subnet contenant un Gateway Subnet, ne pas desactiver la propagation BGP coupe la connectivite hybride. Question piege classique.
Erreur 4 : Negliger la resolution DNS des Private Endpoints. Sans Private DNS Zone liee au VNet (ou forwarder conditionnel depuis on-premise), le FQDN du service PaaS resout vers l'IP publique et casse Private Link. Toujours configurer la zone privatelink.*.
Erreur 5 : Sous-estimer les labs interactifs de l'examen. Microsoft introduit des cas pratiques ou il faut configurer reellement dans le portail Azure. Negliger la pratique pour ne lire que la theorie est la premiere cause d'echec.

5 questions types corrigées

Q1. Vous deployez une application web sur Azure App Service et devez la rendre accessible uniquement depuis votre reseau on-premise connecte via ExpressRoute, sans transiter par Internet. Quelle solution implementer ?

Réponse : B

Private Endpoint cree une interface reseau avec une IP privee dans votre VNet, exposant App Service uniquement en interne. Combine a une Private DNS Zone privatelink.azurewebsites.net liee au hub et accessible via ExpressRoute, la resolution DNS depuis on-premise pointe vers l'IP privee. Service Endpoint (A) reste sur l'IP publique. Application Gateway (C) necessite quand meme l'exposition publique de App Service. Azure Firewall (D) ne resout pas le probleme de FQDN public.

Q2. Dans un hub-and-spoke avec Azure Firewall dans le hub, le trafic spoke1 vers spoke2 ne traverse pas le firewall malgre le peering. Quelle est la cause la plus probable ?

Réponse : B

Par defaut, le peering VNet cree une route systeme directe entre spokes (transitivite peering-to-peering n'existe pas, mais via le hub le trafic prend la route la plus specifique). Pour forcer le passage par le firewall, il faut une User Defined Route sur chaque subnet spoke avec next-hop type Virtual Appliance pointant vers l'IP privee d'Azure Firewall. C'est la base d'une architecture secured hub. Gateway Transit (A) concerne le routage via VPN/ER. Les NSG (C) bloqueraient simplement sans rerouter.

Q3. Vous devez exposer une application multi-region (Europe et US) avec WAF L7, geo-filtering et latence optimisee pour les utilisateurs mondiaux. Quel service choisir ?

Réponse : C

Azure Front Door Premium est un service global anycast L7 qui combine reverse proxy, WAF integre avec geo-filtering et bot protection, mise en cache CDN, et routage intelligent base sur la latence reelle. Traffic Manager (A) ne fait que du DNS sans terminaison TLS ni WAF. Application Gateway (B) est regional uniquement, necessitant un service global devant. Cross-region Load Balancer (D) opere en L4 sans WAF ni acceleration HTTP.

Voir plus de questions gratuites →

Carrière & salaire après AZ-700

En France 2026, un Cloud Network Engineer certifie AZ-700 negocie entre 55 000 et 75 000 EUR brut/an en debut de carriere (3-5 ans d'experience), et 75 000 a 95 000 EUR pour un profil senior (8+ ans). Les architectes hybrid cloud avec AZ-700 + AZ-305 atteignent 95 000 a 120 000 EUR, voire 130 000 EUR en freelance (TJM 700-900 EUR). Les ESN comme Capgemini, Sopra, Devoteam, Accenture recrutent activement ces profils pour les chantiers de migration cloud des grands comptes (banques, sante, industrie). Evolution naturelle : Architecte Cloud Senior, Lead Cloud Networking, ou specialisation SD-WAN/SASE. Certifications complementaires fortement valorisees : AZ-305 (Solutions Architect Expert), SC-100 (Cybersecurity Architect), AZ-500 (Security Engineer), et cote multi-cloud AWS Advanced Networking ou Google Cloud Network Engineer.

Détail des salaires AZ-700 en 2026 →

FAQ — AZ-700

Combien de temps faut-il pour preparer AZ-700 ?

Comptez 80 a 120 heures de preparation sur 6 a 8 semaines si vous avez deja AZ-104 et une experience networking. Sans AZ-104, prevoyez 150 heures sur 3 mois en couvrant d'abord les fondamentaux Azure.

Cette certification est-elle reconnue en France ?

Oui, tres largement. Microsoft Azure est le deuxieme cloud en France avec une forte adoption dans le secteur public, bancaire et industriel. AZ-700 est explicitement demandee dans plus de 3500 offres LinkedIn France en 2026 et reconnue par toutes les ESN du top 20.

Quel est le taux de reussite a AZ-700 ?

Microsoft ne publie pas les statistiques officielles, mais les retours communautaires (Reddit, forums) estiment le taux de reussite autour de 55-65% au premier passage. C'est une certification reputee technique avec des labs exigeants.

Quel est le salaire apres AZ-700 ?

En France 2026, salaire median de 65 000 EUR brut/an pour un profil intermediaire, et jusqu'a 95 000 EUR pour un senior. En freelance, le TJM moyen est de 650 a 850 EUR. Premium de 15-20% par rapport a un ingenieur reseau non certifie.

Faut-il une experience prealable ?

Microsoft recommande 6-12 mois d'experience Azure et une bonne maitrise du networking (TCP/IP, BGP, VPN, DNS). AZ-104 (Administrator) n'est pas obligatoire mais fortement conseille pour acquerir les bases du portail et de la CLI Azure.

AZ-700 ou cert concurrente : laquelle choisir ?

Si vous travaillez sur Azure, AZ-700 est incontournable. Pour AWS, l'equivalent est AWS Advanced Networking Specialty (plus difficile, 300 USD). Pour un profil multi-cloud, faites les deux. CCNP Enterprise reste pertinent pour le on-premise pur.

Combien coute l'examen AZ-700 ?

165 EUR HT en France via Pearson VUE en 2026. Gratuit si vous avez un voucher Microsoft (Cloud Skills Challenge, Microsoft Ignite, partenariat employeur Microsoft Partner). Renouvellement gratuit en ligne via Microsoft Learn apres 6 mois.

Combien de fois peut-on repasser AZ-700 ?

En cas d'echec, attendre 24h pour la 2e tentative, 14 jours pour la 3e, 4e et 5e. Maximum 5 tentatives par an. Chaque passage est payant. Microsoft offre parfois une 2e chance gratuite lors d'evenements (Exam Replay).

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc AZ-700 → Test d'orientation