Im Mai 2025 habe ich die Prüfung AZ-104 bestanden und damit Microsoft Certified: Azure Administrator Associate erworben. Für mich schließt dieses Zertifikat einen Kreis, der mir seit Jahren leise bewusst war: Bei ThreeBIT bauen wir Software auf Azure nicht nur, wir betreiben sie auch – und die Fähigkeiten, mit denen man ein Feature ausliefert, sind nicht ganz dieselben, mit denen man es um drei Uhr nachts gesund hält. In dieser Zertifizierung geht es um die zweite Hälfte dieses Satzes.
Ich bin Entwickler aus Instinkt und Gründer aus den Umständen heraus. Ich schreibe gern das, was es gestern noch nicht gab. Aber je länger es ThreeBIT gibt, desto überzeugter bin ich, dass die interessante, harte, unglamouröse Arbeit nach dem Deploy passiert: Identitäten, die regiert werden wollen, Storage, der abgesichert werden muss, ein Netzwerk, das den Verkehr tatsächlich routen soll, und ein Monitoring, das einem sagt, dass etwas nicht stimmt, bevor es ein Kunde tut. AZ-104 ist Microsofts Name für genau diesen Wissensbestand, und ich wollte mit dem Zertifikat laut aussprechen, was wir ohnehin schon praktizieren.
Was Azure Administrator Associate ist
Microsoft Certified: Azure Administrator Associate ist eine rollenbasierte Zertifizierung auf mittlerem Niveau (Intermediate) für die Rolle des Azure-Administrators. Microsofts eigene Beschreibung ist nüchtern und nützlich: Ein Kandidat „sollte Fachwissen im Implementieren, Verwalten und Überwachen der Azure-Umgebung einer Organisation mitbringen, einschließlich virtueller Netzwerke, Storage, Compute, Identität, Sicherheit und Governance".
Am meisten schätze ich, wie die Rolle selbst gerahmt wird. Microsoft beschreibt den Azure-Administrator als jemanden, der „häufig Teil eines größeren Teams ist, das die Cloud-Infrastruktur einer Organisation umsetzt" und der „sich mit anderen Rollen abstimmt, um Netzwerk-, Sicherheits-, Datenbank-, Anwendungsentwicklungs- und DevOps-Lösungen in Azure bereitzustellen". Genau so sieht das Betreiben von Kundenumgebungen in einem kleinen, vollstack-orientierten Laden aus. Man ist selten der Einzige, der ein System anfasst, und man ist fast nie fertig – man ist derjenige, der es korrekt hält.
Man erwirbt die Zertifizierung, indem man eine einzige Prüfung besteht: AZ-104. Microsoft nennt den empfohlenen Hintergrund klar: Man sollte mit Betriebssystemen, Netzwerken, Servern und Virtualisierung vertraut sein und praktische Erfahrung mit PowerShell, der Azure CLI, dem Azure-Portal, Azure-Resource-Manager-(ARM-)Vorlagen oder Bicep sowie Microsoft Entra ID haben. Nichts davon ist für uns theoretisch. Gerade Bicep ist die Art, wie wir bei ThreeBIT Infrastruktur beschreiben – es direkt unter den Voraussetzungen zu sehen, fühlte sich nach einem fairen Kampf an und nicht nach einer Streckung.
Eines noch vorweg, weil es ändert, wie man jedes rollenbasierte Microsoft-Zertifikat lesen sollte: Es läuft nach zwölf Monaten ab. Microsoft lässt rollenbasierte und Specialty-Zertifizierungen jährlich erneuern, „um sicherzustellen, dass Fachleute ihre Fähigkeiten an die sich entwickelnde Technologie anpassen". Die Erneuerung ist kostenlos – ein kürzerer Online-Test auf Microsoft Learn (rund 45 Minuten), verfügbar in den sechs Monaten vor dem Ablauf. Eine Cloud-Plattform, die jede Woche Änderungen ausliefert, sollte keine Abzeichen auf Lebenszeit verteilen, und ich respektiere, dass sie es nicht tut.
Was es tatsächlich nachweist
Das ist der Teil, den die Leute überspringen, und es ist der Teil, auf den es ankommt. AZ-104 misst fünf Kompetenzbereiche, und Microsoft veröffentlicht die ungefähre Gewichtung jedes einzelnen. Hier die Aufschlüsselung im aktuellen Stand der Prüfung, mit dem, was jeder Bereich konkret bedeutet.
- Azure-Identitäten und Governance verwalten (20–25 %). Microsoft-Entra-Benutzer und -Gruppen, Lizenzen, externe Benutzer, Self-Service-Kennwortzurücksetzung (SSPR); rollenbasierte Zugriffssteuerung – integrierte Rollen im richtigen Geltungsbereich zuweisen und interpretieren können, wer was darf; und die Governance-Ebene, in die die meisten Teams zu wenig investieren, bis es sie beißt: Azure Policy, Ressourcensperren, Tags, Ressourcengruppen, Subscriptions, Verwaltungsgruppen sowie Kostensteuerung über Budgets, Warnungen und Azure Advisor.
- Storage implementieren und verwalten (15–20 %). Zugriff auf Storage absichern (Firewalls, SAS-Token, gespeicherte Zugriffsrichtlinien, Zugriffsschlüssel, identitätsbasierter Zugriff für Azure Files); Speicherkonten und Redundanz konfigurieren; und der Alltag mit Azure Files und Blob Storage – Tiers, vorläufiges Löschen (Soft Delete), Lebenszyklusverwaltung, Versionierung.
- Azure-Compute-Ressourcen bereitstellen und verwalten (20–25 %). Bereitstellungen mit ARM-Vorlagen oder Bicep automatisieren; virtuelle Maschinen erstellen und konfigurieren (Datenträger, Größen, Verfügbarkeitszonen und -gruppen, Skalierungsgruppen, Verschlüsselung auf dem Host); Container im Portal über Azure Container Registry, Container Instances und Container Apps; und Azure App Service – Pläne, Skalierung, TLS und Zertifikate, eigene Domänen, Bereitstellungsslots, Netzwerk.
- Virtuelle Netzwerke implementieren und verwalten (15–20 %). Virtuelle Netzwerke und Subnetze, Peering, öffentliche IPs, benutzerdefinierte Routen; sicherer Zugriff über Netzwerksicherheitsgruppen (NSGs) und Anwendungssicherheitsgruppen, Azure Bastion, Service- und Private Endpoints; sowie Namensauflösung und Lastausgleich mit Azure DNS und dem Azure Load Balancer.
- Azure-Ressourcen überwachen und warten (10–15 %). Azure Monitor – Metriken, Protokolleinstellungen, Protokollabfragen, Warnungsregeln und Aktionsgruppen, Insights; Network Watcher und Connection Monitor; und Sicherung und Wiederherstellung mit Recovery-Services-Tresoren, Azure Backup und Azure Site Recovery inklusive Failover in eine sekundäre Region.
Ein paar Prüfungsfakten, damit niemand raten muss: Es ist eine einzige Prüfung, die Bestehensgrenze liegt bei 700 (auf Microsofts skalierter Skala von 1–1000, 700 sind also nicht 70 %), und Microsoft stellt einen kostenlosen Übungstest sowie eine Prüfungs-Sandbox bereit, damit man die Fragenformate vor der Anmeldung sieht. Die Prüfung wird regelmäßig aktualisiert – die Fassung, die ich hier beschreibe, entspricht Microsofts aktuell veröffentlichter Kompetenzliste –, und lokalisierte Versionen, auch die deutsche, folgen der englischen Aktualisierung üblicherweise mit etwa acht Wochen Abstand.
Was mir beim erneuten Lesen dieser Liste auffällt: Wie wenig davon „hier klicken, um eine VM zu erstellen" ist. Die Gewichtung erzählt die Geschichte: Identität und Governance sowie Compute tragen die meisten Punkte, und die Fragen drehen sich um Urteilsvermögen – der richtige Geltungsbereich für eine Rollenzuweisung, die richtige Redundanz für ein Speicherkonto, der richtige Failover-Plan – weit mehr als um das Auswendiglernen eines Blades im Portal.

Warum ich mich überhaupt zertifiziert habe
Erst die ehrliche Antwort: Ich brauchte kein Zertifikat, um ein virtuelles Netzwerk auszurollen. Das machen wir seit Jahren in Produktion. Warum also als Gründer mit reichlich anderem auf dem Tisch eine Prüfung unter Zeitdruck ablegen?
Weil Bauen und Betreiben wirklich verschiedene Disziplinen sind und ich in der zweiten geprüft werden wollte. Beim Bauen kann man sich seine Schlachten aussuchen – man kontrolliert die Angriffsfläche, entscheidet, was im Geltungsbereich liegt, liefert aus und geht weiter. Beim Betreiben einer Kundenumgebung sucht die Umgebung die Schlachten für einen aus. Eine Identität ist falsch konfiguriert, und jemand kann sich nicht anmelden. Eine Storage-Firewall ist eine Regel zu streng, und ein nächtlicher Job scheitert stillschweigend. Eine Netzwerksicherheitsgruppe blockiert genau den Port, den die Integration braucht. Nichts davon ist ein Codeproblem. Es sind Administrationsprobleme, und es sind die, die das Vertrauen eines Kunden am schnellsten untergraben – weil sie unsichtbar bleiben, bis sie es plötzlich nicht mehr sind.
Es liegt auch eine Disziplin im Lernen für eine Prüfung, die der Alltag nicht hergibt. Im Tagesgeschäft lernt man den Weg, den man am häufigsten geht, und bleibt darauf. AZ-104 zwang mich zurück in die Ecken, die ich gemieden hatte – Objektreplikation, gespeicherte Zugriffsrichtlinien, der genaue Unterschied zwischen Service Endpoints und Private Endpoints, die Teile von Azure Site Recovery, die ich einmal angefasst und gehofft hatte, nie wieder anfassen zu müssen. Die halbe Wertschöpfung eines rollenbasierten Zertifikats ist nicht das Abzeichen; es ist, dass man die 30 % der Plattform wieder durcharbeiten muss, die man leise nicht mehr gelernt hatte.
Und der Erneuerungsrhythmus hält das ehrlich. Eine jährliche, kostenlose Neubewertung bedeutet, dass das Zertifikat eine fortlaufende Aussage über aktuelle Fähigkeiten ist und kein Souvenir aus dem Jahr, in dem ich zufällig fleißig gelernt habe. Für einen Laden, der Kunden bittet, uns ihre produktiven Azure-Tenants anzuvertrauen, ist „diese Person weist ihr Azure-Betriebswissen jedes Jahr neu nach" ein deutlich stärkeres Versprechen als ein einmaliges Bestehen vor Jahren.

Wie es sich in unserer Arbeit bei ThreeBIT zeigt
ThreeBIT ist ein Microsoft-Stack-Unternehmen in Ibbenbüren, das auf Azure und .NET baut. Wir machen Produkte – Xircuit und Outastory – und betreiben Umgebungen für Kunden in Branchen, in denen ein Ausfall kein kosmetischer Bug ist, sondern ein verpasster Export, eine fehlgeschlagene Zahlung oder ein Compliance-Befund. Die fünf AZ-104-Bereiche sind für mich nicht abstrakt; sie bilden die Arbeitswoche fast eins zu eins ab.
Identität und Governance ist, wo es anfängt und wo die Folgen am größten sind. Microsoft-Entra-Benutzer, -Gruppen und Rollenzuweisungen richtig hinzubekommen – im korrekten Geltungsbereich, standardmäßig nach dem Prinzip der minimalen Rechte – ist der Unterschied zwischen einem aufgeräumten Tenant und einem Sicherheitsvorfall, der nur darauf wartet, protokolliert zu werden. Die Governance-Teile, Azure Policy und Ressourcensperren und Tagging und Kostenwarnungen, sind das, was verhindert, dass die Subscription eines Kunden ins Chaos und in Überraschungsrechnungen abdriftet. Das ist nicht glamourös, und es ist ein Teil der wertvollsten Arbeit, die wir leisten.
Netzwerk und Storage sind die Sanitärtechnik, auf der unsere Anwendungen stehen. Virtuelle Netzwerke, NSGs, Private Endpoints, Bastion – wenn die bewusst konfiguriert sind, sind unsere Apps genau dort erreichbar, wo sie sein sollen, und nirgendwo sonst. Storage-Redundanz, Soft Delete, Lebenszyklusverwaltung und sauber begrenzte SAS-Token entscheiden, ob die Daten eines Kunden dauerhaft und der Zugriff eng gehalten sind – oder ob ein schlechter Nachmittag zu einer sehr schlechten Woche wird.
Compute und Monitoring schließen es ab. Wir beschreiben Infrastruktur als Bicep – was direkt in der Prüfung steht –, damit Bereitstellungen wiederholbar und überprüfbar sind statt von Hand zusammengeklickt und vergessen. Und Monitoring ist die Ehrlichkeitsebene des Ganzen: Azure-Monitor-Metriken und -Logs, Warnungsregeln, die an die richtigen Aktionsgruppen geknüpft sind, und eine echte Sicherungs- und Wiederherstellungsstrategie mit Recovery-Services-Tresoren und Site Recovery. Das Ziel ist schlicht und unromantisch – wir wollen wissen, dass etwas nicht stimmt, bevor unser Kunde es weiß, und wir wollen einen erprobten Weg zurück, wenn es so weit ist.
Das ist der Kreis, den das Zertifikat für mich schließt. Wir haben „bauen" immer ernst genommen. AZ-104 ist mein Versuch, dieselbe Ernsthaftigkeit – aktenkundig und jedes Jahr erneuert – in „betreiben" zu stecken. Beide Hälften sind die Aufgabe.
Quellen & weiterführende Links
- Microsoft Learn – Microsoft Certified: Azure Administrator Associate (Zertifizierungsüberblick, Niveau, Rolle, Erneuerung alle 12 Monate): https://learn.microsoft.com/de-de/credentials/certifications/azure-administrator/
- Microsoft Learn – Study guide for Exam AZ-104: Microsoft Azure Administrator (gemessene Kompetenzen, Gewichtungen, Zielgruppenprofil, Bestehensgrenze, Übungstest): https://learn.microsoft.com/en-us/credentials/certifications/resources/study-guides/az-104
- Microsoft Learn – Renew your Microsoft Certification und Erneuerungs-FAQ (jährlicher Ablauf, kostenloser Online-Test, ~45 Minuten, verfügbar sechs Monate vor Ablauf): https://learn.microsoft.com/en-us/credentials/certifications/renew-your-microsoft-certification
- Microsoft Learn – Course AZ-104T00-A: Microsoft Azure Administrator (empfohlener Hintergrund, Kursinhalt): https://learn.microsoft.com/en-us/training/courses/az-104t00
Bildnachweise
Alle Bilder werden unter ihren jeweiligen Creative-Commons- oder Public-Domain-Bedingungen verwendet; wir danken den Urhebern.
- Rack with varoius servers — © Aaron Hall, CC BY-SA 2.0, via Wikimedia Commons (source).
- Azaleos NOC — © Azaleos, CC BY-SA 3.0, via Wikimedia Commons (source).
- EHR Interface Design = a giant MESS — © juhansonin, CC BY 2.0, via Flickr (source).
Kommentare
Noch keine Kommentare. Teilen Sie als Erste(r) Ihre Gedanken!
Kommentar hinterlassen
Ihr Kommentar wird vor der Veröffentlichung geprüft.