2026年微软AzureAZ-104认证考试真题题库

2026年微软AzureAZ-104认证考试真题题库1.你正在管理一个包含多个虚拟机的Azure订阅。你需要为所有虚拟机配置自动关机以节省成本，但必须确保某些关键虚拟机（例如，运行数据库服务的虚拟机）在非工作时间也保持运行。你应该如何实现？A.为所有虚拟机创建相同的自动关机计划。B.为需要关机的虚拟机创建资源组，并对该资源组应用自动关机策略。C.为每台需要自动关机的虚拟机单独配置自动关机设置。D.使用Azure策略为所有虚拟机分配一个“自动关机”标签，然后基于该标签应用自动化脚本。2.你有一个Azure存储账户，其性能层为“标准”，冗余选项为“本地冗余存储（LRS）”。你计划将存储账户中的一部分不常访问的旧数据转移到成本更低的存储中。以下哪种方法最合适？A.将存储账户的性能层从“标准”更改为“高级”。B.为存储账户中的相关容器或Blob启用访问层，并将其从“热”层更改为“冷”或“归档”层。C.创建一个新的“Blob存储”账户，并将旧数据手动复制过去。D.更改存储账户的冗余选项为“异地冗余存储（GRS）”。3.你需要为Azure虚拟网络（VNet）中的虚拟机配置网络安全组（NSG），以允许来自互联网的HTTP（端口80）和HTTPS（端口443）流量，但拒绝所有其他入站流量。你应该创建哪些规则？（选择所有适用项）A.优先级100，操作“允许”，源“任何”，源端口范围“”，目标“任何”，目标端口范围“80”，协议“TCP”。A.优先级100，操作“允许”，源“任何”，源端口范围“”，目标“任何”，目标端口范围“80”，协议“TCP”。B.优先级200，操作“允许”，源“任何”，源端口范围“”，目标“任何”，目标端口范围“443”，协议“TCP”。B.优先级200，操作“允许”，源“任何”，源端口范围“”，目标“任何”，目标端口范围“443”，协议“TCP”。C.优先级300，操作“允许”，源“任何”，源端口范围“”，目标“任何”，目标端口范围“3389”，协议“TCP”。C.优先级300，操作“允许”，源“任何”，源端口范围“”，目标“任何”，目标端口范围“3389”，协议“TCP”。D.优先级400，操作“拒绝”，源“任何”，源端口范围“”，目标“任何”，目标端口范围“”，协议“任何”。D.优先级400，操作“拒绝”，源“任何”，源端口范围“”，目标“任何”，目标端口范围“”，协议“任何”。E.优先级500，操作“允许”，源“虚拟网络”，源端口范围“”，目标“任何”，目标端口范围“”，协议“任何”。E.优先级500，操作“允许”，源“虚拟网络”，源端口范围“”，目标“任何”，目标端口范围“”，协议“任何”。4.你使用以下AzureCLI命令创建了一个资源：`azvmcreate--resource-groupRG1--nameVM1--imageUbuntuLTS--admin-usernameazureuser--generate-ssh-keys`创建完成后，你无法使用指定的用户名和SSH密钥登录。最可能的原因是什么？A.命令中缺少`--size`参数来指定虚拟机大小。B.命令中缺少`--location`参数，虚拟机被创建到了默认区域，该区域可能与你本地网络有高延迟。C.与虚拟机关联的网络安全组（NSG）默认规则可能阻止了SSH（端口22）入站流量。D.命令中缺少`--public-ip-address`参数，虚拟机没有获得公共IP地址。5.你有一个AzureActiveDirectory（AzureAD）租户和多个Azure订阅。你需要确保用户“user@contoso”可以管理“SubscriptionA”中的所有资源，包括分配权限给其他用户，但不能访问“SubscriptionB”。你应该执行什么操作？A.在“SubscriptionA”中，将用户分配“所有者”角色。B.在“SubscriptionA”中，将用户分配“贡献者”角色。C.在AzureAD租户中，将用户分配“全局管理员”角色。D.在管理组级别，将用户分配“安全管理员”角色。6.你部署了一个运行Web应用程序的Azure虚拟机。应用程序需要访问一个AzureSQL数据库。你决定使用AzureKeyVault来安全地存储和管理数据库连接字符串。你需要授予虚拟机从KeyVault读取机密的权限。应该怎么做？A.在KeyVault的访问策略中，添加虚拟机的主机名作为服务主体。B.为虚拟机分配一个系统分配的管理标识，然后在KeyVault的访问策略中，将该标识添加为具有“获取”和“列出”机密权限的主体。C.在虚拟机上安装KeyVault证书，并使用证书进行身份验证。D.将连接字符串直接存储在虚拟机的配置文件中，并使用Azure磁盘加密保护磁盘。7.你的公司使用Azure文件共享来存储部门文件。你需要确保只有“财务部”AzureAD组中的成员才能访问名为“finance-data”的Azure文件共享。当前，文件共享使用存储账户密钥进行访问。你应该采取哪些步骤？（选择所有适用项）A.禁用存储账户密钥身份验证。B.在存储账户上启用AzureActiveDirectory域服务（AzureADDS）。C.在存储账户上启用AzureActiveDirectory身份验证。D.将“财务部”组的RBAC角色（如“存储文件数据SMB共享参与者”）分配到“finance-data”文件共享级别。E.将存储账户密钥分发给“财务部”组的每个成员。8.你正在设计一个Azure虚拟网络（VNet1），它包含两个子网：Subnet-A（/24）和Subnet-B（/24）。你需要确保Subnet-A中的虚拟机无法与Subnet-B中的虚拟机通信。所有虚拟机都应能访问互联网。应该使用哪种服务？A.网络安全组（NSG）B.Azure防火墙C.用户定义路由（UDR）D.网络虚拟设备（NVA）9.你使用Azure备份为多台Azure虚拟机配置了定期备份。备份策略设置为每日一次，保留期为30天。你需要恢复一台一周前被意外删除的虚拟机中的单个文件。应该如何操作？A.从备份保管库中，选择与虚拟机对应的恢复点，并执行“还原虚拟机”操作。B.从备份保管库中，选择与虚拟机对应的恢复点，并执行“文件恢复”操作。这将触发一个脚本，将恢复点作为磁盘挂载到一台临时恢复虚拟机上，然后你可以浏览并复制所需文件。C.由于虚拟机已被删除，必须先使用“还原虚拟机”操作创建一个新的虚拟机，然后从新虚拟机的磁盘中查找文件。D.联系Microsoft支持，从归档存储中检索文件。10.你有一个Azure订阅，其中包含一个位于“美国东部”区域的虚拟网络（VNet）。你需要在“欧洲西部”区域部署一个虚拟机，并要求该虚拟机能够通过私有IP地址与“美国东部”VNet中的资源通信。你应该如何配置网络？A.在“欧洲西部”创建另一个VNet，并使用VNet对等互连将其与“美国东部”的VNet连接。B.在“欧洲西部”创建另一个VNet，并使用站点到站点VPN将其与“美国东部”的VNet连接。C.将虚拟机直接部署在“美国东部”的VNet中，无论其物理位置。D.使用全局VNet对等互连连接两个区域的VNet。11.你管理着一个Azure应用服务计划，其中运行着多个Web应用。你注意到其中一个Web应用（App1）在每天特定时间消耗大量资源，影响了同一应用服务计划中的其他Web应用。你的目标是隔离App1的性能影响，同时尽量控制成本。最佳做法是什么？A.为App1启用自动缩放规则，在高峰时段增加实例数。B.将App1移动到独立的应用服务计划中。C.将应用服务计划从共享层（如B1）升级到更高级别（如S3）。D.为所有Web应用配置使用量配额。12.你使用Azure策略来审核订阅中所有虚拟机是否已安装反恶意软件扩展。你创建并分配了一个策略定义。一周后，你如何查看哪些虚拟机不符合此策略？A.在“Azure策略”服务中，查看“符合性”部分，找到分配的策略，查看“资源符合性”详情。B.在“AzureMonitor”中，创建一个新的查询，搜索相关事件日志。C.在“Azure安全中心”中，查看“建议”页面。D.运行一个自定义的PowerShell脚本，遍历所有虚拟机并检查扩展状态。13.你需要为一个Azure逻辑应用配置，使其在AzureBlob存储容器中添加新Blob时自动触发。应该选择哪种触发器？A.定期触发器B.HTTP请求触发器C.AzureBlob存储触发器（当添加或修改Blob时）D.事件网格触发器14.你部署了一个面向公众的Azure应用程序网关，用于负载均衡HTTP流量到后端池中的虚拟机。你需要确保客户端与应用程序网关之间的通信是加密的。必须配置什么？A.后端HTTP设置必须配置为使用HTTPS协议。B.必须为应用程序网关配置一个侦听器，该侦听器使用HTTPS协议并关联一个SSL证书。C.必须在后端虚拟机上安装SSL证书。D.必须在应用程序网关上配置Web应用程序防火墙（WAF）策略。15.你有一个包含重要数据的Azure存储账户。为了防止数据被意外删除，你启用了“软删除”功能用于Blob和容器。一位开发人员误删了一个名为“report.pdf”的Blob。此时，存储账户的容器软删除保留期设置为7天。你应该如何恢复此Blob？A.在Azure门户中，导航到存储账户下的容器，选择“显示已删除的Blob”，找到“report.pdf”并选择“取消删除”。B.使用AzCopy工具，从最近的异地备份中复制文件。C.在存储账户的“数据保护”设置中，执行时间点还原。D.联系Microsoft支持进行数据恢复。16.你使用Azure自动化账户中的Runbook来执行定期维护任务。该Runbook需要管理订阅中的虚拟机。最安全且推荐的身份验证方式是什么？A.在Runbook中硬编码服务主体的凭据。B.使用Azure自动化运行账户（默认创建的服务主体）。C.创建一个启用了系统分配管理标识的Azure自动化账户，并授予该标识对虚拟机的适当RBAC角色。D.要求操作员在每次执行Runbook时手动输入凭据。17.你需要将一台本地虚拟机（VMware环境）迁移到Azure。要求迁移过程对源虚拟机的影响最小，并且迁移后能够进行测试再完成最终切换。应使用AzureMigrate中的哪个工具？A.AzureMigrate发现和评估B.服务器迁移（使用无代理复制）C.数据库迁移助手D.数据框18.计算题：你计划部署一台Azure虚拟机，其预计每月运行730小时。你正在考虑两种型号：D2sv3（2vCPU，8GiB内存，按需价格0.104/A.少于$50B.50100C.100150D.超过$150（提示：首先计算D2sv3RI的等效小时成本，然后比较月费用。）19.你有一个AzureKubernetes服务（AKS）集群。你需要允许集群中的Pod从AzureKeyVault读取机密。推荐的方法是什么？A.将KeyVault凭据存储在Pod的环境变量中。B.使用AzureKeyVault提供程序为机密存储CSI驱动程序。C.在AKS节点上安装KeyVaultCLI，并通过Pod执行脚本访问。D.创建一条从Pod到KeyVault的公共端点连接。20.你需要监控Azure虚拟机的性能计数器，例如“PercentageCPU”和“AvailableMemoryBytes”，并将数据保留至少两年以供合规性审计。应该如何使用AzureMonitor实现？A.在虚拟机上启用AzureMonitor代理，配置数据收集规则（DCR）收集性能计数器，并将数据发送到LogAnalytics工作区。配置工作区的数据保留期为730天。B.使用“诊断设置”将虚拟机指标发送到存储账户。在存储账户上配置生命周期管理策略，将数据移动到归档层。C.在AzureMonitor的“指标”视图中，将关键指标固定到仪表板。D.创建一个Azure自动化Runbook，定期查询虚拟机指标并保存到SQL数据库。答案与解析部分1.答案：C解析：Azure虚拟机的自动关机功能是在每台虚拟机的级别上配置的，无法通过资源组策略或Azure策略直接批量应用并排除特定VM。虽然可以通过自动化脚本实现更复杂的逻辑，但题目选项中，最直接且符合Azure平台内置功能的方式是为每台需要此功能的VM单独配置。D选项提到的标签和自动化脚本是可行的自定义方案，但并非最直接的内置方法，且题目要求“应该”如何实现，通常指代平台原生最佳实践。2.答案：B解析：AzureBlob存储提供了访问层（热、冷、归档）来优化存储成本。对于不常访问的数据，可以将其所在的Blob或容器的访问层从“热”更改为“冷”或“归档”，从而显著降低成本。A选项提高性能层会增加成本。C选项手动操作繁琐且可能产生额外的数据传输和存储成本。D选项改变冗余选项主要影响持久性和可用性，对存储旧数据的成本优化不明显，且GRS通常比LRS更贵。3.答案：A,B,D解析：NSG规则按优先级顺序处理。要允许HTTP（80）和HTTPS（443），需要创建两条允许规则（A和B）。为了拒绝所有其他入站流量，必须在所有允许规则之后设置一条拒绝所有流量的规则（D）。C选项允许RDP（3389），不符合“拒绝所有其他入站流量”的要求。E选项允许来自虚拟网络内部的所有流量，这是NSG的默认规则之一，但题目要求是控制来自互联网的流量，且此规则会允许虚拟网络内所有端口，可能过于宽松，不符合“拒绝所有其他”的严格需求。实际上，默认已有允许VNet内部通信的规则，但为了严格实现题目要求，可以显式创建拒绝规则（D）来覆盖默认的宽松规则（如果优先级更高），但更常见的做法是删除默认的允许VNet入站规则（如果存在）并显式定义所需规则。此处根据选项，A、B、D的组合能实现目标。4.答案：C解析：使用`azvmcreate`命令创建Linux虚拟机时，如果不指定`--nsg`参数，它会自动创建一个关联的NSG。该默认NSG包含的入站规则仅允许来自“AzureLoadBalancer”的流量，而不允许来自互联网的SSH（22端口）流量。因此，即使虚拟机有公共IP（该命令默认会创建一个），SSH连接也会被NSG阻止。需要手动添加入站规则允许端口22。D选项错误，因为该命令默认会分配一个动态公共IP地址。5.答案：A解析：Azure基于角色的访问控制（RBAC）用于管理对Azure资源的访问。“所有者”角色授予对资源的所有管理权限，包括管理其他用户的访问权限（即分配角色）。这符合题目要求。“贡献者”角色（B）可以管理资源但不能分配权限。“全局管理员”（C）是AzureAD目录级别的最高权限，但仅凭此角色并不能自动拥有Azure订阅中资源的“所有者”权限，尽管全局管理员可以提升自己的访问权限。“安全管理员”（D）主要与安全相关，权限不完整。6.答案：B解析：Azure资源的管理标识为Azure服务提供了一个在AzureAD中自动管理的标识。为VM启用系统分配的管理标识后，该VM就拥有了一个AzureAD身份。然后，可以在KeyVault的访问策略中直接授予这个标识读取机密（Get,List）的权限。这是Azure推荐的安全、无密码的身份验证方式。A选项，KeyVault访问策略的主体是AzureAD对象（用户、组、服务主体或管理标识），而不是主机名。C和D选项安全性较低。7.答案：C,D解析：要实现基于AzureAD的身份验证访问Azure文件共享，需要：首先在存储账户级别启用AzureAD身份验证（C）。然后，在文件共享级别（或更高级别），通过RBAC将包含适当权限的角色（如“存储文件数据SMB共享参与者”）分配给目标AzureAD组（D）。A选项禁用密钥验证是加强安全性的可选步骤，但不是启用AD认证的先决条件。B选项中的AzureADDS主要用于传统的域加入场景，不是AzureAD原生身份验证的必要条件。E选项使用密钥是最不安全的方法，且不符合基于组的访问控制要求。8.答案：A解析：网络安全组（NSG）用于在子网或网络接口级别过滤进出Azure资源的网络流量。要阻止两个子网间的通信，可以在Subnet-A的NSG上创建出站规则拒绝到Subnet-B的流量，或在Subnet-B的NSG上创建入站规则拒绝来自Subnet-A的流量。这是实现此需求最简单、最直接的原生服务。Azure防火墙、UDR和NVA通常用于更复杂的场景，如集中式策略、强制隧道或高级网络功能。9.答案：B解析：Azure备份支持文件级恢复，无需还原整个虚拟机。对于正在运行或已停止的VM，以及已删除但备份仍保留的VM，都可以使用“文件恢复”功能。该功能会运行一个脚本，将选定恢复点的磁盘挂载为本地驱动器（通过临时恢复服务虚拟机），允许用户浏览和复制文件。A选项会创建一台全新的VM。C选项不是恢复单个文件的有效方法。D选项不正确，Azure备份的标准恢复操作即可完成。10.答案：D解析：全局VNet对等互连允许直接连接不同Azure区域的VNet。对等互连后，两个VNet中的虚拟机可以使用私有IP地址进行通信，流量通过微软的骨干网络传输，无需公网网关。A选项的VNet对等互连通常指同一区域内的对等。B选项的站点到站点VPN适用于与本地网络或非对等场景的连接，且通信通常通过公共IP或VPN网关。C选项不可能，虚拟机必须部署在某个区域的资源中。11.答案：B解析：在同一应用服务计划中运行的所有Web应用共享底层计算资源（CPU、内存）。一个应用的高负载会影响其他应用。将App1移动到独立的应用服务计划可以实现完全的物理隔离，确保其资源使用不会影响其他应用，同时允许你根据App1的需求独立缩放其计划。A选项可能会增加整体成本，且如果其他应用与App1高峰重叠，仍可能受影响。C选项升级计划会让所有应用受益，但成本更高，且未解决资源争用的根本问题。D选项配额主要用于限制使用量，不能解决实时性能隔离。12.答案：A解析：Azure策略的“符合性”仪表板专门用于显示策略分配的整体符合性状态，并列出每个资源是“符合”还是“不符合”。这是查看策略评估结果的官方和直接方式。B、C、D选项可能实现类似功能，但都不是最直接、最集成的查看方式。13.答案：C解析：Azure逻辑应用提供了大量内置连接器和触发器。对于“当Blob存储容器中添加新Blob”这种特定事件，最直接的选择是使用“AzureBlob存储”连接器下的“当添加或修改Blob时(仅限属性)”触发器。事件网格触发器（D）也可以实现，但需要额外配置事件订阅，对于这个简单场景，内置的Blob触发器更便捷。14.答案：B解析：要在应用程序网关上终止SSL/TLS（即提供HTTPS服务），必须在网关的侦听器配置中指定使用HTTPS协议，并上传或引用一个有效的SSL证书。这样，客户端到应用程序网关的通信是加密的。A选项是关于网关到后端服务器的通信，属于后端SSL。C选项是后端SSL的一部分。D选项的WAF用于安全防护，与基本加密通信无关。15.答案：A解析：Blob软删除功能启用后，被删除的Blob会以“软删除”状态保留指定的天数（此处为7天）。在此期间，用户可以直接在Azure门户中（或通过API/PowerShell）浏览容器中的“已删除的Blob”，并执行“取消删除”操作来恢复。B、C、D选项适用于其他数据保护场景（如异地备份、时间点还原、支持案例），不是软删除功能的标准恢复流程。16.答案：C解析：Azure自动化账户支持使用系统分配的管理标识。这是目前最安全、最推荐的身份验证方法，因为它消除了管理服务主体凭据（如密钥轮换）的需要。启用管理标识后，可以像对待其他Azure资源一样，通过RBAC授予其所需权限。B选项的运行账户是旧版功能，使用服务主体证书，不如管理标识易于管理。A和D选项安全性差。17.答案