Guía completa
AZ-104 Azure Administrator
Toca cualquier servicio para ver más detalles y documentación oficial.
Distribución del examen
40–60
Preguntas
~55
Min lectura
700
Puntaje mínimo
Identidad y gobernanza
20–25% del examenMicrosoft Entra ID — gestión de identidades
El pilar de identidad en Azure. Gestiona usuarios, grupos, roles y acceso a aplicaciones. En AZ-104 el foco está en la administración: crear usuarios, asignar grupos, configurar MFA y gestionar aplicaciones enterprise.
Usuarios
Cuentas individuales — member o guest
Grupos
Security groups y Microsoft 365 groups
Roles
Built-in y custom para RBAC
Tenant
Instancia de Entra ID por organización
B2B
Invitar usuarios externos como guests
Device mgmt
Registrar y gestionar dispositivos
RBAC y control de acceso
Haz clic en cualquier servicio para ver más detalles
| Rol | Permisos | Puede asignar roles |
|---|---|---|
| Owner | Total sobre recursos y permisos | ✅ Sí |
| Contributor | Total sobre recursos | ❌ No |
| Reader | Solo lectura | ❌ No |
| User Access Admin | Solo asignar roles | ✅ Sí |
Azure Policy y gobernanza
Azure Policy aplica reglas de cumplimiento sobre recursos. Fundamental para garantizar que toda la organización siga estándares de configuración.
| Efecto | Qué hace |
|---|---|
| Deny | Bloquea la creación/modificación si no cumple |
| Audit | Permite pero registra el incumplimiento |
| Append | Agrega campos adicionales al recurso |
| DeployIfNotExists | Despliega recursos si no existen |
| Modify | Agrega o modifica tags y propiedades |
En el examen AZ-104: Owner puede asignar roles, Contributor no. RBAC es aditivo — si tienes dos asignaciones que dan permisos distintos, se suman.
Almacenamiento
15–20% del examenStorage Accounts y redundancia
Haz clic en cualquier servicio para ver más detalles
Opciones de redundancia
Locally Redundant
3 copias en mismo datacenter
Zone Redundant
3 copias en zonas distintas
Geo Redundant
LRS + réplica en región sec.
Geo-Zone Redundant
ZRS + réplica en región sec.
Acceso y seguridad en Storage
| Método de acceso | Descripción | Caso de uso |
|---|---|---|
| Access Keys | Claves maestras de la cuenta | Acceso administrativo interno |
| SAS (Shared Access) | Token con permisos y expiración | Acceso temporal a clientes |
| Azure AD / RBAC | Identidades con roles | Apps y usuarios de la organización |
| Anonymous access | Sin autenticación | Contenido público (imágenes, blobs) |
Las Access Keys dan acceso TOTAL a la cuenta de storage. Para acceso granular usa SAS tokens o Azure RBAC. Guarda las keys en Azure Key Vault, nunca en el código.
Cómputo
20–25% del examenVirtual Machines avanzado
Haz clic en cualquier servicio para ver más detalles
Alta disponibilidad para VMs
🔄 Availability Sets
Protege contra fallas de hardware dentro de un datacenter. Usa fault domains (racks) y update domains (patching).
📈 Scale Sets
Grupo de VMs idénticas con autoescalado. Puede escalar de 0 a 1000 instancias automáticamente.
🏙️ Availability Zones
Despliega VMs en zonas físicamente separadas dentro de una región. SLA 99.99%.
🔒 Azure Bastion
Acceso RDP/SSH desde el portal sin IPs públicas. Elimina superficie de ataque de las VMs.
Availability Sets vs Availability Zones: Availability Sets protegen dentro de un datacenter. Availability Zones protegen contra falla de un datacenter completo dentro de la región.
Redes virtuales
15–20% del examenVNet avanzado y conectividad
Haz clic en cualquier servicio para ver más detalles
Diagrama interactivo — tráfico real distribuido por el Load Balancer entre backends. Pasa el cursor sobre cada nodo para más info.
NSG — Network Security Groups
Los NSGs son firewalls de subred/NIC con reglas de prioridad numérica. Menor número = mayor prioridad. Reglas por defecto permiten tráfico dentro de la VNet y bloquean todo lo demás.
| Dirección | Prioridad default | Regla |
|---|---|---|
| Inbound | 65000 | AllowVnetInBound — permite tráfico dentro de VNet |
| Inbound | 65001 | AllowAzureLoadBalancerInBound — permite health probes |
| Inbound | 65500 | DenyAllInBound — bloquea todo lo demás |
| Outbound | 65000 | AllowVnetOutBound — permite salida dentro de VNet |
| Outbound | 65001 | AllowInternetOutBound — permite salida a internet |
| Outbound | 65500 | DenyAllOutBound — bloquea todo lo demás |
VNet Peering NO es transitivo. Si VNet-A peered con VNet-B, y VNet-B peered con VNet-C, los recursos de VNet-A NO pueden comunicarse con VNet-C. Necesitas peering directo A↔C.
Monitoreo y mantenimiento
10–15% del examenAzure Monitor y herramientas de observabilidad
Haz clic en cualquier servicio para ver más detalles
Log Analytics y KQL básico
Log Analytics workspace centraliza todos los logs. KQL (Kusto Query Language) permite analizar millones de registros en segundos.
// Ejemplo KQL: VMs con CPU > 90% en las últimas 24h
Perf
| where TimeGenerated > ago(24h)
| where CounterName == "% Processor Time"
| where CounterValue > 90
| summarize avg(CounterValue) by Computer
Las diagnostic settings son el puente — sin configurarlas, los recursos no envían logs a Log Analytics. Cada recurso necesita su propia diagnostic setting.
Tips para el día del examen
RBAC es aditivo — los permisos se suman. Deny Assignments sí bloquean aunque tengas un rol que lo permita.
LRS = 3 copias en mismo datacenter. ZRS = 3 copias en zonas distintas. GRS = también replica en región secundaria.
Availability Sets ≠ Scale Sets. Availability Sets = alta disponibilidad (fault/update domains). Scale Sets = autoescalado.
VNet Peering NO es transitivo. Si A↔B y B↔C, A no llega a C sin peering directo A↔C.
NSG se aplica a subnet o NIC. Application Gateway WAF protege apps HTTP/S. Son capas distintas.
Log Analytics workspace almacena los logs. Las diagnostic settings son las que envían logs ahí.
Recovery Services Vault = backup + Site Recovery. Mismo vault para ambos servicios.
Service Endpoints vs Private Endpoints: ambos evitan internet, pero Private Endpoint da IP dentro de tu VNet.
App Service Plan define la capacidad. Múltiples apps pueden compartir el mismo plan.
Owner puede asignar roles. Contributor puede gestionar recursos pero NO asignar roles.
¿Quieres más profundidad?
Esta guía es un resumen rápido. Visita la sección Deep Dive para exploración exhaustiva con casos reales, análisis de costos y decisiones arquitectónicas.
¿Listo para poner a prueba lo aprendido?
Practica AZ-104 con preguntas originales. Disponible con plan Pro o compra individual — crea tu cuenta para empezar.