👋 Hello, ici Azure Doctor !

J’espère que tu vas bien et que tu as passé un bon W.E 😊!

👉 Petit aparté rapide : en complément de cette newsletter, je partage aussi sur la page LinkedIn d’Azure Doctor des checklists courtes, des retours terrain Azure & On-Prem, et des conseils rapides que je ne mets pas par email. Si ce format t’intéresse :

Avant de plonger dans les annonces /Actu Azure, voici ce qu’on a publié cette semaine côté blog

RDP sans mot de passe sur Azure : Entra ID s’intègre enfin à Azure Bastion (Public Preview)
Azure Bastion franchit une étape importante en intégrant l’authentification Entra ID pour les connexions RDP. Fini les mots de passe locaux exposés, place à une approche plus moderne, alignée avec le Zero Trust et bien plus propre côté sécurité. L’article revient sur le fonctionnement, les prérequis et les cas d’usage concrets. 👉 Consulter l’article

Tout savoir sur Azure VMSS – Virtual Machine Scale Sets (Guide pas à pas)
Les VM Scale Sets sont au cœur des architectures Azure modernes, mais restent souvent mal comprises ou mal exploitées. Ce guide pas à pas reprend les bases, les mécanismes clés et les bonnes pratiques pour concevoir des plateformes scalables, prévisibles et adaptées à la production. 👉 Consulter l’article

Tout savoir sur Application Insights (Guide pas à pas)

Ce guide pas à pas présente Azure App Insights comme une brique centrale d’observabilité applicative, bien au-delà d’un simple outil de logs. Il explique comment instrumenter, exploiter et gouverner App Insights dans des architectures Azure modernes, avec des cas d’usage concrets, un Lab reproductible et des exemples KQL. L’article aborde aussi les limites, les coûts et les bonnes pratiques, pour un usage maîtrisé en production, du contexte PME au grand compte👉 Consulter l’article

Azure Storage Premium LRS : Turbo Mode avec +60 % d’IOPS et une latence réduite (Public Preview)
Microsoft introduit le Turbo Mode sur les disques Premium LRS, avec un gain immédiat sur les performances et une latence significativement réduite. Dans cet article, on détaille ce que change réellement ce mode, quand l’activer et comment l’exploiter efficacement sans tomber dans le surdimensionnement inutile. 👉 Consulter l’article

🧭 Après les derniers articles à ne pas manquer, cap sur les updates côté technos Microsoft On-Prem, car oui, l’hybride reste la norme, et certaines updates sur les technos Microsoft locales méritent ton attention cette semaine :

Côté on-prem et hybride, cette semaine rappelle une vérité simple : la stabilité ne se décrète pas, elle se maintient. Entre le Patch Tuesday Windows Server 2025 qui impacte directement Active Directory et RDS, les mises à jour mensuelles des images Windows Server, et les recommandations Microsoft sur les menaces critiques AD DS réellement observées en production, l’axe sécurité reste clairement prioritaire.

Dans le même temps, les correctifs Microsoft 365 Apps de décembre apportent enfin un soulagement concret côté exploitation en réduisant les tickets support du quotidien, pendant que les signaux forts autour de la PKI et de l’automatisation des certificats, portés notamment par les annonces Let’s Encrypt et les nouvelles évaluations AD CS dans Defender for Identity, rappellent que la gestion des certificats est désormais un sujet critique et non plus périphérique.

Enfin, côté bases de données, les publications SQL Server Performance Office Hours et le tableau de bord officiel SQL Server pour le suivi des versions et du patching restent des références indispensables pour garder une plateforme saine et éviter les erreurs de change management.

Et côté Azure, voici les scans les plus chauds à ne pas manquer

Cette semaine côté Azure, plusieurs annonces structurantes méritent une lecture attentive, car elles touchent directement la sécurité, l’architecture réseau et les pratiques d’exploitation. Entre le passage en GA du mode FIPS sur Application Gateway v2, qui renforce la conformité des frontaux exposés, et le report de la fin du default outbound access pour Azure Batch, Microsoft confirme une trajectoire réseau plus stricte et plus explicite sur la connectivité sortante.

Côté data et plateformes, la préparation de la migration d’Azure Data Factory vers Microsoft Fabric s’impose comme un sujet stratégique pour les environnements analytiques, pendant que la reconnaissance de Fabric comme leader du streaming temps réel valide la convergence data, analytics et IA portée par Microsoft. Sur le plan DevOps, la fin programmée des Global Personal Access Tokens dans Azure DevOps marque un tournant fort en matière de gouvernance des accès, complété par la disponibilité générale d’Azure DevOps Server pour les organisations qui restent en hybride ou on-prem.

Dans les architectures applicatives modernes, les recommandations autour des Workload Profiles pour Azure Container Apps et les scénarios de déploiement blue-green avec Azure Developer CLI apportent des réponses concrètes aux enjeux de stabilité en production. Enfin, l’extension d’Azure Managed Prometheus aux VM et VMSS, les nouveautés Microsoft Sentinel de décembre, l’arrivée des dashboards Databricks directement dans Microsoft Teams et la nouvelle version d’Azure Sphere OS montrent une volonté claire d’unifier observabilité, collaboration et IoT au sein de l’écosystème Azure.

👇 Attache ta ceinture, tout est scanné, résumé et prêt à l’injection. Bonne consultation !

Sommaire

1. La commande “Az CLI” de la semaine !

   1. Contrôler les Storage Accounts qui n’imposent pas …

2. 📢 Big News : Azure DevOps change les règles du je …

3. 🔍 Scan rapide du corps “On-Prem & Hybride”

   1. Active Directory & Windows Server

   2. RDS /AVD

   3. Microsoft 365 Apps

   4. PKI

   5. SQL Server

   6. 🔍 Scan rapide du corps “Azure”

   7. Réseau

   8. Compute

   9. Stockage

   10. Base de Données

   11. DevOps

   12. Containers

   13. Intégration

   14. Hybrid & MultiCloud

   15. Management & Gouvernance

   16. AI + Machine Learning

   17. IoT

Quand les Global PAT disparaissent, beaucoup de pipelines reposent encore sur des Service Principals sur-privilégiés, souvent créés il y a longtemps et jamais revus. Avant de migrer vers des modèles plus propres, tu dois savoir quelles identités applicatives ont accès à tout l’abonnement.

# 1. Récupérer l'ID de l'abonnement courant
SUBID=$(az account show --query id -o tsv)

# 2. Lister les Service Principals avec des rôles élevés au scope abonnement
az role assignment list \
  --scope "/subscriptions/$SUBID" \
  --include-inherited \
  --query "[?principalType=='ServicePrincipal' && (roleDefinitionName=='Owner' || roleDefinitionName=='Contributor')].[Principal:principalName, Role:roleDefinitionName, Scope:scope]" \
  -o table

Chaque ligne représente une identité applicative capable de modifier massivement ton environnement Azure. Si tu retrouves des Service Principals liés à d’anciens projets, à des pipelines obsolètes ou sans propriétaire clair, c’est une dette de sécurité immédiate. Dans un monde sans PAT globaux, ces identités deviennent les nouvelles clés maîtresses.

👉 Réflexe Azure Doctor : un pipeline moderne n’a presque jamais besoin d’Owner. Si tu vois ce rôle ici, il y a probablement un design à corriger.

Microsoft annonce la fin programmée des Global Personal Access Tokens dans Azure DevOps, un mécanisme encore largement utilisé dans les pipelines, les scripts et les intégrations historiques. Ce virage impose aux équipes de revoir en profondeur leurs pratiques d’authentification et marque une étape clé vers des accès plus sécurisés, mieux gouvernés et réellement alignés avec les principes Zero Trust.

Explorer davantage

Patch Tuesday Windows Server 2025 : KB5072033

Cette mise à jour cumulative est le socle de sécurité de décembre pour Windows Server 2025 et concerne directement les contrôleurs de domaine en production. Elle consolide les correctifs critiques tout en intégrant les ajustements déjà testés dans les previews précédentes.
Explorer davantage

Guidance Microsoft sur les menaces critiques AD DS

Microsoft recentre le discours sécurité sur les attaques réellement observées contre Active Directory en 2025. Le billet fournit une lecture claire des vecteurs NTLM, Kerberos et mouvements latéraux avec des leviers concrets de réduction du risque.
Comprendre en profondeur

Windows Server Container Images Base OS : KB5072778

Les images conteneurs Windows Server sont reconstruites chaque mois et cette publication est indispensable pour rester aligné avec le niveau de sécurité courant. Elle rappelle que le patching conteneur passe par l’image et non par la maintenance en place.
Voir les détails

Images Windows Server Azure Marketplace : KB5072779

Microsoft met à jour les images Windows Server disponibles sur Azure avec l’ensemble des correctifs de décembre. C’est un point clé pour garantir que les nouveaux déploiements partent d’une base saine et conforme.
Explorer la suite

Windows Server 2025 (Patch Tuesday) et impact RDS

Si tu as du RDS en production, cette cumulative update fait partie des mises à jour que tu ne repousses pas quand tu veux garder des sessions stables et un serveur propre côté sécurité. Elle s’applique directement à Windows Server 2025 et elle embarque les correctifs et améliorations du mois. Consulter la suite

Remote Desktop client (MSI) : dernière version 1.2.6873

Si tes utilisateurs se connectent à AVD via le client MSI, garde un œil sur la version publiée et sur le fait que le déploiement est progressif sur une semaine. C’est aussi le bon moment pour vérifier ce que tu as encore en Store app côté postes, parce que la bascule vers Windows App est devenue un sujet opérationnel. Voir les détails

Microsoft 365 Apps : la mise à jour de décembre qui calme enfin les irritants du quotidien

La vague de décembre apporte une série de correctifs très attendus sur Outlook et Excel, avec un vrai gain de stabilité ressenti côté utilisateurs. C’est typiquement la mise à jour qui fait baisser les tickets support sans faire de bruit mais avec de l’effet.
Explorer davantage

Outlook et Word : des correctifs de décembre qui évitent des heures de support inutile

Les builds de décembre corrigent des bugs concrets comme les liens OneDrive inaccessibles ou les recherches @mention qui ne renvoyaient rien. Ce sont des détails en apparence mais sur un parc large ils font une vraie différence côté exploitation.
Voir les détails

Canal actuel Preview : ce que Microsoft prépare avant de l’imposer à tout le monde

La version Preview publiée début décembre donne une vision claire des changements fonctionnels à venir sur Microsoft 365 Apps. C’est l’endroit idéal pour anticiper les impacts avant qu’ils n’arrivent en production sur le Canal actuel.
Plonger dans le détail 

Let’s Encrypt fête ses 10 ans et te rappelle une vérité simple : sans automatisation tu vas casser quelque chose

En décembre, Let’s Encrypt publie un billet anniversaire qui montre à quel point l’émission et le renouvellement automatiques ont changé l’échelle du Web. Si tu gères une PKI interne, le message est limpide, ton vrai ennemi n’est pas la crypto mais le renouvellement manuel oublié.
Explorer davantage

AD CS sous surveillance : Microsoft pousse une posture “templates vulnérables” liée aux serveurs non patchés

Microsoft Defender for Identity met en avant une nouvelle évaluation de posture qui liste les modèles de certificats vulnérables détectés dans les environnements, avec un lien explicite vers des serveurs AD CS non corrigés. Si tu as AD CS on-prem, c’est le signal qu’il faut traiter la PKI comme un actif critique, pas comme un rôle Windows “installé une fois et oublié”.
Comprendre en profondeur

PKI en 2025 : l’automatisation devient une exigence, pas un confort

Les discussions côté écosystème WebPKI insistent de plus en plus sur l’automatisation et l’agilité, surtout avec la réduction progressive des durées de validité des certificats publics. Autrement dit, plus la durée baisse, plus ta capacité à renouveler sans douleur devient une compétence de survie.
Aller plus loin

Performance Office Hours du 8 décembre : le rappel hebdo qui te sauve des mauvaises habitudes

Le 8 décembre, Erik Darling publie un nouvel épisode “SQL Server Performance Office Hours” qui aborde des questions concrètes d’optimisation et de plans d’exécution. Si tu veux une veille utile, c’est exactement le format qui te ramène sur des fondamentaux applicables dès demain. Explorer la suite

Le “tableau de bord” officiel SQL Server : la page qui te permet de trancher vite en change management

Quand tu veux vérifier une version, confirmer un niveau de build ou retrouver le bon point d’entrée de patching, cette page Microsoft est la plus efficace. C’est aussi un bon lien à mettre dans une doc d’exploitation pour éviter les approximations.
Comprendre en profondeur

Application Gateway v2 : le mode FIPS passe en disponibilité générale

Les SKU v2 d’Azure Application Gateway supportent désormais le mode FIPS 140-2 en GA. Cette évolution renforce la conformité sécurité et facilite l’alignement avec les exigences FedRAMP et les environnements réglementés.
Aller plus loin

Update Azure Batch : la fin du default outbound access repoussée à mars 2026

Microsoft décale la date de retrait du default outbound access au 31 mars 2026 pour s’aligner avec l’évolution des VNets Azure. À partir de cette échéance, toute connectivité sortante devra être explicitement définie sous peine de couper l’accès Internet des nœuds Batch. Explorer davantage

Azure Backup pour Cosmos DB : rétention longue durée jusqu’à 10 ans

Microsoft teste une rétention étendue pour Azure Backup sur Cosmos DB, répondant à des besoins réglementaires forts. Cette preview ouvre la voie à des stratégies de conformité plus robustes. Voir les détails

Préparer la migration d’Azure Data Factory vers Microsoft Fabric

Microsoft partage une approche structurée pour évaluer et préparer une migration vers Fabric Data Factory. Cette transition marque une étape clé vers une plateforme data unifiée et orientée analytique moderne.
Plonger dans le détail

Azure DevOps : fin programmée des Global Personal Access Tokens

Microsoft acte la retraite des Global Personal Access Tokens dans Azure DevOps pour renforcer la sécurité des accès et réduire les usages trop permissifs. Cette évolution pousse clairement vers des modèles d’authentification plus maîtrisés et mieux gouvernés. Approfondir la lecture

Azure DevOps Server passe en disponibilité générale

Azure DevOps Server est désormais disponible en GA, confirmant la stratégie hybride et on-prem de Microsoft pour les environnements réglementés. Une annonce structurante pour les organisations qui ne peuvent pas basculer entièrement dans le cloud. Aller plus loin

Azure Container Apps : mieux dimensionner avec les Workload Profiles

Microsoft introduit des recommandations concrètes pour planifier la capacité des Container Apps via les Workload Profiles. Un pas important pour concilier performance, coûts et prévisibilité en production.
Comprendre en profondeur

Déploiement blue-green simplifié avec Azure Container Apps et Azure Developer CLI

Microsoft propose une approche concrète pour mettre en œuvre du blue-green deployment avec Container Apps. Cette méthode réduit drastiquement les risques lors des mises en production applicatives. Explorer davantage

Microsoft Fabric : ouverture et extensibilité des workloads

Le Fabric Extensibility Toolkit permet désormais de publier et d’étendre des workloads personnalisés. Une avancée majeure pour adapter Fabric à des scénarios métiers avancés. Lire la suite

Logic Apps : un nouvel outil de test pour le Data Mapper

Le Data Mapper Test Executor enrichit les capacités de test dans Logic Apps Standard. Une évolution bienvenue pour fiabiliser les flux d’intégration complexes avant mise en production. Approfondir la lecture

Azure Arc : cap sur 2026

Le forum Azure Arc Server 2026 dévoile les orientations à venir pour la gestion hybride et multicloud. Une vision claire de l’unification du management au-delà des frontières Azure. Explorer la suite

Azure Managed Prometheus arrive sur VM et VMSS

Azure étend Managed Prometheus aux machines virtuelles et aux VM Scale Sets pour offrir une observabilité cohérente au-delà de Kubernetes. Cette preview simplifie la centralisation des métriques dans des architectures hybrides ou legacy.
Explorer la suite

Microsoft Sentinel : tour d’horizon des nouveautés de décembre 2025

Le billet mensuel Sentinel apporte des évolutions ciblées sur la détection, l’investigation et l’expérience SOC. Une mise à jour à ne pas ignorer pour maintenir une posture de défense alignée avec les menaces actuelles.
Voir les détails

Azure Databricks : les dashboards arrivent directement dans Microsoft Teams

Azure Databricks permet désormais d’envoyer les abonnements aux dashboards directement dans Microsoft Teams. Les équipes reçoivent les indicateurs là où elles collaborent, sans multiplier les outils ni perdre de contexte.
Plonger dans le détail

Microsoft Fabric reconnu leader du streaming temps réel

Fabric est positionné comme leader dans le Forrester Wave 2025 sur le streaming data en temps réel. Cette reconnaissance valide la stratégie unifiée data, analytics et IA portée par Microsoft. Approfondir le sujet

Azure Sphere OS 25.12 disponible en évaluation étendue

La version 25.12 d’Azure Sphere OS est disponible en Retail Eval avec une période de test prolongée jusqu’en février 2026. Cette release prépare une évolution majeure du build system et doit être validée avant le passage à la version 26.02.
Approfondir le sujet