👋 Hello, ici Azure Doctor !

J’espère que tu vas bien et que tu as passé un bon W.E 😊!

Avant de plonger dans les annonces /Actu Azure, voici ce qu’on a publié cette semaine côté blog

[Guide pas à pas] Déployer Azure Virtual Desktop via PowerShell : ce guide détaille le déploiement d’AVD via PowerShell, sans dépendre du portail Azure. Il montre comment créer l’ensemble des objets AVD, déployer un Session Host joint à Microsoft Entra ID, publier une RemoteApp et valider l’enregistrement côté service (en One-Click). L’approche met l’accent sur le contrôle, l’automatisation et la compréhension réelle de ce que fait la plateforme. Une base idéale pour passer ensuite à l’industrialisation et à l’Infra-as-Code 👉 Consulter l’article

[Guide pas à pas] Tout savoir sur Azure App Service : Azure App Service reste un pilier du PaaS Azure pour héberger des applications Web et API modernes, sans gérer l’OS ni l’infrastructure. De la PME au grand compte, il permet des déploiements rapides, sécurisés et industrialisables, avec réseau privé, slots, autoscale et monitoring natif. Dans ce guide, je détaille l’architecture, les bons patterns, les limites réelles et un HowTo /Lab from end-to-end si tu veux PoCé le sujet sur ta Sub Azure 👉 Consulter l’article

[AVD & Windows 365] Le patch de janvier 2026 qui casse l’authentification (KB5074109) : Depuis mi-janvier, plusieurs environnements Azure Virtual Desktop et Windows 365 ont rencontré des échecs de connexion utilisateurs (boucles de login, erreurs d’authentification, code 0x80080005). Point clé : ce n’est pas un incident AVD, ni Entra ID, ni MFA, mais une régression introduite par le patch Windows KB5074109, principalement via Windows App côté client. Microsoft a reconnu le problème et publié un correctif cumulatif officiel (KB5078127) à déployer en priorité 👉 Consulter l’article

Comprendre la différence entre ‘Active Directory’ vs ‘Entra ID’ vs ‘Entra Domain Services’ : après plusieurs missions autour d’Azure et de l’identité, un constat revient souvent : Active Directory, Entra ID et Entra Domain Services sont encore trop souvent confondus, y compris dans des équipes expérimentées. Cet article (ultra détaillé) explique pourquoi cette confusion est dangereuse, tu veux en savoir plus 🚜💨Consulter l’article

[HowTo Entra] Identifier et éliminer les licences Microsoft 365 jamais utilisées : Jusqu’à 29 000 € de licences Microsoft 365 peuvent partir à la poubelle sans bruit > eg, comptes jamais connectés, ex-collabs, consultants oubliés, tests encore licenciés.
Une licence n’est pas chère… elle devient du gaspillage quand elle n’est pas utilisée (E5 inactive = ~530 €/an brûlés). Ce n’est pas un sujet IT, c’est un enjeu de gouvernance financière. Dans mon dernier HowTo Entra ID, je montre comment identifier, chiffrer et éliminer les licences mortes (durablement) 👉 Consulter l’article

Cette semaine, j’ai pris le temps d’expliquer via un post sur LinkedIn pourquoi j’ai lancé Azure Doctor et ce que j’essaie de construire depuis 6 mois. Le post a suscité beaucoup de retours, alors si tu veux comprendre la vision derrière tout ce que tu lis ici 👉 Lire le post LinkedIn

🧭 Après les derniers articles à ne pas manquer, cap sur les updates côté On-Prem & Hybride, l’actualité tourne autour de deux sujets qui reviennent toujours au pire moment, le patching et l’authentification. Microsoft pousse un correctif out-of-band sur correctif hors bande pour les applis qui se figent sur OneDrive et Dropbox, avec des effets possibles sur des usages comme les PST Outlook et les workflows partagés. Dans le même temps, Kerberos entre dans une zone sensible avec Kerberos: RC4 entre dans le viseur, prépare ton domaine, donc c’est le moment de baseliner et de corriger les dépendances avant que la désactivation stricte ne tombe. Et côté qualité, Patch quality: une semaine qui rappelle pourquoi on valide avant de généraliser résume parfaitement le réflexe à garder.

Sur les accès distants, Microsoft confirme des échecs d’authentification via Microsoft confirme les échecs d’auth et annonce le correctif, publie un correctif d’urgence avec Remote Desktop: Microsoft pousse un correctif d’urgence, AVD est dans le rayon d’impact, et va jusqu’à une mitigation officielle du type Quand la mitigation officielle devient “désinstalle le KB”, ce qui impose de verrouiller le blast radius sur les postes d’admin, les bastions et tout ce qui opère RDS et AVD.

Sur la partie poste et exploitation, Une nouvelle vague Current Channel à intégrer dans ton pilotage doit clairement passer dans ton circuit de validation si tu fais du packaging ou de la compat. Côté PKI, tu as deux scans qui méritent un vrai coup d’œil, AD CS: un guide de déploiement qui remet les fondamentaux au bon niveau et PKI à l’ancienne: les outages et les compromis deviennent un pattern, pas une exception, parce que l’automatisation et la gouvernance ne sont plus optionnelles. Et côté data on-prem, on voit un signal clair avec SSMS 22.2.1 : Copilot arrive dans l’éditeur pour accélérer l’écriture SQL, pendant que SQL Server 2022: un nouveau package CU à récupérer côté Download Center rappelle qu’un détail de version peut avoir un vrai impact en production.

🔍 Côté Azure, la semaine est très orientée production et standardisation. Sur le réseau, NAT Gateway StandardV2 : zone-redundancy et StandardV2 Public IPs (GA) fait partie des nouveautés qui changent les architectures, mais avec une contrainte d’IP à bien retenir. AKS continue d’empiler des briques qui réduisent le drift, avec Deployment safeguards dans AKS : support Pod Security Standards (GA) et AKS : support Ubuntu 24.04 (GA), deux annonces très concrètes pour sécuriser et moderniser proprement. Sur le stockage, Azure NetApp Files : application volume group Oracle avec volumes de protection (GA) et Azure File Sync : disponible en Israel Central (GA) renforcent les scénarios de résilience et les besoins de résidence des données.

Côté DevOps et ops, la dynamique est claire, industrialisation et SRE. Tu as notamment Playwright Workspaces : reporting intégré (GA) et Azure Load Testing : disponible en Switzerland North (GA), plus une série de guides autour d’Azure SRE Agent qui structurent une posture pro-active, Connecter Azure SRE Agent à Azure MCP, Diagnostic automatisé des performances Java dans Kubernetes avec Azure SRE Agent, Connecter Azure SRE Agent à ServiceNow pour une réponse incident de bout en bout, et Cloud Ops proactives avec SRE Agent : contrôles planifiés pour optimiser le cloud. Enfin, sur Fabric et OneLake, la gouvernance se raffine avec APIs granulaires pour la sécurité OneLake et Gérer la sécurité OneLake pour les bases Mirrored, pendant que Fabric Data Warehouse reconnu leader et outperformer par GigaOm alimente clairement les comparatifs plateforme pour 2026.

👇 Attache ta ceinture, tout est scanné, résumé et prêt à l’injection. Bonne consultation !

Sommaire

1. La commande “Az CLI” de la semaine !

   1. Voir qui a des droits directs au niveau Subscripti …

2. 📢 Big News : NAT Gateway StandardV2 passe en disp …

3. 🔍 Actualités “On-Prem & Hybride”

   1. Active Directory & Windows Server

   2. RDS /AVD

   3. Microsoft 365 Apps

   4. PKI

   5. SQL Server

   6. 🔍 Actualités /Hot News “Azure”

   7. Réseau

   8. Compute

   9. Stockage

   10. Base de Données

   11. DevOps

   12. Containers

   13. Management & Gouvernance

   14. Data Engineering

Quand tout est bien rangé au niveau RG et ressources, les vrais risques se cachent souvent plus haut. Un rôle attribué au niveau subscription donne un pouvoir énorme, parfois accordé pour un test et jamais retiré. Cette commande te donne la liste complète des rôles assignés au scope subscription, sans passer par le portail.

SUB_ID=$(az account show --query id -o tsv)

az role assignment list --scope "/subscriptions/$SUB_ID" \
  --query "[].{Principal:principalName, Role:roleDefinitionName, Type:principalType}" \
  -o table

Ce que tu obtiens en sortie > un tableau précis avec :

• Principal : l’utilisateur, le groupe ou le service principal.

• Role : le rôle Azure (Owner, Contributor, Reader, ou custom).

• Type : le type d’identité (User, Group, ServicePrincipal).

Correctif hors bande pour les applis qui se figent sur OneDrive et Dropbox

24 janvier 2026. Microsoft publie un correctif OOB (KB5078135) qui cible les blocages et erreurs quand des applis ouvrent ou enregistrent des fichiers sur du stockage cloud, avec un impact possible sur des usages comme les PST Outlook et les workflows “fichiers partagés”. Explorer davantage

Kerberos: RC4 entre dans le viseur, prépare ton domaine

Les retours de terrain convergent, janvier marque un vrai tournant vers la désactivation progressive de RC4 dans Kerberos. Si tu veux éviter l’effet surprise, c’est le moment de baseliner tes usages et de corriger les dépendances avant la phase d’application stricte. Lire la suite

Patch quality: une semaine qui rappelle pourquoi on valide avant de généraliser

Entre correctifs qui déclenchent des régressions et recommandations de rollback, la fenêtre 19–25 janvier confirme une règle simple, ton anneau pilote te sauve des nuits blanches. Si tu gères des environnements hybrides, pense aussi à l’impact sur les postes d’admin et les bastions. Voir les détails

Microsoft confirme les échecs d’auth et annonce le correctif

24 janvier 2026. Le Release Health Windows indique que les échecs de connexion et d’authentification côté Azure Virtual Desktop et Windows 365 sont désormais résolus via une mise à jour hors bande, ce qui change la donne si tes accès distants dépendent de Windows App. Voir les détails

Remote Desktop: Microsoft pousse un correctif d’urgence, AVD est dans le rayon d’impact

Des échecs de connexion RDP ont forcé la publication d’un out-of-band pour rétablir des scénarios de connexion qui cassent après l’update de janvier. En pratique, ça touche aussi les parcours d’accès distants qu’on croit “cloud” mais qui reposent sur des briques très Windows. Plonger dans le détail.

Quand la mitigation officielle devient “désinstalle le KB”

Ce n’est jamais agréable à écrire dans un runbook mais cette semaine Microsoft a clairement recommandé la désinstallation d’un correctif après une série de bugs signalés. Si tu as un parc admin ou des postes utilisés pour opérer RDS et AVD, verrouille temporairement le blast radius. Aller plus loin

Une nouvelle vague Current Channel à intégrer dans ton pilotage

Les updates de Microsoft 365 Apps continuent de bouger vite côté Current Channel, avec une entrée datée dans la semaine qui peut changer ton baseline applicatif en entreprise. Si tu fais du packaging ou de la compat, cale un point de contrôle sur cette version avant de la laisser se propager.
Explorer la suites en canal Entreprise mensuel ou Current Channel Lire l’annonce

AD CS: un guide de déploiement qui remet les fondamentaux au bon niveau

Un pas à pas récent remet à plat une PKI Windows propre avec AD CS, en mode “construire pour durer” plutôt que “faire marcher”. Utile si tu veux standardiser tes templates, ta hiérarchie de CA et tes pratiques d’exploitation.
Lire la suite.

PKI à l’ancienne: les outages et les compromis deviennent un pattern, pas une exception

Une étude relayée cette semaine insiste sur le coût réel des PKI héritées, entre expirations non maîtrisées et manque de visibilité sur l’inventaire. Si tu as beaucoup d’identités machines et de certificats internes, l’automatisation et la gouvernance ne sont plus optionnelles. Comprendre en profondeur

SSMS 22.2.1 : Copilot arrive dans l’éditeur pour accélérer l’écriture SQL

21 janvier 2026. La mise à jour de SQL Server Management Studio met en avant l’intégration GitHub Copilot avec des suggestions et complétions de code, un signal clair que l’outillage SQL côté poste bascule vers un mode “assisté” utilisable au quotidien. Comprendre en profondeur

SQL Server 2022: un nouveau package CU à récupérer côté Download Center

Microsoft a remis à jour le package de cumulative update SQL Server 2022 côté centre de téléchargement pendant la semaine. Pour les environnements on-prem, c’est typiquement le genre de point qui mérite une vérification de version et un passage en préprod avant déploiement large. Explorer davantage

NAT Gateway StandardV2 : zone-redundancy et StandardV2 Public IPs (GA)

Le SKU StandardV2 est maintenant GA avec résilience zonale, meilleures perfs et dual stack au même prix que Standard. Attention, il exige des StandardV2 Public IPs, les IP Standard ne sont pas supportées.
Explorer davantaget. Découvrir 

Deployment safeguards dans AKS : support Pod Security Standards (GA)

AKS ajoute le support Pod Security Standards dans Deployment Safeguards pour appliquer Baseline, Restricted et Privileged de façon centralisée. Tu réduis le drift, tu renforces la sécurité des manifests et tu simplifies le déploiement de contrôles à l’échelle. Explorer davantage

AKS : support Ubuntu 24.04 (GA)

Ubuntu 24.04 est GA dans AKS à partir de Kubernetes 1.32 avec containerd 2.0 par défaut, avec un chemin de migration maîtrisé vers 1.35 où il devient le défaut. En parallèle, Ubuntu2204 OS SKU reste disponible pour tester ou rollback sans changer de version Kubernetes. Voir les détails

Azure NetApp Files : application volume group Oracle avec volumes de protection (GA)

Application volume group for Oracle permet maintenant de créer des volumes de protection avec le même anti-affinity layout que la prod. Tu obtiens des layouts DR cohérents pour préparer un failover de zone ou de région. Voir les détails

Azure File Sync : disponible en Israel Central (GA)

Azure File Sync arrive en Israel Central pour rapprocher le tiering et la synchro des serveurs Windows on-prem vers Azure Files. Tu gagnes en latence, en perf et en conformité sur les besoins de résidence des données. Explorer la suite

Cinq raisons d’assister à SQLCon

SQLCon met en avant des sessions centrées sur SQL Server et l’écosystème data pour faire le point sur les pratiques actuelles. Si tu travailles sur la performance, la sécurité ou la modernisation, c’est une bonne occasion de capter des retours terrain et des tendances. Lire la suite

Présentation du kit d’agents Azure Cosmos DB

Le Cosmos DB Agent Kit propose une approche orientée agents pour t’aider à concevoir, tester et optimiser tes usages autour de Cosmos DB. Tu gagnes du temps sur le code et les requêtes tout en gardant des garde fous de qualité et de sécurité.
Explorer davantage

Playwright Workspaces : reporting intégré (GA)

Le reporting est désormais disponible dans Playwright Workspaces pour accélérer le debug et mieux collaborer sur les résultats de tests. Tu peux aussi stocker et gouverner les artefacts dans ton propre compte Azure Storage. Aller plus loin

Azure Load Testing : disponible en Switzerland North (GA)

Azure Load Testing est maintenant GA en Switzerland North pour lancer des tests à grande échelle avec dashboards, métriques client et serveur et insights assistés. Tu peux intégrer tes tests dans tes pipelines CI/CD ou réutiliser JMeter et Locust. Lire la suite

Connecter Azure SRE Agent à Azure MCP

Ce guide montre comment connecter Azure SRE Agent à Azure MCP pour centraliser l’observabilité et l’automatisation côté opérations. Tu accélères l’investigation des incidents et tu poses une base solide pour des runbooks et des actions correctives.
Explorer davantage : Lire la suite

Diagnostic automatisé des performances Java dans Kubernetes avec Azure SRE Agent

Azure SRE Agent propose un scénario pour automatiser le diagnostic de performance Java dans Kubernetes. Tu réduis le temps de triage en collectant les signaux clés plus vite et en standardisant l’analyse entre équipes. Aller plus loin

Connecter Azure SRE Agent à ServiceNow pour une réponse incident de bout en bout

L’intégration ServiceNow permet de déclencher un flux de réponse incident de bout en bout depuis Azure SRE Agent. Tu relies détection, ticketing et remédiation pour gagner en traçabilité et en vitesse d’exécution. Explorer davantage

Azure Boards ajoute des filtres de champs supplémentaires (préversion privée)

Azure Boards ajoute en préversion privée des filtres supplémentaires sur les champs pour affiner tes vues et tes requêtes. Tu construis des backlogs plus lisibles et tu limites le bruit quand les projets grossissent et que les processus se complexifient. Approfondir le sujet

Migrer les identifiants applicatifs vers Azure Key Vault avec GitHub Copilot App Modernization

Un guide montre comment migrer des identifiants applicatifs vers Azure Key Vault dans un parcours de modernisation assisté par GitHub Copilot. Tu sécurises la gestion des secrets et tu réduis les risques de fuite dans le code et les pipelines. Voir les détails

Cloud Ops proactives avec SRE Agent : contrôles planifiés pour optimiser le cloud

Azure SRE Agent peut exécuter des contrôles planifiés pour détecter en amont les dérives et les opportunités d’optimisation cloud. Tu passes d’une posture réactive à une routine d’hygiène opérationnelle qui réduit incidents et coûts inutiles. Consulter la suite

Création parallèle de pools de nœuds AKS avec Crossplane

Ce retour d’expérience explique comment créer des node pools AKS en parallèle via Crossplane tout en maîtrisant les compatibilités de versions. Tu y gagnes une approche plus robuste pour automatiser sans casser tes déploiements. Explorer la suite

APIs granulaires pour la sécurité OneLake

De nouvelles APIs plus granulaires arrivent pour piloter la sécurité OneLake avec davantage de précision. Tu peux automatiser des contrôles plus fins et réduire le risque d’autorisations trop larges dans les environnements Fabric. Découvrir la nouveauté

Gérer la sécurité OneLake pour les bases Mirrored

Ce sujet détaille comment gérer la sécurité OneLake pour des Mirrored Databases afin de contrôler l’accès aux données répliquées. Tu clarifies qui voit quoi et tu évites les surprises lors des synchronisations et des usages analytiques. Approfondir le sujet

Fabric Data Warehouse reconnu leader et outperformer par GigaOm

GigaOm positionne Microsoft Fabric Data Warehouse comme leader et outperformer dans son Radar dédié au data warehousing. C’est un repère utile si tu compares les plateformes, surtout pour unifier ingestion, gouvernance et analytique dans un même service. Consulter la suite