📆 Édition #77 du Mardi 23 Juin 2026

Sors ton calendrier. Entre cette semaine et le 14 juillet, Microsoft a empilé une série de dates qui peuvent casser ta prod si tu les rates :

  • 27 juin : le certificat Secure Boot UEFI CA 2011 expire.

  • 30 juin : Teams Live Events tire sa révérence.

  • 1er juillet : nouveaux prix M365, et des protections qui s'activent toutes seules sur tes E3.

  • 6 juillet : Entra ID durcit l'enregistrement des credentials.

  • 14 juillet : fin de support en série (SharePoint, SQL, Project) et phase finale du durcissement Kerberos RC4.

Ce mois-ci, l'actu n'est pas une annonce, c'est un compte à rebours. On déroule, dans l'ordre où ça tombe.

🔴 À traiter maintenant

Trois urgences cette semaine. Si tu ne fais qu'une chose après cette édition, commence par la première : c'est celle qui tombe le plus tôt et qui touche le plus large.

  • Secure Boot 2011 : le certificat expire le 27 juin. Le certificat Microsoft Corporation UEFI CA 2011 arrive à expiration. Inventorie tes appareils, applique les mises à jour Windows qui déploient les nouveaux certificats CA 2023, et vérifie tes scénarios Dual-Boot et bootloaders tiers (shim Linux) avant la bascule. Horloge : 27 juin. Lire la suite

  • M365 : nouveaux prix ET nouveau packaging le 1er juillet. La hausse tarifaire commerciale prend effet le 1er juillet. En parallèle, les protections de Microsoft Defender for Office 365 Plan 1 s'activent automatiquement sur les licences E3 (déploiement mi-juin vers le 1er août). Côté décideur : revois tes renouvellements et les add-ons devenus redondants. Côté IT Pro : anticipe l'impact sur ton mail flow si tu as une passerelle tierce devant Exchange Online. Horloge : 1er juillet. Lire la suite

  • Entra ID : breaking change sur l'enregistrement des Credentials le 6 juillet. Microsoft applique le Conditional Access de façon cohérente pendant l'enregistrement des méthodes d'authentification (fenêtre du 6 au 13 juillet), et retire les Custom controls au profit d'External MFA. Teste tes parcours d'enregistrement avant le 6 et planifie la migration de tes Custom controls. Horloge : 6 juillet. Lire la suite

⚡ Ce qui brûle — 3 sujets cette semaine

RoguePlanet : ton Defender est devenu la porte d'entrée

On t'a parlé de Nightmare-Eclipse trois éditions de suite. Voici le 7e épisode, et c'est le plus retors : RoguePlanet (CVE-2026-50656, CVSS 7.8). Une Race Condition dans le moteur de Defender lui-même permet de décrocher un Shell SYSTEM sur une machine Windows 10 ou 11 totalement à jour, que la protection temps réel soit active ou non. Le PoC est public depuis le 10 juin, Microsoft reconnaît le problème mais n'a toujours pas de patch, et le chercheur a déjà daté sa prochaine salve. Combien de temps un Endpoint dont l'agent de sécurité est lui-même la porte d'entrée peut-il rester en prod sans mitigation ? Lire la suite

Entra sur Azure SQL : la frontière d'identité hybride vient de tomber d'un cran

Depuis toujours, ton Azure SQL Database et ton SQL Server On-Prem ne parlaient pas le même langage d'identité : logins serveur et rôles côté On-Prem, bricolage côté Cloud. C'est en train de changer. Microsoft vient de passer en GA les server principals Entra sur Azure SQL Database : tu crées un login depuis une identité Entra et tu lui assignes des rôles au niveau serveur, exactement comme On-Prem. Le modèle de gouvernance d'accès que tu maintenais en double commence à se réunifier. Qu'est-ce que ça change concrètement pour tes habilitations et ta séparation des rôles quand le Cloud et l'On-Prem partagent enfin la même grammaire ? Lire la suite

Microsoft Sentinel : retrait du portail Azure le 31 mars 2027

Si tu as investi des années dans Microsoft Sentinel, lis bien. Microsoft a confirmé cette semaine la bascule complète de Sentinel (SIEM, automation, threat intelligence) dans Defender, avec une date ferme : 31 mars 2027. Le SOC ne se fera plus dans deux portails mais dans un seul, avec un KQL unifié sur endpoint, identité, mail, cloud apps et logs Sentinel. Ce n'est pas une fonctionnalité de plus, c'est la fin de Sentinel comme produit autonome. Qu'est-ce que ça implique pour tes playbooks, tes coûts d'ingestion et ta roadmap d'ici 2027 ? Lire la suite

📖 Sur le blog cette semaine

🔍 Actualités “On-Prem & Hybride”

⭐ Windows Server & AD

Windows 11 version 26H2 : servicing partagé

Pour les machines déjà en 24H2 ou 25H2, la mise à jour vers 26H2 passe par un simple package d'activation (eKB) : un seul redémarrage, comme une MAJ mensuelle. Attention, les appareils en 26H1 ne pourront pas basculer (core Windows différent). → En savoir plus

Kerberos RC4 : phase finale au SU de juillet (J-30)

Le rappel J-30 est officiel : la phase finale du durcissement Kerberos RC4 démarre avec la mise à jour de sécurité Windows de juillet 2026. Si tu as des profils FSLogix sur SMB ou des comptes de service encore en RC4, audite maintenant. → En savoir plus

Microsoft Exchange

Les services EM et Flighting cassent en juillet sans le SU de juin

Sans la mise à jour de sécurité Exchange Server de juin installée, les services Emergency Mitigation et Flighting cessent de fonctionner en juillet. Installe le SU de juin avant la fin du mois. → En savoir plus

SharePoint & SQL Server & Project Server

Vague de fin de support le 14 juillet

SharePoint Server 2016 et 2019, Project Server 2016 et 2019, SQL Server 2016, et l'ESU année 2 de SQL Server 2014 arrivent en fin de support le 14 juillet. Planifie tes migrations ou ton extension de support maintenant.

🔍 Actualités “Azure”

Sécurité

Microsoft Sentinel : connecteur Agent Identities (preview)

Un nouveau connecteur en preview cartographie propriétaires humains, identités d'agents, blueprints et service principals, pour répondre aux questions de gouvernance des identités d'agents IA. → En savoir plus

⭐ Virtual App & Desktop

CAD haute perf sur Azure Virtual Desktop avec NVIDIA RTX PRO 6000

Étude de validation Microsoft : jusqu'à 30 sessions Siemens NX 2506 concurrentes sur un seul host AVD équipé d'un RTX PRO 6000 Blackwell, rendu graphique stable. Une référence concrète pour dimensionner tes hôtes graphiques. → En savoir plus

Networking

ICMP sur NAT Gateway Standard V2 (GA)

Le NAT Gateway Standard V2 supporte désormais l'ICMP sortant : tu peux faire du ping pour tester la connectivité et diagnostiquer sans config supplémentaire. → En savoir plus

Azure Firewall : migration du proxy explicite

Le proxy explicite d'Azure Firewall évolue : PAC limités à 256 Ko, ports HTTP/HTTPS simples, et après la GA, SAS URL du PAC plus Managed Identity requis. Revois ta config si tu l'utilises. → En savoir plus

VNet-to-VNet : passer du hairpin MSEE au maillage AVNM

Pour la connectivité VNet-to-VNet à grande échelle, le maillage AVNM réduit la dépendance au MSEE, améliore latence et bande passante, et gère jusqu'à 5 000 VNets via des groupes. → En savoir plus

Databases

Azure Cosmos DB : sauvegardes immuables et rétention longue (preview)

Azure Backup pour Cosmos DB ajoute en preview les sauvegardes immuables et la rétention long terme, utile pour la résilience anti-ransomware et la conformité. → En savoir plus

Azure Cosmos DB : connecteur natif pour Logic Apps Standard (GA)

Le connecteur intégré Cosmos DB pour Logic Apps Standard passe en GA, pour intégrer Cosmos dans tes workflows sans bricolage. → En savoir plus

Migration

Azure Migrate intègre GitHub Copilot Modernization (Preview)

Azure Migrate ajoute en preview une intégration GitHub Copilot pour des évaluations de code à grande échelle, combinant découverte de portefeuille et contexte IA. → En savoir plus

Monitoring

Azure Monitor : Simple log alerts et Summary Rules en GA

Les Simple log alerts arrivent en GA (alertes ligne par ligne en quasi temps réel sur les Basic logs, latence et coût réduits), tout comme l'expérience Log Analytics Summary Rules pour agréger de gros volumes de logs en tables résumées. → En savoir plus

Storage

Azure NetApp Files : API REST objet

L'API REST objet d'Azure NetApp Files permet d'indexer des données de fichiers d'entreprise dans OneLake pour des pipelines RAG, sans déplacer les fichiers d'origine. → En savoir plus

Intégration

Logic Apps Standard : migration In-Proc vers Out-of-Proc (.NET 10)

Azure migre progressivement Logic Apps de l'hébergement in-proc vers out-of-proc. La plupart des clients ne sont pas affectés, mais ceux en déploiement NuGet doivent mettre à jour avant la migration automatique. → En savoir plus

🔍 Actualités “M365 & Modern Workplace”

Intune & Endpoint

Release de juin : Vulnerability Remediation Agent et Cloud PKI

La release Intune de juin amène le Vulnerability Remediation Agent en preview (identification et priorisation des CVE par CVSS dans la console Intune), le renouvellement in-place des CA émettrices Cloud PKI, et l'Enterprise App Management qui durcit ton catalogue d'apps (scans malware statiques et détonation dynamique).

Teams

Teams Live Events tire sa révérence le 30 juin

Teams Live Events est retiré le 30 juin. Si tu organises encore des événements à grande échelle dessus, bascule vers les Town Halls.

SharePoint Online

Nouvelle expérience SharePoint (GA)

La nouvelle expérience SharePoint passe en GA mi-juin

Purview & Compliance

Nouveautés Purview

Restriction des caractères spéciaux dans eDiscovery, gestion des Role Groups en preview, et interactions IA pour Insider Risk en GA.

🤔 Ce qu'on ignore cette semaine

Cette semaine on écarte trois choses, par tri et pas par paresse. AutoJack, ce RCE qui détourne un agent AutoGen via une page web : c'est spectaculaire, mais ça ne touche que des builds dev pré-release d'un outil de prototypage, jamais ta prod (le paquet PyPI stable n'a pas la faille). L'interop entre Azure Databricks et OneLake : c'est de la couche Fabric, hors de notre périmètre. Et la GA de Copilot Cowork : du Copilot productivité, pas de l'infra.

La commande “Az CLI” de la semaine !

Auditer l'état Secure Boot de tes VM Trusted Launch

Pendant que le certificat Secure Boot 2011 expire le 27 juin, autant savoir où tu en es. Cette requête liste en une passe toutes tes VM Trusted Launch et leur état Secure Boot, sur tout ton parc Azure.

az extension add --name resource-graph
az graph query -q "Resources | where type =~ 'microsoft.compute/virtualmachines' | extend sb = properties.securityProfile.uefiSettings.secureBootEnabled | project name, resourceGroup, location, secureBoot=sb" --first 1000 -o table

Ce que la commande retourne :

  • La liste de tes machines virtuelles

  • Leur resource group et leur région

  • L'état secureBootEnabled (true / false / vide)

  • De quoi cibler les machines à vérifier avant le 27 juin

Mème de la semaine !

Tu es arrivé au bout de ta prescription, sans effets secondaires 😄

Si cette dose hebdo t'a été utile, Forwarde-la à un collègue qui pilote du Microsoft sérieux. La communauté Doctor Kloud grandit grâce à toi 💙

À lundi prochain.

Hicham

🩺WhoAmI.exe
📕Echo “Mon dernier livre” > Azure Application Gateway - Guide du Consultant
📅 Un projet Microsoft dans le pipe ? Cale un appel de cadrage avec moi

Reply

Avatar

or to participate

Continuer la lecture

© 2026 Doctor Kloud. Créée avec ❤️ par Hicham KADIRI.
beehiivPowered by beehiiv