📆 Édition du Lundi 14 Décembre 2025
👋 Hello, ici Azure Doctor !
J’espère que tu vas bien et que tu as passé un bon W.E 😊!
👉 Petit aparté rapide : en complément de cette newsletter, je partage aussi sur la page LinkedIn d’Azure Doctor des checklists courtes, des retours terrain Azure & On-Prem, et des conseils rapides que je ne mets pas par email. Si ce format t’intéresse :
Avant de plonger dans les annonces /Actu Azure, voici ce qu’on a publié cette semaine côté blog
RDP sans mot de passe sur Azure : Entra ID s’intègre enfin à Azure Bastion (Public Preview)
Azure Bastion franchit une étape importante en intégrant l’authentification Entra ID pour les connexions RDP. Fini les mots de passe locaux exposés, place à une approche plus moderne, alignée avec le Zero Trust et bien plus propre côté sécurité. L’article revient sur le fonctionnement, les prérequis et les cas d’usage concrets. 👉 Consulter l’article
Tout savoir sur Azure VMSS – Virtual Machine Scale Sets (Guide pas à pas)
Les VM Scale Sets sont au cœur des architectures Azure modernes, mais restent souvent mal comprises ou mal exploitées. Ce guide pas à pas reprend les bases, les mécanismes clés et les bonnes pratiques pour concevoir des plateformes scalables, prévisibles et adaptées à la production. 👉 Consulter l’article
Tout savoir sur Application Insights (Guide pas à pas)
Ce guide pas à pas présente Azure App Insights comme une brique centrale d’observabilité applicative, bien au-delà d’un simple outil de logs. Il explique comment instrumenter, exploiter et gouverner App Insights dans des architectures Azure modernes, avec des cas d’usage concrets, un Lab reproductible et des exemples KQL. L’article aborde aussi les limites, les coûts et les bonnes pratiques, pour un usage maîtrisé en production, du contexte PME au grand compte👉 Consulter l’article
Azure Storage Premium LRS : Turbo Mode avec +60 % d’IOPS et une latence réduite (Public Preview)
Microsoft introduit le Turbo Mode sur les disques Premium LRS, avec un gain immédiat sur les performances et une latence significativement réduite. Dans cet article, on détaille ce que change réellement ce mode, quand l’activer et comment l’exploiter efficacement sans tomber dans le surdimensionnement inutile. 👉 Consulter l’article
🧭 Après les derniers articles à ne pas manquer, cap sur les updates côté technos Microsoft On-Prem, car oui, l’hybride reste la norme, et certaines updates sur les technos Microsoft locales méritent ton attention cette semaine :
Côté on-prem et hybride, cette semaine rappelle une vérité simple : la stabilité ne se décrète pas, elle se maintient. Entre le Patch Tuesday Windows Server 2025 qui impacte directement Active Directory et RDS, les mises à jour mensuelles des images Windows Server, et les recommandations Microsoft sur les menaces critiques AD DS réellement observées en production, l’axe sécurité reste clairement prioritaire.
Dans le même temps, les correctifs Microsoft 365 Apps de décembre apportent enfin un soulagement concret côté exploitation en réduisant les tickets support du quotidien, pendant que les signaux forts autour de la PKI et de l’automatisation des certificats, portés notamment par les annonces Let’s Encrypt et les nouvelles évaluations AD CS dans Defender for Identity, rappellent que la gestion des certificats est désormais un sujet critique et non plus périphérique.
Enfin, côté bases de données, les publications SQL Server Performance Office Hours et le tableau de bord officiel SQL Server pour le suivi des versions et du patching restent des références indispensables pour garder une plateforme saine et éviter les erreurs de change management.
Et côté Azure, voici les scans les plus chauds à ne pas manquer
Cette semaine côté Azure, plusieurs annonces structurantes méritent une lecture attentive, car elles touchent directement la sécurité, l’architecture réseau et les pratiques d’exploitation. Entre le passage en GA du mode FIPS sur Application Gateway v2, qui renforce la conformité des frontaux exposés, et le report de la fin du default outbound access pour Azure Batch, Microsoft confirme une trajectoire réseau plus stricte et plus explicite sur la connectivité sortante.
Côté data et plateformes, la préparation de la migration d’Azure Data Factory vers Microsoft Fabric s’impose comme un sujet stratégique pour les environnements analytiques, pendant que la reconnaissance de Fabric comme leader du streaming temps réel valide la convergence data, analytics et IA portée par Microsoft. Sur le plan DevOps, la fin programmée des Global Personal Access Tokens dans Azure DevOps marque un tournant fort en matière de gouvernance des accès, complété par la disponibilité générale d’Azure DevOps Server pour les organisations qui restent en hybride ou on-prem.
Dans les architectures applicatives modernes, les recommandations autour des Workload Profiles pour Azure Container Apps et les scénarios de déploiement blue-green avec Azure Developer CLI apportent des réponses concrètes aux enjeux de stabilité en production. Enfin, l’extension d’Azure Managed Prometheus aux VM et VMSS, les nouveautés Microsoft Sentinel de décembre, l’arrivée des dashboards Databricks directement dans Microsoft Teams et la nouvelle version d’Azure Sphere OS montrent une volonté claire d’unifier observabilité, collaboration et IoT au sein de l’écosystème Azure.
👇 Attache ta ceinture, tout est scanné, résumé et prêt à l’injection. Bonne consultation !
Sommaire
La commande “Az CLI” de la semaine !
Contrôler les Storage Accounts qui n’imposent pas le HTTPS
Quand les Global PAT disparaissent, beaucoup de pipelines reposent encore sur des Service Principals sur-privilégiés, souvent créés il y a longtemps et jamais revus. Avant de migrer vers des modèles plus propres, tu dois savoir quelles identités applicatives ont accès à tout l’abonnement.
# 1. Récupérer l'ID de l'abonnement courant
SUBID=$(az account show --query id -o tsv)
# 2. Lister les Service Principals avec des rôles élevés au scope abonnement
az role assignment list \
--scope "/subscriptions/$SUBID" \
--include-inherited \
--query "[?principalType=='ServicePrincipal' && (roleDefinitionName=='Owner' || roleDefinitionName=='Contributor')].[Principal:principalName, Role:roleDefinitionName, Scope:scope]" \
-o table
Chaque ligne représente une identité applicative capable de modifier massivement ton environnement Azure. Si tu retrouves des Service Principals liés à d’anciens projets, à des pipelines obsolètes ou sans propriétaire clair, c’est une dette de sécurité immédiate. Dans un monde sans PAT globaux, ces identités deviennent les nouvelles clés maîtresses.
👉 Réflexe Azure Doctor : un pipeline moderne n’a presque jamais besoin d’Owner. Si tu vois ce rôle ici, il y a probablement un design à corriger.
📢 Big News : Azure DevOps change les règles du jeu sur les accès
Microsoft annonce la fin programmée des Global Personal Access Tokens dans Azure DevOps, un mécanisme encore largement utilisé dans les pipelines, les scripts et les intégrations historiques. Ce virage impose aux équipes de revoir en profondeur leurs pratiques d’authentification et marque une étape clé vers des accès plus sécurisés, mieux gouvernés et réellement alignés avec les principes Zero Trust.
🔍 Scan rapide du corps “On-Prem & Hybride”
Active Directory & Windows Server
Patch Tuesday Windows Server 2025 : KB5072033
Cette mise à jour cumulative est le socle de sécurité de décembre pour Windows Server 2025 et concerne directement les contrôleurs de domaine en production. Elle consolide les correctifs critiques tout en intégrant les ajustements déjà testés dans les previews précédentes.
Explorer davantage
Guidance Microsoft sur les menaces critiques AD DS
Microsoft recentre le discours sécurité sur les attaques réellement observées contre Active Directory en 2025. Le billet fournit une lecture claire des vecteurs NTLM, Kerberos et mouvements latéraux avec des leviers concrets de réduction du risque.
Comprendre en profondeur
Windows Server Container Images Base OS : KB5072778
Les images conteneurs Windows Server sont reconstruites chaque mois et cette publication est indispensable pour rester aligné avec le niveau de sécurité courant. Elle rappelle que le patching conteneur passe par l’image et non par la maintenance en place.
Voir les détails
Images Windows Server Azure Marketplace : KB5072779
Microsoft met à jour les images Windows Server disponibles sur Azure avec l’ensemble des correctifs de décembre. C’est un point clé pour garantir que les nouveaux déploiements partent d’une base saine et conforme.
Explorer la suite
RDS /AVD
Windows Server 2025 (Patch Tuesday) et impact RDS
Si tu as du RDS en production, cette cumulative update fait partie des mises à jour que tu ne repousses pas quand tu veux garder des sessions stables et un serveur propre côté sécurité. Elle s’applique directement à Windows Server 2025 et elle embarque les correctifs et améliorations du mois. Consulter la suite
Remote Desktop client (MSI) : dernière version 1.2.6873
Si tes utilisateurs se connectent à AVD via le client MSI, garde un œil sur la version publiée et sur le fait que le déploiement est progressif sur une semaine. C’est aussi le bon moment pour vérifier ce que tu as encore en Store app côté postes, parce que la bascule vers Windows App est devenue un sujet opérationnel. Voir les détails
Microsoft 365 Apps
Microsoft 365 Apps : la mise à jour de décembre qui calme enfin les irritants du quotidien
La vague de décembre apporte une série de correctifs très attendus sur Outlook et Excel, avec un vrai gain de stabilité ressenti côté utilisateurs. C’est typiquement la mise à jour qui fait baisser les tickets support sans faire de bruit mais avec de l’effet.
Explorer davantage
Outlook et Word : des correctifs de décembre qui évitent des heures de support inutile
Les builds de décembre corrigent des bugs concrets comme les liens OneDrive inaccessibles ou les recherches @mention qui ne renvoyaient rien. Ce sont des détails en apparence mais sur un parc large ils font une vraie différence côté exploitation.
Voir les détails
Canal actuel Preview : ce que Microsoft prépare avant de l’imposer à tout le monde
La version Preview publiée début décembre donne une vision claire des changements fonctionnels à venir sur Microsoft 365 Apps. C’est l’endroit idéal pour anticiper les impacts avant qu’ils n’arrivent en production sur le Canal actuel.
Plonger dans le détail
PKI
Let’s Encrypt fête ses 10 ans et te rappelle une vérité simple : sans automatisation tu vas casser quelque chose
En décembre, Let’s Encrypt publie un billet anniversaire qui montre à quel point l’émission et le renouvellement automatiques ont changé l’échelle du Web. Si tu gères une PKI interne, le message est limpide, ton vrai ennemi n’est pas la crypto mais le renouvellement manuel oublié.
Explorer davantage
AD CS sous surveillance : Microsoft pousse une posture “templates vulnérables” liée aux serveurs non patchés
Microsoft Defender for Identity met en avant une nouvelle évaluation de posture qui liste les modèles de certificats vulnérables détectés dans les environnements, avec un lien explicite vers des serveurs AD CS non corrigés. Si tu as AD CS on-prem, c’est le signal qu’il faut traiter la PKI comme un actif critique, pas comme un rôle Windows “installé une fois et oublié”.
Comprendre en profondeur
PKI en 2025 : l’automatisation devient une exigence, pas un confort
Les discussions côté écosystème WebPKI insistent de plus en plus sur l’automatisation et l’agilité, surtout avec la réduction progressive des durées de validité des certificats publics. Autrement dit, plus la durée baisse, plus ta capacité à renouveler sans douleur devient une compétence de survie.
Aller plus loin
SQL Server
Performance Office Hours du 8 décembre : le rappel hebdo qui te sauve des mauvaises habitudes
Le 8 décembre, Erik Darling publie un nouvel épisode “SQL Server Performance Office Hours” qui aborde des questions concrètes d’optimisation et de plans d’exécution. Si tu veux une veille utile, c’est exactement le format qui te ramène sur des fondamentaux applicables dès demain. Explorer la suite
Le “tableau de bord” officiel SQL Server : la page qui te permet de trancher vite en change management
Quand tu veux vérifier une version, confirmer un niveau de build ou retrouver le bon point d’entrée de patching, cette page Microsoft est la plus efficace. C’est aussi un bon lien à mettre dans une doc d’exploitation pour éviter les approximations.
Comprendre en profondeur
🔍 Scan rapide du corps “Azure”
Réseau
Application Gateway v2 : le mode FIPS passe en disponibilité générale
Les SKU v2 d’Azure Application Gateway supportent désormais le mode FIPS 140-2 en GA. Cette évolution renforce la conformité sécurité et facilite l’alignement avec les exigences FedRAMP et les environnements réglementés.
Aller plus loin
Compute
Update Azure Batch : la fin du default outbound access repoussée à mars 2026
Microsoft décale la date de retrait du default outbound access au 31 mars 2026 pour s’aligner avec l’évolution des VNets Azure. À partir de cette échéance, toute connectivité sortante devra être explicitement définie sous peine de couper l’accès Internet des nœuds Batch. Explorer davantage
Stockage
Azure Backup pour Cosmos DB : rétention longue durée jusqu’à 10 ans
Microsoft teste une rétention étendue pour Azure Backup sur Cosmos DB, répondant à des besoins réglementaires forts. Cette preview ouvre la voie à des stratégies de conformité plus robustes. Voir les détails
Base de Données
Préparer la migration d’Azure Data Factory vers Microsoft Fabric
Microsoft partage une approche structurée pour évaluer et préparer une migration vers Fabric Data Factory. Cette transition marque une étape clé vers une plateforme data unifiée et orientée analytique moderne.
Plonger dans le détail
DevOps
Azure DevOps : fin programmée des Global Personal Access Tokens
Microsoft acte la retraite des Global Personal Access Tokens dans Azure DevOps pour renforcer la sécurité des accès et réduire les usages trop permissifs. Cette évolution pousse clairement vers des modèles d’authentification plus maîtrisés et mieux gouvernés. Approfondir la lecture
Azure DevOps Server passe en disponibilité générale
Azure DevOps Server est désormais disponible en GA, confirmant la stratégie hybride et on-prem de Microsoft pour les environnements réglementés. Une annonce structurante pour les organisations qui ne peuvent pas basculer entièrement dans le cloud. Aller plus loin
Containers
Azure Container Apps : mieux dimensionner avec les Workload Profiles
Microsoft introduit des recommandations concrètes pour planifier la capacité des Container Apps via les Workload Profiles. Un pas important pour concilier performance, coûts et prévisibilité en production.
Comprendre en profondeur
Déploiement blue-green simplifié avec Azure Container Apps et Azure Developer CLI
Microsoft propose une approche concrète pour mettre en œuvre du blue-green deployment avec Container Apps. Cette méthode réduit drastiquement les risques lors des mises en production applicatives. Explorer davantage
Intégration
Microsoft Fabric : ouverture et extensibilité des workloads
Le Fabric Extensibility Toolkit permet désormais de publier et d’étendre des workloads personnalisés. Une avancée majeure pour adapter Fabric à des scénarios métiers avancés. Lire la suite
Logic Apps : un nouvel outil de test pour le Data Mapper
Le Data Mapper Test Executor enrichit les capacités de test dans Logic Apps Standard. Une évolution bienvenue pour fiabiliser les flux d’intégration complexes avant mise en production. Approfondir la lecture
Hybrid & MultiCloud
Azure Arc : cap sur 2026
Le forum Azure Arc Server 2026 dévoile les orientations à venir pour la gestion hybride et multicloud. Une vision claire de l’unification du management au-delà des frontières Azure. Explorer la suite
Management & Gouvernance
Azure Managed Prometheus arrive sur VM et VMSS
Azure étend Managed Prometheus aux machines virtuelles et aux VM Scale Sets pour offrir une observabilité cohérente au-delà de Kubernetes. Cette preview simplifie la centralisation des métriques dans des architectures hybrides ou legacy.
Explorer la suite
Microsoft Sentinel : tour d’horizon des nouveautés de décembre 2025
Le billet mensuel Sentinel apporte des évolutions ciblées sur la détection, l’investigation et l’expérience SOC. Une mise à jour à ne pas ignorer pour maintenir une posture de défense alignée avec les menaces actuelles.
Voir les détails
AI + Machine Learning
Azure Databricks : les dashboards arrivent directement dans Microsoft Teams
Azure Databricks permet désormais d’envoyer les abonnements aux dashboards directement dans Microsoft Teams. Les équipes reçoivent les indicateurs là où elles collaborent, sans multiplier les outils ni perdre de contexte.
Plonger dans le détail
Microsoft Fabric reconnu leader du streaming temps réel
Fabric est positionné comme leader dans le Forrester Wave 2025 sur le streaming data en temps réel. Cette reconnaissance valide la stratégie unifiée data, analytics et IA portée par Microsoft. Approfondir le sujet
IoT
Azure Sphere OS 25.12 disponible en évaluation étendue
La version 25.12 d’Azure Sphere OS est disponible en Retail Eval avec une période de test prolongée jusqu’en février 2026. Cette release prépare une évolution majeure du build system et doit être validée avant le passage à la version 26.02.
Approfondir le sujet
Mème de la semaine !
Tu es arrivé au bout de ta prescription, sans effets secondaires 😄
Si cette dose hebdo t’a été utile, n’hésite pas à la partager à un collègue, un partenaire ou un ami tech qui aurait bien besoin d’un petit coup de scalpel Cloud.
La communauté Azure Doctor grandit grâce à toi 💙
A la semaine prochaine !
— Azure Doctor 🩺
