👋 Hello, ici Azure Doctor !

Avant de plonger dans les dernières annonces Azure, petit tour d’horizon de ce qu’on a publié cette semaine côté blog :

Et côté Azure, voici les scans les plus chauds à ne pas manquer

Côté réseau, Azure continue de simplifier la vie des équipes infra : désormais, chaque nouveau gateway ExpressRoute reçoit automatiquement une adresse IP publique sans configuration manuelle ce qui uniformise et accélère les déploiements. Plus impressionnant encore, ExpressRoute Direct s’impose comme la solution ultime pour les architectures critiques avec une connectivité directe au backbone Azure en 10 ou 100 Gbps, FastPath, MACsec, egress local gratuit et redondance active/active sur plusieurs sites. Le genre d’évolution qui redéfinit la résilience réseau dans le cloud.

Du côté de la supervision, Log Analytics muscle ses outils. Les Search Jobs bénéficient d’une nouvelle interface, d’une estimation de coût et d’une capacité bientôt étendue à 100 millions de résultats. En parallèle, les Summary Rules sont généralement disponibles et permettent d’agréger efficacement des flux à fort volume quel que soit le plan de ton workspace tout en montant à 100 règles configurables.

Dans les coulisses du DevOps, Microsoft change la donne. Avec Azure DevOps, GitHub Copilot et Playwright, il devient possible de transformer un simple cas de test en script e2e complet généré par IA intégré automatiquement dans ton pipeline CI/CD. Plus besoin de coder chaque interaction, Copilot s’en charge à partir de ta description fonctionnelle un vrai gain de temps et de couverture.

Pendant ce temps, sur les clusters AKS, la gestion IP atteint une nouvelle dimension. Grâce à Azure CNI, on peut allouer statiquement des blocs CIDR par nœud, franchir la barre du million de pods sans overlay tout en conservant une latence faible et des IP routables nativement. Un équilibre rare entre simplicité et scalabilité.

Sur le front de la sécurité, un rappel important s’impose. À partir du 28 juillet, certains certificats managés sur App Service ne seront plus renouvelés si ton app n’est pas publiquement accessible ou utilise un domaine *.trafficmanager.net. Il est essentiel de vérifier ta configuration pour éviter toute rupture silencieuse.

Enfin, l’écosystème Microsoft Fabric connaît lui aussi une accélération. D’un côté, Copy Job devient encore plus flexible : il prend désormais en charge les views SQL comme sources, propose des datasets intégrés pour test immédiat et s’ouvre à de nouveaux connecteurs comme MongoDB, SharePoint ou Azure AI Search. De l’autre, Microsoft acte la fin d’une époque : les modèles sémantiques générés automatiquement sont supprimés pour laisser place à une modélisation gouvernée et explicite plus adaptée aux environnements critiques. Et pour les scénarios IA, les modèles ML peuvent désormais être servis en scoring temps réel via des endpoints REST managés, auto-scalés, sécurisés et activables en un clic. Un vrai tournant pour l’industrialisation de l’intelligence artificielle dans Fabric.

👇 Attache ta ceinture, tout est scanné, résumé et prêt à l’injection. Bonne consultation !

📢 NOUVEAU ! 2 publications majeures à ne pas rater cette semaine !

Dans un environnement Azure bien encadré, les règles d’entrée sont traitées avec sérieux. On verrouille les ports, on contrôle les IP et on applique les NSG avec méthode. Tout semble sous contrôle.

Mais derrière cette apparente maîtrise, une question revient souvent en audit : que deviennent les flux sortants ? Dans bien des cas, les NSG en place n’intègrent aucune règle egress explicite. Parfois, tout est laissé ouvert. Parfois, tout est bloqué sans qu’aucune exception ne soit définie. Et dans les deux cas, personne ne s’en aperçoit, jusqu’au jour où un service ne répond plus ou qu’une donnée sort sans autorisation.

Tu héberges plusieurs applications web sur Azure App Service. Certaines sont exposées publiquement, d’autres servent d’API internes ou d’interfaces clients. Elles tournent, scalent, restent sous contrôle et en apparence tout semble parfaitement fonctionner.

Mais un détail t’échappe. Un détail que tu ne verras pas dans Application Insights ni dans ton dashboard d’usage. Certaines de tes applications autorisent encore les connexions HTTP non chiffrées. Le client tape l’URL sans spécifier https://, et la plateforme le laisse faire. Aucune redirection vers HTTPS. Le contenu s’affiche, parfois avec des sessions, des cookies, des données utilisateurs. Et tu viens de rater un point essentiel de ta posture sécurité.

On a tous un tenant un peu trop chargé, avec des ressources qui traînent, des groupes oubliés ou des restes de projets pilotes. Et parfois, ce ne sont même pas les ressources qui coûtent… mais les erreurs de structure.

Alors, si tu veux savoir quels Resource Groups sont totalement vides, et qui mériteraient un petit ménage, voici une boucle shell élégante qui fait le job proprement :

Ce script liste tous les groupes, les inspecte un à un, et affiche uniquement ceux qui n’ont plus aucune ressource à l’intérieur. Pas besoin de PowerShell, pas besoin d’Excel, juste du CLI et un peu d’ordre dans ton infra.

Tu veux aller plus loin et automatiser le nettoyage ? Il suffit d’ajouter un az group delete après confirmation, mais ça, c’est une autre histoire.

À partir de ce lundi, plusieurs types d’apps ne pourront plus renouveler leurs certificats SSL managés sur Azure App Service. En cause : un changement chez DigiCert, la CA officielle, qui impose une nouvelle validation stricte. Résultat : 403, échecs silencieux… et frontend en rade si tu ne corriges pas à temps.

Tu es concerné si ton app :

Pas de panique : Microsoft fournit les requêtes ARG prêtes à l’emploi pour détecter les cas à risque, et des contournements existent (/.well-known, custom domain, endpoint Azure).

Voir l’annonce + requêtes

Depuis juillet 2025, les nouveaux gateways ExpressRoute reçoivent automatiquement une IP publique. Plus besoin de l’assigner manuellement : le déploiement est simplifié et standardisé, sans impact sur les gateways existants. Documentation officielle

Avec ExpressRoute Direct, connecte-toi directement au réseau global de Microsoft en 10 ou 100 Gbps, active FastPath, MACsec, et tire parti d’un modèle à double port pour une haute disponibilité. Idéal pour les workloads critiques ou géo-distribués. Lire la documentation complète

Les Search Jobs, ces requêtes asynchrones sur les données (même archivées) de Log Analytics, gagnent en ergonomie et en performances. L’interface a été simplifiée, un aperçu du coût est disponible avant exécution, la parallélisation est accrue, et la limite de résultats passera bientôt à 100 millions. Un support KQL élargi est également prévu. Documentation officielle

Les Summary rules sont désormais disponibles en général availability dans Log Analytics. Elles permettent d’agréger efficacement les flux à fort volume, que ton workspace soit en mode Analytics, Basic ou Auxiliary. Idéal pour produire des tableaux de bord, analyses ou rapports longue durée sans surcoût ni surcharge. La limite passe à 100 règles par workspace. Documentation officielle

En combinant GitHub Copilot, MCP Server et Playwright, Microsoft automatise la génération de tests end-to-end à partir de cas Azure DevOps. Résultat : moins de scripts à coder, plus de couverture, et un pipeline CI/CD fluide. Lire le retour d’expérience

C’est désormais en GA : Azure CNI permet l’allocation statique de blocs CIDR pour les sous-réseaux de pods. Chaque nœud reçoit un bloc dédié, simplifiant la gestion réseau tout en conservant les bénéfices d’un réseau plat (latence faible, IP routables). On atteint une capacité de plus d’un million de pods, sans recourir aux overlay networks. Ce mode cohabite avec l’allocation dynamique sur de nouveaux node pools. Documentation officielle

Le service Azure Virtual Desktop supporte désormais la région Korea Central pour sa base de données metadata, offrant meilleure latence, conformité locale et connexions plus rapides aux utilisateurs coréens. Documentation sur les emplacements de données AVD

Disponible en GA depuis juillet 2025, Azure Managed Lustre prend désormais en charge le chiffrement des données in transit via VNet Encryption. Basée sur DTLS 1.2 (AES-GCM-256), cette protection est optimisée par FPGA pour garantir performance et faible latence. Elle répond aux exigences de conformité des secteurs régulés (finance, santé, secteur public). Activation possible sur les VMs D, E, F et L via une mise en maintenance du cluster. Documentation officielle

Dès le 28 juillet 2025, les certificats managés ne seront plus émis pour les apps non accessibles publiquement ou utilisant des endpoints Traffic Manager non pris en charge. Une vérification de configuration est recommandée. Lire l’annonce officielle

Azure VMware Solution est désormais disponible en Espagne (Spain Central), portant le total à 35 régions. Elle permet de migrer rapidement tes workloads VMware vers Azure sans refonte applicative, avec offres de migration et remises à la clé. En savoir plus

Azure Linux 2.0 (ex-Mariner) atteindra sa fin de vie le 31 juillet 2025. Tous les clusters AKS Arc devront migrer vers Azure Linux 3.0 (kernel 6.6) dès la version 2507 pour rester supportés. Notes de version Azure Linux 3.0

Microsoft poursuit la modernisation du throttling dans Azure Resource Manager en l'étendant progressivement aux clouds souverains d’ici fin 2026. Objectif : aligner les limites entre environnement public et souverain, pour une expérience uniforme. Les limites ont déjà été fortement relevées (jusqu’à ×30 pour les écritures) et le déploiement a débuté en juillet 2025. Détails et roadmap officielle

Tu peux désormais générer un thread dump Java directement depuis la console Kudu si Diagnose & Solve n’est pas accessible. Il suffit de repérer le PID du processus java.exe puis d’utiliser jstack en ligne de commande. Lire le guide

Un nouveau pipeline CI/CD azd te permet de déployer le même artefact de build de l’environnement dev à prod, avec Bicep conditionnel, validation automatique et promotion contrôlée via variables d’environnement. Voir l’exemple complet

Microsoft Fabric prend désormais en charge Git pour gérer les fonctions personnalisées Python, avec versioning, CI/CD, et publication directe via VS Code ou le portail. Lire l’annonce

Le provider Terraform pour Fabric évolue avec l’appui du Fabric CLI et des MCP Servers, facilitant la définition de ressources complexes comme les Copy Jobs. Une base solide pour industrialiser la gouvernance Fabric. Voir l’article

Microsoft dévoile une architecture open source pour créer un orchestrateur Deep Research multi-agent en interne, dépassant les limites du RAG classique pour des analyses plus poussées et contextualisées. Lire l’annonce

Les modèles ML dans Microsoft Fabric peuvent désormais exposer des endpoints REST managés pour des prédictions temps réel, avec auto-scaling, preview instantané et intégration simplifiée dans tes apps ou dashboards. Lire l’annonce

Copy Job te permet désormais de copier depuis des views SQL, de tester avec des datasets intégrés en 1 clic, et de connecter plus de sources (MongoDB, SharePoint, Azure AI Search…). L’ingestion de données n’a jamais été aussi simple. Lire l’annonce

Les default semantic models ne seront plus générés automatiquement dans Fabric. Désormais, chaque modèle devra être créé manuellement pour renforcer la gouvernance et le contrôle des rapports. Lire l’annonce officielle

L’API de synchronisation des métadonnées passe bientôt en GA, avec support imminent du collation case-insensitive et futur ajout de VARCHAR(MAX) pour mieux gérer les champs texte volumineux. Voir l’annonce

Microsoft met en avant les contributions des MVPs et Super Users autour de Fabric : sécurité SQL, Copilot Power BI, TMDL, DP-700, gouvernance Purview, Fabric CLI et bien plus. Une mine d’inspirations à explorer. Lire le Spotlight complet

L’assistant SRE basé sur l’IA peut désormais surveiller, diagnostiquer et corriger les problèmes d’API Management : erreurs 5xx, backend dégradé, policies mal formées ou quotas mal configurés. Voir l’annonce

Les workspaces sont désormais disponibles en version stable dans APIM Premium v2 (toujours en preview). Ils facilitent la gestion fédérée des APIs à grande échelle, avec gouvernance, sécurité et visibilité centralisées. Documentation Workspaces APIM

Il est désormais recommandé d’appeler Azure Function depuis ADF via l’authentification Entra ID et Managed Identity, en évitant les clés API. L’article détaille les étapes avec permissions, App ID et Linked Service à jour. Lire l’annonce