Un changement silencieux vient d'être glissé dans Azure. Deadline : 31 mars. Si tu as des pipelines IaC ou des déploiements automatisés non préparés, certains vont casser sans avertissement

Ce n'est pas la seule chose à surveiller cette semaine. Entre le correctif WHfB qui cible un scénario précis d'authentification ADFS, la transition Teams VDI qui devient un sujet de gouvernance, et Lakebase qui passe en GA et repositionne Databricks sur le transactionnel — c'est une semaine dense.

J'ai fait le tri. Voici ce qui brûle, ce qui peut attendre, et ce qu'on peut ignorer.

Mais avant de plonger dans les actus, voici ce qu'on a publié cette semaine côté blog :

Azure VNet privé par défaut dès le 31 mars 2026
Azure change un comportement historique du réseau. Les nouveaux VNets basculent vers un modèle plus sécurisé par défaut, ce qui peut impacter certains déploiements automatisés si tu ne l’anticipes pas 👉 Lire l’article

Nouveautés Azure Sentinel – Mars 2026
Trois mises à jour qui réduisent concrètement la friction opérationnelle de ton SOC : le Playbook Generator te permet de créer des automatisations en langage naturel sans écrire une ligne de code, CCF Push simplifie radicalement l'ingestion de sources custom, et le connecteur GKE passe en GA pour combler l'angle mort Kubernetes Multi-Cloud 👉 Lire l'article

Entra Conditional Access n’est pas un pare-feu
Beaucoup d’architectures confondent contrôle d’accès et sécurité réseau. Cet article explique pourquoi Conditional Access protège l’identité mais ne remplace jamais un vrai contrôle réseau 👉 Lire l’article

Azure Confidential VMs DCasv6 & ECasv6 en GA
La nouvelle génération de VMs confidentielles débarque avec AMD EPYC 4e gen : +25% de performances, jusqu'à 672 GiB de RAM, chiffrement AES-256 par défaut et, nouveauté majeure et rotation de clés en ligne sans arrêt de la VM. Le support AKS est là, France South est disponible depuis janvier 2026 👉 Lire l'article

Maintenant place aux actus. Pour les plus pressés, voici les actus qui comptent vraiment cette semaine. On a gardé uniquement les annonces qui peuvent impacter le Run, la sécurité ou les décisions de Roadmap — le reste est volontairement laissé de côté.

🔍 On-Prem & Hybride

Active Directory & Windows Server

• GPP arrête de te laisser deviner ce qui a cassé
  Les diagnostics Group Policy Preferences deviennent enfin lisibles avec des événements qui pointent directement l’élément fautif. En dépannage, tu passes de ProcMon et de l’intuition à un triage beaucoup plus rapide.

• Correctif hors bande pour ADFS et le renouvellement de certificats Windows Hello for Business
  Un patch très ciblé pour un scénario où le renouvellement WHfB via ADFS peut échouer. À traiter proprement sur les serveurs concernés car l’activation passe par le mécanisme Known Issue Rollback.

RDS /Azure Virtual Desktop

• Teams en VDI change de chapitre
  L’ancienne optimisation WebRTC se dirige vers la sortie. Si tu utilises AVD, Windows 365 ou Citrix, c’est le moment de vérifier ton niveau d’optimisation et d’aligner images, clients et politiques.

• Nouvelle optimisation Teams en VDI pour Omnissa Horizon
  La technologie SlimCore arrive en preview et promet des réunions plus stables et moins de dépendance aux cycles de rebuild d’image VDI.

Microsoft 365 Apps

• OneNote prend enfin les sensitivity labels au sérieux
  Les labels deviennent GA dans OneNote, ce qui ferme un angle mort fréquent côté conformité et intégration Purview.

• Access corrige un piège discret pour les requêtes passthrough
  Le Monaco editor ne reformate plus certaines requêtes SQL spécifiques serveur, ce qui évite des bugs difficiles à diagnostiquer dans des environnements Access + SQL Server.

• PowerPoint ajoute un mini studio d’édition d’images
  L’édition d’images devient plus complète directement dans l’application, réduisant les aller-retours vers des outils externes pour les visuels

PKI

• Correctifs OpenSSL côté SUSE
  Les vulnérabilités concernent des scénarios PKCS#12 et CMS pouvant impacter des services manipulant certificats et keystores. À qualifier puis déployer rapidement en production.

Linux

• Kernel stable et LTS mis à jour
  Plusieurs branches reçoivent des correctifs en même temps. Un rappel utile pour maintenir un cycle de validation rapide sur images, nodes Kubernetes et serveurs.

• Kernel Ubuntu avec changement ABI
  Le patch impose la recompilation de modules tiers, notamment DKMS et drivers spécifiques.

• Correctifs NSS, PostgreSQL et ImageMagick
  Des vulnérabilités touchent des bibliothèques très répandues, avec des impacts possibles sur TLS, bases de données et traitement d’images.

• systemd 260 rc2 réduit encore la compatibilité SysV
  Les environnements qui utilisent encore des scripts legacy devront progressivement migrer vers des unit files modernes

🔍 Côté Azure

Réseau

• Azure Firewall simplifie la gestion des règles avec Draft & Deploy
  Les modifications peuvent désormais être préparées dans un brouillon puis déployées en une seule opération. Résultat, moins de redéploiements du firewall et des changements beaucoup plus propres en production.

• Migration initiée par Microsoft pour certaines passerelles ExpressRoute
  Azure modernise certaines passerelles ExpressRoute avec une migration orchestrée côté plateforme afin d’améliorer stabilité et performance des connexions hybrides.

Compute

• Microsoft publie de nouvelles ressources pour les architectures IaaS Azure
  Une série de contenus dédiée aux bonnes pratiques d’architecture pour construire des infrastructures cloud plus résilientes et plus performantes.

Sécurité

•  Onboarding Windows modernisé pour les appareils modernes et legacy
  Microsoft simplifie l’intégration des postes Windows dans les solutions Defender et les outils de sécurité avec un processus d’onboarding plus transparent.

• Microsoft Sentinel, nouveautés de mars 2026
  Le récap mensuel apporte de nouvelles capacités de détection, d’intégration et d’automatisation pour les SOC.

• OpenClaw et les risques runtime des agents IA
  Microsoft analyse les risques liés à l’exécution d’agents IA et détaille les bonnes pratiques pour isoler les workloads et contrôler les identités.

Management & Gouvernance

• Azure Policy accélère l’application des règles
  Les assignations de policies sont désormais appliquées en quelques minutes. Le contournement consistant à forcer un login/logout disparaîtra définitivement en avril 2026.

Containers

•  Exécuter du code généré par IA avec Azure Container Apps Dynamic Sessions
  Azure propose un environnement éphémère et isolé pour exécuter du code produit par des agents IA sans exposer l’infrastructure principale.

• Migration vers la nouvelle génération de Virtual Nodes pour Azure Container Instances
  Une évolution visant à améliorer l’intégration entre AKS et ACI pour exécuter des workloads serverless containers plus efficacement.

Intégration

• Logic Apps Aviators Newsletter – nouveautés de Mars
  La publication mensuelle rassemble les dernières évolutions de Logic Apps et les ressources utiles pour les projets d’intégration et d’automatisation

AI + Machine Learning

• Azure Databricks Lakebase passe en disponibilité générale
  Une base PostgreSQL managée pensée pour rapprocher workloads transactionnels et analytiques dans les architectures lakehouse

• Configuration réseau des workspaces Azure Databricks désormais modifiable
  Les équipes peuvent ajuster ou migrer la configuration réseau d’un workspace après déploiement.

• GPT-5.4 annoncé dans Microsoft Foundry
  Un modèle orienté production avec raisonnement plus robuste et workflows agentiques plus fiables.

Analytics

• Exécuter Power Query de manière programmatique dans Microsoft Fabric
  Les transformations Power Query peuvent désormais être orchestrées dans des workflows automatisés pour industrialiser les pipelines data.

👇 Attache ta ceinture, tout est scanné, résumé et prêt à l’injection. Bonne consultation !

Quand tu prépares un déploiement, surtout en architecture multi-régions ou pour un plan de reprise d’activité, il est essentiel de connaître rapidement les régions disponibles dans Azure. Cette commande te donne la liste complète des régions supportées par la plateforme pour ta Subscription.

az account list-locations \
  --query "[].{Region:name, DisplayName:displayName}" \
  -o table

Ce que tu obtiens en sortie

Un tableau simple avec :

• Region : le nom technique de la région (par exemple westeurope, northeurope, eastus)

• DisplayName : le nom lisible de la région dans le portail Azure

Comment l’interpréter

Cette commande est utile pour vérifier rapidement quelle région utiliser dans un script, un template Bicep ou un déploiement CLI. Elle permet aussi d’éviter les erreurs de nom de région dans les automatisations et de confirmer quelles régions sont disponibles pour ta subscription.

Avec Lakebase, Azure Databricks ne se contente plus d’héberger l’analytique et le machine learning. La plateforme se positionne aussi sur le terrain des applications transactionnelles modernes avec un PostgreSQL managé pensé pour rapprocher données opérationnelles, BI et usages IA dans une même fondation gouvernée.
C’est probablement la nouveauté la plus structurante de la semaine, car elle dépasse le simple ajout de fonctionnalité et pousse une vraie vision de plateforme unifiée pour les workloads data et applicatifs. Plonger dans le détail

GPP arrête de te laisser deviner ce qui a cassé

Les diagnostics Group Policy Preferences deviennent enfin lisibles, avec des événements qui pointent vers l’élément fautif au lieu d’un simple code d’erreur opaque. En dépannage, tu passes de “ProcMon et prières” à un triage rapide et reproductible.
Plonger dans le détail

Correctif hors bande pour ADFS et la rénovation de certificats Windows Hello for Business

Si tu relies WHfB à un flux de certificats validés via ADFS, ce correctif cible un scénario précis qui peut casser le renouvellement et se transformer en incident d’authentification côté utilisateurs. À traiter comme une intervention chirurgicale, uniquement sur les serveurs concernés, avec un pilotage propre car l’activation passe par le mécanisme de Known Issue Rollback. Aller plus loin

Teams en VDI change de chapitre, l’ancien modèle devient une dette

Microsoft acte la transition vers l’optimisation moderne et met l’ancienne optimisation WebRTC sur la voie de sortie, ce qui transforme la compatibilité VDI en sujet de gouvernance et pas juste un “plugin à installer”. Si tu as de l’AVD, du Windows 365 ou du Citrix, c’est le moment de vérifier ton état d’optimisation et de préparer un plan d’alignement image, client et politiques. Explorer davantage 

Nouvelle optimisation Teams en VDI pour Omnissa Horizon

La techno SlimCore arrive en preview côté Omnissa, ce qui réduit la dépendance aux cycles de mise à jour côté infra VDI et améliore la stabilité des réunions et du partage d’écran. Concrètement, tu peux viser moins de “rebuild d’image pour suivre Teams” et plus de prévisibilité côté qualité média. Approfondir le sujet

OneNote prend enfin les sensitivity labels au sérieux

Les sensitivity labels arrivent en disponibilité générale dans OneNote, ce qui ferme un trou classique en conformité quand les notes circulent en dehors des workflows documentaires habituels. Pour le run, ça simplifie l’application des règles Purview, encryption et restrictions, sans bricoler des contournements par usage. Consulter la suite

Access corrige un piège discret pour les requêtes passthrough

Le Monaco editor arrêtait de “reformater” des requêtes passthrough, un détail qui peut casser du SQL spécifique serveur et te faire perdre du temps en diagnostic. C’est typiquement le correctif silencieux qui stabilise des environnements mixtes Access + SQL Server sans que personne ne le relie à une mise à jour. Lire la suite

PowerPoint intègre un vrai mini studio d’édition d’images

PowerPoint ajoute une édition d’images plus poussée directement dans l’app, ce qui évite les aller-retours vers des outils externes pour nettoyer, améliorer ou upscaler des visuels. Côté usage terrain, ça réduit la friction sur les decks “runbook”, post-mortem et doc d’exploitation où les captures d’écran sont partout. Aller plus loin

OpenSSL côté Linux enterprise, correctifs critiques à intégrer au cycle patch

Un advisory SUSE cible des vulnérabilités OpenSSL avec des impacts concrets sur des scénarios crypto courants, notamment PKCS#12 et CMS, ce qui peut toucher des chaînes d’intégration certifs et des services qui manipulent des keystores. Si tu as du SUSE en prod, ça mérite un passage prioritaire en qualification puis déploiement contrôlé.
Explorer davantage

Kernel

Stable et LTS: la vague de patchs qui traverse tout ton parc sans demander la permission

Cette semaine, la branche stable et plusieurs branches longterm ont été mises à jour en même temps. Si tu gères des images, des nodes Kubernetes et des postes admins, c’est le genre de rafale qui rappelle pourquoi un cycle de validation simple et rapide vaut plus que n’importe quel discours sur la stabilité. Plonger dans le détail

Sécurité

Kernel Ubuntu: correctif de sécurité, mais avec un piège classique, l’ABI bouge

Le patch kernel arrive avec un changement ABI qui force la recompilation des modules tiers. C’est exactement le scénario où DKMS et les drivers maison deviennent ton point de friction, surtout sur des hôtes virtualisation ou GPU. Plonger dans le détail.

Ubuntu sur Azure: kernel Azure FIPS, patch de sécurité pour environnements contraints compliance

Si tu as du Linux durci ou des workloads qui s’appuient sur un kernel FIPS côté Azure, cette mise à jour compte, parce qu’elle arrive avec un lot de CVE et une logique de patching différente du “linux-generic” classique.
Plonger dans le détail

NSS: du trafic réseau peut faire tomber la crypto, et parfois bien plus

Une lib qu’on oublie parce qu’elle est partout. Quand NSS corrige une gestion mémoire fragile sur des opérations crypto, tu la traites comme un patch endpoint et serveur, surtout si tu as des applis qui terminent du TLS ou qui consomment des flux non maîtrisés.
Plonger dans le détail.

PostgreSQL: vulnérabilités corrigées, mais le service doit redémarrer pour de vrai

Le correctif est propre, mais il te rappelle un point opérationnel simple, patcher ne suffit pas, il faut que PostgreSQL redémarre pour que la mise à jour soit réellement effective.
Plonger dans le détail.

ImageMagick: un fichier image “banal” peut finir en crash ou exécution

Le genre de patch qui touche autant le desktop que les serveurs, parce que ImageMagick est souvent dans la chaîne de traitement d’images, conversion, preview, upload web. Un input piégé suffit à transformer une feature en incident. Plonger dans le détail.

Mailman: le legacy discret qui reste exposé plus longtemps qu’on ne l’avoue

Mailman fait partie de ces briques “historiques” qui survivent dans un coin. Quand une vulnérabilité sort, elle devient vite un sujet de surface d’attaque parce que personne ne la surveille au quotidien.
Plonger dans le détail.

Distributions et projets

Intel microcode: le patch silencieux qui demande un reboot, sinon il ne sert à rien

Les mises à jour microcode ne font pas de bruit, mais elles corrigent du bas niveau. Et comme toujours, si tu ne redémarres pas, tu as “patché” sur le papier et rien de plus.
Plonger dans le détail.

systemd 260 rc2: le moment où les scripts SysV cessent d’être tolérés

Le message est clair, la compat SysV recule franchement et les environnements qui traînent encore des scripts legacy vont le sentir. Si tu as des vieux services artisanaux dans tes images, c’est le bon moment pour les convertir en unit files avant que ça casse au prochain upgrade.
Plonger dans le détail.

Azure Firewall simplifie la gestion des règles avec Draft & Deploy

Azure Firewall introduit la fonctionnalité Draft & Deploy en disponibilité générale afin de faciliter les modifications de politiques sans perturber l’environnement en production. Les équipes peuvent désormais préparer plusieurs changements dans une version brouillon puis déployer l’ensemble en une seule opération.
Cette approche réduit les cycles de déploiement et évite les mises à jour répétées qui déclenchaient auparavant un redéploiement complet du firewall à chaque modification. Approfondir le sujet

Migration initiée par Microsoft pour les passerelles ExpressRoute

Microsoft annonce une migration initiée côté plateforme pour certaines passerelles ExpressRoute afin d’améliorer la stabilité et la performance du service. L’opération sera gérée automatiquement par Azure avec un impact minimal pour les environnements connectés au réseau privé Microsoft.
Pour les architectures hybrides reposant sur ExpressRoute, cette évolution s’inscrit dans une stratégie de modernisation progressive de l’infrastructure réseau managée. Comprendre en profondeur

Azure IaaS met en avant de nouvelles ressources pour renforcer l’infrastructure

Microsoft publie une nouvelle série dédiée aux architectures IaaS Azure afin d’aider les équipes à construire des infrastructures plus robustes et plus efficaces. Ces ressources abordent les bonnes pratiques de conception, les modèles d’architecture et les optimisations qui permettent d’améliorer la performance et la résilience des environnements cloud. Lire la suite

Onboarding Windows modernisé pour les appareils nouveaux et legacy

Microsoft améliore le processus d’onboarding des appareils Windows dans les solutions de sécurité avec un mécanisme plus transparent et personnalisable. L’objectif est de simplifier l’intégration des postes modernes comme des environnements legacy dans Microsoft Defender et les outils de gestion de sécurité. Consulter la suite

Microsoft Sentinel, les nouveautés de mars 2026

Microsoft publie la mise à jour mensuelle de Sentinel avec de nouvelles capacités de détection, d’intégration et d’automatisation pour les SOC. Les améliorations portent notamment sur l’analyse des incidents, l’enrichissement des alertes et l’intégration avec d’autres services de sécurité Microsoft. Lire la suite

OpenClaw et les risques runtime des agents IA

Microsoft analyse les risques de sécurité liés à l’exécution d’agents IA comme OpenClaw, notamment autour de l’identité, de l’isolation et des permissions runtime. Le billet détaille comment limiter l’exposition en utilisant des environnements isolés, des identités contrôlées et des politiques d’accès strictes pour les workloads IA. Explorer davantage

Diagnostiquer les échecs intermittents sur les réplicas de lecture Azure SQL Database

Un nouveau guide de support Azure explique comment analyser les échecs intermittents de requêtes lors de l’utilisation des read replicas Azure SQL Database, notamment l’erreur 33947. Il détaille les causes possibles liées à la réplication, à la latence ou aux conditions de charge afin d’aider les équipes à stabiliser leurs architectures de lecture distribuée. Voir les détails

Azure Developer CLI simplifie le swap de slots App Service

Azure Developer CLI introduit une commande dédiée permettant d’échanger les slots d’un Azure App Service en une seule opération. Cette évolution facilite les déploiements blue-green et réduit les manipulations manuelles nécessaires lors des mises en production.
Pour les équipes qui automatisent leurs pipelines ou leurs déploiements applicatifs, cette commande simplifie fortement la gestion des environnements staging et production. Voir les détails

Azure Policy accélère l’application des règles et retire l’ancien contournement login/logout

Azure améliore la réactivité du moteur Azure Policy. Les assignations et mises à jour de politiques en mode Resource Manager sont désormais appliquées en moins de cinq minutes grâce aux optimisations du cache côté service.
Conséquence directe, l’ancien contournement consistant à forcer un login/logout pour accélérer la propagation des changements disparaîtra définitivement à partir du 30 avril 2026. Explorer davantage

Exécuter du code généré par IA en toute sécurité avec Azure Container Apps Dynamic Sessions

Azure introduit une approche simplifiée pour exécuter du code généré par l’IA de manière isolée grâce aux Dynamic Sessions dans Azure Container Apps. L’objectif est de fournir un environnement d’exécution éphémère et sécurisé capable de lancer du code produit par des agents IA ou des assistants sans exposer l’infrastructure principale.
Ce modèle devient particulièrement intéressant pour les plateformes d’agent AI, les environnements de prototypage automatisé et les workloads qui nécessitent une exécution contrôlée de code dynamique. Explorer la suite

Migration vers la nouvelle génération de Virtual Nodes pour Azure Container Instances

Microsoft prépare la transition vers la prochaine génération de Virtual Nodes pour Azure Container Instances. Cette évolution vise à améliorer l’intégration entre Kubernetes et ACI afin de faciliter l’exécution de workloads serverless containers directement depuis les clusters.
La migration vers cette nouvelle génération permettra d’optimiser les performances et la gestion des ressources pour les workloads hybrides entre AKS et Azure Container Instances. Approfondir la lecture

Logic Apps Aviators Newsletter – nouveautés de mars

La newsletter Logic Apps Aviators met en lumière les dernières évolutions de la plateforme d’intégration Azure. Elle rassemble les nouveautés, améliorations et ressources utiles pour les architectes et développeurs qui construisent des workflows automatisés avec Logic Apps.
Ce type de publication permet de suivre les évolutions de l’écosystème d’intégration Azure et d’identifier rapidement les nouvelles capacités disponibles pour les projets d’automatisation et d’orchestration. Consulter la suite

Azure Databricks Lakebase arrive en disponibilité générale

Microsoft annonce la disponibilité générale de Lakebase dans Azure Databricks, un environnement PostgreSQL managé conçu pour les workloads transactionnels modernes. La plateforme sépare stockage et calcul et permet notamment le scale-to-zero, les clones instantanés et la récupération point-in-time.
L’objectif est de rapprocher données opérationnelles et analytiques dans le lakehouse afin d’alimenter en temps réel les workloads BI, machine learning et les applications pilotées par l’IA.Plonger dans le détail

Azure Databricks permet désormais de modifier la configuration réseau d’un workspace

La configuration réseau des workspaces Azure Databricks devient modifiable après déploiement, une capacité désormais disponible en général. Les équipes peuvent migrer un workspace géré par Databricks vers un VNet injecté ou ajuster la configuration réseau d’un workspace déjà intégré à un VNet.
Cette évolution apporte plus de flexibilité pour adapter les environnements Databricks aux exigences de sécurité et de conformité qui évoluent au fil du temps. Lire la suite

GPT-5.4 arrive dans Microsoft Foundry

Microsoft annonce l’arrivée prochaine de GPT-5.4 dans Microsoft Foundry avec un modèle conçu pour les environnements de production. L’objectif est d’offrir un raisonnement plus robuste, une exécution plus fiable et des workflows agentiques capables de fonctionner à grande échelle dans les applications d’entreprise. Explorer davantage

Un playbook pour optimiser l’inférence LLM en entreprise

Microsoft propose un guide structuré pour améliorer les performances et les coûts des déploiements LLM en production. Le playbook présente une stack d’optimisation organisée par priorités afin d’aider les équipes à structurer leur architecture d’inférence et à maximiser l’efficacité des workloads IA. Approfondir le sujet

Architecturer l’inférence IA à grande échelle pour maîtriser coût et latence

Microsoft publie un guide consacré à l’architecture des plateformes d’inférence IA à l’échelle entreprise. Le contenu explore les compromis entre coût, latence et efficacité afin d’aider les équipes à concevoir des architectures capables de supporter des workloads LLM en production.

Approfondir la lecture

Exécuter Power Query de façon programmatique dans Microsoft Fabric

Microsoft Fabric permet désormais d’exécuter des transformations Power Query de manière programmatique. Cette capacité ouvre la voie à des scénarios d’automatisation avancés pour les pipelines de données et les processus analytiques.
Les équipes data peuvent ainsi intégrer leurs transformations directement dans des workflows automatisés et mieux orchestrer leurs traitements au sein de la plateforme Fabric. Lire la suite