Cette semaine, Azure Local franchit un cap majeur avec la version 2604 : des milliers de serveurs, stockage disaggregated, zéro dépendance à Active Directory — Microsoft joue désormais dans la cour des Clouds souverains. Côté sécurité, la Phase 2 du RC4 Hardening Kerberos est active et peut casser l'authentification sur vos DCs, et Exchange Online annonce la fin du TLS legacy POP/IMAP en juillet 2026. J'ai publié les analyses sur le blog avec ce qu'il faut faire concrètement.

🔴 À traiter maintenant

📖 Sur le blog cette semaine

Maintenant place aux actus 😊. Pour les plus pressés, voici les actu qui comptent vraiment cette semaine. On a gardé uniquement les annonces qui peuvent impacter le Run, la sécurité ou les décisions de Roadmap, le reste est volontairement laissé de côté.

Active Directory & Windows Server

SQL Server

Exchange /Messaging

Microsoft 365

Linux /Containers

AI + Machine Learning

Containers

Hybrid + Multicloud

Security

Networking

Management & Governance

Storage

DevOps

👇 Attache ta ceinture, tout est scanné, résumé et prêt à l’injection. Bonne consultation !

Avec l'annonce de fin de support Ubuntu 22.04 sur AKS cette semaine, c'est le moment d'auditer vos clusters pour identifier les node pools concernés avant qu'ils ne soient bloqués sur une image en fin de vie. Une commande à lancer maintenant sur tous vos clusters.

Ce que la commande retourne :

Cette semaine, Microsoft a silencieusement redéfini ce qu'est Azure Local. Ce qui était jusqu'ici une solution HCI limitée à 16 nœuds, pensée pour les bureaux distants et les environnements edge, devient avec la version 2604 une plateforme capable d'accueillir des milliers de serveurs dans un seul environnement souverain. Le changement est architectural : compute et stockage peuvent désormais scaler indépendamment via SAN Fibre Channel, éliminant le couplage forcé du modèle hyperconvergé. Les partenaires Dell, HPE, Lenovo, NetApp et Hitachi Vantara sont tous validés pour ces nouveaux déploiements disaggregated.

Ce qui frappe surtout, c'est la rupture avec Azure Arc comme plan de contrôle obligatoire. Azure Local 2604 introduit un plan de contrôle local complet, avec Local Identity via Azure Key Vault qui élimine la dépendance à Active Directory. Les environnements air-gapped, déconnectés et les datacenters gouvernementaux peuvent désormais bénéficier d'une expérience Azure cohérente sans jamais toucher l'internet public. Pour les architectes qui pilotent des infrastructures régulées, souveraines ou industrielles, c'est le signal que Microsoft joue désormais dans la cour des grands clouds souverains — face à AWS Outposts et Google Distributed Cloud — avec un argument de taille : une échelle que personne d'autre n'offre encore sur ce segment.

Explorer davantage

Depuis les mises à jour de sécurité d'avril 2026, les contrôleurs de domaine basculent en mode enforcement : les comptes sans msDS-SupportedEncryptionTypes explicitement configuré reçoivent désormais des tickets Kerberos AES-SHA1 uniquement, RC4 n'est plus le fallback implicite. Les services et comptes encore dépendants de RC4 peuvent commencer à tomber. La phase finale, sans rollback possible, arrive en juillet 2026. À auditer maintenant via les Event IDs 201-209 sur vos DCs. Voir les détails

Microsoft publie un nouveau rapport Windows Autopatch disponible pour tous les tenants. Il inclut des recommandations mises à jour sur la conformité des patches, une meilleure visibilité sur l'exposition aux risques selon les politiques de mise à jour, et des insights actionnables pour les équipes qui gèrent des parcs Windows hétérogènes. Approfondir le sujet

Microsoft lance en Public Preview Windows 365 for Agents, un environnement Cloud PC dédié à l'exécution d'agents IA de façon sécurisée et isolée. Chaque agent tourne dans son propre Cloud PC managé, avec des politiques d'accès conditionnel Entra ID et une isolation complète des autres workloads. Une brique importante pour les équipes qui veulent industrialiser des agents IA en production avec des garanties de sécurité enterprise. Plonger dans le détail

SQL Server Management Studio 22.5.2 est disponible depuis le 28 avril. Cette mise à jour corrective désactive les complétions de code GitHub Copilot par défaut (les slash commands redeviennent fonctionnels), et corrige un bug dans SQL Projects où le bouton "Generate Script" déclenchait incorrectement une publication en arrière-plan. Mise à jour recommandée si vous utilisez ces deux fonctionnalités. Lire la suite

La version 17.11.1 du driver ODBC Microsoft pour SQL Server est disponible. Elle apporte des correctifs de stabilité sur le traitement des tableaux de paramètres, corrige une erreur de connexion en mode asynchrone avec Data Classification, améliore le packaging RPM pour l'installation multi-versions et corrige le calcul des IDs de transaction XA sur Linux. Explorer davantage

Microsoft.Data.SqlClient 6.1.5 est disponible. Cette version de maintenance de la ligne 6.1 apporte des améliorations sur les performances de connexion, la propagation d'erreurs et la correction des métadonnées de types vectoriels. À déployer pour les applications .NET qui utilisent cette version du driver. Voir les détails

La version 1.10.0 du driver Go officiel Microsoft pour SQL Server apporte des améliorations significatives de fiabilité, une meilleure expérience développeur et une meilleure conformité aux standards Go. Un correctif important est inclus pour les scénarios de reconnexion. Aller plus loin

Microsoft annonce la suppression définitive du support TLS 1.0 et 1.1 pour les connexions POP3 et IMAP4 dans Exchange Online, avec un blocage effectif en juillet 2026. Les clients qui avaient opté pour les legacy endpoints lors de leur introduction en 2023 devront migrer vers TLS 1.2. Vérifiez maintenant vos clients de messagerie, applications et équipements embarqués : scanners, outils de monitoring et applis métier sont les plus exposés. Comprendre en profondeur

Fedora Linux 44 est disponible depuis le 28 avril. La release embarque le kernel Linux 6.19, GNOME 50, KDE Plasma 6.6, le support du gestionnaire de paquets Nix, des améliorations de chargement OpenSSL sur les certificats CA, Ansible 13, MariaDB 11.8 et le formatage Btrfs pour la partition /boot de Fedora Cloud. Le jalon habituel à surveiller pour anticiper ce qui arrive dans RHEL. Lire la suite

Red Hat publie un guide d'architecture pour concevoir des infrastructures GPU partagées avec des garanties d'isolation forte. L'article couvre les compromis entre MIG (Multi-Instance GPU), vGPU et le partage de GPU via Kubernetes, ainsi que les patterns pour éviter le bruit de voisinage, les fuites de données inter-workloads et la latence imprévisible. Un contenu de référence pour les équipes qui consolident leurs workloads IA sur une infrastructure GPU partagée. Approfondir le sujet

Red Hat publie un prototype d'OS dédié aux agents IA, construit avec fedora-bootc : un système Linux bootable défini entièrement dans un Containerfile, immuable et sans dérive de configuration. Les mises à jour sont transactionnelles comme des commits Git, les secrets et l'état de l'agent restent intacts lors des mises à jour de l'OS. L'article esquisse ce à quoi pourrait ressembler un runtime dédié aux agents IA en production, avec des guardrails réseau et filesystem intégrés. Un avant-goût du projet Kagenti prévu dans Red Hat AI en 2026. Voir les détails

Red Hat explore les patterns d'architecture pour déployer des workloads IA dans des environnements de confidential computing, combinant TEE (Trusted Execution Environments), OpenShift et les garanties de souveraineté des données. L'article couvre les cas d'usage de collaboration inter-organisations sur des données sensibles sans les exposer, un sujet qui monte dans les secteurs régulés. Aller plus loin

Les fonctionnalités de filtrage de métriques et d'agrégation de logs d'Advanced Container Networking Services passent en GA. Les équipes ops collectent uniquement les métriques réseau pertinentes à grande échelle, réduisant les coûts d'ingestion tout en maintenant une observabilité fine. Comprendre en profondeur

La gestion des pools d'adresses IP IPAM s'étend entre régions en GA dans Azure VNet Manager. Les architectures multi-régions centralisent la gouvernance des plages IP sans duplication de configuration ni risque de chevauchement. Aller plus loin

Le Default Ruleset 2.2 pour Azure WAF passe en GA sur Front Door et Application Gateway : nouvelles règles OWASP CRS 3.3.4, règles Microsoft Threat Intelligence enrichies et réduction des faux positifs. À déployer en priorité — attention, les overrides existants sont réinitialisés lors de la migration. Approfondir la lecture

Un nouveau ruleset DDoS HTTP dédié en Preview pour Azure WAF sur Front Door Premium. Il détecte et bloque les attaques DDoS applicatives layer 7 avec des règles spécifiquement conçues pour les patterns d'attaque HTTP modernes. Voir les détails

En réponse aux conclusions de la Competition and Markets Authority (CMA), Microsoft annonce des changements concrets pour les clients Azure UK : simplification de l'egress de données, amélioration des conditions de switching et renforcement de l'interopérabilité. Une évolution réglementaire à suivre de près, notamment pour les organisations avec des workloads hybrides entre Azure et d'autres providers. Explorer davantage

Azure Functions supporte désormais Java 25 en disponibilité générale. Les équipes Java peuvent déployer leurs fonctions sur la dernière version LTS et bénéficier des dernières optimisations du runtime, sans rester bloquées sur des versions antérieures. Approfondir la lecture

Azure Bastion supporte en Preview les Managed Identities pour l'enregistrement des sessions graphiques RDP. Fini les credentials de compte de stockage : l'authentification repose sur l'identité managée, sans secret à gérer. Explorer la suite

Microsoft publie un guide pratique pour automatiser le red teaming des agents IA avec PyRIT, son framework open-source battle-testé sur plus de 100 produits Copilot. L'article couvre la construction d'un wrapper YAML autour de PyRIT pour intégrer les scans de sécurité directement dans les pipelines CI/CD, avec un exit code pass/fail. À mettre en place avant tout déploiement d'agent IA en production. Approfondir le sujet

Azure Blob Storage supporte en GA les SAS de délégation utilisateur scopés par préfixe. Un token SAS peut être restreint à un sous-ensemble de blobs par préfixe de nom, sans donner accès à l'intégralité du container. Contrôle d'accès granulaire clé pour les architectures multi-tenant. Lire la suite

Il est désormais possible en GA de connecter un volume Elastic SAN à une VM Windows via une VM Extension dédiée, sans configuration manuelle d'iSCSI. Le provisionnement est automatisé et intégrable dans les templates ARM et Bicep. Consulter la suite

Microsoft publie un guide complet pour migrer les pipelines Terraform vers l'authentification OIDC Federation, éliminant les secrets statiques dans les pipelines GitHub Actions et Azure DevOps. Directement actionnable pour toutes les équipes Platform Engineering. Voir les détails

Azure API Center intègre une évaluation automatisée des compétences IA de vos APIs. L'outil analyse documentation, schémas et patterns d'usage pour déterminer si une API est prête à être consommée par des agents IA — un critère central dans les architectures agentic. Aller plus loin

Azure SRE Agent s'intègre nativement avec Azure Monitor Alerts pour investiguer automatiquement les alertes déclenchées : corrélation des métriques, identification de la cause racine et remédiation, sans intervention humaine. Plonger dans le détail

Azure SRE Agent dispose d'un marketplace de plugins : les équipes créent leurs connecteurs MCP une fois et les déploient sur n'importe quel SRE Agent de l'organisation. New Relic est le premier partenaire tiers disponible. Explorer la suite

Microsoft publie le récapitulatif mensuel de Sentinel : nouvelles règles de détection, connecteurs de données, améliorations du Data Lake et évolutions de l'interface SOC. À lire pour maintenir la posture de détection à jour. Voir les détails

New Relic est le premier partenaire tiers disponible dans le Plugin Marketplace d'Azure SRE Agent via MCP. Les équipes ops qui utilisent New Relic pour l'observabilité peuvent désormais brancher leurs données directement dans SRE Agent pour des investigations et remédiations automatisées. Voir les détails

Microsoft lance en Public Preview un agent dédié à l'observabilité réseau des conteneurs AKS. Il collecte des métriques détaillées sur les flux réseau inter-pods et services, comblant un angle mort important pour le diagnostic des incidents de connectivité en production. Comprendre en profondeur

ARO est maintenant disponible dans la région Austria East. Les clients avec des exigences de résidence des données en Europe centrale peuvent déployer OpenShift sans contournement géographique. Explorer davantage

Microsoft publie un guide détaillé sur le traffic management pondéré avec Istio sur AKS : canary deployments, A/B testing et migrations progressives avec des patterns prêts à l'emploi pour les workloads enterprise. Lire la suite

Microsoft publie un guide d'architecture pour déployer des modèles de diffusion (image/vidéo) à grande échelle sur AKS. L'article couvre le dimensionnement des node pools GPU, la gestion des workloads Stable Diffusion et DALL-E, le scaling automatique et l'optimisation des coûts avec les Spot instances. Un contenu pratique pour les équipes qui industrialisent des pipelines IA génératifs sur Kubernetes. Comprendre en profondeur

Azure Local passe à une échelle souveraine : des milliers de serveurs dans un environnement unique, avec compute et stockage scalables indépendamment via SAN Fibre Channel. Local Identity with Key Vault élimine la dépendance à Active Directory pour les déploiements air-gapped. Un changement de dimension majeur pour les environnements gouvernementaux et régulés. Approfondir le sujet

Microsoft ajoute un Management Group dédié "Local" dans la hiérarchie ALZ, positionné aux côtés de Corp et Online, pour accueillir les workloads Azure Local et les architectures prêtes à basculer en mode disconnected. Le SLZ est également mis à jour avec de nouvelles initiatives de politique souveraine alignées sur les niveaux de contrôle 1, 2 et 3. Une mise à jour importante pour les architectures Landing Zone en environnements régulés. Aller plus loin

Foundry Agent Service supporte en GA l'intégration d'un AI Gateway custom. Les organisations avec leur propre couche de proxy ou de gouvernance IA peuvent la brancher directement sans migrer vers APIM ou Azure AI Gateway. Comprendre en profondeur

Microsoft Entra External ID Native Authentication supporte en GA le transfert de Refresh Token vers Apple Watch. Les utilisateurs s'authentifient une fois sur iPhone et la session se propage automatiquement à la montre, sans re-authentification. Consulter la suite

Microsoft intègre DeepSeek V4 Flash et V4 Pro dans Foundry, apportant deux nouveaux modèles frontier accessibles dans un environnement enterprise avec gouvernance et conformité intégrées. Flash pour la vitesse et le coût, Pro pour la puissance de raisonnement — les deux disponibles dès maintenant. Explorer davantage

Microsoft annonce officiellement la retraite de Prompt Flow dans Azure Machine Learning et Microsoft Foundry. Les équipes qui utilisent encore Prompt Flow pour orchestrer leurs workflows IA doivent planifier leur migration vers Foundry Agent Service. À traiter avant la date limite. Voir les détails

Les agents déployés dans Foundry Agent Service peuvent désormais conserver une mémoire persistante entre les sessions en Preview. Les agents IA cessent d'être amnésiques à chaque interaction — un prérequis fondamental pour les cas d'usage conversationnels et les workflows multi-étapes en production. Approfondir le sujet

Il est désormais possible en GA d'apporter ses propres modèles dans Foundry Agent Service, qu'ils soient hébergés on-premises, dans un autre cloud ou sur un endpoint custom. Les équipes ne sont plus contraintes aux modèles du catalogue Microsoft pour orchestrer leurs agents. Aller plus loin

La Voice Live API de Microsoft Foundry supporte désormais WebRTC en Preview, permettant des interactions vocales temps réel directement depuis le navigateur sans infrastructure téléphonique intermédiaire. Un levier important pour les applications de service client et d'assistance vocale IA. Lire la suite

Microsoft publie un guide de référence sur ses trois modèles MAI propriétaires désormais disponibles dans Foundry : MAI-Transcribe-1 pour la transcription multilingue (25 langues, 2,5x plus rapide qu'Azure Fast), MAI-Voice-1 pour la génération vocale temps réel, et MAI-Image-2 pour la génération d'images. Première ligne de modèles développés en interne par l'équipe MAI Superintelligence — un signal fort d'indépendance vis-à-vis d'OpenAI. Lire la suite

Microsoft publie le récapitulatif complet des fonctionnalités Fabric du mois d'avril 2026 : Lakehouse, Data Factory, Real-Time Intelligence, Power BI et SQL Database in Fabric. À bookmarker pour planifier les adoptions du prochain trimestre. Consulter la suite