📆 Édition #78 du Lundi 29 Juin 2026
La semaine dernière, je t'ai posé le calendrier des deadlines de juillet. Cette semaine, pendant que ces horloges tournent, une seule mérite qu'on s'arrête vraiment : celle du 14 juillet.
Pas pour la vague de fin de support, ça tu l'as déjà notée. Pour RC4. La phase finale du durcissement Kerberos ne va pas casser un vieux serveur oublié dans un coin. Elle vise tes profils FSLogix sur SMB, donc tes connexions partout où tu les utilises : Azure Virtual Desktop, Windows 365, comme ton RDS On-Prem.
Le reste de la semaine, c'est du concret : un PoC public sur Exchange On-Prem deux semaines après le patch, Azure qui desserre encore l'étreinte du contrôleur de domaine, et Microsoft qui industrialise le rollback du poste de travail. On y va.

🔴 À traiter maintenant
Trois urgences cette semaine. Si tu ne fais qu'une chose après cette édition, fais celle-ci :
Exchange Server On-Prem : un PoC public est sorti pour une faille corrigée en juin. HawkTrace a publié un exploit fonctionnel pour CVE-2026-45504 (élévation de privilège via SSRF WOPI, CVSS 8.8) : un utilisateur authentifié faiblement privilégié lit des fichiers arbitraires sur le serveur Exchange via une pièce jointe EWS piégée. La faille est corrigée par le Security Update du 9 juin (KB5094139 pour Subscription Edition, KB5094140 pour 2019 CU15). Le même cycle adresse aussi CVE-2026-45583 (RCE), dont le correctif n'est PAS inclus dans le SU : instructions séparées à appliquer. Si tu n'as pas déployé le SU de juin, traite-le en P1 maintenant. Lire la suite
Purview : le connecteur RMS bascule en authentification par certificat (juillet). C'est un Breaking Change, pas une option. Le setup du connecteur Rights Management ne provisionne plus de service principal ni de secret partagé : tu dois désormais enregistrer ta propre App Entra et charger un certificat avant d'installer ou de mettre à jour le connecteur. Si tu protèges des documents On-Prem via AD RMS hybride, prépare la bascule avant la fenêtre de juillet. Lire la suite
Windows 365 : la SKU GPU Enterprise Select 256 Go arrive en CSP le 1er juillet. Indisponible à l'achat CSP jusqu'au 30 juin, elle se débloque le 1er juillet. Si tu dimensionnes des Cloud PC pour de la CAO ou de la Data Viz lourde, ce palier change tes options de provisioning et ton calcul de coût. Côté décideur : revois ton sizing GPU avant de signer. Lire la suite
⏰ Les horloges de l’édition précédente continuent de tourner (simple rappel ici) : 30 juin Teams Live Events retiré, 1er juillet nouveaux prix et packaging M365, 6 juillet durcissement Entra sur l'enregistrement des Credentials, 14 juillet vague de fin de support (SharePoint, SQL, Project) et phase finale RC4.

⚡ Ce qui brûle — 3 sujets cette semaine
(RC4 phase finale) Le Hardening Kerberos RC4 peut casser tes profils FSLogix sur SMB (AVD/W365 et RDS)
Ce n'est pas une CVE à patcher dans l'urgence, c'est pire : une dépendance héritée, invisible, qui devient un Single Point of Failure le jour où Windows arrête de tolérer le chiffrement faible. Le durcissement a commencé en avril (les DC émettent de l'AES-SHA1 par défaut, avec un audit mode en rollback manuel), mais c'est en juillet que l'audit mode disparaît. Le scénario qui fait mal n'est pas l'AVD lui-même, c'est le profil FSLogix posé sur un partage SMB intégré à l'AD, ou le compte de service que personne n'a documenté depuis 2019, qui s'authentifie encore en RC4. Pour Azure Files en AD DS, Microsoft recommande la remédiation vers AES-256 dès fin juin. La vraie question : comment savoir si TU es exposé, sans tout casser en testant à l'aveugle ? Lire la suite
L'agent qui trie tes alertes à ta place : où mets-tu la limite de confiance ?
L'Azure Copilot Observability Agent passe en GA, avec les Autonomous Operations en Preview. Sur le papier, c'est l'AIOps dont tout le monde parle depuis trois ans : l'agent corrèle télémétrie, contexte et Runbooks, transforme un mur d'alertes en incidents déjà investigués, et propose la remédiation. En pratique, ça pose une question que ton équipe Ops ne pourra pas esquiver : jusqu'où le laisses-tu agir seul ? Un agent qui lit tes logs et te fait gagner trois heures par incident est une aubaine. Le même agent qui exécute une remédiation sur une Prod un vendredi soir sans validation humaine, c'est un autre débat. La frontière entre assistance et délégation se déplace cette semaine. Lire la suite
Windows Client se répare tout seul : ta stratégie de support AVD/W365 va changer
Le Point-in-Time Restore pour Windows 11 passe en GA. Une capture automatique toutes les 24 heures, un rollback du Device vers un état stable en quelques minutes depuis le Recovery Environment, sans réinstallation. Pris comme une feature, c'est anecdotique. Pris comme un signal, ça l'est beaucoup moins : Microsoft industrialise le retour arrière au niveau de l'Endpoint, exactement là où ton Sweet Spot AVD et Windows 365 vit. Le jour où un Cloud PC corrompu par une mise à jour ratée se restaure tout seul, ta logique de support N1 et ton image dorée changent de nature. Qu'est-ce que ça veut dire pour tes Runbooks de remédiation et ton temps de résolution ? Lire la suite

📖 Sur le blog cette semaine

🔍 Actualités “On-Prem & Hybride”
⭐ Windows Server
Windows Admin Center 2606 en GA
La version 2606 passe en GA, désormais en Administration Mode uniquement, avec des gains de fiabilité et d'accessibilité issus des retours terrain. En savoir plus
⭐ Identité Hybride
Entra Connect Sync : nouveau build avec auth phishing-resistant (Preview)
Le build du 26 juin ajoute le support des méthodes d'authentification phishing-resistant dans l'assistant Entra Connect, signe que même le compte de synchro hybride bascule vers le Passwordless. Un cas d'échec d'upgrade a été signalé sur les premiers déploiements : teste avant de pousser en prod. En savoir plus
SQL Server
SQL Server 2016 : les ESU couvrent jusqu'en 2029
À l'approche de la fin de support du 14 juillet, Microsoft confirme des Extended Security Updates jusqu'au 17 juillet 2029. De quoi rester patché pendant que tu planifies ta migration, pas une excuse pour ne rien faire. En savoir plus
🔍 Actualités “Azure”
⭐ Sécurité
Sentinel : the governance shift (URBAC)
Le RBAC unifié coexiste avec l'Azure RBAC et introduit des permissions data-scoped cross-workspace. La première brique concrète de la bascule du SIEM dans Defender, dont le portail Sentinel ferme le 31 mars 2027. En savoir plus
⭐ Containers
Application Gateway for Containers : Inference gateway (Public Preview)
L'Application Gateway for Containers ajoute une Inference gateway qui intègre la Kubernetes Gateway API Inference Extension, pour router vers tes Workloads d'inférence directement dans le cluster. En savoir plus
Azure Container Registry : Endpoints IPv6 Dual-Stack (Public Preview)
ACR expose ses Endpoints en IPv6 Dual-Stack (SKU Premium requis), utile pour les environnements à parité IPv6. En savoir plus
⭐ Databases
Azure Database for PostgreSQL : contrôle self-service de la maintenance
Le flexible server permet désormais de voir, replanifier et appliquer à la demande les fenêtres de maintenance depuis le portail, pour éviter une bascule en pleine période critique. En savoir plus
⭐ Storage
Azure NetApp Files : migration assistant en GA
Le migration assistant ANF (basé sur SnapMirror) passe en GA : il s'appuie sur la réplication native ONTAP pour déplacer des données vers Azure NetApp Files depuis l'On-Prem ou un autre Cloud, en réduisant coût et délai. En savoir plus
Azure Files : gestion share-centric et assessments Azure Migrate
Annoncé le 26 juin : Azure Files passe à un modèle share-centric (les shares deviennent des ressources de premier rang sous le namespace Microsoft.FileShares, automation et Policies simplifiées via ARM). En parallèle, Azure Migrate ajoute les assessments Azure Files pour les partages SMB et NFS, en rollout mondial, pour cartographier usage et dépendances avant de migrer. En savoir plus
⭐Management & Gouvernance
Azure Blueprints : migration avant le 31 janvier 2027
Le retrait d'Azure Blueprints se rapproche : planifie ta sortie vers les alternatives natives. À recouper avec ton chantier Tags et Policy de la semaine sur le blog. En savoir plus
🔍 Actualités “M365 & Modern Workplace”
M365 Platform /Data Protection
Microsoft 365 Backup : 10 points avant de l'activer
Avant d’activer M365 Backup, l'essentiel à savoir : restauration jusqu'à 1 à 3 To/heure, pensé pour la reprise en masse après ransomware, points de restauration rapides et granulaires, conformité intégrée. En savoir plus
Teams
Auto-block des bots de réunion identifiés
Teams ajoute le blocage automatique des bots de réunion reconnus, pour limiter l'enregistrement et l'aspiration de contenu non désirés (ETA août). En savoir plus
SharePoint Online
File-Level Archiving vers M365 Archive (GA juillet)
SharePoint introduit l'archivage au niveau fichier vers Microsoft 365 Archive, pour sortir les contenus froids du stockage actif tout en les gardant découvrables. Rollout mondial qui démarre fin juin. En savoir plus
Purview & Compliance
AI DLP Policy Optimizer (Public Preview)
Purview ajoute un optimiseur de politiques DLP assisté par IA, qui repère règles redondantes, conditions en doublon et sources de bruit d'alerte, puis propose des ajustements priorisés avec preuves à l'appui. En savoir plus

🤔 Ce qu'on ignore cette semaine
Cette semaine, on a écarté les nouveaux modèles Foundry (Cohere Command A+, Mistral OCR 4), le Forrester Wave sur Intune, et la Confidential Live Migration pour VM Intel TDX : elle est ressortie le 26 juin, mais c'est une annonce Build de mai, pas une nouveauté de la semaine. Pas par paresse, par tri : les modèles AI et les rapports d'analystes ne pilotent pas ton infra, et on ne sert pas du réchauffé comme du frais.

La commande “Az CLI” de la semaine !
Audite tes comptes Azure Files avant l'enforcement RC4
Avant que le Security Update de juillet retire l'audit mode, vérifie quelle méthode d'authentification identity-based utilise chacun de tes comptes de stockage Azure Files. C'est exactement là que se cachent les profils FSLogix exposés.
az storage account show --name <storageaccount> --resource-group <rg> --query "azureFilesIdentityBasedAuthentication" -o jsoncCe que la commande retourne :
La méthode d'authentification active (AD DS ou Entra Kerberos)
Le statut de la configuration identity-based
De quoi repérer un compte resté sur un chiffrement hérité
Le point de départ d'un audit RC4 avant la bascule

Besoin d'un avis sur ton infra (Azure ou OnPrem) ?
Tu pilotes une migration souveraine, une consolidation hybride ou une roadmap Azure cette année ? Si tu veux échanger sur ton contexte, je propose des appels de cadrage de 30 minutes (sans engagement) : audit ciblé, forfait projet, mission d'architecture.

Mème de la semaine !


Tu es arrivé au bout de ta prescription, sans effets secondaires 😄
Si cette dose hebdo t'a été utile, Forwarde-la à un collègue qui pilote du Microsoft sérieux. La communauté Doctor Kloud grandit grâce à toi 💙
À lundi prochain.
Hicham

🩺WhoAmI.exe
📕Echo “Mon dernier livre” > Azure Application Gateway - Guide du Consultant
📅 Un projet Microsoft dans le pipe ? Réserver un appel de cadrage avec moi

