👋 Hello, ici Azure Doctor !

Avant de plonger dans les dernières annonces Azure, petit tour d’horizon de ce qu’on a publié cette semaine côté blog :

• HowTo #3 : dans ce guide, je t’explique comment repérer rapidement toutes les ressources Azure dépourvues de “Delete Lock”, donc vulnérables à une suppression accidentelle ou malveillante…

• HowTo #4 t’aide à identifier les VMs zombies qui grignotent ta facture alors qu’elles dorment en apparence.

• Un guide ultra détaillé et pratique sur la procédure de rotation du Password (Kerberos Key) du compte AZUREADSSOACC, utilisé pour assurer le Seamless SSO entre AD/Entra ID

Et côté Azure, voici les scans les plus chauds à ne pas manquer

La donnée prend un nouveau virage avec Unity Catalog désormais synchronisé en temps réel dans OneLake, et Cosmos DB qui rejoint Microsoft Fabric sans duplication. Même Custom Vision s’ouvre à l’export d’images taguées via API pour ceux qui veulent mieux gérer leurs datasets.

AKS évolue aussi : la migration automatique vers VMSS et Load Balancer Standard se fait en un seul appel CLI, pendant que l’Extension Manager quitte les nœuds pour se loger dans le control plane. À cela s’ajoute un SDK Durable Functions PowerShell désormais totalement autonome, libéré du runtime intégré.

Côté sécurité, Azure Cloud HSM passe en GA avec un isolement FIPS 140-3 certifié et un contrôle total des clés. De son côté, Microsoft Sentinel gagne enfin sa place logique dans l’architecture ALZ avec une subscription dédiée, séparée du Log Analytics central.

Tu déploies tes infrastructures comme du code ? Le Terraform Provider pour Microsoft Fabric est officiellement là. Et pour les développeurs, les User Data Functions acceptent désormais async et Pandas. Mieux encore, Microsoft propose un exemple complet d’agent AI-to-AI orchestré avec Semantic Kernel et hébergé sur App Service.

Enfin, côté réseau, Azure Firewall permet maintenant de filtrer les logs dès l’ingestion avec DCR, ExpressRoute gère automatiquement son IP publique grâce au modèle HOBO, et Front Door Classic entre dans sa phase finale avant retrait. C’est le moment de planifier ta migration.

👇 Attache ta ceinture, tout est scanné, résumé et prêt à l’injection. Bonne consultation !

Sommaire

1. Le meilleur de la semaine, sans effets secondaires …

   1. [Entra Connect] Rotation du Password /Kerberos Key …

   2. [HowTo #3] Lister les ressources Azure sans « Lock …

   3. [HowTo #4] Trouver les VMs Zombies (VM arrêtée ≠ V …

2. La commande “Az CLI” de la semaine !

3. 📢 Big News – Fabric devient le plan de contrôle d …

4. 🔍 Scan rapide du corps “Azure”

   1. Réseau

   2. Compute

   3. Stockage

   4. Sécurité

   5. Multi-Cloud

   6. Base de Données

   7. Containers

   8. Management et gouvernance

   9. Outils de développement

   10. AI + Machine Learning

   11. Analytics

   12. IoT

📢 NOUVEAU ! 3 publications majeures à ne pas rater cette semaine !

Le compte AZUREADSSOACC, généré automatiquement par Entra Connect, est souvent négligé et pourtant essentiel au bon fonctionnement du Seamless SSO. Le problème c’est que son mot de passe (clé Kerberos) ne se renouvelle pas tout seul.

Azure Doctor t’as préparé un guide ultra détaillé et pratique sur le sujet, il t’explique comment :

• Préparer l’opération de rotation sans stress

• Exécuter le script PowerShell dans les règles

• Et valider que tout fonctionne après coup (avec liste des tâches post-rotation)

🚨 À lire absolument si tu veux éviter un Désync SSO ou un échec MFA sans prévenir :

Tu veux savoir dans quelle région Azure tu déploies vraiment sans dépendre d’un paramètre de configuration ? Voici une commande fiable pour afficher la région des dernières ressources créées dans ton abonnement :

az resource list --query "[0].location" -o tsv 

Elle va chercher la région de la ressource la plus récemment enregistrée. Idéal pour valider ton contexte, surtout quand tu bosses sur plusieurs environnements.

Bonus : si tu veux voir les 5 dernières régions utilisées, essaie :

az resource list --query "[].location" -o tsv | sort | uniq -c | sort -nr | head -n 5 

Tu obtiendras un top des régions actives dans ton tenant.

Ce n’est plus une tendance. C’est une direction. Cette semaine, Microsoft envoie un signal clair : Fabric devient le plan de contrôle des données dans Azure.

Tout converge. D’un côté, Unity Catalog et Cosmos DB peuvent désormais être miroirés dans OneLake, avec synchronisation en temps réel, sans duplication, exposés directement en SQL. De l’autre, le Terraform Provider pour Fabric est désormais disponible, permettant d’industrialiser le déploiement de pipelines, capacities ou Lakehouses comme n’importe quelle autre ressource Azure. Et côté traitement, les User Data Functions prennent désormais en charge async et les objets Pandas pour développer des fonctions data avancées en Python, au cœur même de Fabric.

En clair, Microsoft n’ajoute pas des briques. Il redessine l’ensemble. Fabric absorbe ce que les clients ont longtemps dû bricoler ailleurs : ingestion temps réel, stockage unifié, gouvernance transversale, analyse instantanée, et orchestration DevOps.

Ce que ça signifie concrètement :

• Moins de pipelines à maintenir, plus de flux synchronisés nativement

• Un seul moteur de gouvernance, compatible avec l’IA, l’analytique et la sécurité

• Des outils familiers (Power BI, Terraform, Python) au service d’une architecture unifiée

Si tu travailles sur la modernisation de ta plateforme data, ce n’est plus un sujet de veille. C’est le moment de tester. Un mirroring d’Unity Catalog, un déploiement Fabric en Terraform, une fonction Python async sur une table OneLake — et tu verras ce que ça change.

Nouveau pouvoir pour ton Firewall : logs filtrés à la source

Azure Firewall te permet désormais de transformer tes logs dès l’ingestion dans Log Analytics. Résultat ? Moins de bruit, plus de contrôle, et une facture qui respire enfin. Ne garde que l’essentiel, dès l’entrée du pipeline, grâce aux règles DCR. Découvrir en détail

Dernier appel pour Front Door (classic) et CDN Microsoft Classic

Le 15 août 2025, Azure mettra fin à la création de domaines/profils sur Front Door (classic) et CDN Microsoft Classic. En parallèle, DigiCert abandonne la validation DCV via CNAME. Résultat : plus de nouveaux domaines, plus de migration vers les certificats managés. Pour continuer à utiliser des certificats gérés ou créer de nouveaux profils, la migration vers Front Door Standard/Premium devient obligatoire. Préparer ta migration Front Door avant le 15 août

Plus simple, plus sûr : l’Extension Manager passe au control plane AKS

Fini les extensions gérées depuis les nœuds. L’Extension Manager AKS migre maintenant dans le control plane, ce qui allège ta charge opérationnelle, renforce la sécurité et simplifie les flux réseau. Backup, GitOps, Cilium ou Cast AI s’installent plus vite, plus proprement, plus sereinement. Comprendre la migration de l’Extension Manager AKS

Durable Functions en PowerShell : SDK indépendant en GA

Le SDK Durable Functions pour PowerShell est désormais disponible en module autonome sur PowerShell Gallery (AzureFunctions.PowerShell.Durable.SDK). Tu gagnes en souplesse, avec des mises à jour indépendantes du runtime Azure Functions, un meilleur support des sous-orchestrations, une gestion d’erreurs renforcée et des sérialisations enfin maîtrisées. Découvrir le SDK Durable PowerShell sur PowerShell Gallery

Restaure partout : GRS et CRR débarquent pour les Premium SSD v2

Tu utilises les Premium SSD v2 pour tes machines virtuelles ? Tu peux désormais les protéger avec Geo-Redundant Storage et profiter du Cross-Region Restore. Une panne ? Un audit ? Tu déclenches une restauration dans une autre région, sans impact sur la prod. Et ça arrive en GA pour la Norvège et le Japon. Voir comment activer GRS + CRR sur Premium SSD v2

BlobNFS passe à la vitesse AZNFS 3.0 (en preview)

Si tu travailles avec NFS 3.0 sur Azure Blob Storage, l’update AZNFS 3.0 va te parler : montée en débit, meilleurs temps de réponse sur les métadonnées, support de fichiers plus gros et plus de limites sur les groupes d’utilisateurs. Le tout grâce à l’intégration de libfuse3, comme dans BlobFuse. Pour les workloads POSIX exigeants, c’est un vrai bond de performance. Tester AZNFS 3.0 avec BlobNFS

Azure Cloud HSM : sécurité FIPS 140-3, contrôle total, isolation garantie

Azure Cloud HSM est désormais en GA. Ce service HSM monolocataire, certifié FIPS 140-3 Niveau 3, te donne la main sur tes clés et tes opérations crypto sensibles dans un cluster dédié. Parfait pour migrer depuis un HSM on-prem ou depuis Azure Dedicated HSM, avec une prise en charge complète de PKCS#11, OpenSSL et JCE. Idéal pour décharger du SSL, signer du code, faire du TDE ou héberger un ADCS sur VM Azure sans compromis sur l’isolement et la conformité. Explorer Azure Cloud HSM et ses usages sécurisés

ALZ évolue : une subscription dédiée pour Microsoft Sentinel

Suite aux retours des clients, partenaires et de la communauté GitHub, Azure Landing Zone (ALZ) introduit une nouvelle structure native dans son architecture de référence : un Security Management Group et une Security Subscription séparés, pour héberger Microsoft Sentinel en dehors du Log Analytics central. L'objectif ? Isoler les logs de sécurité, offrir une gouvernance plus réaliste, et permettre aux clients d’activer Sentinel à leur rythme. Découvrir la nouvelle architecture ALZ avec Sentinel

ExpressRoute simplifié : plus besoin de gérer l’IP Publique

Avec le modèle HOBO (Hosted-On-Behalf-Of), les nouveaux gateways ExpressRoute gèrent automatiquement leur adresse IP publique. Tu n’as plus besoin de l’assigner manuellement. Déploiement plus fluide, moins d’efforts opérationnels, et une meilleure cohérence avec les autres gateways Azure. Découvrir le modèle HOBO pour ExpressRoute

Cosmos DB rejoint Microsoft Fabric : la data unifiée en preview

Ta base Cosmos DB peut désormais être miroirée dans OneLake via Microsoft Fabric, en public preview. Tu exploites la puissance du temps réel, du vector search, du full-text search et de Copilot pour Power BI sans recoller les morceaux à la main. CI/CD intégré, requêtes SQL sur données opérationnelles, supervision native : tout converge enfin. Explorer Cosmos DB dans Microsoft Fabric

PostgreSQL flexible débarque en Indonésie Centrale

Bonne nouvelle pour les projets régionaux : Azure Database for PostgreSQL Flexible Server est désormais disponible en GA dans la région Indonesia Central. De quoi respecter la localisation des données, réduire la latence et renforcer la souveraineté cloud dans cette zone stratégique. Déployer PostgreSQL Flexible en Indonesia Central

AKS : migration automatique vers VMSS et Load Balancer Standard (preview)

Les Availability Sets et le Basic Load Balancer tirent leur révérence le 30 septembre 2025. Pour t’accompagner, Azure propose une commande CLI unique pour migrer ton cluster AKS vers des node pools Virtual Machines et le SKU Standard du Load Balancer, le tout en un seul passage. Moins de friction, plus de résilience, et zéro downtime planifié. Tester la migration automatique AKS en CLI

Backup Azure prêt pour Trusted Launch : continuité assurée

Les VMs Trusted Launch peuvent désormais être protégées via les politiques standard Azure Backup, sans modifier tes scripts ni adapter tes outils. Cette GA garantit que tes automatisations (PowerShell, CLI, API REST) continuent à fonctionner, même avec le mode sécurisé activé par défaut. Activer le backup standard pour Trusted Launch

Déploie Microsoft Fabric en Terraform dès aujourd’hui

Le Terraform Provider pour Microsoft Fabric, désormais disponible avec la CLI Fabric, permet d’automatiser la gestion de ressources Fabric en Infrastructure as Code, avec un premier guide pour créer une identité de workload, configurer un déploiement Terraform et initier un pipeline GitHub Actions. Découvrir comment automatiser Fabric avec Terraform

Events Azure & Fabric : modèle de permissions renforcé

Pour sécuriser l’ingestion temps réel dans Microsoft Fabric (Activator, Eventstream...), Microsoft améliore le modèle de permissions : si l’utilisateur qui a configuré un flux perd les droits de souscription, l’ingestion s’arrête automatiquement. Seul un utilisateur autorisé pourra recréer la connexion. Un vrai plus pour garantir un accès strictement contrôlé aux événements interservices. En savoir plus sur les permissions Events dans Azure & Fabric