👋 Hello, ici Azure Doctor !

Avant de plonger dans les dernières annonces Azure, petit tour d’horizon de ce qu’on a publié cette semaine côté blog :

• HowTo #5 : dans ce guide, je te montre comment détecter rapidement les NSG sans règle de sortie, ces fausses protections réseau qui ne filtrent rien en réalité.

• HowTo #6 : ici, on identifie ensemble les App Services configurés sans redirection HTTPS, ces portes ouvertes à des risques inutiles en matière de sécurité.

Et côté Azure, voici les scans les plus chauds à ne pas manquer

Côté réseau, Azure continue de simplifier la vie des équipes infra : désormais, chaque nouveau gateway ExpressRoute reçoit automatiquement une adresse IP publique sans configuration manuelle ce qui uniformise et accélère les déploiements. Plus impressionnant encore, ExpressRoute Direct s’impose comme la solution ultime pour les architectures critiques avec une connectivité directe au backbone Azure en 10 ou 100 Gbps, FastPath, MACsec, egress local gratuit et redondance active/active sur plusieurs sites. Le genre d’évolution qui redéfinit la résilience réseau dans le cloud.

Du côté de la supervision, Log Analytics muscle ses outils. Les Search Jobs bénéficient d’une nouvelle interface, d’une estimation de coût et d’une capacité bientôt étendue à 100 millions de résultats. En parallèle, les Summary Rules sont généralement disponibles et permettent d’agréger efficacement des flux à fort volume quel que soit le plan de ton workspace tout en montant à 100 règles configurables.

Dans les coulisses du DevOps, Microsoft change la donne. Avec Azure DevOps, GitHub Copilot et Playwright, il devient possible de transformer un simple cas de test en script e2e complet généré par IA intégré automatiquement dans ton pipeline CI/CD. Plus besoin de coder chaque interaction, Copilot s’en charge à partir de ta description fonctionnelle un vrai gain de temps et de couverture.

Pendant ce temps, sur les clusters AKS, la gestion IP atteint une nouvelle dimension. Grâce à Azure CNI, on peut allouer statiquement des blocs CIDR par nœud, franchir la barre du million de pods sans overlay tout en conservant une latence faible et des IP routables nativement. Un équilibre rare entre simplicité et scalabilité.

Sur le front de la sécurité, un rappel important s’impose. À partir du 28 juillet, certains certificats managés sur App Service ne seront plus renouvelés si ton app n’est pas publiquement accessible ou utilise un domaine *.trafficmanager.net. Il est essentiel de vérifier ta configuration pour éviter toute rupture silencieuse.

Enfin, l’écosystème Microsoft Fabric connaît lui aussi une accélération. D’un côté, Copy Job devient encore plus flexible : il prend désormais en charge les views SQL comme sources, propose des datasets intégrés pour test immédiat et s’ouvre à de nouveaux connecteurs comme MongoDB, SharePoint ou Azure AI Search. De l’autre, Microsoft acte la fin d’une époque : les modèles sémantiques générés automatiquement sont supprimés pour laisser place à une modélisation gouvernée et explicite plus adaptée aux environnements critiques. Et pour les scénarios IA, les modèles ML peuvent désormais être servis en scoring temps réel via des endpoints REST managés, auto-scalés, sécurisés et activables en un clic. Un vrai tournant pour l’industrialisation de l’intelligence artificielle dans Fabric.

👇 Attache ta ceinture, tout est scanné, résumé et prêt à l’injection. Bonne consultation !

Sommaire

1. Le meilleur de la semaine, sans effets secondaires …

   1. [HowTo #5] Détecter les NSG sans règles de sortie …

   2. [HowTo #6] Identifier les App Services sans redire …

2. La commande “Az CLI” de la semaine !

3. 📢 Big News – App Service : tes certificats managé …

4. 🔍 Scan rapide du corps “Azure”

   1. Réseau

   2. Devops

   3. Compute

   4. Stockage

   5. Sécurité

   6. Multi-Cloud

   7. Containers

   8. Management et gouvernance

   9. Outils de développement

   10. AI + Machine Learning

   11. Analytics

   12. Intégration

📢 NOUVEAU ! 2 publications majeures à ne pas rater cette semaine !

Dans un environnement Azure bien encadré, les règles d’entrée sont traitées avec sérieux. On verrouille les ports, on contrôle les IP et on applique les NSG avec méthode. Tout semble sous contrôle.

Mais derrière cette apparente maîtrise, une question revient souvent en audit : que deviennent les flux sortants ? Dans bien des cas, les NSG en place n’intègrent aucune règle egress explicite. Parfois, tout est laissé ouvert. Parfois, tout est bloqué sans qu’aucune exception ne soit définie. Et dans les deux cas, personne ne s’en aperçoit, jusqu’au jour où un service ne répond plus ou qu’une donnée sort sans autorisation.

Tu héberges plusieurs applications web sur Azure App Service. Certaines sont exposées publiquement, d’autres servent d’API internes ou d’interfaces clients. Elles tournent, scalent, restent sous contrôle et en apparence tout semble parfaitement fonctionner.

Mais un détail t’échappe. Un détail que tu ne verras pas dans Application Insights ni dans ton dashboard d’usage. Certaines de tes applications autorisent encore les connexions HTTP non chiffrées. Le client tape l’URL sans spécifier https://, et la plateforme le laisse faire. Aucune redirection vers HTTPS. Le contenu s’affiche, parfois avec des sessions, des cookies, des données utilisateurs. Et tu viens de rater un point essentiel de ta posture sécurité.

On a tous un tenant un peu trop chargé, avec des ressources qui traînent, des groupes oubliés ou des restes de projets pilotes. Et parfois, ce ne sont même pas les ressources qui coûtent… mais les erreurs de structure.

Alors, si tu veux savoir quels Resource Groups sont totalement vides, et qui mériteraient un petit ménage, voici une boucle shell élégante qui fait le job proprement :

for rg in $(az group list --query "[].name" -o tsv); do   
  count=$(az resource list --resource-group "$rg" --query "length(@)")

  if [ "$count" -eq 0 ]; then
    echo "$rg"  
  fi 
done 

Ce script liste tous les groupes, les inspecte un à un, et affiche uniquement ceux qui n’ont plus aucune ressource à l’intérieur. Pas besoin de PowerShell, pas besoin d’Excel, juste du CLI et un peu d’ordre dans ton infra.

Tu veux aller plus loin et automatiser le nettoyage ? Il suffit d’ajouter un az group delete après confirmation, mais ça, c’est une autre histoire.

À partir de ce lundi, plusieurs types d’apps ne pourront plus renouveler leurs certificats SSL managés sur Azure App Service. En cause : un changement chez DigiCert, la CA officielle, qui impose une nouvelle validation stricte. Résultat : 403, échecs silencieux… et frontend en rade si tu ne corriges pas à temps.

Tu es concerné si ton app :

• n’est pas publiquement accessible (Private Endpoint, client cert, IP restrictions…)

• utilise un profil Traffic Manager External/Nested

• s’appuie sur un domaine *.trafficmanager.net

Pas de panique : Microsoft fournit les requêtes ARG prêtes à l’emploi pour détecter les cas à risque, et des contournements existent (/.well-known, custom domain, endpoint Azure).

 Voir l’annonce + requêtes

ExpressRoute : les IP publiques sont désormais auto-assignées

Depuis juillet 2025, les nouveaux gateways ExpressRoute reçoivent automatiquement une IP publique. Plus besoin de l’assigner manuellement : le déploiement est simplifié et standardisé, sans impact sur les gateways existants. Documentation officielle

ExpressRoute Direct : connexion privée ultra-résiliente au backbone Azure

Avec ExpressRoute Direct, connecte-toi directement au réseau global de Microsoft en 10 ou 100 Gbps, active FastPath, MACsec, et tire parti d’un modèle à double port pour une haute disponibilité. Idéal pour les workloads critiques ou géo-distribués. Lire la documentation complète

Azure Monitor : les Search Jobs montent en puissance

Les Search Jobs, ces requêtes asynchrones sur les données (même archivées) de Log Analytics, gagnent en ergonomie et en performances. L’interface a été simplifiée, un aperçu du coût est disponible avant exécution, la parallélisation est accrue, et la limite de résultats passera bientôt à 100 millions. Un support KQL élargi est également prévu. Documentation officielle

GA des Summary Rules : résume tes flux massifs sans perdre en visibilité

Les Summary rules sont désormais disponibles en général availability dans Log Analytics. Elles permettent d’agréger efficacement les flux à fort volume, que ton workspace soit en mode Analytics, Basic ou Auxiliary. Idéal pour produire des tableaux de bord, analyses ou rapports longue durée sans surcoût ni surcharge. La limite passe à 100 règles par workspace. Documentation officielle

Azure DevOps + Copilot : les tests manuels deviennent du passé

En combinant GitHub Copilot, MCP Server et Playwright, Microsoft automatise la génération de tests end-to-end à partir de cas Azure DevOps. Résultat : moins de scripts à coder, plus de couverture, et un pipeline CI/CD fluide. Lire le retour d’expérience

AKS : le flat network passe à l’échelle avec plus d’un million de pods

C’est désormais en GA : Azure CNI permet l’allocation statique de blocs CIDR pour les sous-réseaux de pods. Chaque nœud reçoit un bloc dédié, simplifiant la gestion réseau tout en conservant les bénéfices d’un réseau plat (latence faible, IP routables). On atteint une capacité de plus d’un million de pods, sans recourir aux overlay networks. Ce mode cohabite avec l’allocation dynamique sur de nouveaux node pools. Documentation officielle

Azure Virtual Desktop : la base de données metadata arrive en Corée

Le service Azure Virtual Desktop supporte désormais la région Korea Central pour sa base de données metadata, offrant meilleure latence, conformité locale et connexions plus rapides aux utilisateurs coréens. Documentation sur les emplacements de données AVD

Azure Managed Lustre chiffre enfin les flux réseau avec VNet Encryption

Disponible en GA depuis juillet 2025, Azure Managed Lustre prend désormais en charge le chiffrement des données in transit via VNet Encryption. Basée sur DTLS 1.2 (AES-GCM-256), cette protection est optimisée par FPGA pour garantir performance et faible latence. Elle répond aux exigences de conformité des secteurs régulés (finance, santé, secteur public). Activation possible sur les VMs D, E, F et L via une mise en maintenance du cluster. Documentation officielle

App Service : certains certificats managés ne seront plus renouvelés

Dès le 28 juillet 2025, les certificats managés ne seront plus émis pour les apps non accessibles publiquement ou utilisant des endpoints Traffic Manager non pris en charge. Une vérification de configuration est recommandée. Lire l’annonce officielle

Azure VMware Solution débarque en région Spain Central

Azure VMware Solution est désormais disponible en Espagne (Spain Central), portant le total à 35 régions. Elle permet de migrer rapidement tes workloads VMware vers Azure sans refonte applicative, avec offres de migration et remises à la clé. En savoir plus

Fin de support pour Azure Linux 2.0 sur AKS Arc

Azure Linux 2.0 (ex-Mariner) atteindra sa fin de vie le 31 juillet 2025. Tous les clusters AKS Arc devront migrer vers Azure Linux 3.0 (kernel 6.6) dès la version 2507 pour rester supportés. Notes de version Azure Linux 3.0

ARM : montée en puissance du throttling dans les clouds souverains

Microsoft poursuit la modernisation du throttling dans Azure Resource Manager en l'étendant progressivement aux clouds souverains d’ici fin 2026. Objectif : aligner les limites entre environnement public et souverain, pour une expérience uniforme. Les limites ont déjà été fortement relevées (jusqu’à ×30 pour les écritures) et le déploiement a débuté en juillet 2025. Détails et roadmap officielle