Microsoft hat diese Woche geliefert, was viele Kunden im regulierten Umfeld seit Jahren fordern: Azure Local Disconnected Operations machen souveräne Cloud-Workloads ohne jegliche Internetverbindung möglich. Für den DACH-Mittelstand mit KRITIS-Anforderungen ist das ein Gamechanger — und gleichzeitig ein Signal, wohin die Reise bei Hybrid geht.
🔥 Top-Thema der Woche
Microsoft Sovereign Cloud: Disconnected Operations für Azure Local, M365 und AI
Microsoft hat drei zentrale Bausteine für vollständig isolierte Umgebungen vorgestellt: Azure Local läuft nun komplett ohne Cloud-Konnektivität, Microsoft 365 Local ermöglicht Produktivitäts-Workloads in Air-Gapped-Szenarien, und Foundry Local unterstützt große KI-Modelle in souveränen, vollständig getrennten Umgebungen. (Blogpost)
Warum das relevant ist: Organisationen mit strikten Datenhoheitsanforderungen — Verteidigung, Gesundheitswesen, KRITIS-Betreiber — können erstmals den vollen Microsoft-Stack nutzen, ohne Daten jemals das lokale Netzwerk verlassen zu lassen. Das schließt eine der letzten großen Lücken im Sovereign-Cloud-Portfolio.
Meine Einschätzung: Das ist der bisher konsequenteste Schritt Microsofts in Richtung echte Datensouveränität. Für Kunden mit VS-NfD-Anforderungen oder regulierten Branchen wird Azure Local damit zur ernsthaften Alternative zu On-Prem-only-Szenarien. Wer Azure Local bisher wegen Connectivity-Bedenken nicht evaluiert hat, sollte das jetzt nachholen.
KI & Azure AI
- Claude Sonnet 4.6 in Microsoft Foundry verfügbar: Anthropics Flaggschiff-Modell ist jetzt über Microsoft Foundry (ehemals Azure AI Foundry) nutzbar — mit 1M Token Context Window (Beta), Adaptive Thinking und 128K Output-Tokens. Starke Option für Coding und agentic Workflows auf Enterprise-Niveau. (Tech Community)
- Claude Sonnet 4.6 auf Azure Databricks: Dasselbe Modell ist auch über Databricks AI Model Serving erreichbar — relevant für Teams, die ihre KI-Workloads bereits auf Databricks konsolidiert haben. (Azure Update)
- Foundry Local für Air-Gapped AI: Im Rahmen der Sovereign-Cloud-Ankündigung können große KI-Modelle jetzt vollständig lokal und ohne Cloud-Verbindung betrieben werden. (Blogpost)
📢 Azure Core Updates
| Update | Kategorie | Relevanz | Status | Quelle |
|---|---|---|---|---|
| Confidential VMs DCesv6/ECesv6 mit Intel TDX | Compute | 🔴 Hoch | GA | Link |
| User Delegation SAS mit Entra ID-Binding | Security/Storage | 🔴 Hoch | Preview | Link |
| Azure Monitor Pipeline TLS/mTLS + BYOC | Monitoring | 🟡 Mittel | Preview | Link |
| Azure SDK Release Februar 2026 (.NET, Python, JS, Go) | Development | 🟡 Mittel | GA | Link |
| Azure Developer CLI: Slot Deployments & JMESPath | Development | 🟡 Mittel | GA | Link |
| Azure MCP Server: Python-Support via PyPI | Development | 🟡 Mittel | GA | Link |
| SQL Server-Tools in VS Code erweitert | Datenbanken | 🟢 Gering | GA | Link |
| Azure DevOps Team Calendar Extension Redesign | DevOps | 🟢 Gering | GA | Link |
Hybrid & Modern Work
- Azure Local Disconnected Operations (GA): Azure Local läuft ab sofort vollständig ohne Cloud-Konnektivität. Governance, Compute und Storage bleiben lokal — ideal für KRITIS, Verteidigung und regulierte Branchen. (Blogpost)
- Microsoft 365 Local: Produktivitäts-Workloads (Outlook, Teams, Office) in komplett isolierten Umgebungen. Ergänzt Azure Local um die Collaboration-Ebene. (Blogpost)
- Azure Red Hat OpenShift: Jetzt auch GA in Malaysia West, New Zealand North und Mexico Central. (Azure Update)
Security & Identity
- Confidential VMs mit Intel TDX (GA): Die neuen DCesv6- und ECesv6-Serien nutzen 5th Gen Intel Xeon mit Intel TDX für Hardware-basierte VM-Isolation. Relevant für Workloads mit hohen Compliance-Anforderungen. (Azure Update)
- User Delegation SAS mit Entra ID-Binding (Preview): SAS-Tokens können jetzt an spezifische Entra ID-Identitäten gebunden werden. Das schließt eine lange bestehende Sicherheitslücke bei Shared Access Signatures. (Azure Update)
- Azure Monitor Pipeline: TLS/mTLS und BYOC (Preview): Sichere Datenerfassung mit eigenen Zertifikaten für Monitoring-Pipelines. (Azure Update)
⚠️ Abkündigungen & Breaking Changes
| Dienst / Feature | Frist | Handlungsbedarf | Link |
|---|---|---|---|
| Application Gateway for Containers — Managed NGINX Ingress | 30.11.2026 | Migration auf Application Gateway for Containers oder alternativen Ingress Controller planen | Link |
| Windows Server Annual Channel auf AKS | 15.05.2026 | Node Pools auf Windows Server LTSC migrieren | Link |
FinOps-Tipp der Woche
Ungenutzte Premium SSD v2-Disks aufspüren: Premium SSD v2 wird nach provisioniertem IOPS und Throughput abgerechnet — auch wenn die Disk idle ist. Schneller Check über CLI:
az graph query -q "Resources | where type == 'microsoft.compute/disks' | where properties.tier == 'P' | where properties.diskState == 'Unattached'" --first 100Unattached Disks löschen oder auf Standard SSD downgraden spart sofort Geld.
💡 Deep Dive: Warum identitätsgebundene SAS-Tokens ein großer Schritt sind
Shared Access Signatures sind seit Jahren ein notwendiges Übel im Azure Storage-Ökosystem. Sie ermöglichen granularen Zugriff auf Blobs, Queues und Tables — aber die klassischen Account- und Service-SAS-Keys lassen sich kaum an individuelle Identitäten binden. Wer den Key kennt, hat Zugriff. Punkt.
Die neue Preview für User Delegation SAS mit Entra ID-Binding ändert das fundamental. SAS-Tokens können jetzt an eine spezifische Entra ID-Identität geknüpft werden. Das bedeutet: Wenn ein Mitarbeiter das Unternehmen verlässt oder Berechtigungen entzogen werden, sind auch die zugehörigen SAS-Tokens sofort ungültig — ohne Key Rotation.
Für Enterprise-Architekten löst das gleich mehrere Probleme: Erstens wird die Compliance-Dokumentation deutlich einfacher, weil jeder Zugriff einer konkreten Person zugeordnet werden kann. Zweitens entfällt das Risiko von „vergessenen“ SAS-Tokens, die nach einer Key Rotation weiterleben. Drittens lässt sich das Feature nahtlos mit Conditional Access Policies kombinieren.
Die Empfehlung: Sobald das Feature GA geht, Account-Key-basierte SAS systematisch ersetzen. Wer heute schon testet, hat einen Vorsprung bei der nächsten Audit-Runde.
Eine Maßnahme für diese Woche:
Windows Server Annual Channel auf AKS prüfen: Deadline ist der 15.05.2026 — das klingt weit weg, aber Node Pool-Migrationen brauchen Testing. Prüfe jetzt, ob du betroffen bist:
az aks nodepool list --resource-group <rg> --cluster-name <cluster> --query "[?osType=='Windows'].{Name:name, OsSKU:osSku}" -o tableFalls OsSku den Wert WindowsAnnual zeigt: Migration auf Windows2022 oder Windows2025 planen.
Rays Cloud Blog 
Hinterlasse einen Kommentar