Over zeven dagen, op 31 maart 2026, schrapt Microsoft de standaard uitgaande internettoegang voor nieuwe Azure Virtual Networks. Nieuwe VMs, Azure Virtual Desktop-omgevingen en Windows 365 ANC-koppelingen die daarna worden aangemaakt, kunnen geen internet meer bereiken tenzij u expliciet outbound connectivity configureert. Wat moet u nu doen?
Het klinkt als een kleine infrastructuurwijziging, maar de gevolgen kunnen groot zijn als u er niet tijdig van op de hoogte bent. Vanaf 31 maart 2026 geeft Microsoft geen standaard uitgaande internettoegang meer aan nieuw aangemaakte Azure Virtual Networks. Bestaande VNets worden niet geraakt, maar alle nieuwe VNets die na die datum worden gemaakt, draaien standaard op private subnetten zonder outbound internetverbinding.
Tot nu toe konden virtuele machines in een nieuw Azure VNet zonder verdere configuratie verbinding maken met het internet via een door Microsoft beheerd standaard gateway-mechanisme. Dit gemak had een keerzijde: het vergrootte het aanvalsoppervlak doordat VM's onbedoeld bereikbaar konden zijn of ongewenste verbindingen naar buiten konden initiëren.
Na 31 maart 2026 is dit standaardgedrag uitgeschakeld voor nieuwe VNets. Een VM in een nieuw VNet zonder expliciete outbound-configuratie kan het internet niet bereiken. Dat betekent geen Windows Update, geen Intune-communicatie, geen Windows-activering, geen Azure Monitor-agents, geen OAuth-authenticatiestromen en geen externe API-aanroepen.
De impact is het grootst voor drie categorieën. Ten eerste Azure Virtual Desktop (AVD): sessiehost-VM's die worden ingericht na 31 maart in een nieuw VNet zullen niet succesvol kunnen enrollen in Intune, geen groepsbeleid kunnen ophalen en geen verbinding kunnen maken met Microsoft 365-diensten. Microsoft heeft specifieke begeleiding gepubliceerd voor AVD-klanten om NAT Gateway of een expliciete Public IP te configureren vóór de deadline.
Ten tweede Windows 365 met Azure Network Connection (ANC): Cloud PC-provisioning via een ANC die na 31 maart wordt aangemaakt, mislukt stil als het bijbehorende VNet geen expliciete outbound-verbinding heeft. Ten derde Infrastructure-as-Code-templates: Bicep-, Terraform- en ARM-templates die VNets aanmaken zonder expliciete outbound-configuratie, produceren na 31 maart gebroken omgevingen. Dit kan deployment-pipelines breken op een moment dat niemand de wijziging verwacht.
Er zijn drie officiële opties. Optie 1 is een NAT Gateway: dit is de aanbevolen aanpak voor de meeste workloads. Een NAT Gateway geeft alle VM's in een subnet een gedeeld statisch IP-adres voor uitgaand verkeer, zonder dat individuele VM's een Public IP nodig hebben. Optie 2 is een Instance-level Public IP: aan elke VM wordt een eigen Public IP-adres toegewezen. Dit werkt voor kleinere omgevingen maar is minder schaalbaar. Optie 3 is een Azure Load Balancer met outbound rules: geschikt voor omgevingen met een bestaande Load Balancer die al intern verkeer verdeelt.
Voor Azure Virtual Desktop is NAT Gateway in combinatie met een Route Table de aangewezen configuratie. Voeg in uw AVD-hostpool-template een NAT Gateway toe aan het subnet van de sessiehosts en zorg dat al het uitgaande verkeer via de NAT wordt gerouteerd.
Als uw organisatie Azure-omgevingen beheert via Bicep, Terraform of ARM, is dit het moment om uw templates te controleren. Zoek naar alle resource-definities van type Microsoft.Network/virtualNetworks en voeg voor elk nieuw subnet een NAT Gateway of vergelijkbare outbound-verbinding toe als standaard onderdeel van het template. Doe dit vóór 31 maart, ook als u nu geen nieuwe omgevingen plant: aanpassingen die u doet na 31 maart, vereisen al een expliciete outbound-configuratie om correct te werken.
Bestaande omgevingen hoeft u niet aan te passen: de wijziging geldt uitsluitend voor nieuw aangemaakte VNets. Maar elke nieuwe resource group, nieuwe pilot-omgeving of uitbreidingsproject na 31 maart valt onder de nieuwe regels.
De deadline is 31 maart 2026 — zeven dagen vanaf vandaag. Controleer nu uw Azure-templates, uw AVD-hostpool-configuraties en uw Windows 365 ANC-instellingen. Als u twijfelt of uw omgeving correct is geconfigureerd, neem dan vandaag nog contact op met uw Azure-partner.
Zarioh Digital Solutions biedt Azure-infrastructuurreviews en begeleidt organisaties bij het aanpassen van hun Bicep- en Terraform-templates aan de nieuwe outbound-vereisten. Neem contact op voor een urgente check van uw Azure-configuratie.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
