Tutos, news et aides informatiques

Publié le par Publié dans WINDOWS

DESCRIPTION :

Ça y est, vous avez compris ce qu’est Copilot (article 1), vous savez faire la différence entre un agent et un assistant IA (article 2), et vous avez décrypté les licences (article 3). Il est temps de passer aux choses sérieuses : mettre les mains dans le cambouis.

Cet article est le premier vrai article « Prise en main » de cette série. On va explorer ensemble le portail d’administration Microsoft 365 Admin Center et ses deux sections dédiées à Copilot et aux agents, configurer les paramètres critiques (Frontier, Anthropic, Flex Routing), comprendre le rôle AI Administrator et ses limites, et assigner les licences Copilot à vos utilisateurs. C’est le guide que j’aurais aimé avoir quand j’ai commencé à administrer Copilot sur mon propre tenant.

Prenez un café, ouvrez votre Admin Center dans un second onglet, et suivez le guide.

Cet article est le quatrième d’une série de 10 articles dédiés à Microsoft Copilot sur Infonovice.fr.

Voici le programme complet de la série :

Bonne lecture !

Les deux sections dans le portail Microsoft 365 Admin Center

Premier constat quand on se connecte à l’URL d’administration https://admin.cloud.microsoft/ (Accessible également via l’URL : admin.microsoft.com) : l’administration de Copilot ne se fait pas depuis une seule entrée de menu. Il y en a deux, bien distinctes dans la navigation de gauche :

Section « Copilot » (icône du logo Copilot couleur arc-en-ciel)

C’est le centre de contrôle de l’expérience Copilot elle-même. Quand vous cliquez sur « Copilot > Overview », vous arrivez sur la page Copilot Control System, un dashboard avec quatre onglets : Overview, Security, Health et About.

Le menu « Copilot » du portail « Microsoft 365 admin center » contient cinq sous-menus :

  • Overview : Le tableau de bord principal. Il affiche des recommandations, des indicateurs de santé, et des raccourcis vers les actions les plus courantes ou les nouveautés à venir concernant Copilot (What’s new).
  • Connectors : La gestion des connecteurs Copilot (synchronisés et fédérés). C’est ici que vous déployez des connecteurs depuis la galerie, vérifiez l’état des connexions et gérez l’ingestion de données externes dans Microsoft Graph. Nous y reviendrons en détail dans les articles 6 et 7.
  • Search : La configuration de Copilot Search et des paramètres de recherche sémantique.
  • Billing & Usage : Les métriques de consommation et de facturation liées à Copilot.
  • Settings : C’est ici que se trouvent les paramètres les plus critiques de votre tenant pour Copilot. On va les détailler un par un dans la suite de cet article.

Section « Agents » (icône violette/rose)

C’est une section séparée, avec sa propre icône dans la navigation. Elle est dédiée à la gestion des agents IA déployés dans votre tenant.

Cette section contient quatre sous-menus :

  • Overview : Vue d’ensemble de l’activité des agents.
  • All agents : L’inventaire complet de tous les agents visibles dans le tenant. C’est ici que converge Agent 365 (à partir du 1er mai 2026). Vous y retrouverez les agents créés via Agent Builder, les agents Frontier (comme Cowork), et à terme les agents Copilot Studio.
  • Tools : Les outils disponibles pour les agents (connecteurs, sources de données, etc.).
  • Settings : Paramètres spécifiques aux agents : déploiement pour les utilisateurs, épinglage dans l’interface Copilot, contrôle d’accès.

Le rôle AI Administrator

Avant d’aller plus loin dans la configuration, parlons du rôle qui va vous permettre de gérer tout ça sans être Global Admin.

Historique

Le rôle AI Administrator a été introduit par Microsoft en novembre 2024. À l’époque, c’était un rôle assez limité qui permettait principalement de gérer les paramètres Copilot de base. En mars 2026, avec l’arrivée d’Agent 365, Microsoft a considérablement élargi les permissions de ce rôle (notification MC1245636).

Ce que peut faire l’AI Administrator (depuis mars 2026)

L’objectif de cette mise à jour est de permettre une gestion quotidienne de l’écosystème Copilot et agents sans impliquer un Global Admin pour les tâches courantes. Concrètement, l’AI Administrator peut :

  • Gérer les agents : opérations CRUD complètes (créer, lire, modifier, supprimer) sur les agents.
  • Gérer les credentials des agents : ajouter, supprimer et renouveler les secrets et certificats des agents.
  • Accorder le consentement tenant-wide pour les applications et agents qui demandent des permissions, sauf pour les permissions Microsoft Graph de type « Application » qui restent réservées au Privileged Role Admin ou Global Admin.
  • Voir les agents à risque : consultation des agents signalés par Entra Identity Protection for Agents.
  • Configurer les paramètres Copilot : Frontier (scoping), Anthropic (activation/désactivation), Flex Routing, recherches web, etc.
  • Gérer les connecteurs Copilot : avec un script PowerShell de délégation complémentaire fourni par Microsoft pour les connecteurs custom.
  • Voir les rapports d’utilisation et les insights d’adoption.
  • Gérer les tickets de support Azure et M365.

NB : CRUD = Create Read Update & Delete

L’administration est possible depuis : le portail M365 Admin Center, le portail Entra ID, PowerShell et les API Microsoft Graph.

Ce que ne peut pas faire l’AI Administrator

  • Accorder le consentement pour les permissions Microsoft Graph Application (les permissions « sans utilisateur »). Cela reste du ressort du Privileged Role Admin ou du Global Admin. C’est une mesure de sécurité importante, car les permissions Application donnent un accès direct aux ressources sans contexte utilisateur (Permissions déléguées).
  • Gérer les environnements Power Platform : pour ça, il faut le rôle Power Platform Admin. L’AI Admin n’a pas de visibilité native sur les environnements, les crédits Copilot Studio ou les billing plans.
  • Configurer Microsoft Purview (DLP, labels de sensibilité, audit) : cela nécessite le rôle Compliance Admin.

NB : Pour en savoir plus sur le rôle AI Administrator

Les rôles complémentaires

Microsoft a introduit en novembre 2025 plusieurs rôles plus granulaires, moins privilégiés que l’AI Administrator, pour les organisations qui veulent appliquer le principe du moindre privilège :

NB : Pour une gestion complète de l’écosystème Copilot, vous aurez parfois besoin de combiner le rôle AI Administrator avec le rôle Power Platform Admin (pour les environnements et crédits Copilot Studio) et éventuellement le rôle Compliance Admin (pour Purview). le rôle AI Administrator, n’est pas un rôle unique qui couvre tout.

La matrice rôle / console / action

Voici le tableau de référence que je vous recommande de garder sous le coude. Il résume quel rôle est nécessaire pour chaque action dans chaque console :

M365 Admin Center — Section Copilot :

M365 Admin Center — Section Agents :

Entra Admin Center :

Power Platform Admin Center :

Assigner les licences Copilot aux utilisateurs

Maintenant qu’on connaît les rôles et les consoles, passons à la première tâche concrète : attribuer les licences Microsoft 365 Copilot à vos utilisateurs.

Via l’interface graphique (M365 Admin Center)

  1. Connectez-vous à admin.cloud.microsoft.com ou admin.microsoft.com.
  2. Allez dans Users > Active users (Utilisateurs > Utilisateurs actifs).
  3. Sélectionnez l’utilisateur concerné.
  4. Cliquez sur Licenses and apps (Licences et applications).
  5. Cochez la licence Microsoft 365 Copilot.
  6. Cliquez sur Save changes.

Vous pouvez aussi assigner en masse via Billing > Licenses (Facturation > Licences), en sélectionnant la licence Copilot et en ajoutant plusieurs utilisateurs d’un coup.

NB : Le Copilot Control System (Copilot > Overview) vous propose des recommandations d’attribution basées sur l’activité Microsoft 365 de vos utilisateurs. C’est un bon point de départ pour identifier les utilisateurs les plus susceptibles de bénéficier de Copilot.

Une licence Copilot seule ne permet pas à un utilisateur d’utiliser pleinement la suite d’options de Copilot au sein des produits Microsoft. C’est une licence additionnelle (Add-On) qui s’ajoute en complément d’une licence d’utilisation des services Microsoft.

Via PowerShell

Pour ceux d’entre nous qui préfèrent le script (et je sais qu’il y en a beaucoup parmi les lecteurs d’Infonovice), voici comment assigner la licence Copilot via Microsoft Graph PowerShell :

# Se connecter à Microsoft Graph
Connect-MgGraph -Scopes "User.ReadWrite.All"

# Récupérer le SKU ID de la licence Copilot
$CopilotSku = Get-MgSubscribedSku | Where-Object { $_.SkuPartNumber -eq "Microsoft_365_Copilot" }

# Assigner la licence à un utilisateur
Set-MgUserLicense -UserId "utilisateur@domaine.com" `
    -AddLicenses @(@{SkuId = $CopilotSku.SkuId}) `
    -RemoveLicenses @()

Pour une attribution en masse à partir d’un groupe de sécurité Entra, vous pouvez utiliser l’attribution de licences basée sur les groupes (Group-based licensing) directement depuis le portail Entra ID > Groups. C’est la méthode recommandée pour les déploiements à grande échelle.

Bonnes pratiques pour l’attribution

  • Commencez par un groupe pilote : 10 à 50 utilisateurs de profils variés (commerciaux, marketing, RH, IT, direction). Ne déployez pas en masse d’emblée.
  • Utilisez les groupes Entra : créez un groupe de sécurité « Copilot Pilot » et assignez la licence au groupe. C’est plus propre et plus facile à gérer qu’une attribution utilisateur par utilisateur.
  • Mesurez avant d’étendre : utilisez le Copilot Dashboard (Viva Insights) et les rapports de Copilot > Billing & Usage pour mesurer l’adoption réelle avant d’acheter des licences supplémentaires.

Configurer les paramètres critiques (Copilot > Settings)

C’est ici que se joue l’essentiel de la gouvernance Copilot. Quand vous allez dans Copilot > Settings, vous trouverez plusieurs paramètres. Je vais détailler les trois plus importants pour un admin.

NB : Pour voir tous les paramètres, cliquez sur « View All » en haut de la page Settings. Certains paramètres ne sont pas visibles par défaut.

1. Le programme Frontier

Chemin : Copilot > Settings > Copilot Frontier (sous la section « User access »)

Le programme Frontier donne accès aux fonctionnalités IA expérimentales de Microsoft avant leur disponibilité générale. Cela inclut : Copilot Cowork, le modèle Claude dans Copilot Chat, l’agent Researcher amélioré, les agents Frontier tagués « (Frontier) » dans l’Agent Store, et d’autres fonctionnalités en évolution rapide.

Les trois options de scoping :

  • No access : Aucun utilisateur n’a accès aux fonctionnalités Frontier. C’est l’option par défaut pour les tenants EU/EFTA.
  • All groups of users : Tout le monde dans l’organisation a accès. Attention : je déconseille fortement cette option en production.
  • Specific user : Vous spécifiez les utilisateurs qui auront accès au programme Frontier. Option recommandée.

NB : A ce jour, il n’est pas possible d’ajouter des groupes de sécurité pour l’accès au programme Frontier. On ne peut que spécifier des utilisateurs pour l’accès au programme Frontier.

Ma recommandation : Prenez soin de n’autoriser que des utilisateurs formés et avertis au programme Frontier. Voici pourquoi :

  • Les fonctionnalités Frontier sont en preview. Elles peuvent changer, être retirées, ou avoir des comportements inattendus.
  • Copilot Cowork est un agent autonome qui peut agir sur vos données : envoyer des emails, créer des fichiers, modifier des documents. Un utilisateur non formé qui écrit un mauvais prompt peut déclencher des actions non souhaitées, voire destructrices. Même si les politiques DLP et d’audit s’appliquent, et même si une fenêtre d’annulation (undo) existe, la prévention reste préférable à la correction.
  • La documentation de ces fonctionnalités est souvent incomplète ou en retard sur le produit.

NB : Le programme Frontier nécessite également que l’admin soit lui-même enrollé dans Frontier pour voir certaines fonctionnalités d’administration (comme Cowork dans la section Agents). Si Cowork n’est pas visible dans Agent management, vérifiez que votre compte admin est inclus dans le groupe Frontier.

2. Les modèles Anthropic (Claude)

Chemin : Copilot > Settings > View All > AI providers operating as Microsoft subprocessors

C’est ici que vous contrôlez l’activation des modèles Claude d’Anthropic dans votre tenant. Comme nous l’avons vu dans l’article 1, Anthropic est un sous-traitant de Microsoft dont les modèles sont exclus de l’EU Data Boundary (Le traitement de vos Prompts, sera transféré sur les serveurs d’Anthropic aux USA pour être traités et le résultat vous serez retourné ensuite. Bien que les données transférées aux USA soit partiellement anonymisées pour masquer des numéros de compte, login/password ou autres informations confidentielles, c’est un élément à prendre en considération dans votre réflexion).

Paramètre actuel (avril 2026) :

Le toggle est tenant-wide (on/off pour tout le monde). Pas de scoping par utilisateur ou groupe pour le moment.

  • Tenants EU/EFTA/UK créés avant le 25 mars 2026 : Anthropic est off par défaut. L’admin doit l’activer explicitement.
  • Tenants créés après le 25 mars 2026 : Anthropic est on par défaut.
  • Tenants GCC, GCC High, DoD, clouds souverains : Anthropic n’est pas disponible.

Évolution annoncée (fin avril 2026) : Microsoft a annoncé qu’il sera prochainement possible de scoper l’activation d’Anthropic à des utilisateurs ou groupes spécifiques, plutôt que de l’activer pour tout le tenant ou de le laisser désactivé pour tout le monde. C’est une très bonne nouvelle pour les organisations qui veulent tester Claude avec un groupe pilote avant de l’ouvrir largement.

Ce qui dépend d’Anthropic : Si vous désactivez Anthropic, certaines fonctionnalités ne seront plus disponibles ou fonctionneront en mode dégradé :

  • Copilot Cowork (nécessite Anthropic + Frontier).
  • Le mode Critique de Researcher (utilise Claude pour la vérification).
  • Agent Mode dans certaines applications (Word, Excel, PowerPoint).
  • Le sélecteur de modèle dans Copilot Chat (l’option « Claude Sonnet » disparaît).

NB : Si Anthropic est désactivé, les agents Copilot Studio qui l’utilisaient basculent automatiquement sur les modèles OpenAI (GPT-4o). Il n’y a pas d’interruption de service, juste un changement de modèle sous-jacent.

Ma recommandation pour les tenants EU :

  • Si vous êtes en phase d’exploration : activez Anthropic pour un groupe pilote via Frontier (Frontier est scopable même si Anthropic est tenant-wide, le résultat est que seuls les utilisateurs Frontier verront Claude dans le Chat).
  • Si vous êtes dans un secteur réglementé (finance, santé, public) : laissez Anthropic désactivé et attendez le scoping par groupe annoncé fin avril.
  • Documentez votre décision dans votre registre RGPD / DPIA, car l’activation d’Anthropic constitue un changement de sous-traitant avec transfert de données hors UE.

3. Le Flex Routing

Chemin : Copilot > Settings > Flexible inferencing during peak load periods

Comme détaillé dans l’article 1, le Flex Routing permet à Microsoft de router temporairement l’inférence LLM hors de l’EU Data Boundary en période de pic de charge.

Deux options :

  • Allow flex routing during periods of peak load : autorise le routage vers les USA, le Canada ou l’Australie en cas de pic. Les données restent chiffrées en transit et au repos.
  • Do not allow flex routing : l’inférence reste strictement dans l’EU Data Boundary, même en cas de pic (avec un risque potentiel de latence accrue).

État par défaut au 17 avril 2026 :

  • Tenants créés après le 25 mars 2026 : Flex Routing activé par défaut.
  • Tenants existants avant le 25 mars 2026 : vérifiez votre notification Message Center (MC1269223) pour connaître le défaut de votre tenant. Certains tenants EU rapportent que le Flex Routing est off par défaut et doit être activé manuellement, tandis que d’autres rapportent l’inverse.

Ma recommandation : Si votre organisation est soumise au RGPD, NIS2, DORA ou à des exigences sectorielles de résidence des données, désactivez le Flex Routing. Les modifications prennent effet dans un délai d’environ une semaine, donc agissez sans tarder si ce n’est pas déjà fait.

NB : Ce paramètre couvre Microsoft 365 Copilot et Copilot Chat. Il existe un paramètre séparé dans le Power Platform Admin Center pour Copilot dans Dynamics 365, Power Platform et Copilot Studio. Le paramètre du portail Power Plateform Admin Center (PPAC) respecte celui du portail M365 Admin Center sauf s’il est configuré de manière plus restrictive.

Gérer les agents depuis la section « Agents »

Voir l’inventaire des agents

Allez dans Agents > All agents pour voir la liste de tous les agents disponibles dans votre tenant. Vous y trouverez :

  • Les agents « Built by Microsoft » : les agents fournis par Microsoft (Researcher, Analyst, etc.). Ceux tagués « (Frontier) » ne sont visibles que pour les utilisateurs inscrits au programme Frontier.
  • Les agents créés par vos utilisateurs via Agent Builder : ils apparaissent ici dès qu’ils sont partagés au-delà de leur créateur.
  • À terme, les agents Copilot Studio et les agents provenant d’Agent 365 seront également visibles ici.

Déployer et épingler Cowork (ou un autre agent Frontier)

Si vous avez activé Frontier et Anthropic, vous pouvez déployer Copilot Cowork pour vos utilisateurs depuis cette section :

  1. Allez dans Agents (vous pourriez être invité à accepter des conditions de service).
  2. Recherchez Cowork dans la liste des agents disponibles.
  3. Vous pouvez déployer Cowork au nom des utilisateurs (ils n’auront pas besoin de l’installer eux-mêmes depuis l’Agent Store).
  4. Vous pouvez également épingler Cowork dans l’interface Copilot pour qu’il apparaisse par défaut dans la barre de navigation.

Si vous ne voyez pas Cowork dans la liste, vérifiez que :

  • Le programme Frontier est activé pour votre compte admin (Copilot > Settings > Copilot Frontier).
  • Anthropic est activé en tant que sous-traitant (Copilot > Settings > View All > AI providers).
  • Votre tenant dispose de licences Microsoft 365 Copilot actives.

Gérer les connecteurs user-level (MC1188234)

La notification MC1188234 annonce une nouveauté importante : la possibilité de gérer et déployer des connecteurs au niveau utilisateur directement depuis le M365 Admin Center. Jusqu’à présent, les connecteurs étaient exclusivement des objets tenant-wide. Cette évolution permet un déploiement plus granulaire.

« Nous introduisons des connecteurs fédérés Copilot dans Microsoft 365 Copilot, permettant aux utilisateurs de connecter en toute sécurité des applications externes telles que Notion, Canva ou Hubspot directement dans des expériences Copilot comme Researcher. Contrairement aux connecteurs indexés traditionnels, les connecteurs fédérés utilisent le protocole de contexte modèle (MCP) pour accéder aux données en temps réel. Cela permet aux utilisateurs de récupérer et de lire des informations provenant de sources connectées en utilisant leurs propres identifiants, tout en maintenant la visibilité, le contrôle et la gouvernance au niveau administrateur dans le centre d’administration Microsoft 365. »

Les rapports d’utilisation Copilot

Copilot > Billing & Usage

Cette section du portail M365 Admin Center fournit des métriques de base sur l’utilisation de Copilot dans votre organisation : nombre d’utilisateurs actifs, fonctionnalités les plus utilisées, tendances d’adoption.

MC1222978 annonce la disponibilité en Public Preview de l’export user-day pour les métriques du Copilot Dashboard. Cela permet d’exporter les données d’utilisation à la granularité utilisateur/jour, ce qui est précieux pour :

  • Justifier l’investissement Copilot auprès de la direction.
  • Identifier les utilisateurs les plus actifs (vos « champions » Copilot).
  • Détecter les licences sous-utilisées à réaffecter.

Agent Map Frontier

Agents > All agents > Map (Frontier) est un dashboard représentant une cartographie graphique de l’ensemble de vos agents. Une vue qui vous permet de suite de voir le nombre et le type d’agent que vous possédez dans votre Tenant M365.

Au-delà du M365 Admin Center : Les autres consoles

Comme évoqué dans la conclusion de l’article 1, le portail M365 Admin Center n’est qu’une pièce du puzzle. Voici un rappel des autres consoles que vous utiliserez au quotidien pour gérer vos agents et Copilot, avec les rôles nécessaires :

Power Platform Admin Center (admin.powerplatform.microsoft.com)

C’est ici que vous gérez les environnements Power Platform (où vivent les agents Copilot Studio), les crédits Copilot Studio (affectation, monitoring, limites par agent) et les billing plans pay-as-you-go.

Rôle requis : Power Platform Admin

Lien rapide depuis le M365 Admin Center : Copilot > Settings > Data access > Copilot in Power Platform and Dynamics 365 > « Go to the Power Platform admin center ».

Portail Entra ID (entra.microsoft.com)

C’est ici que vous gérez les identités des agents (App Registrations et la nouvelle section Agent ID en Preview), les permissions Microsoft Graph attribuées aux agents et le consentement admin.

Rôle requis : AI Admin (pour les permissions déléguées), Privileged Role Admin ou Global Admin (pour les permissions Application).

Portail Microsoft Purview (purview.microsoft.com)

C’est ici que vous configurez la sécurité des données en lien avec Copilot : politiques DLP, labels de sensibilité, rétention des interactions Copilot, eDiscovery.

Rôle requis : Compliance Admin (et des rôles Purview spécifiques pour certaines fonctionnalités comme Insider Risk Management).

NB : Les rôles Purview ne sont pas accessibles au Power Platform Admin ni à l’AI Administrator. Ce sont des rôles séparés qui doivent être attribués explicitement dans le portail Purview ou dans Entra.

Copilot Studio (copilotstudio.microsoft.com)

C’est l’interface de création et configuration des agents avancés. Les utilisateurs ayant une licence Copilot peuvent y créer des agents avancés avec des connecteurs vers d’autres sources de données et même y créer des Workflows.

Conclusion

On a couvert beaucoup de terrain dans cet article. Voici les points essentiels à retenir :

  • Le portail M365 Admin Center comporte deux sections distinctes pour Copilot : « Copilot » (paramètres, connecteurs, facturation) et « Agents » (inventaire, déploiement, outils).
  • Le rôle AI Administrator (mis à jour en mars 2026) permet de gérer l’essentiel de l’écosystème Copilot sans être Global Admin. Mais il ne couvre pas Power Platform (crédits, environnements) ni Purview (conformité).
  • Trois paramètres critiques sont à configurer en priorité dans Copilot > Settings :
    • Frontier : scopez l’accès à un groupe d’utilisateurs formés, ne l’ouvrez jamais en tenant-wide.
    • Anthropic : actuellement tenant-wide (on/off), scoping par groupe annoncé fin avril 2026. Les tenants EU sont off par défaut.
    • Flex Routing : désactivez-le si vous avez des exigences strictes de résidence des données dans l’UE.
  • L’attribution des licences peut se faire via l’interface graphique ou via PowerShell (Microsoft Graph). Privilégiez l’attribution basée sur les groupes Entra pour les déploiements à grande échelle.
  • Les rapports d’utilisation sont accessibles dans Copilot > Billing & Usage et dans le Copilot Dashboard de Viva Insights.

Dans le prochain article, on aborde un sujet que tout DSI et RSSI attend : la sécurité et la protection des données avec Microsoft Copilot. On y traitera en profondeur Microsoft Purview, les permissions SharePoint, la sécurité des connecteurs, la gouvernance des identités d’agents et l’encadrement de Cowork.

Liens utiles :

Article rédigé en Avril 2026. L’écosystème Microsoft Copilot évolue rapidement. Les chemins de navigation et paramètres décrits peuvent évoluer au fil des mises à jour de l’Admin Center.

Article précédent : [Licences Microsoft Copilot en 2026 : Le guide complet pour s’y retrouver] Article suivant : [Sécurité et Protection des Données avec Microsoft Copilot]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Verified by MonsterInsights