ANAVEM
FrancaisEnglish
ANAVEM
Référence
Languageen
Comment déployer Microsoft 365 Copilot AI avec des politiques de sécurité personnalisées

Comment déployer Microsoft 365 Copilot AI avec des politiques de sécurité personnalisées

Déployez Microsoft 365 Copilot avec des politiques de sécurité personnalisées via Microsoft Purview, l'accès conditionnel et la prévention des pertes de données pour répondre aux exigences de conformité en entreprise.

Emanuel DE ALMEIDA
3/13/2026 15 min 0
mediummicrosoft-365 6 étapes 15 min

Vue d'ensemble : Déployer Microsoft 365 Copilot avec des politiques de sécurité personnalisées

Microsoft 365 Copilot intègre des capacités d'IA dans les applications Microsoft 365 et nécessite une configuration de sécurité de niveau entreprise pour satisfaire aux exigences de conformité. Ce guide couvre le déploiement de Copilot avec des politiques de sécurité personnalisées via Microsoft Purview, l'accès conditionnel Entra ID et Microsoft Defender for Cloud Apps.

Avant le déploiement, assurez-vous que tous les utilisateurs disposent de boîtes aux lettres Exchange Online, de licences Microsoft 365 E3/E5 ou du module complémentaire Copilot, et que la journalisation d'audit est activée dans votre tenant. Les contrôles de sécurité clés incluent les stratégies d'étiquettes de confidentialité dans Microsoft Purview pour empêcher Copilot de traiter des données confidentielles, les politiques d'accès conditionnel pour imposer l'accès depuis des appareils conformes, et les stratégies DLP pour prévenir l'exfiltration de données via les réponses générées par l'IA.

Conseil : Utilisez le tableau de bord Microsoft Copilot dans Viva Insights pour surveiller l'adoption et auditez les journaux d'activité Copilot dans Microsoft Purview Audit pour les rapports de conformité.

Guide de mise en oeuvre

Procédure complète

01

Vérifier les prérequis et les exigences de licence

Commencez par confirmer que votre environnement répond à toutes les exigences techniques. Microsoft 365 Copilot nécessite des boîtes aux lettres Exchange Online et ne fonctionnera pas avec des configurations sur site ou hybrides.

Connect-MsolService
Get-Mailbox -Identity user@yourdomain.com | Select-Object PrimarySmtpAddress, Database

La sortie doit montrer une base de données Exchange Online. Si vous voyez des serveurs sur site, migrez d'abord ces boîtes aux lettres.

Vérifiez votre statut de licence actuel :

Get-MsolAccountSku | Where-Object {$_.AccountSkuId -like "*COPILOT*" -or $_.AccountSkuId -like "*E7*"}

Pour le nouveau niveau E7 lancé en mars 2026, vérifiez que vous avez la licence Frontier Suite qui inclut Copilot et Agent 365 par défaut.

Astuce pro : Utilisez le centre d'administration Microsoft 365 sur admin.microsoft.com pour obtenir un aperçu visuel de vos licences avant de plonger dans les commandes PowerShell.
02

Configurer les exigences réseau et les paramètres du navigateur

Copilot nécessite que des points de terminaison réseau spécifiques soient accessibles. Configurez votre pare-feu pour autoriser ces points de terminaison Microsoft 365 Copilot :

# Ajoutez ces domaines à la liste blanche de votre pare-feu
*.copilot.microsoft.com
*.bing.com
*.openai.azure.com
graph.microsoft.com
login.microsoftonline.com

Pour les environnements d'entreprise, déployez les paramètres du navigateur via la stratégie de groupe. Créez un nouveau GPO avec ces paramètres :




  https://*.microsoft.com
  https://*.office.com

Testez la connectivité réseau depuis une machine cliente :

Test-NetConnection -ComputerName copilot.microsoft.com -Port 443
Test-NetConnection -ComputerName graph.microsoft.com -Port 443

Les deux tests doivent retourner "TcpTestSucceeded: True".

Avertissement : Bloquer les cookies tiers désactivera complètement la fonctionnalité de Copilot. De nombreuses organisations ne le découvrent qu'après le déploiement.
03

Configurer les politiques de gouvernance des données et de Purview

Accédez au portail de conformité Microsoft Purview pour établir la gouvernance des données avant d'activer Copilot. Cela empêche les données sensibles d'être traitées par l'IA de manière involontaire.

Créez des étiquettes de sensibilité pour la classification des données Copilot :

  1. Allez sur compliance.microsoft.com > Protection des informations > Étiquettes
  2. Cliquez sur "Créer une étiquette" et configurez :
{
  "name": "Copilot-Restricted",
  "description": "Données non adaptées au traitement par l'IA",
  "settings": {
    "encryption": true,
    "contentMarking": true,
    "copilotAccess": "blocked"
  }
}

Configurez des politiques de rétention spécifiquement pour le contenu généré par Copilot :

  1. Accédez à Gestion du cycle de vie des données > Microsoft 365 > Politiques de rétention
  2. Créez une nouvelle politique ciblant "Interactions Microsoft 365 Copilot"
  3. Définissez la période de rétention pour correspondre à vos exigences de conformité (généralement 7 ans pour les données financières)

Vérifiez que vos politiques sont actives :

Connect-IPPSSession
Get-RetentionCompliancePolicy | Where-Object {$_.Name -like "*Copilot*"}

La commande devrait retourner vos nouvelles politiques de rétention Copilot.

Astuce pro : Commencez avec des politiques restrictives et détendez-les progressivement. Il est plus facile d'accorder l'accès que de le révoquer après un incident de données.
04

Configurer les contrôles d'accès utilisateur avec l'accès conditionnel

Implémentez des contrôles d'accès granulaires en utilisant les politiques d'accès conditionnel de Microsoft Entra ID. Accédez à entra.microsoft.com > Protection > Accès conditionnel.

Créez une politique spécifique à Copilot :

  1. Cliquez sur "Nouvelle politique" et nommez-la "Contrôle d'accès Microsoft 365 Copilot"
  2. Sous Assignations > Applications cloud, sélectionnez "Microsoft 365 Copilot"
  3. Configurez les conditions en fonction de vos exigences de sécurité :
{
  "conditions": {
    "signInRisk": "medium",
    "devicePlatforms": ["windows", "macOS"],
    "locations": "trusted_locations_only",
    "clientApps": "browser_and_mobile_apps"
  },
  "grantControls": {
    "requireMFA": true,
    "requireCompliantDevice": true,
    "requireApprovedApp": true
  }
}

Pour les clients E7, configurez les politiques de gouvernance d'Agent 365. Accédez au portail Agent 365 via le centre d'administration Microsoft 365 :

# Enregistrez un agent personnalisé avec des contrôles de gouvernance
New-Agent365Registration -Name "CustomSalesAgent" -Type "ThirdParty" -SecurityLevel "High" -DataAccess "SalesDataOnly"

Testez la politique d'accès conditionnel en vous connectant en tant qu'utilisateur test :

Connect-AzureAD
Get-AzureADPolicy -Type "ConditionalAccessPolicy" | Where-Object {$_.DisplayName -like "*Copilot*"}
Avertissement : Testez toujours les politiques d'accès conditionnel avec un groupe pilote d'abord. Des politiques trop restrictives peuvent bloquer des utilisateurs légitimes, y compris les administrateurs.
05

Mettre en œuvre une stratégie de déploiement par phases

Déployez Copilot progressivement pour minimiser les risques et recueillir des retours. Commencez avec un groupe pilote de 10 à 20 utilisateurs de différents départements.

Créez des groupes de sécurité pour un déploiement par phases :

Connect-AzureAD
New-AzureADGroup -DisplayName "Copilot-Pilot-Wave1" -MailEnabled $false -SecurityEnabled $true -MailNickName "CopilotPilot1"
New-AzureADGroup -DisplayName "Copilot-Pilot-Wave2" -MailEnabled $false -SecurityEnabled $true -MailNickName "CopilotPilot2"

Ajoutez les utilisateurs pilotes au groupe de la première vague :

$pilotUsers = @("user1@yourdomain.com", "user2@yourdomain.com", "user3@yourdomain.com")
$groupId = (Get-AzureADGroup -Filter "DisplayName eq 'Copilot-Pilot-Wave1'").ObjectId

foreach ($user in $pilotUsers) {
    $userId = (Get-AzureADUser -Filter "UserPrincipalName eq '$user'").ObjectId
    Add-AzureADGroupMember -ObjectId $groupId -RefObjectId $userId
}

Configurez les paramètres de Copilot dans le centre d'administration Microsoft 365 :

  1. Accédez à Paramètres > Paramètres de l'organisation > Microsoft 365 Copilot
  2. Activez "Autoriser Copilot dans les applications Microsoft 365"
  3. Sous "Accès utilisateur", sélectionnez "Groupes spécifiques" et ajoutez votre groupe pilote
  4. Configurez les paramètres de mise à la terre des données sur "Données de l'utilisateur actuel uniquement"

Vérifiez que les utilisateurs pilotes peuvent accéder à Copilot :

Get-MsolUser -UserPrincipalName "pilot-user@yourdomain.com" | Select-Object Licenses

La sortie doit montrer la licence Copilot attribuée et active.

Astuce pro : Planifiez des sessions de retour d'expérience hebdomadaires avec les utilisateurs pilotes. Leurs modèles d'utilisation réels révéleront des problèmes de configuration que vous pourriez manquer lors des tests.
06

Configurer la surveillance et le rapport de conformité

Configurez une surveillance complète pour suivre l'utilisation de Copilot et assurer la conformité avec les politiques de votre organisation. Accédez à la section des rapports du centre d'administration Microsoft 365.

Activez l'analyse de l'utilisation de Copilot :

  1. Allez dans Rapports > Utilisation > Microsoft 365 Copilot
  2. Configurez la livraison automatisée des rapports à l'équipe de conformité
  3. Configurez des alertes pour les modèles d'utilisation inhabituels

Créez des requêtes de conformité personnalisées en utilisant PowerShell :

Connect-ExchangeOnline
# Rechercher les interactions de Copilot avec des données sensibles
New-ComplianceSearch -Name "CopilotSensitiveDataAudit" -ContentMatchQuery "(Copilot AND (SSN OR "Credit Card" OR "Confidential"))" -ExchangeLocation All

Configurez une surveillance en temps réel avec Microsoft Purview Audit :

Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-1) -EndDate (Get-Date) -Operations "CopilotInteraction" -ResultSize 1000 | Export-Csv "CopilotAuditLog.csv"

Pour les clients E7, configurez la surveillance de conformité Agent 365 :

# Surveiller les activités d'agent personnalisées
Get-Agent365AuditLog -AgentType "Custom" -TimeRange "Last24Hours" | Where-Object {$_.RiskLevel -eq "High"}

Créez des rapports de conformité automatisés :

$report = @{
    "TotalCopilotUsers" = (Get-MsolUser | Where-Object {$_.Licenses.AccountSkuId -like "*COPILOT*"}).Count
    "SensitiveDataInteractions" = (Search-UnifiedAuditLog -Operations "CopilotSensitiveData" -StartDate (Get-Date).AddDays(-7)).Count
    "PolicyViolations" = (Get-ComplianceAlert | Where-Object {$_.Category -eq "Copilot"}).Count
}
$report | ConvertTo-Json | Out-File "WeeklyCopilotCompliance.json"
Avertissement : La rétention des journaux d'audit varie selon le type de licence. E7 offre une rétention prolongée, mais les niveaux inférieurs peuvent ne conserver les journaux que pendant 90 jours. Planifiez votre stratégie de conformité en conséquence.

Questions Fréquentes

What's the difference between Microsoft 365 E7 and adding Copilot to E5?+
Microsoft 365 E7 Frontier Suite launched in March 2026 at $99/user/month includes Copilot AI and Agent 365 by default, while E5 + Copilot add-on costs around $87/month but lacks Agent 365 governance features. E7 also provides 10-year audit retention versus 1 year for E5, making it better for compliance-heavy organizations.
Can Microsoft 365 Copilot work with on-premises Exchange servers?+
No, Microsoft 365 Copilot requires Exchange Online mailboxes and cannot access data from on-premises or hybrid Exchange configurations. All users must have their primary mailbox in Exchange Online for Copilot's data grounding capabilities to function properly. Organizations with hybrid setups need to migrate mailboxes to Exchange Online first.
How long does it take for Copilot licenses to activate after assignment?+
Copilot license activation typically takes 24-48 hours after assignment in the Microsoft 365 admin center. During this period, users may see the Copilot interface but receive errors when trying to use AI features. You can verify activation status using Get-MsolUser PowerShell commands to check license status.
What happens if my firewall blocks Copilot endpoints?+
Blocking required Copilot endpoints like *.copilot.microsoft.com or *.openai.azure.com will cause timeouts and prevent AI functionality from working. Users will see connection errors or infinite loading states. You must whitelist all Microsoft 365 Copilot endpoints in your firewall configuration and ensure third-party cookies are enabled in browsers.
How do I prevent Copilot from accessing sensitive documents?+
Use Microsoft Purview sensitivity labels to mark documents as "Copilot-Restricted" which blocks AI access. Create retention policies specifically for Copilot interactions, and configure conditional access policies to limit which users can access Copilot based on device compliance, location, and risk level. Start with restrictive policies and gradually expand access.
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#microsoft-365#copilote#sécurité d'entreprise

Intelligence Complémentaire

Approfondissez vos connaissances

Comment dépanner et résoudre les problèmes de synchronisation d'Outlook Desktop en 2026
tutorial
Microsoft 365

Comment dépanner et résoudre les problèmes de synchronisation d'Outlook Desktop en 2026

Explorer
Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)
tutorial
Windows

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)

Explorer
Supprimer l'icône météo de la barre des tâches de Windows 11 via Microsoft Intune
tutorial
Cloud Computing

Supprimer l'icône météo de la barre des tâches de Windows 11 via Microsoft Intune

Explorer

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...