1. Livres & vidéos
  2. Microsoft Copilot Studio
  3. Personnalisation avancée des copilotes d’entreprise
Extrait - Microsoft Copilot Studio Développement, gouvernance et sécurité de vos assistants intelligents
Extraits du livre
Microsoft Copilot Studio Développement, gouvernance et sécurité de vos assistants intelligents Revenir à la page d'achat du livre

Personnalisation avancée des copilotes d’entreprise

Objectifs du chapitre

Ce chapitre approfondit les techniques de personnalisation avancée pour adapter Microsoft Copilot Studio aux besoins complexes des organisations. Nous aborderons l’ajustement des modèles génératifs, le développement de connecteurs sur mesure, l’optimisation des performances et la sécurisation des déploiements à grande échelle.

Personnalisation des modèles de langage avec Azure OpenAI : Intégration d’Azure OpenAI Studio

Cette section guide les administrateurs IT dans l’intégration avancée d’Azure OpenAI avec Microsoft Copilot Studio. Elle couvre l’ensemble des étapes techniques, de la création de la ressource Cognitive Services à l’utilisation de modèles personnalisés GPT-4, en respectant les bonnes pratiques de gouvernance, sécurité et supervision.

Prérequis techniques

Avant de procéder, assurez-vous que les éléments suivants sont en place :

  • abonnement Azure actif avec les droits nécessaires ;

  • rôle Cognitive Services OpenAI Contributor minimum sur le compte Azure ;

  • PowerShell (Windows ou PowerShell Core) avec le module Az :

images/06EI01.png

  • Python 3.8+ installé avec les bibliothèques OpenAI, requests, pandas, etc. ;

  • accès à Azure AI Studio ou Azure AI Foundry pour la gestion graphique.

1. Étapes techniques d’intégration

Connexion à Azure Active Directory

Ouvrir une session PowerShell et s’authentifier :

images/06EI02.png

Permet d’initier une session sécurisée avec les identifiants Azure Active Directory de l’administrateur.

Création d’un groupe de ressources

images/06EI03.png

Le groupe de ressources permet d’organiser les assets liés à Copilot, simplifiant la gestion et la supervision des coûts.

Enregistrement du fournisseur OpenAI

images/06EI04.png

L’activation des capacités OpenAI au sein d’un abonnement Azure est une opération préalable indispensable, qui ne doit être réalisée qu’une seule fois par abonnement.

Création de la ressource Cognitive Services (OpenAI)

images/06EI05.png

Voici des recommandations à suivre :

  • Le SKU S0 est recommandé lorsqu’il s’agit de cas d’usage en production, car il offre un niveau de service...

Développement de connecteurs d’entreprise : architecture des connecteurs personnalisés

Les connecteurs personnalisés sont essentiels pour interfacer Copilot Studio avec les systèmes d’information internes ou partenaires. Pour garantir robustesse, sécurité et conformité, l’administrateur IT doit suivre des pratiques avancées lors de la conception, du déploiement et de la maintenance de ces connecteurs.

Prérequis techniques et de sécurité

Avant de débuter, assurez-vous de disposer des éléments suivants :

Élément requis

Description technique

Rôle Azure

Rôle "Administrateur d’application" ou "Propriétaire" sur le groupe de ressources cible.

Accès Entra ID (Azure AD)

Gestion des identités applicatives, secrets, certificats, et inscription des apps.

Connaissances en sécurité web

Maîtrise de OAuth 2.0, JWT, gestion des scopes, CORS, et protection contre les injections.

API Management (optionnel mais recommandé)

Pour centraliser, filtrer, journaliser et sécuriser les appels API utilisés par les connecteurs.

1. Enregistrement de l’application dans Azure AD

Étapes du processus

Créer l’application dans Azure AD

 Donnez-lui un nom clair (ex. : CopilotConnecteurFinances).

 Sélectionnez le type d’application adapté à votre scénario, en privilégiant le flux d’authentification « Client credentials » pour les intégrations serveur à serveur (backend, automatisation).

Configurer l’authentification OAuth2

 Privilégiez l’utilisation de certificats pour l’authentification de l’application, car ils offrent une sécurité renforcée et une meilleure gestion du cycle de vie par rapport aux secrets partagés. Si l’usage d’un secret est inévitable, limitez sa durée de validité et stockez-le dans un coffre-fort sécurisé (ex. : Azure Key Vault).

 Définissez précisément les scopes d’accès requis côté API backend. Appliquez strictement le principe du moindre privilège : n’accordez que les droits nécessaires au fonctionnement de l’application.

Restreindre les permissions...

Personnalisation de l’expérience utilisateur : adaptive Cards avancées

Les Adaptive Cards sont des composants visuels dynamiques qui permettent à Microsoft Copilot Studio d’interagir de manière intuitive et directe avec les utilisateurs, dans un cadre sécurisé et maîtrisé. Elles sont particulièrement utiles pour afficher des informations, recueillir des décisions (approbation, validation RH, support technique) ou démarrer des processus métier automatisés dans Microsoft Teams, Outlook, ou Power Platform Portals.

1. Choix du modèle de carte et personnalisation

Concevoir des interfaces adaptatives et responsives qui s’intègrent aux outils Microsoft 365 pour améliorer la fluidité des processus sans sortir de l’environnement de travail quotidien de l’utilisateur.

Étapes de conception recommandées

Sélection du modèle de carte selon le cas d’usage

  • Listes ou résumés dynamiques : utilisez le modèle FactSet pour présenter des lignes de données structurées (soldes de congés, tickets ouverts).

  • Formulaires avec validation utilisateur : préférez le type Input.Form avec des composants Input.ChoiceSet, Input.Text ou Input.Date.

  • Workflow d’approbation : modèle ActionSet avec boutons Action.Submit pour intégrer une logique métier (ex. : approuver ou rejeter une demande).

  • Alertes ou messages contextuels : utilisez TextBlock + Image pour notifier sans requérir d’interaction.

Utilisation du Designer officiel

  • Accédez à l’outil Adaptive Cards Designer proposé par Microsoft.

  • Sélectionnez le “host app” cible (Teams, Outlook, Webchat…) pour une prévisualisation contextuelle.

  • Ajoutez des composants via l’interface graphique et récupérez le JSON généré prêt à intégrer dans Power Automate ou Copilot Studio.

  • Validez systématiquement la compatibilité des versions (v1.4 recommandé pour Teams).

  • Variables dynamiques : intégrez des champs comme...

Gestion des contextes multisessions : persistance des variables cross-canaux

La gestion du contexte conversationnel et la persistance des données utilisateur sont indispensables pour assurer la continuité des échanges entre un agent Copilot et un utilisateur, quelle que soit la plateforme (Teams, Outlook, navigateur). Cette section fournit aux administrateurs IT les bonnes pratiques pour orchestrer l’architecture, la sécurité et l’optimisation des sessions utilisateur en environnement Microsoft 365.

1. Architecture de persistance avec Azure Cosmos DB

Permettre à un agent Copilot de conserver et restaurer le contexte conversationnel entre plusieurs sessions ou canaux (Teams, Outlook, Web), tout en garantissant la performance, la sécurité et la conformité des données stockées.

Modèle de persistance recommandé

  • Utilisez Azure Cosmos DB, base de données NoSQL orientée document, pour centraliser les données de session.

  • Chaque utilisateur possède un document unique dans le conteneur UserSessions, incluant les variables de session, les étapes métier et les métadonnées de workflow.

Exemple de définition avec Entity Framework :

images/06EI14.png

Cette configuration applique une suppression automatique des documents de session inactifs après 30 jours, limitant l’encombrement et les coûts.

Intégration technique

Utilisez Entity Framework Core avec le fournisseur Cosmos pour une intégration fluide dans une application .NET utilisée par Copilot via un connecteur personnalisé.

Exemple de classe C# avec configuration TTL :

images/06EI15.png

Bonnes pratiques

  • Clé de partition optimale : utilisez userId comme clé de partition pour garantir la répartition équitable des charges et accélérer les requêtes.

  • Client Cosmos partagé : implémentez un CosmosClient singleton dans votre application backend pour éviter la surcharge réseau et optimiser la gestion des connexions.

  • Conformité et sécurité :

  • Activez le chiffrement au repos et en transit.

  • Stockez les clés d’accès Cosmos DB dans Azure Key Vault.

  • Limitez les rôles d’accès via RBAC Azure au strict nécessaire.

  • Nettoyage automatique :

  • Utilisez l’option Time-to-Live (TTL) native pour...

Optimisation des performances

Cette section fournit une méthodologie complète à destination des administrateurs IT pour optimiser les performances des agents Copilot Studio à l’échelle de l’entreprise.

Il détaille l’architecture du cache hiérarchique, les bonnes pratiques de configuration, la supervision proactive et les points de vigilance essentiels pour garantir à la fois réactivité, fiabilité et maîtrise des coûts.

1. Architecture du cache hiérarchique

Optimiser les performances et la résilience des agents Microsoft Copilot Studio en structurant une architecture de caching en deux niveaux, adaptée aux usages critiques comme à la diffusion de contenus à large échelle. Cette approche permet de garantir une réponse rapide et fiable, même sous forte charge ou en cas de dégradation des services en aval.

Principe d’architecture

La stratégie de cache repose sur une hiérarchisation fonctionnelle, selon la volatilité et la fréquence d’accès aux données :

Niveau

Technologie

Contenu ciblé

Durée de vie (TTL)

Capacité recommandée

L1

Azure Redis Cache

Requêtes dynamiques à haute fréquence : contextes utilisateur, résultats d’API métier

60 secondes

1 Go

L2

Azure CDN (Content Delivery Network)

Données statiques, peu volatiles : ressources visuelles, métadonnées, documents publics

24 heures

10 To

Détails techniques

Azure Redis (L1)

  • Stockage en mémoire haute performance.

  • Pattern cache-aside avec fallback vers Cosmos DB ou API backend.

  • TTL court pour éviter les incohérences sur des données sensibles (session, soldes RH, etc.).

Azure CDN (L2)

  • Réplication automatique des contenus à l’échelle mondiale.

  • Accès direct via HTTP(S) avec en-tête Cache-Control configuré.

  • Déclenchement de purge contrôlé via API REST CDN en cas de mise à jour.

Bénéfices clés

Amélioration des performances

  • Temps de réponse moyen < 200 ms sur les appels récurrents.

  • Réduction de la latence perçue dans Teams, Outlook ou portail intranet.

Réduction de la charge backend

  • Diminution significative des lectures sur Cosmos...

Sécurité avancée : audit des permissions avec Microsoft Graph

Cette section guide les administrateurs IT dans la mise en place d’un audit quotidien automatisé des permissions et activités critiques au sein de l’écosystème Microsoft 365, en s’appuyant sur Microsoft Graph. L’objectif est d’assurer une gouvernance fine, une traçabilité rigoureuse et une capacité de détection proactive des comportements à risque.

1. Prérequis techniques et droits nécessaires

Élément requis

Analyse et justification

Licence Entra ID P1/P2

Nécessaire pour activer les journaux d’audit avancés dans Microsoft Graph et Microsoft Purview.

Rôles requis

Les rôles comme Global Administrator ou Security Readersont nécessaires pour accéder aux données sensibles.

Environnement Azure

Les logs doivent être centralisés via Log Analytics, Event Hubs, ou Azure Storage pour permettre une supervision efficace.

Scopes Graph à approuver

AuditLog.Read.All, AuditLogsQuery.Read.All : prérequis impératifs pour interroger les logs. Depuis 2025, l’approbation doit se faire via PowerShell ou API, non plus par l’interface graphique - une évolution à anticiper sérieusement.

Bonnes pratiques

  • Prévoir une politique stricte de contrôle d’accès aux logs d’audit.

  • Intégrer ces prérequis dans la documentation de sécurité de l’entreprise.

2. Exemple de script PowerShell d’audit quotidien

Surveillance avancée et requêtes KQL (Log Analytics)

L’automatisation de l’audit quotidien des environnements Microsoft 365 ou Azure est essentielle pour garantir la conformité, la sécurité et la traçabilité des activités. Grâce à PowerShell et à l’intégration avec Log Analytics, il est possible de centraliser la collecte, l’analyse et l’archivage des événements critiques. 

Explications et étapes clés

  • Connexion sécurisée à Microsoft Graph ou Log Analytics avec le scope d’audit. Utilisez une authentification moderne (OAuth2) et limitez les permissions au strict nécessaire pour renforcer la sécurité lors de l’extraction...

Intégrations cross-cloud : orchestration hybride (Azure ↔ AWS)

Permettre aux administrateurs IT de piloter des workflows répartis entre Azure et AWS, avec robustesse, traçabilité et conformité.

1. Cas d’usage et architecture recommandée

Permettre l’orchestration fluide de processus métiers impliquant plusieurs fournisseurs cloud, en garantissant l’interopérabilité, la sécurité et la résilience. Cette approche est essentielle pour les entreprises adoptant une stratégie multi-cloud ou disposant d’applications métiers réparties entre Azure, AWS ou d’autres plateformes.

Cas d’usage typiques intercloud

Les scénarios suivants justifient une architecture interopérable entre Microsoft Copilot Studio et des systèmes tiers (ex. : AWS, GCP) :

  • Synchronisation d’inventaire : mise à jour en temps réel de données produit entre un entrepôt connecté en Azure et un back-office logistique hébergé sur AWS.

  • Traitement de données enrichies : collecte de données clients depuis Azure, enrichissement via un service IA hébergé sur AWS, restitution dans Power BI.

  • Déclenchement d’opérations métier : validation RH via Copilot Studio déclenchant un workflow de paie dans un service tiers (SAP, ServiceNow) sur un autre cloud.

Architecture modulaire recommandée

Afin de garantir une architecture maintenable, évolutive et sécurisée, Microsoft recommande une approche modulaire interopérant via des API standardisées et des middlewares robustes.

Composant

Rôle

Technologie recommandée

Front-end conversationnel

Interface utilisateur via Copilot Studio

Microsoft Teams, Outlook

Orchestration Azure

Contrôle des séquences métier côté Microsoft

Power Automate, Logic Apps, Azure Functions

Traitement AWS

Exécution d’actions métiers spécifiques dans AWS

AWS Lambda, Step Functions

Couche d’intégration

Pont sécurisé entre clouds

API Management (Azure ou AWS), Azure Service Bus, REST sécurisées

Supervision

Centralisation et traçabilité

Azure Monitor, CloudWatch, SIEM interopérable (Sentinel, Splunk)

Bonnes pratiques d’implémentation...

Monitoring prédictif

Le monitoring prédictif vise à doter l’administrateur IT d’un système de supervision temps réel et analytique, s’appuyant sur Azure Synapse Analytics et Power BI. Il permet de piloter la performance, d’anticiper les dégradations de service et d’assurer une conformité opérationnelle dans l’usage des agents Copilot.

1. Architecture de supervision

Collecte et stockage des données de télémétrie

La base du monitoring prédictif repose sur une collecte structurée des événements clés déclenchés par les agents Copilot :

  • Données capturées : identifiant utilisateur, horodatage, canal d’accès (Teams, Outlook…), durée d’interaction, succès/échec du traitement, runId, type de flux déclenché.

  • Stockage : une table nommée copilot_telemetry est créée dans un workspace Azure Synapse Analytics dédié.

  • Alimentation :

  • Temps réel : via Power Automate (sorties de flux), ou Logic Apps déclenchant des pipelines Synapse.

  • Batch haute fréquence : via Azure Data Factory pour les scénarios volumineux.

Bonnes pratiques IT

  • Séparez les jeux de données bruts (raw) des données transformées (refined) via des schémas Synapse distincts.

  • Intégrez un horodatage UTC standardisé pour faciliter les corrélations intersources. 

Chaînage analytique vers Power BI

L’exposition des données de supervision se fait par un modèle d’analyse connecté à Synapse :

  • Mode d’accès :

  • DirectQuery recommandé pour les tableaux de bord temps réel.

  • Import incrémental pour les historiques lourds (plus de 10 millions de lignes).

  • Modèle en étoile structuré :

  • Table de faits telemetry_facts

  • Dimensions users, channels, agents, flow_types

  • Sécurisation des accès :

  • Application de la Row-Level Security (RLS) pour restreindre la visibilité des données sensibles.

  • Masquage dynamique des champs sensibles pour les utilisateurs non autorisés (ex. : noms, emails).

Exemple d’alerte métier

  • Temps de réponse moyen supérieur à 2 secondes -->...