Combinez Copilot Studio avec Windows 365 pour Agent

Depuis l’annonce d’Opal, Microsoft a franchi une nouvelle étape vers des assistants capables de réfléchir et d’agir. Windows 365 pour Agent prolonge cette vision en offrant un PC cloud entièrement géré pour les agents IA : il exécute des tâches réelles au sein de Windows en toute sécurité. Ce nouvel article vous montre comment, pas à pas, créer un Computer‑Using Agent dans Microsoft Copilot Studio, connecter ce nouvel agent à un Cloud PC, puis le déclencher depuis un flux Power Automate.

Pour vous donner une première idée sur Opal, voici le lien sur mon premier article parlant justement d’Opal et de ses fonctionnalités.

Ensuite, beaucoup d’informations présentes dans cet article sont issues de la documentation Microsoft.

Qu’est-ce que Windows 365 pour Agent ?

Windows 365 pour les agents fait partie des nouveautés récemment annoncées par Microsoft :

Windows 365 pour les agents fournit une nouvelle classe de PC cloud pour l’utilisation de l’agent, basée sur la même plateforme Windows 365 qui alimente Windows 365 pour les entreprises. Au cœur de la plateforme se trouve le PC cloud, un bureau virtuel Windows ou Linux dans le cloud Microsoft.

Microsoft Learn

En d’autres termes, il s’agit de machines virtuelles Windows, ou Linux, dans le cloud, gérées via Microsoft, auxquelles des agents d’IA peuvent accéder pour effectuer des tâches complexes de façon autonome ou semi-autonome :

Pourquoi faire ?

Imaginez votre entreprise disposant de nombreux Cloud PCs prêts à effectuer des tâches administratives, comme la création de notes de frais ou autres ?

Imaginez ensuite que ces agents puissent être sollicités par des humains, d’autres agents ou encore des déclencheurs automatiques ?

Une fois en marche, l’agent sait exactement ce qu’il doit faire, il dispose d’un environnement sécurisé, potentiellement connecté à des ressources Cloud ou on-premise.

Il est même capable de solliciter l’intervention humaine si nécessaire :

Tout cela ….

Qu’est-ce qu’un pool de Cloud PCs ?

Le pool de cloud PC offre des machines virtuelles à vos agents Copilot Studio pour effectuer des tâches informatiques sans avoir à configurer et gérer des machines physiques. Si vous développez des agents qui doivent interagir avec des applications Windows (comme ouvrir des fichiers, utiliser des logiciels ou naviguer sur des sites web), un pool Cloud PC gère l’infrastructure pour vous.

Microsoft Learn

Actuellement, Microsoft permet d’évaluer le pool de PC cloud en autorisant la création de maximum de deux pools de PC cloud par tenant, sans avoir besoin d’un plan de facturation Windows 365 pour les agents dans votre environnement Power Platform.

L’utilisation du pool de PC cloud n’est pas facturable lorsqu’elle est déclenchée à partir d’une conversation de test intégrée, et chaque tenant dispose de 50 heures d’utilisation gratuite du pool de PC cloud pour l’agent publié s’exécutant de manière autonome.

Pourquoi utiliser un Computer‑Using Agent ?

Un Computer‑Using Agent (CUA) associe l’intelligence d’un agent Copilot avec la capacité d’exécuter des actions réelles sur un PC cloud. Il peut effectuer des tâches répétitives ou multi-étapes : extraire des informations d’un PDF, remplir un formulaire web, mettre à jour un fichier Excel, etc.

L’intérêt est de décharger l’utilisateur final des tâches manuelles tout en respectant les contrôles de sécurité (liste d’URL autorisées, authentification via Entra ID, suivi des actions).

Windows 365 pour Agent vs Power Automate Unattended RPA ?

Windows 365 pour Agent introduit un changement de paradigme : ce n’est plus le flow qui pilote l’exécution, mais un agent IA disposant d’un PC cloud complet.

• Automatisation agent-centric
• Capacité de raisonnement contextuel
• L’agent décide comment accomplir l’objectif, dans un cadre contrôlé

En opposition, Power Automate Unattended RPA était conçu pour exécuter des scénarios pré-définis, sans interaction humaine, sur une machine dédiée. Le flux décide quand et quoi exécuter, et le robot applique uniquement et exactement les étapes décrites.

Quels sont les prérequis pour Windows 365 pour Agent ?

Certains prérequis sont nécessaires pour profiter de ce service :

• Licences : une licence Microsoft 365 Copilot avec accès au programme Frontier et un abonnement Windows 365 Enterprise ou Business.
• Gestion de l’identité et des appareils : votre Cloud PC doit être joint à Entra ID et inscrit dans Intune (ou Configuration Manager) pour appliquer les stratégies de sécurité.
• Environnement Power Platform : un environnement Power Platform avec Dataverse pour héberger votre agent Copilot Studio.
• Power Automate Desktop : le machine runtime doit être installé sur le Cloud PC pour permettre l’automatisation de l’interface utilisateur.

Une fois ces prérequis atteints, la mise en place de ce nouveau type d’agent est très facile car elle passe par la plate-forme désormais très connue, Copilot Studio :

Quelles versions d’OS sont prises en charge ?

Les Cloud PC Windows 365 pour Agent sont disponibles sous Windows 11 et Linux.
Pour ce tutoriel, Windows 11 a été utilisé car les extensions du navigateur et Power Automate Desktop y sont pleinement supportées.

Comment la sécurité est-elle gérée ?

Le Cloud PC est isolé et rattaché à Entra ID, ce qui permet d’appliquer des politiques conditionnelles et de gestion des appareils via Intune.

Dans Power Automate, vous pouvez définir une liste d’URL autorisées pour limiter les sites que l’agent peut ouvrir. Les identifiants nécessaires aux actions (login Microsoft 365, mots de passe) sont stockés dans un coffre sécurisé :

Enfin, chaque exécution laisse une trace dans l’historique du Cloud PC et dans Copilot Studio › Activity, facilitant l’audit :

Combien coûte Windows 365 pour Agent ?

Durant la phase de préversion, l’utilisation d’un poste pour un agent Copilot est facturée cinq crédits Copilot.

Chaque exécution de l’utilisation de l’ordinateur s’appuie sur un modèle d’IA qui exécute une séquence d’étapes. Une étape peut impliquer une ou plusieurs actions de bas niveau (par exemple, cliquer, taper ou naviguer). Chaque étape consomme 5 crédits Copilot.

Microsoft propose un détail de la facturation via cet exemple :

Si vous configurez l’utilisation de l’ordinateur pour remplir un formulaire de feuille de temps en ligne, l’exécution peut effectuer les étapes suivantes :

• Lancer le navigateur et accéder au portail de la feuille de temps.
• Sélectionner Créer une nouvelle feuille de temps.
• Remplir les champs Heure de début, Heure de fin et Code de projet.
• Sélectionner le bouton Soumettre.

Dans cet exemple, l’utilisation de l’ordinateur exécute 4 étapes, consommant au total 20 crédits Copilot.

Puis‑je utiliser mon propre poste plutôt qu’un Cloud PC ?

Oui, lors de la configuration de l’outil Computer Use, vous pouvez choisir l’option Bring‑your‑own machine et installer le machine runtime sur un poste local.

C’est d’ailleurs ce que nous ferons dans l’Etape IIa :

Toutefois, l’utilisation d’un Cloud PC évite d’exposer votre machine de production et simplifie la gestion des permissions.

Comme pour les tests sur Opal, l’architecture repose sur trois entités :

• Copilot Studio : le cerveau qui orchestre l’agent, gère les prompts et déclenche les outils.
• Windows 365 pour Agent : le corps qui exécute les actions UI au travers du machine runtime.
• Power Automate : le déclencheur qui surveille un événement (arrivée d’e‑mail, webhook, etc.) et invoque l’agent avec les paramètres nécessaires.

Voici les différentes étapes de notre test :

• Etape 0 – Rappel des prérequis
• Etape I – Configuration Power Platform
• Etape IIa – Utilisation d’un PC personnel
• Etape IIb – Utilisation d’un Pool de Cloud PC
• Etape III – Configuration Entra
• Etape IV – Création de l’agent
• Etape V – Test de l’outil Computer‑Using Agent
• Etape VI – Test du déclenchement de l’agent

Ce test s’appuie sur la même base que l’exercice réalisé sur Opal. Ce nouvel exemple IA effectue les actions suivantes :

• La réception d’un e‑mail notifiant l’arrivée d’une nouvelle facture
• L’extraction des données d’un PDF
• La saisie automatique un formulaire web
• La saisie automatique un formulaire SharePoint
• La saisie automatique un feuille Excel

Etape 0 – Rappel des prérequis :

Avant de commencer, assurez‑vous d’avoir :

1. Un abonnement Windows 365 Enterprise
2. Une licence Microsoft 365 Copilot

Commençons par configurer un tout nouvel environnement sur Power Platform.

Etape I – Configuration Power Platform :

Ouvrez le Power Platform Admin Center, puis cliquez ici pour créer un nouvel environnement :

Choisissez un type d’environnement adapté : Sandbox ou Production, activez Dataverse (Sans Dataverse, Copilot Studio ne pourra pas créer d’agent), puis assurez‑vous que la région est compatible avec Windows 365 pour Agent :

Cliquez sur Sauvegarder, puis attendez que ce dernier soit créé :

Une fois le nouvel environnement prêt, vous pouvez y accéder depuis une URL dans la forme suivante :

https://copilotstudio.preview.microsoft.com/environments

Vous devriez alors pouvoir sélectionner le choix suivant car maintenant dégrisé :

Avant d’aller plus loin sur Copilot Studio, il est nécessaire de s’intéresser au poste que va utiliser l’agent pour effectuer les opérations.

Plusieurs choix s’offrent à vous :

• Navigateur hébergé
• Utiliser votre propre poste
• Pool PC Cloud

Les étapes IIa et IIb de cet article vous proposent de tester différentes alternatives.

Etape IIa – Utilisation d’un PC personnel :

Pour mes tests, j’ai décidé d’utiliser un Cloud PC Entreprise via Power Automate afin que ce dernier le considère comme une machine personnelle.

Si vous êtes dans le même cas que le mien, ouvrez une session Windows de votre Cloud PC :

Sur votre Cloud PC, ouvrez le portail de Power Automate, choisissez le bon environnement créé via Power Platform, puis allez dans vos machines :

Téléchargez le Power Automate machine runtime :

Installez‑le sur le Cloud PC :

Acceptez les conditions, puis démarrez l’installation :

Attendez quelques minutes la fin de l’installation :

Sélectionnez l’extension de navigateur (Edge, Chrome ou Firefox) selon votre usage :

Confirmez l’action d’installation :

Après cela, ouvrez l’application Power Automate machine runtime sur votre Cloud PC :

Connectez-vous avec vos identifiants Microsoft 365 :

Enregistrez la machine dans l’environnement Power Platform créé :

Attendez quelques minutes le message de succès de l’inscription de votre poste :

Dans la liste des machines doit figurer votre Cloud PC avec le statut Connecté :

L’option Computer use est pour le moment encore désactivée. Lisez attentivement l’avertissement : l’agent ne pourra accéder qu’aux sites autorisés et la machine sera contrôlée via l’interface utilisateur.

Si vous êtes d’accord, cliquez sur Activer pour confirmer :

Votre machine est maintenant prête à exécuter des instructions IA. Vous pouvez également configurer une liste d’URL autorisées (allowlist) pour restreindre les destinations.

À la place d’utiliser une machine personnelle, il est aussi possible d’utiliser un Pool de Cloud PC.

Etape IIb – Utilisation d’un Pool de Cloud PC :

Il est possible, durant cette phase de préversion, de tester la création d’un Cloud PC Pool, composé de machines virtuelles hébergées sur Azure.

Pour cela, rendez-vous dans la console d’administration de Power Platform afin d’autoriser Microsoft à créer des machines virtuelles aux US, potentiellement en dehors de votre région :

Ouvrez Copilot Studio, sélectionnez l’environnement créé, puis créez un nouvel agent comme ceci :

Ne renseignez rien, cliquez directement ici :

Cliquez ici pour créer un Pool de Cloud PCs :

Renseignez son nom, puis cliquez sur Créer :

La création du pool commence et déclenche également la création de deux Cloud PCs :

Environ 30 minutes plus tard, les Cloud PC dédiés à Copilot Studio sont correctement provisionnés :

Le Pool de Cloud PCs est visible dans la console de Power Automate :

Ces machines virtuelles provisionnées sont également visibles dans Intune :

Etape III – Configuration Entra :

Comme tous mes tests reposent sur des postes Windows 365, certains prérequis IT sont nécessaires pour assurer un bon fonctionnement :

• Un tenant Intune et Microsoft Entra valides
• Restrictions d’inscription des types d’appareils Intune configurées
• L’authentification Microsoft Entra pour RDP est activée
• Dialogue d’invite de consentement caché pour les groupes d’appareils cibles
• Principaux de service requis créés (Windows 365 et Azure Virtual Desktop)

Afin de masquer la boîte de dialogue en configurant la liste des hôtes Windows 365 approuvés, je crée un groupe dans Entra ID contenant les hôtes de session :

Autorisez Microsoft Entra dans l’authentification pour Windows sur le tenant via Azure Cloud Shell depuis le portail Azure :

Importez les deux modules Microsoft Graph suivants, puis connectez-vous avec le compte aux permissions appropriées :

Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Applications

Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"

Je récupère l’ID d’objet pour le principal du service Microsoft Remote Desktop :

$WCLspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id

Je modifie la propriété isRemoteDesktopProtocolEnabled sur True :

If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
    Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
}

Enfin, toujours dans la même session d’Azure Cloud Shell, j’ajoute l’ID de groupe à une propriété sur le principal du service SSO Microsoft Remote Desktop :

$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
$tdg.Id = "<Group object ID>"
$tdg.DisplayName = "<Group display name>"
New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg

Enfin, profitez-en pour exclur cette même application dans vos règles d’accès conditionnel Entra afin de ne pas bloquer votre Cloud PC avec un prompt de MFA :

Passons maintenant à la création de notre agent dans Copilot Studio.

Etape IV – Création de l’agent :

Si cela n’est pas déjà fait, ouvrez Copilot Studio, sélectionnez l’environnement créé, puis créez un nouvel agent :

Renseignez les informations suivantes :

• Nom de l’agent : Invoicing Agent
• Icône pour personnaliser l’avatar
• Description :

Automates a deterministic invoice-processing workflow using Computer Use. The agent always executes the Invoice Entry tool once per trigger and never retries or reasons.

Choisissez le modèle d’IA suivant :

Renseignez ensuite la description suivante, puis sauvegardez :

When the trigger fires : 
- Do not ask questions.
- Do not reply to the user.
- Do not request clarification.
- Ignore the email content completely.
- Do not interpret the email.
- Do not extract data from the email.
- Immediately execute the tool "Invoice Entry" exactly once

Importez des documents (PDF, Word, sites SharePoint) qui aideront l’agent à répondre aux questions. Si votre scénario est purement déterministe, cette section peut rester vide :

Pour lancer l’agent à la réception d’un e‑mail de facture, ajoutez-lui un déclencheur :

Recherchez et sélectionnez le déclencheur When a new email arrives in a shared mailbox (V2) :

Saisissez l’adresse de la boîte partagée (ex. Invoices‑inbox@contoso.com), puis cliquez sur Créer :

Dans Settings › Generative AI, activez l’orchestration générative si vous souhaitez que l’agent puisse raisonner :

Dans Topics, désactivez tous les sujets système pour éviter les réponses conversationnelles :

L’outil Computer Use est le cœur de notre agent car il décrit exactement ce que l’agent doit faire sur le PC. Cliquez alors ici pour le créer :

Dans les outils disponibles, choisissez Computer use :

Rédigez des étapes claires et impératives. Utilisez le vous pour s’adresser à l’agent afin d’être cohérent avec le style formel du blog. Voici plusieurs exemples simples proposés par Microsoft :

Scenario	Name	Description	Instructions
Invoice processing	Transfer and submit invoice details	Transfer invoice data from a PDF and submit it to another form.	1. Go to https://computerusedemos.blob.core.windows.net/web/Contoso/invoice-manager.html, set the Date filter to Last 24 hours, and open the invoice PDF. 2. In a new tab, open https://computerusedemos.blob.core.windows.net/web/Contoso/index.html and fill out the form with the data from that PDF. Submit the invoice form, no confirmation needed.
Data entry	Submit inventory items	Add products to the inventory system.	1. Go to https://computerusedemos.blob.core.windows.net/web/Adventure/index.html. 2. Submit a new entry for each of the following items: Rear Derailleur, RD-4821, 50, 42.75, Tailspin Toys Pedal Set, PD-1738, 80, 19.99, Northwind Traders Brake Lever, BL-2975, 35, 14.50, Trey Research Chainring Bolt Set, CB-6640, 100, 5.25, VanArsdel, Ltd. Bottom Bracket, BB-9320, 60, 24.90, Tailwind Traders
Data extraction	Look up portfolio manager and value	Get the manager name and value for a portfolio.	1. Go to https://computerusedemos.blob.core.windows.net/web/Portfolio/index.html. 2. Find the row for Fourth Coffee and record the Portfolio Manager name and the current Portfolio Value exactly as shown. 3. Return those two values as the final output.

Cliquez ensuite sur Ajouter :

Nommez votre outil, puis indiquez-lui une description :

Processes exactly one invoice only. Runs once per trigger. Must not repeat under any condition.

Choisissez Computer‑Using Agent (Preview) :

Selon votre cas (IIa ou IIb), sélectionnez Bring‑your‑own machine ou Cloud PC Pool :

Fournissez les identifiants nécessaires de votre utilisateur de test :

Cliquez sur Ajouter :

Créez une nouvelle connexion à votre PC :

Renseignez les identifiants de votre utilisateur de test :

Attendez la validation de la connexion :

Enregistrez l’outil afin de pouvoir effectuer un premier test.

Etape V – Test de l’outil Computer‑Using Agent :

Toujours sur Copilot Studio, cliquez sur Test pour lancer un test interactif :

Copilot Studio ouvre alors un écran du Cloud PC et exécute chaque étape en votre présence :

• Récupération de la dernière facture :

• Saisie de la facture dans le formulaire web :

• Saisie de la facture dans le formulaire Microsoft Office :

• Saisie de la facture dans la feuille Excel :

Quand le test est terminé, la mention suivante apparaît :

Tous les lancements de l’agent sont visibles et traçables dans l’onglet suivant :

Afin de vous faire une meilleure idée du processus complet, voici un enregistrement accéléré de toutes les étapes :

Passons maintenant au dernier test incluant le test du déclencheur de notre agent via l’envoi d’un e-mail vide à l’adresse de messagerie partagée.

Etape VI – Test du déclenchement de l’agent :

Commencez par cliquer sur Publier dans l’en‑tête de l’agent pour le rendre disponible. Les utilisateurs autorisés pourront ainsi déclencher l’agent en lui envoyant un e‑mail ou via une commande spécifique :

Envoyez un e‑mail de test à la boîte partagée :

Dans les activités de Copilot Studio, observez une ligne indiquant que le déclencheur a été détecté :

Cliquez dessus pour ouvrir la vue détaillée de chaque action générant une copie d’écran :

La dernière copie d’écran nous indique la feuille Excel, preuve que le traitement a pu aller jusqu’au bout :

Conclusion

Windows 365 pour Agent marque une évolution importante dans la façon dont nous concevons l’automatisation : on ne parle plus simplement d’exécuter un scénario figé, mais de fournir à un agent IA un environnement Windows complet, sécurisé et gouverné, capable d’agir dans des interfaces qui n’exposent aucune API.

Dans cet article, nous avons volontairement construit un scénario déterministe afin de démontrer que cette approche n’est pas réservée aux cas d’usage “expérimentaux”. Lorsqu’il est correctement cadré, un Computer-Using Agent peut s’intégrer dans un SI existant tout en respectant les exigences de sécurité, de traçabilité et de gouvernance attendues en entreprise.

Cette solution reste toutefois en préversion. Elle implique une réflexion approfondie sur les coûts, la disponibilité régionale et la gestion des identités, et ne remplace pas les automatisations API-first ou les scénarios RPA classiques lorsqu’ils sont plus adaptés.

Windows 365 pour Agent ouvre cependant une voie nouvelle : celle d’agents capables d’opérer dans des environnements hérités ou fermés, là où aucune intégration moderne n’est possible. C’est probablement dans ces zones “grises” du système d’information que cette technologie prendra tout son sens.