Étiquette : CSP

Configurez Copilot Cowork en CSP

Vous administrez un tenant Microsoft 365, Copilot Cowork vient de passer en GA, et vous voulez faire les choses bien : poser une spending policy pour cadrer la dépense avant d’ouvrir les vannes. Sauf que votre tenant est onboardé dans le programme CSP, et là, sur la page Cost management, votre compte Global Admin se prend une bannière « managed by your solution provider » en pleine figure.

Tableau de bord Cost management des Copilot Credits dans le centre d'administration Microsoft 365

On part d’un Global Admin permanent qui devrait tout pouvoir, et on déroule, capture après capture, pourquoi il est bloqué, pourquoi un License Admin se mange un 403, et pourquoi (c’est le clou) un Global Admin activé en just-in-time via PIM, lui, passe. Et tant qu’à parler d’incohérences, j’en ai relevé une seconde, côté licence, que je partage en fin d’article.

Pour vous guider plus facilement dans cet article, voici des liens rapides :

Si vous débarquez sur le sujet des Copilot Credits et des spending policies, je vous renvoie d’abord à mon article précédent qui pose tout le décor de la facturation à l’usage de Cowork : Copilot Cowork passe en PAYG. Ici, on attaque un cas plus tordu, observé sur des tenants CSP.

1. Le contexte en deux lignes

Pour rappel, depuis la GA du 16 juin 2026, l’usage de Copilot Cowork se facture à la consommation en Copilot Credits, et tout se pilote depuis le centre d’administration Microsoft 365, menu Copilot puis Cost management. Le geste fondateur côté admin, c’est la création d’une spending policy : c’est elle qui décide qui peut dépenser des crédits, combien, et sur quelle méthode de facturation. Sans elle, rien ne s’active. J’ai détaillé toute cette mécanique dans l’article cité plus haut.

Le problème que je vous décris ici n’apparaît que sur les tenants passés sous gestion CSP (Cloud Solution Provider). Toutes les captures qui suivent ont été anonymisées : le tenant est nommé contoso, et le second compte d’administration admin2. La logique observée, elle, est strictement celle de mon lab.

2. Le symptôme : avant et après l’onboarding CSP

Commençons par l’état sain. Connecté avec mon compte Global Admin, j’ouvre Copilot puis Cost management. Tout est normal : l’expérience de facturation à l’usage est disponible, le bouton Get started m’est proposé, aucune restriction à l’horizon.

Page Cost management avant l'onboarding CSP : l'expérience de facturation à l'usage est disponible avec le bouton Get started

Maintenant, le tenant est onboardé dans le programme CSP. Même compte, même page, même navigateur. Et la page a changé de visage : une bannière s’affiche pour me dire que mon organisation est gérée par un solution provider, et que la gestion des Copilot Credits doit être configurée par ce provider. Plus de Get started, plus de configuration possible de mon côté.

Bannière indiquant que l'organisation est gérée par un solution provider et que la gestion des Copilot Credits doit être configurée par le provider, après onboarding CSP

La seule variable qui a changé entre les deux captures, c’est l’onboarding CSP. Pas le compte, pas le rôle, pas la page. C’est donc bien le CSP qui déclenche le blocage.

3. Ce n’est pas un problème de rôle

Premier réflexe quand un admin se fait jeter : vérifier le rôle. Direction le centre d’administration Microsoft Entra. Et c’est sans appel : mon compte porte bien le rôle Global Administrator, en assignation active, directe et permanente. Le plus haut niveau de privilège du tenant.

Centre d'administration Microsoft Entra : le compte principal détient le rôle Global Administrator en assignation active, directe et permanente

Le blocage de l’étape 2 n’est donc pas une histoire de droits insuffisants. Un Global Admin permanent reste bloqué. On tient là le premier vrai mystère.

4. Le License Administrator : l’assistant va au bout, puis 403

Deuxième piste : et si je tentais avec un rôle moins privilégié, par bonne hygiène de moindre privilège ? Je crée un second compte, admin2, à qui j’attribue uniquement le rôle License Administrator, en permanent.

Bonne surprise au premier abord : connecté en License Admin, l’onglet Configuration de Cost management se charge, et le bouton Add spending policy est bien là :

Onglet Configuration de Cost management chargé en tant que License Administrator, avec le bouton Add spending policy disponible

Un message transitoire passe au chargement, « We couldn’t load your latest policies from the admin service », mais l’assistant s’ouvre :

Message transitoire « We couldn't load your latest policies from the admin service » à l'ouverture de l'assistant de création de spending policy

Je remplis le wizard de bout en bout : nom de la policy, périmètre All users, services Copilot Cowork et Work IQ API, méthode de facturation pay-as-you-go sur une souscription Azure dédiée, plafond mensuel et alertes. Tout passe, écran après écran. Puis je clique sur Create spending policy, et là, le couperet :

Erreur de création de la spending policy en License Administrator : Failed to create Copilot Credits billing plan, Request failed with status 403

Le message est explicite : « Failed to create Copilot Credits billing plan: Request failed with status 403 ». L’assistant m’a laissé tout remplir pour échouer à la toute dernière étape. Frustrant, mais en fait, la documentation Microsoft éclaire ce point précis.

La page Microsoft Learn sur la gestion de la facturation à l’usage distingue deux familles de rôles. Les rôles AI Administrator et License Administrator peuvent créer des spending policies, gérer les limites et les alertes, et consulter le tableau de bord. Mais pour la méthode de facturation, c’est une autre histoire :

They can’t set or modify the billing method.

Source : Managing AI experiences enabled by usage-based billing, Microsoft Learn

Définir ou modifier la méthode de facturation est réservé aux rôles Global Administrator et Billing Administrator. Or créer une policy en pay-as-you-go, c’est précisément rattacher une méthode de facturation. D’où le 403 à l’étape finale : le License Admin pouvait dérouler le wizard, mais pas poser le billing plan.

Attention : ce 403 n’est donc pas un bug, c’est une frontière de privilège. Le bon réflexe de moindre privilège pour la partie facturation, ce n’est pas Global Admin, c’est le rôle Billing Administrator. Microsoft recommande d’ailleurs de réserver Global Administrator aux scénarios d’urgence.
Mon retour terrain : le message « couldn’t load your latest policies from the admin service » a été observé pendant la fenêtre de déploiement de la GA, les 16 et 17 juin. Possible indisponibilité intermittente du service d’administration ce jour-là, je n’ai pas pu trancher s’il a un lien avec le blocage CSP ou non.

5. Le contournement qui marche : Global Admin en JIT via PIM

Le 403 du License Admin s’explique. Mais souvenez-vous : mon compte principal, lui, est Global Admin permanent, et il reste bloqué par la bannière CSP. Alors j’ai tenté autre chose sur le second compte. En plus de son License Administrator permanent, admin2 dispose du rôle Global Administrator en éligible via Privileged Identity Management (PIM).

J’active donc Global Administrator en just-in-time pour admin2, de façon limitée dans le temps via PIM :

Activation just-in-time du rôle Global Administrator via Privileged Identity Management pour le second compte admin2

Le rôle passe à Activated, à côté de l’assignation License Administrator permanente :

Le rôle Global Administrator affiché comme Activated à côté de l'assignation License Administrator permanente dans PIM

Je relance le même assistant Add spending policy, avec exactement les mêmes choix qu’à l’étape précédente. Et cette fois :

Confirmation « Spending policy created » après relance de l'assistant avec le Global Administrator activé via PIM

« Spending policy created ». La policy s’affiche dans la liste Configuration et s’applique immédiatement aux utilisateurs ciblés. De retour sur mon compte Global Admin principal, je la vois bien active, pour tous les utilisateurs, facturée en pay-as-you-go.

Spending policy active pour tous les utilisateurs, facturée en pay-as-you-go, vue depuis le compte Global Administrator principal

6. Première incohérence : Global Admin permanent contre JIT

Récapitulons le paradoxe, parce que c’est lui le cœur du sujet. Sur le même tenant, contre le même backend, à quelques minutes d’intervalle :

  • un Global Administrator permanent est bloqué en amont par la bannière CSP, il ne peut même pas lancer la configuration :
Bannière indiquant que l'organisation est gérée par un solution provider et que la gestion des Copilot Credits doit être configurée par le provider, après onboarding CSP
  • un License Administrator atteint la dernière étape puis échoue en 403, ce qui s’explique par la frontière de privilège sur le billing :
Erreur de création de la spending policy en License Administrator : Failed to create Copilot Credits billing plan, Request failed with status 403
  • un Global Administrator activé en just-in-time via PIM, sur un autre compte, réussit la création de bout en bout :
Le rôle Global Administrator affiché comme Activated à côté de l'assignation License Administrator permanente dans PIM

Le rôle effectif est pourtant le même entre le compte bloqué (Global Admin permanent) et le compte qui réussit (Global Admin JIT). La différence tient au contexte d’activation : permanent contre just-in-time. Mon hypothèse, et je le présente bien comme une hypothèse, c’est que le blocage CSP se joue au niveau du contexte de session ou d’autorisation, pas au niveau du rôle effectif. Comme si les deux chemins ne touchaient pas exactement la même condition côté backend.

Attention : ce contournement par PIM fonctionne sur mon lab, mais ce n’est pas un comportement documenté. Je ne le présente pas comme la méthode supportée, juste comme une observation. Un changement côté Microsoft pourrait le faire disparaître du jour au lendemain.

7. Seconde incohérence : Cowork sans licence Microsoft 365 Copilot

Le blocage CSP n’est pas la seule bizarrerie que j’ai relevée. En creusant sur plusieurs tenants, je suis tombé sur une seconde incohérence, cette fois côté licence. Dans mon premier article, je posais la licence Microsoft 365 Copilot comme le ticket d’entrée obligatoire de Cowork. C’est d’ailleurs la lecture que Microsoft met en avant dans sa documentation, où la licence sert de point d’entrée vers les services facturés à l’usage :

(…) licenses act as an entry point enabling access to AI services (…)

Source : Usage-Based Billing and Cost Management for Copilot Credits, Microsoft Learn

Sauf que sur le terrain, le tableau est plus flou. Sur plusieurs tenants, j’ai vu Cowork consommer des crédits sans qu’aucune licence Microsoft 365 Copilot ne soit assignée à l’utilisateur. Les crédits étaient tirés soit du pack de capacité apporté par une licence Copilot Studio, soit directement de la souscription Azure en pay-as-you-go. Dans les deux cas, pas de licence Microsoft 365 Copilot sur le compte, et Cowork fonctionne quand même.

J’avais déjà effleuré le sujet dans mon premier article, avec un utilisateur sans licence Microsoft 365 Copilot qui avait quand même pu utiliser Cowork pendant la période de grâce. Ce que je constate maintenant va plus loin : ce n’est pas un simple effet de la période de grâce, et ça se répète sur plusieurs tenants, avec des sources de crédits différentes.

Mon retour terrain : la question que ça pose est simple. La licence Microsoft 365 Copilot est-elle vraiment un prérequis dur pour Cowork, ou juste un des points d’entrée possibles, à côté des crédits Copilot Studio et du pay-as-you-go Azure ? Le « in some scenarios » de la doc laisse la porte ouverte, mais ce point n’est documenté nulle part de façon claire. À confirmer avec Microsoft.

8. Mes questions ouvertes à Microsoft

À ce stade, j’ai des observations solides, captures à l’appui, mais pas toutes les réponses. Voici les cinq questions que je porte à Microsoft, dans l’ordre d’importance :

  1. La bannière « managed by your solution provider » est-elle le comportement attendu pour un tenant CSP ? Si oui, quel est le chemin supporté et documenté pour qu’un client CSP (ou son provider) crée et gère ses spending policies Copilot Credits ?
  2. Pourquoi un Global Administrator permanent est-il bloqué, alors qu’un Global Administrator activé en just-in-time via PIM sur un second compte réussit, contre le même backend ?
  3. Le 403 renvoyé au License Administrator est-il bien le comportement attendu vu la frontière de privilège sur le billing, et le rôle Billing Administrator suffit-il pour la partie méthode de facturation sur un tenant CSP ?
  4. La licence Microsoft 365 Copilot est-elle un prérequis strict pour utiliser Cowork, ou un simple point d’entrée parmi d’autres ? J’observe Cowork consommer des crédits, via un pack Copilot Studio ou la souscription Azure, sans aucune licence Microsoft 365 Copilot assignée.
  5. Le message « couldn’t load your latest policies from the admin service » était-il une condition transitoire du rollout des 16 et 17 juin, ou est-il lié au blocage CSP ?
Update à venir : je mettrai cet article à jour dès que j’aurai un retour officiel de Microsoft sur ces points. Si vous observez le même comportement de votre côté, ou si vous avez une explication, les commentaires sont ouverts.

9. Récap : la checklist si vous êtes en CSP

Voilà, en quelques étapes, ce qu’il faut avoir en tête si votre tenant Copilot est sous gestion CSP et que vous butez sur la création d’une spending policy.

ConstatCe que ça signifieQuoi faire
Bannière « managed by your solution provider »Le blocage est déclenché par l’onboarding CSP, pas par un rôle manquantVérifier la relation CSP, solliciter votre provider, et poser la question à Microsoft
403 en License AdministratorCe rôle ne peut pas définir la méthode de facturationUtiliser Billing Administrator pour la partie billing, pas un rôle trop faible
Global Admin permanent bloqué, JIT PIM qui passeLe blocage semble lié au contexte de session, pas au rôle effectifContournement observé via PIM, mais non documenté : à confirmer avec Microsoft
Cowork actif sans licence Microsoft 365 CopilotLa licence présentée comme ticket d’entrée n’est pas toujours requise en pratiqueVérifier l’assignation réelle des licences et la source des crédits, et confirmer avec Microsoft
Message « couldn’t load your latest policies »Possible indisponibilité transitoire du service d’adminRéessayer, et surveiller si ça persiste hors fenêtre de rollout

Concrètement, ça donne quoi ? Sur un tenant CSP, la création d’une spending policy Copilot Credits ne se comporte pas comme sur un tenant classique, et les garde-fous de rôle de Microsoft (moindre privilège côté policy, billing réservé à Global ou Billing Admin) se doublent d’une couche CSP qui, elle, n’est pas documentée à ce jour. Les deux pièges côté CSP : un Global Admin permanent ne vous garantit pas de pouvoir configurer les crédits sur un tenant managé, et le bon rôle pour la facturation reste Billing Administrator, pas Global Admin par défaut. À ça s’ajoute la surprise côté licence : Cowork peut tourner sans licence Microsoft 365 Copilot, en tirant sur des crédits Copilot Studio ou sur le pay-as-you-go Azure, ce qui mérite d’être vérifié de près avant de bâtir votre modèle de coût.

Foncez tester en lab si vous gérez des tenants CSP, et documentez ce que vous voyez : c’est exactement le genre de cas limite qui se précise à mesure que la GA se déploie.

Je complèterai dès que Microsoft me répond.

Microsoft New Commerce Experience (NCE)

Aujourd’hui, je m’écarte un peu d’Azure pour vous parler d’un changement global chez Microsoft, appelé New Commerce Expérience et impactant la vente de leurs services Cloud. Le but de cet article est de vous rappeler quelques notions clefs et les principaux impacts de NCE.

Microsoft a introduit une nouvelle expérience de commerce pour les clients achetant et gérant leurs licences Cloud dans le cadre de son programme CSP (Cloud Solution Provider). Il s’agit d’une démarche que Microsoft déjà a commencée en 2019, et est toujours en cours en ce début d’année 2022.

Qu’est-ce que le programme CSP ?

Pour faire simple, Microsoft travaille de différentes manières pour vendre leurs produits aux clients finaux. Dans le schéma ci-dessous, on retrouve une liste de programmes existants pour acquérir des droits de licence sur des produits Microsoft :

Le programme CSP est conçu pour permettre aux partenaires de revendre les services Cloud de Microsoft. L’objectif du programme de CSP est donc de créer un modèle de revendeurs pour fournir des services aux petites et moyennes entreprises (PME). Deux modèles sont possibles via le programme CSP : indirect ou indirect.

Les partenaires directs gèrent eux-mêmes tous les aspects de la relation avec le client
Dans le modèle indirect, les fournisseurs indirects soutiennent les revendeurs indirects qui, à leur tour, vendent, et soutiennent les clients.

Qu’est-ce que la New Commerce Experience ?

L’image affichée plus haut met en évidence la complexité et la multitude de scénarios possibles pour acheter des licences de produits Microsoft. Il était donc temps de simplifier cette approche, comme le veut la New Commerce Experience :

Cette simplification d’achat met aussi en avant l’utilisation d’une seule plateforme centrale pour les partenaires Microsoft, le Partner Center :

Pourquoi parler de NCE maintenant ?

Let's simplify the changes in the new commerce experience - US Partner Community Blog - Microsoft

Comme indiqué dans l’image ci-dessus, Microsoft a commencé le lancement d’offres NCE par Azure, et a rajouté l’achat de licences perpétuelles dans le programme CSP. Dans le cas d’Azure, la bascule vers NCE (appelé aussi Azure Plan) a permis, par exemple, l’activation du Cost Management :

Microsoft s’attaque donc maintenant aux licences associées aux utilisateurs :

  • Microsoft 365
  • Dynamics 365
  • Power Platform
  • Windows 365

Tandis que le bouleversement de la NCE fut mineur pour les utilisateurs d’Azure, cela est moins vrai pour Modern Work Place. En effet les règles du jeu des licences utilisateurs changent grandement avec NCE. Nous en reparlerons un peu plus loin dans cette article.

Quel est le planning NCE pour Modern Work Place ?

Le programme CSP repose donc sur le planning NCE suivant pour 2022. Comme on peut le voir Microsoft concentre ses évolutions sur 3 axes :

  • Mise en place de promotions incitatives NCE jusqu’à juin 2022
  • Renforcement des règles liées à un achat NCE en mars et juillet 2022
  • Réduction des marges arrières pour les souscriptions non transférées sur NCE en 2023

Pourquoi Microsoft augmente ses prix ?

Depuis le lancement de 365, Microsoft a rajouté plus de 24 applications (Microsoft Teams, Power Apps, Power BI, Power Automate, Stream, Planner, Visio, OneDrive, Yammer et Whiteboard …), mais aussi un nombre incalculable de nouvelles fonctionnalités.

Le 1er mars 2022, Microsoft appliquera donc une hausse de prix sur les licences suivantes :

  • Microsoft 365 Business Basic (de 5 à 6 $)
  • Microsoft 365 Business Premium (de 20 à 22 $)
  • Office 365 E1 (de 8 à 10 $)
  • Office 365 E3 (de 20 à 23 $)
  • Office 365 E5 (de 35 à 38 $)
  • Microsoft 365 E3 (de 32 à 36 $)

Nous n’avons pas encore les chiffres précis en Euros ou en CHF, je ne manquerai pas de les rajouter dès que cela sera disponible.

Quelle est la meilleure période pour migrer les licences vers NCE ?

Maintenant ! Aucunement l’idée de vous faire faire un achat précipité, mais plusieurs arguments me permettent d’en arriver à cette conclusion :

  • La promotion NCE sur les différents engagements (mensuel / annuel) s’arrête au 1er juillet 2022
  • Le blocage du prix sur la période d’engagement permet de reporter la hausse de certains produits 365 prévue pour mars 2022
  • Les différents verrous prévus par Microsoft sur les achats en 2022 risque de compliquer la gestion et le renouvellement des licences en fonction de l’évolution des besoins.

Tout est donc rose avec NCE ?

Historiquement :

Dans le cadre du programme CSP, Microsoft offrait aux partenaires une très grande souplesse dans la gestion des licences durant la période d’engagement. Cette flexibilité était très appréciée car le provisionnement des licences utilisateurs suivait alors de près l’évolution des besoins du client.

Avec NCE :

Microsoft laisse une fenêtre de 72 heures après l’achat pour annuler un abonnement NCE. Si l’abonnement n’est pas annulé dans cette fenêtre de 72 heures, le client devra payer le reste de la durée de l’abonnement. Autrement dit : un mois, un an, ou même 3 ans !

Si un client souhaite réduire le nombre de licences, l’abonnement doit être modifié dans les 72 heures de la date d’anniversaire. Si cette fenêtre est dépassée, la modification à la baisse ne sera prise en compte qu’au prochain anniversaire. Autrement dit : le mois prochain, l’année prochaine, ou même dans 3 ans !

En revanche, les clients peuvent toujours augmenter le nombre de sièges et changer la licence pour une autre de niveau supérieur, même après cette période de 72 heures.

On serait alors tenté de prendre toutes les licences sur un abonnement mensuel pour plus de liberté. Ce choix logique est possible, mais le prix pour cet engagement de courte durée est 20% plus cher que pour le même avec un engagement annuel.

Dernière précision, un engagement annuel ou pluriannuel est payable en une seule fois au début de l’engagement, ou tous les mois de ladite période d’engagement.

Peut-on prendre des licences avec engagement mensuel ET annuel ?

C’est aussi possible ! Et cela est même fortement conseillé dans certains secteurs, avec une saisonnalité des besoins informatiques.

Que faut-il retenir sur NCE ?

Voici les principaux points à garder en tête pour bien comprendre les enjeux de NCE :

  • Ce nouveau mode d’achat licence est déjà en place depuis le 10 janvier de cette année
  • La bascule des licences vers NCE est transparente pour les utilisateurs car ce changement n’impacte pas l’assignation
  • La durée d’engagement est un maintenant point majeur dans la décision d’achat. Tant pour le client, que pour le partenaire qui fournit le service
  • Toute baisse du nombre ou changement de licences NCE n’est possible qu’aux dates anniversaires
  • Les partenaires restent redevables des licences NCE prises auprès de Microsoft, même si leurs clients ne sont plus en capacité d’honorer les paiements
  • Les licences mensuelles sont fortement conseillées pour les besoins ponctuels
  • La fenêtre de 72 heures est la SEULE porte de sortie d’un engagement NCE avant le terme d’engagement

Conclusion

Pas de panique ! Bien que ce changement bouleverse nos habitudes d’achat chez Microsoft, il ne pas oublier que cela est déjà la norme dans le monde des licences par abonnement.

Mon dernier conseil : en tant que partenaire, assurez-vous de communiquer le plus en amont possible avec vos clients, pour que ces derniers considèrent les meilleures options possibles.