Copilot Microsoft 365 « Not connected to the internet » : guide de dépannage complet (VPN, DNS, proxy, TLS, canal Office)

Copilot affiche « Not connected to the internet » dans Word ou d’autres applications Microsoft 365 alors que votre PC est bel et bien en ligne ? Suivez ce guide pas à pas : du VPN et du cache DNS aux règles proxy/TLS, en passant par le canal de mise à jour et les scripts de diagnostic.

Problème : message « Copilot – Not connected to the internet » dans Microsoft 365

Plusieurs organisations observent un comportement paradoxal : Copilot intégré à Word, Excel, PowerPoint ou Outlook indique qu’il est hors connexion alors que la navigation Web et d’autres services fonctionnent normalement. Ce symptôme est presque toujours lié à un point de friction spécifique : acheminement réseau via VPN/proxy, inspection TLS, jetons d’authentification non valides, WebView2 manquant, canal Office inadéquat ou caches locaux corrompus.

Vue d’ensemble de la question

Copilot utilise des points de terminaison et des couches d’authentification supplémentaires par rapport à une simple page Web. Un navigateur peut donc charger des sites classiques tandis que Copilot échoue à valider la licence, à atteindre ses API ou à initialiser le composant Web requis. La bonne approche consiste à éliminer méthodiquement chaque cause possible.

Réponses et solutions apportées

Étape	Action	Résultat / Commentaires
1	Vérifier le VPN (désactivation temporaire)	À tenter en priorité ; certains VPN bloquent les points de terminaison requis par Copilot.
2	Vider le cache DNS (ipconfig /flushdns)	A permis à Copilot dans PowerPoint de fonctionner de nouveau chez un utilisateur ; effet parfois partiel.
3	Passer Office sur le canal « Monthly Enterprise » (via Centre d’administration ou OfficeC2RClient.exe /changesetting Channel=MonthlyEnterprise puis mise à jour)	Conseillé par le support ; n’a pas résolu le cas rapporté, mais règle « 90 % des incidents » selon Microsoft.
4	Réinstaller / réinitialiser la machine (wipe & reinstall)	Solution ultime qui a éliminé le problème dans l’exemple cité ; à réserver aux situations où les étapes précédentes échouent.

Ce qui se passe en coulisse

Pour s’initialiser, Copilot dans Microsoft 365 doit : (1) confirmer que l’utilisateur est connecté à son compte Microsoft Entra ID (Azure AD) et que la licence pertinente est valide ; (2) joindre plusieurs domaines Copilot et Bing sur le port 443 en TLS sans interception cassante ; (3) charger des éléments Web via le runtime Microsoft Edge WebView2 ; (4) parfois obtenir des mises à jour côté client au travers du canal Office configuré. Une rupture à l’une de ces étapes suffit à déclencher le message « Not connected to the internet ».

Arbre de décision express

1. Tester hors VPN/proxy : déconnectez le VPN, passez sur un hotspot 4G/5G personnel. Si Copilot fonctionne, le problème est réseau/proxy/inspection TLS.
2. Actualiser l’environnement réseau : ipconfig /flushdns, puis netsh winhttp reset proxy. Relancez Word et réessayez.
3. Vérifier WebView2 : ouvrez « Applications installées » et recherchez Microsoft Edge WebView2 Runtime. S’il est absent ou obsolète, installez/actualisez-le.
4. Contrôler le canal Office : basculez sur Monthly Enterprise, mettez à jour, redémarrez Office.
5. Inspecter les politiques : GPO/Intune empêchant les expériences connectées, le contenu en ligne ou les plug-ins web d’Office.
6. Analyser les journaux : %LOCALAPPDATA%\Microsoft\Office\16.0\CopilotService*.log et diagnostics intégrés à Word.
7. Dernier recours : réparation Office, puis réinitialisation du poste si nécessaire.

Procédure détaillée pas à pas

Vérifier et neutraliser temporairement le VPN

Les VPN d’entreprise imposent souvent un split‑tunneling sélectif, un proxy explicite ou une inspection TLS qui perturbe Copilot. Déconnectez le VPN, fermez Word, attendez 20 secondes, rouvrez Word et retestez. Si Copilot redevient opérationnel : documentez le domaine bloqué et voyez la section « Liste blanche et inspection TLS » ci‑dessous.

Vider les caches réseau et remettre WinHTTP à zéro

Exécutez une invite de commandes en tant qu’administrateur :

ipconfig /flushdns
netsh winsock reset
netsh winhttp reset proxy

Puis redémarrez Windows ou, a minima, fermez toutes les applications Office et rouvrez Word. Pourquoi ça marche : Copilot résout plusieurs hôtes via DNS ; des entrées obsolètes ou une configuration WinHTTP héritée peuvent empêcher la négociation TLS.

Basculer Microsoft 365 Apps sur le canal « Monthly Enterprise »

Le canal « Monthly Enterprise » reçoit des correctifs Copilot plus régulièrement, tout en restant stable. Pour vérifier/basculer rapidement côté client :

1. Fermez les apps Office.
2. Ouvrez C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe depuis une invite admin.
3. Exécutez : OfficeC2RClient.exe /changesetting Channel=MonthlyEnterprise
4. Puis : OfficeC2RClient.exe /update user

Vérifiez ensuite Fichier › Compte dans Word : la build doit être au moins 2402 ou ultérieure. Si votre tenant gouverne le canal via Office Cloud Policy ou GPO, appliquez la modification côté administration.

Mettre à jour ou installer Microsoft Edge WebView2

Copilot dans Office s’appuie sur le runtime WebView2 pour afficher des composants Web. Sans WebView2 (ou avec une version cassée), le module peut se déclarer « hors ligne » au démarrage. Vérifiez dans Paramètres › Applications que Microsoft Edge WebView2 Runtime est présent. Si absent, installez‑le. Sur un poste administrable :

winget list "webview2"
winget install --id Microsoft.EdgeWebView2Runtime

Vérifier la licence et l’état de connexion Office/Entra ID

1. Dans Word : Fichier › Compte ⇒ l’utilisateur est‑il connecté avec le bon compte professionnel ?
2. Exécutez whoami /upn pour confirmer l’UPN.
3. Exécutez dsregcmd /status : l’appareil doit être « AzureAdJoined » ou au moins « WorkplaceJoined » si des politiques Conditional Access l’exigent.
4. Si votre organisation utilise des politiques d’accès conditionnel (MFA, appareil conforme), vérifiez que Word/Office figure dans l’étendue et que l’appareil est compliant. Des jetons bloqués peuvent se manifester sous forme « hors ligne » côté Copilot.

Autoriser les domaines et s’abstenir d’inspecter TLS

Copilot et ses dépendances ont besoin d’un accès direct sur le port 443. Autorisez en sortie et exemptez d’inspection TLS au minimum :

Domaine / motif	Port	Rôle
*.copilot.microsoft.com	443	Hôtes Copilot pour Microsoft 365
api.bing.microsoft.com	443	API Bing utilisée par Copilot
*.trafficmanager.net	443	Équilibrage/routage Microsoft
login.microsoftonline.com, aadcdn.msftauth.net	443	Authentification/jetons Entra ID
officecdn.microsoft.com	443	Mises à jour Click‑to‑Run
officeapps.live.com	443	Expériences connectées Office

Astuce : si vous utilisez une appliance d’inspection TLS, créez des règles Do‑Not‑Decrypt ciblées sur les hôtes ci‑dessus. Une inspection incomplète (certificat substitué non approuvé, suites TLS limitées) mène souvent à une « déconnexion » apparente.

Diagnostiquer depuis Word

1. Ouvrez Word › Fichier › Compte › Gérer les paramètres › Diagnostics.
2. L’outil vérifie la connectivité et les services requis et peut indiquer les ports/hôtes injoignables.

Collecter les journaux utiles

Rassemblez :

• %LOCALAPPDATA%\Microsoft\Office\16.0\CopilotService*.log
• Observateur d’événements › Journaux des applications et services › Microsoft › Office (quand disponible)
• Version et canal Office (Fichier › Compte)
• Sorties des commandes de la section « Outils de ligne de commande » ci‑dessous

Outils de ligne de commande pour aller plus vite

Tester les ports 443 vers les hôtes clés :

powershell -NoProfile -Command ^
  "('api.bing.microsoft.com','copilot.microsoft.com','login.microsoftonline.com') |
   ForEach-Object { '{0,-28} {1}' -f $_, (Test-NetConnection $_ -Port 443).TcpTestSucceeded }"

Afficher/réinitialiser le proxy WinHTTP :

netsh winhttp show proxy
netsh winhttp reset proxy

Vérifier le canal Click‑to‑Run :

powershell -NoProfile -Command ^
  "Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Office\ClickToRun\Configuration' |
   Select-Object UpdateChannel,Channel,VersionToReport,CDNBaseUrl"

Basculement de canal et mise à jour :

"C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe" /changesetting Channel=MonthlyEnterprise
"C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe" /update user

Vérifier les politiques qui bloquent Copilot

Dans certaines configurations, des stratégies empêchent les « expériences connectées ». Contrôlez :

• GPO Office : « Activer les expériences connectées », « Autoriser le contenu en ligne Office », « Bloquer les services » (fichiers ADMX Office 2016+).
• Intune / Office Cloud Policy : paramètres équivalents pouvant désactiver les compléments modernes.
• Proxy : nécessité d’un proxy système pour les comptes de service (WinHTTP) si votre environnement l’exige.

Réparer Office avant le formatage

1. Ouvrez Programmes et fonctionnalités › Microsoft 365 Apps › Modifier.
2. Lancez d’abord une réparation rapide, puis si nécessaire une réparation en ligne.
3. Redémarrez et testez Copilot dans Word.

Recommandations pour environnements proxy avancés

• Authentification : préférez Kerberos/NTLM transparent côté proxy pour les comptes machine (WinHTTP). Évitez l’authentification interactive forcée.
• SNI et TLS 1.2+ : Copilot exige une terminaison TLS moderne. Conservez TLS 1.2 et 1.3 activés et des suites robustes.
• Bypass local : pour les domaines listés, configurez un bypass d’inspection et d’auth, surtout pendant la phase de test.

Contrôles rapides côté poste

• Horloge/NTPS : une dérive de temps invalide les jetons. Synchronisez la date/heure.
• Certificats racine : assurez‑vous que la chaîne des autorités racines Microsoft est à jour. Évitez d’imposer un substitut de certificat non approuvé.
• Profils réseau Windows : basculez le réseau en « Privé » temporairement pour écarter une règle coupe‑feu « Public » trop restrictive.

Quand envisager la réinstallation

Si, après les vérifications VPN/proxy/TLS, l’actualisation DNS, la mise à jour Office et la réparation, Copilot reste « hors ligne », une réinitialisation du poste peut s’imposer. Dans les cas observés, le wipe & reinstall a supprimé des corruptions profondes (stacks réseau, clés Office Click‑to‑Run, profils utilisateur). Effectuez une sauvegarde, testez dès l’installation nue (sans VPN/proxy), puis réappliquez vos politiques en surveillant le moment précis où le problème réapparaît.

Informations complémentaires utiles

• Mises à jour d’Office : assurez‑vous que la version de Microsoft 365 Apps est au moins la build 2402 ou ultérieure, Copilot y reçoit des correctifs réguliers.
• Pare‑feu et proxy : autorisez les domaines *.copilot.microsoft.com, *.trafficmanager.net, api.bing.microsoft.com en sortie ; Copilot échoue fréquemment si ces URL sont bloquées.
• Certificats & inspection TLS : le déchiffrement TLS par des appliances de sécurité peut empêcher la validation de licence Copilot ; ajoutez les domaines ci‑dessus à la liste d’exceptions.
• Diagnostic rapide : dans Word, lancez Fichier › Compte › Gérer les paramètres › Diagnostics ; l’outil signale les ports ou services non accessibles.
• Support officiel : pour des scénarios complexes (tenants hybrides, Intune, Conditional Access), ouvrez un ticket depuis l’Admin Center ou publiez dans « Copilot for Microsoft 365 » sur Microsoft Q&A ; fournissez les journaux CopilotService*.log (%LOCALAPPDATA%\Microsoft\Office\16.0).

Scénarios typiques et résolutions ciblées

Copilot « hors ligne » uniquement derrière le proxy d’entreprise

Symptômes : OK sur hotspot 4G, KO au bureau. Cause probable : proxy exigeant une authentification explicite ou inspection TLS sur les domaines Copilot.

Résolution :

• Définir une règle de contournement (bypass) pour les domaines Copilot/Bing/Entra ID.
• Activer l’authentification transparente ou un machine trust pour le trafic WinHTTP.
• Vérifier que la CA du proxy est bien approuvée par le magasin « Ordinateur local », si l’inspection reste nécessaire.

Copilot « hors ligne » sur un seul poste

Symptômes : les collègues n’ont pas le problème. Hypothèse : stack réseau locale ou Office endommagé.

Résolution : ipconfig /flushdns, netsh winsock reset, réinstaller WebView2, Réparation en ligne d’Office. En cas d’échec, profil Windows corrompu ⇒ créer un nouveau profil utilisateur, importer les données, tester Copilot.

Copilot « hors ligne » après un changement de canal Office

Symptômes : passage au canal Semi‑Annual, puis Copilot cesse de fonctionner. Résolution : revenir au canal Monthly Enterprise, forcer la mise à jour, nettoyer le cache ServiceHub d’Office si nécessaire (fermer Office, supprimer %LOCALAPPDATA%\Microsoft\Office\16.0\ServiceHub\, relancer).

Copilot « hors ligne » lorsque l’inspection TLS est activée

Symptômes : journaux indiquant des erreurs de certificat ou des échecs de négociation. Résolution : placer les domaines critiques en liste d’exclusion Do‑Not‑Decrypt. Recharger la politique, purger le cache TLS (certutil -urlcache * delete), redémarrer l’appareil.

Modèle de communication vers votre équipe réseau

Pour accélérer la résolution, envoyez à l’équipe réseau un message clair et actionnable :

« Copilot dans Microsoft 365 affiche “Not connected to the internet”. Le test hors VPN fonctionne. Merci d’autoriser en sortie et d’exempter d’inspection TLS les domaines *.copilot.microsoft.com, api.bing.microsoft.com et *.trafficmanager.net sur 443, ainsi que login.microsoftonline.com et aadcdn.msftauth.net. »

Checklist de validation avant clôture

• Copilot fonctionne sur réseau d’entreprise et hors VPN.
• Version Office ≥ 2402, canal « Monthly Enterprise » confirmé.
• WebView2 présent et à jour (winget ou inventaire).
• Tests Test-NetConnection positifs vers les hôtes clés.
• Diagnostics Word sans alerte et journaux CopilotService sans erreur récidivante.

FAQ rapide

Pourquoi Copilot se dit “hors ligne” alors que mon navigateur fonctionne ?
Copilot a des dépendances réseau et d’authentification spécifiques : si un seul domaine clé est bloqué ou si un jeton est invalide, l’init échoue et l’UI affiche « Not connected to the internet ».

Faut‑il impérativement activer le canal Monthly Enterprise ?
Non, mais ce canal reçoit plus vite des correctifs Copilot, d’où un meilleur taux de succès en pratique, surtout lors de déploiements mixtes.

L’inspection TLS est‑elle incompatible ?
Non, mais elle doit être précisément configurée. Inutile de tout désactiver ; excluez seulement les hôtes critiques listés.

Un formatage résout‑il toujours ?
Non. C’est un dernier recours. Dans la majorité des cas, une combinaison « VPN/proxy + cache réseau + canal Office + WebView2 » correctement ajustée suffit.

Exemple de script PowerShell de diagnostic

Ce script rassemble en une fois la version Office, l’état proxy, la présence de WebView2 et la connectivité TLS.

$report = [ordered]@{}
try {
  $reg = Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Office\ClickToRun\Configuration'
  $report.OfficeVersion = $reg.VersionToReport
  $report.OfficeChannel = ($reg.UpdateChannel, $reg.Channel -join ' | ')
} catch { $report.OfficeVersion = 'N/A'; $report.OfficeChannel = 'N/A' }

$report.WinHttpProxy = (netsh winhttp show proxy) -join ' '
$report.WebView2 = (winget list "webview2" 2>$null) -join ' '

$hosts = 'api.bing.microsoft.com','copilot.microsoft.com','login.microsoftonline.com','officecdn.microsoft.com'
$results = foreach($h in $hosts){
$r = Test-NetConnection $h -Port 443
[pscustomobject]@{ Host=$h; Reachable=$r.TcpTestSucceeded; LatencyMs=$r.PingReplyDetails.RoundtripTime }
}

$report | Format-List
$results | Format-Table -Auto 

Résolution en résumé

Commencez par isoler le réseau (test hors VPN), purgez DNS/WinHTTP, vérifiez WebView2 et mettez Office à niveau sur Monthly Enterprise ≥ 2402. Ensuite, alignez les règles proxy/TLS pour les domaines clés et contrôlez les politiques Office connectées. En suivant ces étapes dans l’ordre, la grande majorité des messages « Copilot – Not connected to the internet » disparaissent sans réinstaller la machine. Si, malgré tout, l’anomalie persiste, une réparation en ligne d’Office puis une réinitialisation du poste rendront l’environnement sain.

---

Annexes

Liste blanche réseau minimale

Domaine	Port	Remarques
*.copilot.microsoft.com	443	Ne pas déchiffrer TLS
api.bing.microsoft.com	443	Ne pas déchiffrer TLS
*.trafficmanager.net	443	CDN/routing Microsoft
login.microsoftonline.com	443	Connexion/SSO
aadcdn.msftauth.net	443	Téléchargement des composants d’auth
officeapps.live.com	443	Expériences connectées Office

Commandes utiles en un coup d’œil

ipconfig /flushdns
netsh winsock reset
netsh winhttp reset proxy
"c:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe" /changesetting Channel=MonthlyEnterprise
"c:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe" /update user
winget install --id Microsoft.EdgeWebView2Runtime
whoami /upn
dsregcmd /status
certutil -urlcache * delete

Conclusion

Traitez ce message comme un symptôme de connectivité applicative, pas comme une coupure Internet générale. En vous concentrant sur le trio réseau ciblé (VPN/proxy/TLS), client Office (canal ≥ 2402, WebView2) et authentification (Entra ID/jetons), vous rétablirez Copilot de manière fiable et durable, sans nécessairement passer par une réinstallation lourde.