Windows Copilot : désactiver via GPO (ADMX 23H2+, Central Store, Windows 10/11)

Vous voulez bloquer Windows Copilot à l’échelle du domaine ? Voici une méthodologie éprouvée (ADMX 23H2+, Central Store, GPO Utilisateur) avec étapes, scripts et diagnostics pour Windows 11 et Windows 10 à jour.

Sommaire

Vue d’ensemble

Objectif. Neutraliser l’expérience Windows Copilot sur des postes rejoints au domaine via une stratégie de groupe (GPO), depuis un Active Directory dont les contrôleurs de domaine sont sous Windows Server 2019 (ou équivalent).

Symptôme rencontré. Après avoir copié des modèles d’administration (ADMX) dans le Central Store (\\<domaine>\SYSVOL\<domaine>\Policies\PolicyDefinitions), les nouveaux paramètres n’apparaissaient pas dans la GPMC (même depuis RSAT sur Windows 10 22H2).

Constat clé. L’utilisation d’un pack ADMX Windows 11 23H2 (ou plus récent) rend visibles les paramètres Windows Copilot et permet de créer la GPO de désactivation.

Réponse rapide. Une fois les ADMX 23H2+ en Central Store, configurez la stratégie Turn off Windows Copilot :
Configuration utilisateur → Modèles d’administration → Composants Windows → Windows Copilot → Désactiver Windows Copilot = Activé.
Cela déploie la valeur Registre HKCU\Software\Policies\Microsoft\Windows\WindowsCopilot\TurnOffWindowsCopilot=1 et masque l’icône sur la barre des tâches.

Ce que fait (et ne fait pas) cette GPO

Fait : désactive l’expérience Windows Copilot côté session utilisateur (HKCU) et supprime le bouton dédié dans la barre des tâches.
Ne fait pas : n’affecte pas Copilot dans Microsoft Edge ni les offres Copilot pour Microsoft 365 ; ces produits se pilotent via des stratégies distinctes (Edge/Office, AppLocker/WDAC, Intune, etc.).
Portée : Configuration Utilisateur. Pour l’appliquer « par ordinateur », utilisez le Loopback Processing (voir plus bas).

Procédure recommandée (pas à pas)

Télécharger et extraire les ADMX Windows 11 23H2 (ou plus récents).
Conservez le dossier avec .admx et les sous-dossiers de langue (fr-FR, en-US, …). Astuce : gardez une copie « source » intacte pour vos archives.
Alimenter/mettre à jour le Central Store.
Copiez tous les fichiers .admx et le ou les dossiers .adml correspondants dans :
\\<domaine>\SYSVOL\<domaine>\Policies\PolicyDefinitions
Bonnes pratiques :
- Faites un backup du Central Store avant remplacement (ex. PolicyDefinitions_OLD_YYYYMMDD).
- Remplacez les paires .admx/.adml ensemble pour éviter les décalages de versions/langues.
Vérifier/forcer la réplication SYSVOL (DFSR).
Sur un grand domaine, attendez la convergence ou contrôlez-la : dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:DC1 /rmem:DC2 Fermez puis rouvrez la GPMC (console de gestion des stratégies de groupe).
Créer/éditer un GPO et configurer le paramètre.
Ciblez les OU utilisateurs souhaitées, puis :
Configuration Utilisateur → Modèles d’administration → Composants Windows → Windows Copilot → Turn off Windows Copilot = Enabled.
Alternative scriptée : # Exécuter depuis un hôte RSAT/serveur avec droits GPO New-GPO -Name "Désactiver Windows Copilot (Utilisateurs)" | Out-Null Set-GPRegistryValue -Name "Désactiver Windows Copilot (Utilisateurs)" ` -Key "HKCU\Software\Policies\Microsoft\Windows\WindowsCopilot" ` -ValueName "TurnOffWindowsCopilot" -Type DWord -Value 1 # Lier à une OU utilisateurs New-GPLink -Name "Désactiver Windows Copilot (Utilisateurs)" -Target "OU=Utilisateurs,DC=contoso,DC=com"
Appliquer et vérifier côté poste.
Lancez un gpupdate /target:user /force, déconnectez/reconnectez la session si besoin, puis vérifiez : reg query HKCU\Software\Policies\Microsoft\Windows\WindowsCopilot /v TurnOffWindowsCopilot gpresult /r /scope:user gpresult /h %TEMP%\gp.html & start %TEMP%\gp.html Vous pouvez aussi contrôler via RSOP.msc ou le journal Applications et services → Microsoft → Windows → GroupPolicy → Operational.

Pourquoi les paramètres n’apparaissaient pas ? (diagnostic rapide)

Dans la majorité des cas, l’absence de Windows Copilot sous Modèles d’administration vient d’un Central Store trop ancien ou partiellement mis à jour. Servez-vous de la grille ci‑dessous :

Symptôme	Cause probable	Correctif
La branche « Windows Copilot » n’existe pas dans la GPMC.	ADMX/ADML Windows 11 trop anciens (pré‑23H2) en Central Store.	Remplacer par les ADMX 23H2+ (copier .admx et .adml), fermer/réouvrir la GPMC.
Erreurs « DisplayName » ou chaînes manquantes.	Mélange de langues ou versions (ex. `.admx` 23H2 avec `.adml` 22H2).	Synchroniser les paires langue/versions (`fr-FR` et/ou `en-US`). Supprimer les reliquats obsolètes.
Les paramètres étaient visibles, puis disparaissent.	Réplication DFSR incomplète, écrasement par un DC avec ancien Central Store.	Vérifier la réplication, réappliquer les fichiers récents, auditer la topologie.
GPO appliquée mais l’icône Copilot reste visible.	Stratégie non reçue par l’utilisateur, session persistante, conflit de GPO.	`gpupdate /force`, déconnexion/reconnexion, vérifier RSOP, l’ordre des liens et l’héritage.

Points d’attention par version de Windows

Windows 11

Les ADMX 23H2+ exposent les paramètres Windows Copilot dans la GPMC.
Sur des builds récents (24H2 et au‑delà), Microsoft indique que TurnOffWindowsCopilot est déprécié. Dans ce contexte :
- Conservez la GPO (elle reste utile pour des postes non encore migrés).
- Ajoutez des contrôles complémentaires : suppression/neutralisation de l’application Copilot (consommateur), contrôle d’installation via AppLocker/WDAC, et gestion de la touche Copilot via la politique dédiée (SetCopilotHardwareKey).

Windows 10

La stratégie TurnOffWindowsCopilot n’est supportée qu’à partir de Windows 10 récents (21H2 build 19044.3758 et 22H2 avec KB requis). Assurez-vous que les clients Windows 10 sont à jour.
Quand vous ciblez des utilisateurs multi‑OS, préférez des filtres WMI ou une séparation d’OU.

Modèle d’implémentation en environnement mixte

OU dédiées par type de postes (ex. W11-Prod, W10-Prod) et par type d’utilisateurs (ex. Std, VIP).
Deux GPO :
- Désactiver Windows Copilot (Utilisateurs) : paramètre HKCU, liée aux OU utilisateurs standards.
- Désactiver Windows Copilot (Loopback) : même paramètre HKCU, mais appliqué via Loopback en mode Merge aux OU W11-Prod/W10-Prod pour forcer l’effet par appareil si nécessaire.
Filtres WMI (exemples) : # Cibler Windows 11 (build ≥ 22000) SELECT * FROM Win32_OperatingSystem WHERE (BuildNumber >= 22000) AND (ProductType = 1) # Cibler Windows 10 (build < 22000) SELECT \* FROM Win32\_OperatingSystem WHERE (BuildNumber < 22000) AND (ProductType = 1) Note : Windows 11 conserve la version 10.0 côté API ; basez‑vous sur BuildNumber pour différencier 10/11.
Filtrage de sécurité : lier la GPO aux groupes d’utilisateurs visés (évitez Authenticated Users si vous avez des cas d’exception).

Intune/MDM : équivalence et coexistence

Pour des postes joints Azure AD/Hybrid, l’équivalent MDM existe dans le CSP WindowsAI :

OMA‑URI : ./User/Vendor/MSFT/Policy/Config/WindowsAI/TurnOffWindowsCopilot
Type : Integer ; Valeur : 1 (désactiver).

Conseil de coexistence : définissez une source d’autorité claire (GPO vs. MDM). Si vous pilotez par MDM, ne dupliquez pas la GPO sur les mêmes utilisateurs pour éviter les ambiguïtés.

Contrôles complémentaires (2025 et +)

Levier	Portée	Quand l’utiliser	Limites
GPO « Turn off Windows Copilot »	Utilisateur (HKCU)	Standard : Windows 11 23H2+, Windows 10 récents	Paramètre déprécié sur certains builds récents ; compléter par d’autres contrôles.
MDM (CSP WindowsAI)	Utilisateur (profil MDM)	Parcs gérés avec Intune/MDM	Nécessite des licences/inscriptions MDM.
Suppression/neutralisation de l’app Copilot	Appareil	Builds où Copilot est fourni en application consommateur	Varie selon canal et build ; testez sur un anneau pilote.
AppLocker/WDAC	Appareil	Empêcher le lancement/installation de l’app	Maintenance de listes de règles, attention aux faux positifs.
Gestion de la touche Copilot (SetCopilotHardwareKey)	Appareil	Claviers avec touche Copilot	Ne remplace pas la désactivation de l’expérience logicielle.

Checklist de validation

Étape	Vérification	OK ?
Backup du Central Store	Dossier `PolicyDefinitions_OLD_YYYYMMDD` présent
ADMX/ADML 23H2+ copiés	Dates de fichiers récentes, paires langue cohérentes
Réplication SYSVOL	Pas de backlog DFSR, GPMC rouverte
GPO créée et liée	Présente dans l’OU, ordre de liens correct
Paramètre « Turn off Windows Copilot »	État Activé dans la GPMC/RSOP
Application côté utilisateur	`TurnOffWindowsCopilot=1` sous HKCU, bouton masqué

Bonnes pratiques d’administration GPO

Équipez vos postes d’administration avec RSAT à jour et consultez la GPMC depuis un poste Windows 11 récent pour un rendu fidèle.
Standardisez les langues d’ADML (fr-FR et/ou en-US) afin d’éviter les chaînes manquantes. Évitez les combinaisons exotiques (ex. .admx en 23H2 + .adml en 21H2).
Documentez vos modifications (change log Central Store, version des packs ADMX, hash si besoin).
Contrôlez l’ordre de traitement : GPO d’exception en tête si elles doivent l’emporter ; sinon, laissez la GPO Copilot en position haute sur les OU concernées.
Déployez par anneaux : pilote → pré‑prod → prod, pour capturer d’éventuelles régressions liées aux builds Windows.

Cas particuliers et questions fréquentes

« Je veux l’imposer par ordinateur, pas par utilisateur »

Activez le Loopback Processing (Configuration ordinateur → Modèles d’administration → Système → Stratégie de groupe → Mode de traitement de la stratégie de groupe utilisateur en boucle (Loopback) = Remplacer ou Fusionner) dans une GPO liée à l’OU des ordinateurs. Ensuite, appliquez la GPO « Utilisateur » sur la même OU : la configuration HKCU sera imposée aux sessions ouvertes sur ces machines.

« Je n’utilise pas de Central Store »

C’est supporté mais déconseillé : les consoles GPMC piochent alors les ADMX locaux du poste d’admin, ce qui entraîne des vues incohérentes entre administrateurs. Le Central Store garantit une base de modèles unique et versionnée.

« Quid d’Edge Copilot ? »

Indépendant. Réglez Copilot/Sidebar dans les stratégies Microsoft Edge (modèles Edge dédiés) si vous visez la suppression dans le navigateur.

« Peut‑on revenir en arrière ? »

Oui. Positionnez la stratégie sur Non configuré ou supprimez la GPO. Après gpupdate et reconnexion, le bouton peut réapparaître si aucune autre politique/contrôle ne l’empêche.

« Et si des postes ne reçoivent jamais la valeur HKCU ? »

Vérifiez que l’utilisateur est bien dans le périmètre de la GPO (liaison OU, filtre de sécurité), que la réplication AD est saine, et qu’aucune GPO ultérieure ne réécrit le paramètre. Sur des machines avec profils itinérants ou sessions multiples (RDS), un cycle de reconnexion peut être nécessaire.

Vérification et audit : méthodes concrètes

Registre utilisateur : HKCU\Software\Policies\Microsoft\Windows\WindowsCopilot\TurnOffWindowsCopilot doit être présent à 1.
RSOP : ouvrez RSOP.msc → Paramètres Utilisateur → vérifiez l’origine de la stratégie.
gpresult : gpresult /h %TEMP%\gp.html fournit un rapport complet avec l’ordre de traitement et les GPO effectives.
Journalisation : Applications et services → Microsoft → Windows → GroupPolicy → Operational pour suivre les cycles d’application et les erreurs.

Stratégie de repli : quand la GPO ne suffit plus

Avec l’évolution rapide de Windows, TurnOffWindowsCopilot peut être déprécié sur certaines familles de builds. Anticipez :

Désinstallez/neutralisez l’application Copilot (consommateur) dans vos images/paquets, et blocage d’installation via AppLocker/WDAC.
Gérez la touche Copilot (si présente) avec la politique SetCopilotHardwareKey pour prévenir l’ouverture de l’expérience.
Cadrez les attentes : la GPO reste utile pour l’historique et pour les versions de Windows où elle est pleinement supportée ; sur les environnements de dernier cri, combinez les leviers.

Procédure « minute » (récapitulatif opératoire)

Mettre à jour le Central Store avec les ADMX Windows 11 23H2+ (et .adml correspondants).
Attendre/forcer la réplication SYSVOL, rouvrir la GPMC.
Créer/éditer la GPO utilisateur : Turn off Windows Copilot = Enabled.
Appliquer à vos OU, gpupdate, puis vérifier via Registre/RSOP/gpresult.
Sur builds récents, compléter par la gestion de l’app Copilot et de la touche dédiée.

Annexe A — Modèle d’e‑mail de communication interne

Objet : Désactivation de Windows Copilot sur les postes de l’entreprise

Bonjour,

Dans le cadre de notre politique de protection des données et de maîtrise des fonctionnalités IA, la fonctionnalité Windows Copilot va être désactivée sur l’ensemble des postes gérés. Cette évolution n’impacte pas Copilot dans Microsoft Edge ni Copilot pour Microsoft 365, gérés séparément. Aucun impact applicatif attendu.

Merci,

— Équipe IT

Annexe B — Foire aux erreurs courantes

« Paramètre introuvable » : mettez à jour les ADMX/ADML en 23H2+ dans le Central Store, redémarrez la GPMC.
« La valeur existe mais l’icône est toujours là » : déconnectez/reconnectez la session utilisateur ; vérifiez les conflits de GPO et les politiques Edge.
« Le menu est en anglais » : installez la paire fr-FR .adml correspondante.
« Ça fonctionne sur certains DC seulement » : audit DFSR et cohérence du Central Store sur tous les contrôleurs.

Conclusion

La désactivation de Windows Copilot via GPO est fiable dès lors que le Central Store contient les ADMX Windows 11 23H2+. En quelques étapes (copie des modèles, réplication, GPO utilisateur, vérification), vous standardisez le comportement sur l’ensemble du domaine. Avec l’évolution des builds (24H2+), pensez à compléter par la gestion de l’application Copilot et de la touche matérielle — afin de conserver le niveau de contrôle attendu dans la durée.

Fiche mémo technique

Paramètre GPO : User Configuration → Administrative Templates → Windows Components → Windows Copilot → Turn off Windows Copilot = Enabled.
Registre : HKCU\Software\Policies\Microsoft\Windows\WindowsCopilot\TurnOffWindowsCopilot (DWORD 1).
MDM (CSP) : ./User/Vendor/MSFT/Policy/Config/WindowsAI/TurnOffWindowsCopilot = 1.
Pré‑requis : ADMX Windows 11 23H2+ en Central Store, réplication SYSVOL OK.