Domenico Caldarelli

Copilot su Windows ora si può rimuovere, ma la vera novità è il controllo centralizzato

Visualizzazioni: 40

C’è una frase che ogni amministratore IT ha imparato a temere: “È arrivato con un aggiornamento.”

Non perché gli aggiornamenti siano un problema in sé, ovviamente. Il problema nasce quando, insieme a una patch, a una nuova build o a un’esperienza “migliorata”, compare anche una nuova funzionalità che entra direttamente nell’ambiente di lavoro degli utenti.

Negli ultimi anni Microsoft Copilot è diventato uno degli esempi più evidenti di questa trasformazione. Non più una semplice funzionalità opzionale, non più soltanto un servizio web, ma un’esperienza sempre più integrata in Windows, Microsoft 365, Edge, Teams, Outlook e nel modo stesso in cui gli utenti interagiscono con i dati aziendali.

Ed è proprio qui che il tema diventa interessante.

Microsoft ha introdotto una nuova policy, RemoveMicrosoftCopilotApp, che permette agli amministratori di rimuovere l’app Microsoft Copilot dai dispositivi Windows gestiti. La policy è documentata all’interno del CSP WindowsAI e si applica a Windows 11 versione 25H2 con KB5083769 e successive, sulle edizioni Pro, Enterprise, Education e IoT Enterprise / IoT Enterprise LTSC.

La novità è importante, ma va letta correttamente.

Non significa che Copilot sparisca da Windows. Non significa che tutte le esperienze AI vengano disattivate. Non significa nemmeno che l’utente non possa reinstallare l’app.

Significa, però, una cosa molto concreta: Microsoft sta dando agli amministratori un controllo più esplicito su una componente AI che, in molti ambienti aziendali, non può essere trattata come una normale applicazione consumer.

E questa differenza è tutto.

Prima distinzione: quale Copilot?

Quando si parla di Copilot, il rischio è fare confusione.

Oggi esistono più esperienze, con nomi simili e implicazioni molto diverse:

  • Microsoft Copilot app, orientata all’esperienza consumer;
  • Microsoft 365 Copilot app;
  • Microsoft 365 Copilot Chat;
  • esperienze integrate in Windows;
  • funzionalità AI collegate a Copilot+ PC;
  • integrazioni in Outlook, Teams, Word, Excel e altri servizi Microsoft 365.

Microsoft stessa distingue l’app Copilot consumer dall’esperienza Microsoft 365 Copilot. La documentazione ufficiale chiarisce che l’app Microsoft Copilot consumer non supporta l’autenticazione con account Microsoft Entra: gli utenti che provano ad accedere con un account aziendale o scolastico vengono reindirizzati verso l’esperienza Microsoft 365 Copilot Chat.

Questo punto è fondamentale.

In un ambiente personale, Copilot può essere percepito come un assistente digitale in più. In un ambiente aziendale, invece, diventa parte della superficie di gestione dell’identità, dei dati, della compliance e della sicurezza.

Microsoft 365 Copilot, nella modalità “work”, può usare Microsoft Graph per personalizzare le risposte in base a e-mail, chat e documenti ai quali l’utente ha accesso. Microsoft sottolinea che Copilot mostra solo dati per cui l’utente dispone già dei permessi necessari, ma questo non elimina la necessità di governance: la rende ancora più importante.

Perché il problema non è solo “chi può leggere cosa”. Il problema è anche:

  • dove viene presentata l’informazione;
  • come viene aggregata;
  • quali dati vengono inclusi nelle risposte;
  • quali controlli DLP, retention, audit e classificazione sono realmente efficaci;
  • quale esperienza AI è autorizzata su un endpoint gestito.

La sicurezza, come sempre, non vive nei comunicati stampa. Vive nei dettagli di configurazione.

Cosa fa davvero la policy RemoveMicrosoftCopilotApp

La nuova impostazione RemoveMicrosoftCopilotApp consente di disinstallare l’app Microsoft Copilot dai dispositivi in modo mirato.

La policy può essere applicata sia a livello device sia a livello utente tramite CSP:

./User/Vendor/MSFT/Policy/Config/WindowsAI/RemoveMicrosoftCopilotApp

./Device/Vendor/MSFT/Policy/Config/WindowsAI/RemoveMicrosoftCopilotApp

Il valore previsto è di tipo intero:

0 = Removal Disabled

1 = Removal Enabled

Quando la policy è abilitata, l’app Microsoft Copilot viene rimossa dal dispositivo, ma l’utente può comunque reinstallarla se sceglie di farlo. Questo è un dettaglio importante: non siamo davanti a un blocco assoluto, ma a una rimozione gestita.

Inoltre, la policy si applica solo quando sono soddisfatte alcune condizioni:

  • Microsoft 365 Copilot e Microsoft Copilot sono entrambi installati;
  • l’app Microsoft Copilot non è stata installata manualmente dall’utente;
  • l’app Microsoft Copilot non è stata avviata negli ultimi 28 giorni.

Anche questo è significativo.

Microsoft non sta rimuovendo indiscriminatamente Copilot da qualsiasi macchina. Sta introducendo un meccanismo pensato per gli ambienti gestiti, dove l’app è presente ma non necessariamente usata, e dove l’organizzazione vuole evitare che componenti non necessarie restino installate sugli endpoint.

È un comportamento coerente con una logica di riduzione della superficie esposta: se un componente non serve, non deve necessariamente restare lì “perché tanto non dà fastidio”.

Perché questa novità interessa davvero gli amministratori

La parte più interessante non è la possibilità di rimuovere un’icona o un’app.

La vera notizia è che Microsoft sta spostando Copilot dentro il perimetro delle policy amministrative.

Per anni gli amministratori Windows hanno gestito funzionalità, applicazioni e componenti del sistema operativo attraverso strumenti familiari:

  • Group Policy;
  • Intune;
  • CSP;
  • AppLocker;
  • script PowerShell;
  • baseline di sicurezza;
  • controlli di compliance.

Con l’arrivo dell’AI integrata nel sistema operativo, lo stesso approccio deve essere applicato anche agli assistenti intelligenti.

Copilot non è Notepad. Non è Paint. Non è un’app qualunque installata “per comodità”. È un’interfaccia che può mediare l’accesso a contenuti aziendali, suggerire azioni, sintetizzare informazioni, interagire con dati presenti in Microsoft 365 e, in prospettiva, diventare sempre più integrata nel flusso operativo quotidiano.

Per questo la domanda corretta non è:

“Copilot è utile o no?”

La domanda corretta è:

“Quale Copilot vogliamo autorizzare, per quali utenti, su quali dispositivi, con quali dati e con quali controlli?”

È una domanda molto meno appariscente, ma decisamente più importante. Come spesso accade nell’IT, la parte noiosa è quella che evita gli incidenti interessanti.

Il vecchio “Turn off Windows Copilot” non basta più

Un altro punto da chiarire riguarda le policy precedenti.

Molti amministratori conoscono già l’impostazione TurnOffWindowsCopilot, usata per disabilitare Copilot o nascondere l’icona dalla barra delle applicazioni. Tuttavia, Microsoft indica che questa policy è deprecata e può essere rimossa in una futura release. La documentazione chiarisce anche che questa impostazione non è pensata per la nuova esperienza Copilot distribuita in alcune build e progressivamente portata sui dispositivi Windows.

Questo significa che continuare a ragionare solo con la vecchia policy può creare una falsa sensazione di controllo.

In pratica:

  • disabilitare un’esperienza non equivale sempre a rimuovere un’app;
  • nascondere un’icona non equivale a bloccare un componente;
  • una policy legacy potrebbe non essere sufficiente per governare le nuove esperienze Copilot;
  • la gestione moderna passa sempre più da CSP, Intune e Settings Catalog.

Microsoft, nella documentazione sull’esperienza Windows e Microsoft 365 Copilot Chat, indica anche che per prevenire l’installazione dell’app Copilot può essere usata una policy AppLocker, preferendola alla vecchia impostazione legacy “Turn Off Windows Copilot”.

Come gestirla con Microsoft Intune

Per gli ambienti gestiti con Intune, la strada più naturale è il Settings Catalog.

Microsoft ha aggiunto l’impostazione:

Windows AI > Remove Microsoft Copilot App

Questa policy permette di rimuovere l’app Microsoft Copilot dai dispositivi che rispettano le condizioni previste. Nelle note Intune viene indicato che la policy si applica quando Microsoft 365 Copilot e Microsoft Copilot sono entrambi installati, quando l’app non è stata installata dall’utente e quando non è stata aperta recentemente.

Un possibile approccio operativo è:

  1. creare un nuovo profilo di configurazione;
  2. scegliere Windows 10 and later;
  3. selezionare Settings catalog;
  4. cercare “Remove Microsoft Copilot App” nella categoria Windows AI;
  5. abilitare la policy;
  6. assegnarla a un gruppo pilota;
  7. verificare il comportamento su dispositivi Windows 11 25H2 aggiornati;
  8. estendere gradualmente il rollout.

Figura 1 – Intune Settings Picker

Figura 2 – Intune Create Profile

Come sempre, la parte importante non è cliccare “Enable”. La parte importante è sapere a chi applicare la policy.

In un tenant reale, infatti, potrebbero convivere:

  • utenti con licenza Microsoft 365 Copilot;
  • utenti senza licenza Copilot;
  • dispositivi condivisi;
  • dispositivi personali registrati;
  • dispositivi corporate enrolled;
  • utenti pilota;
  • utenti soggetti a vincoli normativi o di data handling più stringenti;
  • reparti che usano Copilot come strumento di produttività;
  • reparti dove l’AI generativa non è ancora autorizzata.

Una policy corretta non nasce mai nel vuoto. Nasce da un modello di governance.

Come intervenire con PowerShell

Per rimuovere manualmente l’app Microsoft Copilot da un profilo utente, Microsoft documenta l’utilizzo di PowerShell:

Questa modalità è utile per test, bonifiche puntuali o scenari non pienamente gestiti, ma non dovrebbe diventare la strategia principale in un ambiente enterprise.

Gli script sono comodi. Le policy sono governabili. La differenza si vede il giorno in cui bisogna spiegare cosa è successo su 3.000 endpoint.

Prevenire l’installazione con AppLocker

Per impedire l’installazione o l’esecuzione dell’app Copilot consumer, Microsoft indica anche l’uso di AppLocker.

La regola può essere basata sul publisher e sul package name:

Publisher: CN=MICROSOFT CORPORATION, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Package name: MICROSOFT.COPILOT

Package version: * and above

Figura 3 – AppLocker

Quando questa policy è abilitata, impedisce l’installazione dell’app consumer se non è già presente e ne blocca l’avvio se è già installata.

Questo approccio è più vicino a un vero controllo di esecuzione applicativa.

La policy RemoveMicrosoftCopilotApp rimuove l’app in condizioni specifiche. AppLocker può impedirne installazione o avvio.

Sono strumenti diversi, non sinonimi.

Sicurezza, privacy e DLP: perché la governance dell’AI non è opzionale

La discussione su Copilot non è puramente estetica. Non riguarda solo il fatto che un utente veda o meno un’icona nella taskbar.

Nel febbraio 2026 è emerso un bug relativo a Microsoft 365 Copilot Chat: secondo quanto riportato, Copilot avrebbe sintetizzato e-mail etichettate come “confidential” anche in presenza di policy DLP configurate per impedirlo. Il problema, tracciato come CW1226324, riguardava messaggi in Drafts e Sent Items, e Microsoft ha dichiarato di aver identificato e corretto il comportamento tramite aggiornamento di configurazione.

Questo episodio non significa che Copilot sia “insicuro” per definizione.

Significa qualcosa di più maturo: quando una piattaforma AI entra nei flussi documentali, nelle e-mail e nei dati aziendali, deve essere trattata come un componente critico dell’architettura informativa.

Serve quindi una governance fatta di:

  • classificazione dei dati;
  • sensitivity label;
  • Data Loss Prevention;
  • audit;
  • controllo delle app installate;
  • gestione dei permessi;
  • Conditional Access;
  • formazione degli utenti;
  • revisione periodica delle policy;
  • processo formale di abilitazione delle funzionalità AI.

Il punto non è bloccare l’innovazione. Il punto è evitare che questa entri dalla finestra mentre la governance sta ancora cercando le chiavi della porta.

Cosa verificare prima di abilitare la rimozione

Prima di distribuire la policy in produzione, conviene verificare alcuni elementi.

Versione di Windows

La policy RemoveMicrosoftCopilotApp è documentata per Windows 11 versione 25H2 con KB5083769 e successive. KB5083769 è l’aggiornamento cumulativo del 14 aprile 2026 per Windows 11 25H2 e 24H2 e include fix di sicurezza, miglioramenti qualitativi e aggiornamenti di componenti AI.

Edizione del sistema operativo

La policy è disponibile per:

  • Windows 11 Pro;
  • Windows 11 Enterprise;
  • Windows 11 Education;
  • Windows 11 IoT Enterprise;
  • Windows 11 IoT Enterprise LTSC.

Non è quindi una policy pensata per Windows Home.

Stato dell’app

La rimozione dipende anche dal modo in cui l’app è arrivata sul dispositivo. Se l’utente l’ha installata manualmente, il comportamento potrebbe non essere quello atteso.

Utilizzo recente

La documentazione del CSP indica che l’app non deve essere stata avviata negli ultimi 28 giorni. Questo evita che la policy rimuova automaticamente un’app effettivamente in uso dall’utente.

Strategia di reinstallazione

Poiché l’utente può reinstallare l’app, la sola rimozione non è sufficiente se l’obiettivo è impedirne l’uso. In quel caso serve valutare AppLocker o controlli equivalenti.

Una possibile strategia aziendale

Per gestire Copilot in modo sensato, suggerisco di non partire dalla tecnologia, ma da una matrice decisionale.

Scenario 1: Copilot non autorizzato

Se l’organizzazione non ha ancora approvato l’uso di Copilot:

  • rimuovere l’app dove possibile;
  • impedire reinstallazione o avvio con AppLocker;
  • bloccare accessi non autorizzati;
  • comunicare chiaramente agli utenti la policy aziendale sull’uso di AI generativa.

Scenario 2: Copilot autorizzato solo per alcuni gruppi

Se Copilot è in fase pilota:

  • abilitare solo gruppi selezionati;
  • documentare i casi d’uso;
  • monitorare adozione e rischi;
  • separare utenti pilota da popolazione generale;
  • evitare distribuzioni “a tappeto”.

Scenario 3: Copilot adottato formalmente

Se Copilot è parte della strategia aziendale:

  • definire baseline di configurazione;
  • integrare Purview, DLP e sensitivity label;
  • formare gli utenti;
  • verificare eccessi di permessi su SharePoint, OneDrive, Teams ed Exchange;
  • monitorare l’uso;
  • mantenere una procedura di disattivazione o rimozione.

La vera adozione dell’AI non consiste nell’attivare Copilot. Consiste nel sapere cosa succede dopo.

Conclusioni

La possibilità di rimuovere Microsoft Copilot dai dispositivi Windows aziendali non va letta come una retromarcia di Microsoft. Va letta come un segnale di maturazione. Copilot non è più soltanto una funzionalità da promuovere. È una componente da governare.

Per gli amministratori questo significa una cosa molto semplice: l’AI sugli endpoint entra ufficialmente nel perimetro delle policy, delle baseline, dei controlli applicativi e della gestione del rischio.

E questo è un bene. Perché in azienda l’innovazione non deve essere subita. Deve essere adottata, configurata, monitorata e, quando necessario, rimossa. Anche se si chiama Copilot. Anzi: soprattutto se si chiama Copilot.

Stay tuned!