Protection des informations dans Microsoft Fabric
La protection des informations dans Fabric et Power BI permet aux organisations de classer et de protéger leurs données sensibles à l’aide d’étiquettes de confidentialité et de stratégies de Microsoft Purview Information Protection. En outre, Fabric et Power BI offrent des fonctionnalités supplémentaires pour aider les organisations à bénéficier d’une couverture d’étiquette de confidentialité maximale et à gérer et à régir leurs données sensibles.
Cet article décrit les fonctionnalités de protection des informations de Fabric et Power BI . Vous trouverez plus d’informations sur la prise en charge actuelle dans la section considérations et limitations.
Exigences
Une licence appropriée pour Microsoft Purview Information Protection.
Remarque
Si votre organisation utilise des étiquettes de confidentialité Azure Information Protection, elles doivent être migrées vers la plateforme d’étiquetage unifiée Microsoft Purview Information Protection pour qu’elles soient utilisées dans Fabric. En savoir plus sur la migration d’étiquettes de confidentialité.
Pour pouvoir appliquer des étiquettes à des éléments Power BI, un utilisateur doit disposer d’une licence Power BI Pro ou Premium par utilisateur (PPU) en plus des licences nécessaires pour Microsoft Purview Information Protection.
Les applications Office ont leurs propres exigences de licence pour afficher et appliquer des étiquettes de confidentialité.
Avant d’activer les étiquettes de confidentialité sur votre locataire, assurez-vous que les étiquettes de confidentialité ont été définies et publiées pour les utilisateurs et groupes pertinents. Pour plus d’informations, consultez Créer et configurer des étiquettes de confidentialité et leurs stratégies.
Les clients en Chine doivent activer la gestion des droits pour le locataire et ajouter le principe du service Microsoft Purview Information Protection Sync Service, comme décrit dans les étapes 1 et 2 sous Configurer Azure Information Protection pour les clients en Chine.
L’utilisation d’étiquettes de confidentialité dans Power BI Desktop nécessite la version de décembre 2020 ou une version ultérieure.
Remarque
Si vous essayez d’ouvrir un fichier .pbix protégé avec une version de Bureau antérieure à décembre 2020, il échoue et vous êtes invité à mettre à niveau votre version de Bureau.
Contrôle d’accès
Les étiquettes de confidentialité peuvent appliquer le contrôle d’accès à Fabric et aux données et au contenu Power BI dans les cas suivants :
Dans le locataire où les étiquettes de confidentialité ont été appliquées. Ce scénario s'appuie sur des libellés de sensibilité qui sont associés aux stratégies de protection Microsoft Purview. Lorsqu'un utilisateur s'est connecté au locataire Fabric où les étiquettes ont été appliquées et tente d'accéder à un élément qui a une étiquette associée à une stratégie de protection, son accès est contrôlé par cette stratégie de protection. Pour plus d'informations, consultez les politiques de protection dans Microsoft Fabric (préversion) .
Dans les fichiers Power BI Desktop (.pbix). Ce scénario s’appuie sur des étiquettes de confidentialité associées aux politiques de publication de Microsoft Purview . Lorsqu’un utilisateur tente d’ouvrir un fichier .pbix qui a une étiquette de confidentialité associée à une stratégie de publication, son accès dépend des autorisations dont il dispose dans cette stratégie. Consultez Restreindre l’accès au contenu à l’aide d’étiquettes de sensibilité pour appliquer le chiffrement.
Dans les chemins d’exportation pris en charge. Ce scénario s’appuie sur des étiquettes de confidentialité associées aux stratégies de publication Microsoft Purview. Lorsqu’un utilisateur tente d’ouvrir un fichier généré via l’un des chemins d’exportation pris en charge, son accès dépend des autorisations dont il dispose dans cette stratégie. Consultez pour restreindre l'accès au contenu en utilisant des étiquettes de confidentialité afin d'appliquer le chiffrement.
Important
Le contrôle d’accès dans tous les autres scénarios n’est pas pris en charge. Cela inclut des scénarios interlocataires, tels que partage de données externes, où les données sont accessibles à partir d’un autre locataire ou d’autres chemins d’exportation, tels que l’exportation vers des fichiers .csv ou des fichiers .txt.
Chemins d’exportation pris en charge
Les étiquettes de confidentialité et le contrôle d’accès qu’ils appliquent (s’ils sont associés à une stratégie de publication Microsoft Purview) restent avec des données et du contenu qui quittent Fabric et Power BI dans les chemins d’exportation suivants :
Exporter vers Excel, fichiers PDF et PowerPoint.
Analysez dans Excel à partir de Fabric, ce qui déclenche le téléchargement d’un fichier Excel avec une connexion active à un modèle sémantique Power BI.
Tableau croisé dynamique dans Microsoft Excel avec une connexion active à un modèle sémantique Power BI, pour les utilisateurs de Microsoft 365 E3 et les versions ultérieures.
Téléchargez un fichier Power BI Desktop (.pbix) à partir de Fabric.
Fonctionnalités
Le tableau suivant récapitule les fonctionnalités de protection des informations dans Fabric qui vous aident à obtenir une couverture maximale des informations sensibles dans votre organisation. La prise en charge de Fabric est indiquée dans la troisième colonne. Pour plus d’informations, consultez les sections dans Considérations et limitations.
| Fonctionnalité | Scénario | État de la prise en charge |
|---|---|---|
| Étiquetage manuel | Les utilisateurs peuvent appliquer manuellement des étiquettes sensibles aux éléments de Fabric | Pris en charge pour tous les éléments Fabric. |
| Étiquetage par défaut | Lorsqu’un élément est créé ou modifié, il obtient une étiquette de confidentialité par défaut, sauf si une étiquette est appliquée autrement. | Pris en charge pour tous les éléments Fabric, avec des limitations. |
| Étiquetage obligatoire | Les utilisateurs ne peuvent pas enregistrer des éléments, sauf si une étiquette de confidentialité est appliquée à l’élément. Cela signifie qu’ils ne peuvent pas non plus supprimer une étiquette. | Actuellement entièrement pris en charge pour les éléments Power BI uniquement. Pris en charge pour certains éléments hors Power BI Fabric, avec des limitations. |
| Étiquetage par programmation | Les étiquettes de confidentialité peuvent être ajoutées, modifiées ou supprimées de manière programmatique via les API REST d’administration Power BI. | Pris en charge pour tous les éléments Fabric. |
| Héritage en aval | Lorsqu’une étiquette de confidentialité est appliquée à un élément, l’étiquette se propage en aval à tous les éléments dépendants. | Pris en charge pour tous les éléments Fabric, avec des limitations. |
| Héritage lors de la création | Lorsque vous créez un élément à partir d’un élément existant, celui-ci hérite de l’étiquette de l’élément existant. | Pris en charge pour tous les éléments Power BI Fabric. Pris en charge pour certains éléments hors Power BI Fabric, comme décrit dans les considérations et limitations. |
| Héritage à partir de sources de données | Lorsqu’un élément Fabric ingère des données à partir d’une source de données ayant une étiquette de confidentialité, cette étiquette est appliquée à l’élément Fabric. L’étiquette se propage ensuite en aval aux éléments enfants de cet élément Fabric via l’héritage en aval. | Actuellement pris en charge pour les modèles sémantiques Power BI uniquement. |
| Exporter | Lorsqu’un utilisateur exporte des données à partir d’un élément ayant une étiquette de confidentialité, cette dernière est transférée avec l’élément dans le format exporté. | Actuellement pris en charge pour les éléments Power BI dans les chemins d’exportation pris en charge. |
Considérations et limitations
Étiquetage manuel
Lorsque vous activez les étiquettes de confidentialité sur votre locataire, vous spécifiez quels utilisateurs peuvent appliquer des étiquettes de confidentialité. Bien que les autres fonctionnalités de protection des informations décrites dans cet article puissent garantir que la plupart des éléments sont étiquetés sans qu’une personne ait à appliquer manuellement une étiquette, l’étiquetage manuel permet aux utilisateurs de modifier les étiquettes sur les éléments. Pour plus d’informations sur l’application manuelle d’étiquettes de confidentialité aux éléments Fabric, consultez Comment appliquer des étiquettes de confidentialité.
Remarque
Pour qu'un utilisateur puisse appliquer des étiquettes de sensibilité aux éléments Fabric, il ne suffit pas de simplement inclure l'utilisateur dans la liste des utilisateurs spécifiés. L’étiquette de confidentialité doit également être publiée à l’utilisateur dans le cadre des définitions de stratégie de l’étiquette dans le centre de conformité Microsoft Purview. Pour plus d’informations, voir Créer et configurer les étiquettes de confidentialité et leurs stratégies.
Étiquetage par défaut
L’étiquetage par défaut est entièrement pris en charge dans Power BI et est décrit dans Stratégie d’étiquette par défaut pour Power BI. Dans Fabric, il existe certaines limitations.
Lorsqu’un élément autre que Power BI Fabric est créé, s’il existe une boîte de dialogue de création claire et substantielle, l’étiquette de confidentialité par défaut est appliquée à l’élément si l’utilisateur ne choisit pas d’étiquette. Si l’élément est créé dans un processus où il n’existe pas de boîte de dialogue de création claire, l’étiquette par défaut n’est pas appliquée.
Lorsqu'un élément Fabric sans étiquette est mis à jour, si l'élément est un élément Power BI, une modification de l'un de ses attributs entraîne l'application de l'étiquette par défaut si l'utilisateur n'applique pas d'étiquette. Si l’élément est un élément non Power BI Fabric, seules les modifications apportées à certains attributs, tels que le nom et la description, entraînent l’application de l’étiquette par défaut. De plus, cela est seulement possible si la modification est apportée dans le menu volant de l’élément. Pour les modifications apportées à l’interface d’expérience, l’étiquetage par défaut n’est actuellement pas pris en charge.
Étiquetage obligatoire
L’étiquetage obligatoire est actuellement pris en charge pour les éléments Power BI uniquement. L’étiquetage obligatoire n’est pas appliqué si des modifications sont apportées via le menu volant.
Pour les Lakehouses, les pipelines et les entrepôts de données : en supposant que la protection des informations est activée, si l'étiquetage obligatoire est activé et que l'étiquetage par défaut est désactivé, il sera possible pour l'utilisateur de sélectionner une étiquette. Toutefois, la logique d’étiquetage obligatoire n’est pas appliquée. Cela signifie que l'utilisateur peut enregistrer l'élément sans étiquette, sauf si l'expérience elle-même nécessite la définition d'une étiquette.
Pour plus d’informations sur l’étiquetage obligatoire, consultez Stratégie d’étiquette obligatoire pour Fabric et Power BI.
Étiquetage par programmation
L’étiquetage par programmation est pris en charge pour tous les éléments Fabric. Pour plus d’informations, consultez Définir ou supprimer des étiquettes de confidentialité à l’aide des API d’administration REST Power BI.
Héritage en aval
L’héritage en aval est activé par défaut. Il est pris en charge dans Fabric comme suit :
Pris en charge :
- Élément Power BI vers élément Power BI
- Élément Fabric vers élément Fabric
- Élément Fabric vers élément Power BI
Non pris en charge :
- Élément Power BI vers élément Fabric
Les éléments générés automatiquement à partir d’un Lakehouse ou d’un entrepôt de données prennent leur étiquette de sensibilité de leur Lakehouse ou entrepôt de données parent. Ils n’héritent pas de l’étiquette des éléments plus en amont.
Pour plus d’informations sur l’héritage en aval, consultez Héritage en aval de l’étiquette de confidentialité.
Héritage lors de la création
L’héritage lors de la création est pris en charge pour les éléments Power BI Fabric et dans d’autres scénarios avec des éléments hors Power BI où un élément est créé à partir d’un autre élément :
- Un pipeline créé à partir d’un Lakehouse hérite de l’étiquette de confidentialité du Lakehouse.
- Un notebook créé à partir d’un Lakehouse hérite de l’étiquette de confidentialité du Lakehouse.
- Un raccourci Lakehouse créé à partir d’un Lakehouse hérite de l’étiquette de confidentialité du Lakehouse.
- Un pipeline créé à partir d’un notebook hérite de l’étiquette de confidentialité du notebook.
- Un ensemble de requêtes KQL créé à partir d’une base de données KQL hérite de l’étiquette de confidentialité de la base de données KQL.
- Un pipeline créé à partir d’une base de données KQL hérite de l’étiquette de confidentialité de la base de données KQL.
Pour plus d’informations sur l’héritage en aval, consultez Héritage d’étiquette de confidentialité lors de la création d’un nouveau contenu.
Héritage à partir de sources de données
L’héritage des sources de données est actuellement pris en charge uniquement pour les modèles sémantiques Power BI. Pour plus d’informations, consultez Héritage d’étiquettes de confidentialité à partir de sources de données.
Exporter
L’héritage des étiquettes de confidentialité lors de l’exportation n’est pris en charge que pour les éléments Power BI dans les chemins d’exportation pris en charge. Actuellement, aucune autre expérience Fabric n’utilise une méthode d’exportation qui transfère l’étiquette de confidentialité à la sortie exportée. Toutefois, s’ils exportent un élément qui a une étiquette de confidentialité, un avertissement est émis.
Pour voir les chemins d’exportation pris en charge pour les éléments Power BI, consultez Chemins d’exportation pris en charge dans Power BI.