Partager via


Partager vos données et gérer les autorisations

S'applique à :Entrepôt et Base de données miroir dans Microsoft Fabric

Le partage est un moyen pratique de fournir aux utilisateurs un accès en lecture à vos données pour une consommation en aval. Le partage permet aux utilisateurs en aval de votre organisation de consommer un entrepôt à l’aide de T-SQL, Spark ou Power BI. Vous pouvez personnaliser le niveau d’autorisations accordé au destinataire partagé pour fournir le niveau d’accès approprié.

Remarque

Vous devez être administrateur ou membre de votre espace de travail pour partager un élément dans Microsoft Fabric.

Démarrage

Après avoir identifié l’élément d’entrepôt que vous souhaitez partager avec un autre utilisateur dans votre espace de travail Fabric, sélectionnez l’action rapide dans la ligne pour partager un entrepôt.

Le gif animé suivant passe en revue les étapes permettant de sélectionner un entrepôt à partager, de sélectionner les autorisations à attribuer, et enfin d’accorder les autorisations à un autre utilisateur.

Gif animé montrant l’interaction avec le portail Fabric où un utilisateur partage un entrepôt dans Microsoft Fabric avec un autre utilisateur.

Partager un entrepôt

  1. Vous pouvez partager votre Entrepôt à partir de l'élément OneLake ou Entrepôt en choisissant Partager à partir de l'action rapide, comme le montre l'image suivante.

  2. Vous êtes invité à choisir les personnes avec lesquelles vous souhaitez partager l’entrepôt, les autorisations à leur accorder et si elles seront averties par e-mail.

  3. Renseignez tous les champs obligatoires et sélectionnez Accorder l’accès.

  4. Lorsque le destinataire partagé reçoit l’e-mail, il peut sélectionner Ouvrir et accéder à la page du catalogue OneLake de l’entrepôt.

    Capture d’écran montrant la notification par e-mail d’un entrepôt partagé envoyée à l’utilisateur partagé.

  5. En fonction du niveau d’accès accordé au destinataire partagé, celui-ci peut désormais se connecter au point de terminaison d’analytique SQL, interroger l’entrepôt, générer des rapports ou lire des données par le biais de Spark.

Rôles de sécurité Fabric

Voici plus de détails sur chacune des autorisations fournies :

  • Si aucune autorisation supplémentaire n’est sélectionnée : le destinataire partagé par défaut reçoit l’autorisation « Lecture », qui permet uniquement au destinataire de se connecter au point de terminaison d’analytique SQL, ce qui équivaut aux autorisations CONNECT dans SQL Server. Le destinataire partagé ne sera pas en mesure d’interroger une table ou d’afficher ou d’exécuter une fonction ou une procédure stockée, sauf s’il dispose d’un accès aux objets dans l’entrepôt à l’aide de l’instruction T-SQL GRANT.

Conseil

ReadData (utilisée par l’entrepôt pour les autorisations T-SQL), ReadAll (utilisée par OneLake et le point de terminaison d’analytique SQL) et Build (utilisée par Power BI) sont des autorisations distinctes qui ne se chevauchent pas.

  • « Lire toutes les données en utilisant SQL » est sélectionné (autorisations « ReadData ») : le destinataire partagé peut lire tous les objets dans l’entrepôt. ReadData équivaut au rôle de db_datareader dans SQL Server. Le destinataire partagé peut lire les données de toutes les tables et vues de l’entrepôt. Si vous souhaitez restreindre davantage et fournir un accès granulaire à certains objets de l’entrepôt, vous pouvez le faire à l’aide des instructions T-SQL GRANT/REVOKE/DENY.

    • Dans le point de terminaison d’analytique SQL du Lakehouse, « Lire toutes les données de point de terminaison SQL » équivaut à « Lire toutes les données à l’aide de SQL ».
  • « Lire toutes les données à l’aide d’Apache Spark » est sélectionné (autorisations « ReadAll ») : le destinataire partagé dispose d’un accès en lecture aux fichiers parquet sous-jacents dans OneLake, qui peuvent être consommés à l’aide de Spark. ReadAll doit être fourni uniquement si le destinataire partagé souhaite un accès complet aux fichiers de votre entrepôt à l’aide du moteur Spark.

  • La case « Générer des rapports sur le jeu de données par défaut » est sélectionnée (autorisations « Générer ») : le destinataire partagé peut générer des rapports à partir du modèle sémantique par défaut connecté à votre Entrepôt. Build doit être fourni si le destinataire partagé souhaite obtenir des autorisations de génération sur le modèle sémantique par défaut pour créer des rapports Power BI sur ces données. La case Build est cochée par défaut, mais peut être décochée.

Autorisations ReadData

Avec les autorisations ReadData, le destinataire partagé peut ouvrir l’éditeur d’entrepôt en mode lecture seule et interroger les tables et les vues dans l’entrepôt. Le destinataire partagé peut également choisir de copier le point de terminaison d’analytique SQL fourni et de se connecter à un outil client pour exécuter ces requêtes.

Autorisations ReadAll

Un destinataire partagé disposant des autorisations ReadAll peut trouver le chemin d’accès du Azure Blob File System (ABFS) vers le fichier spécifique dans OneLake à partir du volet Propriétés dans l’éditeur d’entrepôt. Le destinataire partagé peut ensuite utiliser ce chemin dans le Notebook Spark pour lire ces données.

Par exemple, dans la capture d’écran suivante, un utilisateur disposant des autorisations ReadAll peut interroger les données dans FactSale avec une requête Spark dans un nouveau notebook.

Capture d’écran du portail Fabric montrant un utilisateur qui ouvre un notebook Spark pour interroger le raccourci Warehouse.

Autorisations de la build

Avec les autorisations Build, le destinataire partagé peut créer des rapports basé sur le modèle sémantique par défaut connecté à l’entrepôt. Le destinataire partagé peut créer des rapports Power BI à partir du catalogue OneLake ou faire de même avec Power BI Desktop.

Gérer les autorisations

La page Gérer les autorisations affiche la liste des utilisateurs auxquels l’accès a été accordé par l’attribution de rôles dans l’espace de travail ou d’autorisations des éléments.

Si vous êtes membre des rôles d’espace de travail Administrateur ou Membre, accédez à votre espace de travail et sélectionnez Autres options. Ensuite, sélectionnez Gérer les autorisations.

Capture d’écran montrant un utilisateur sélectionnant Gérer les autorisations dans le menu contextuel de l’entrepôt.

Pour les utilisateurs auxquels ont été attribués des rôles d’espace de travail, vous verrez l’utilisateur, le rôle d’espace de travail et les autorisations correspondants. Les membres des rôles d’espace de travail Administrateur, Membre et Contributeur ont un accès en lecture/écriture aux éléments de cet espace de travail. Les visiteurs disposent des autorisations ReadData et peuvent interroger toutes les tables et vues dans l’entrepôt de cet espace de travail. Les autorisations des éléments Read, ReadData et ReadAll peuvent être fournies aux utilisateurs.

Capture d’écran montrant la page Gérer les autorisations de l’entrepôt dans le portail Fabric.

Vous pouvez choisir d’ajouter ou de supprimer des autorisations à l’aide de Gérer les autorisations.

  • Supprimer l’accès supprime toutes les autorisations des éléments.
  • Supprimer ReadData supprime les autorisations ReadData.
  • Supprimer ReadAll supprime les autorisations ReadAll.
  • Supprimer Build supprime les autorisations Build sur le modèle sémantique par défaut correspondant.

Capture d’écran montrant un utilisateur supprimant l’autorisation ReadAll d’un destinataire partagé.

Fonctionnalités de protection des données

L’entrepôt de données Microsoft Fabric prend en charge plusieurs technologies que les administrateurs peuvent utiliser pour protéger les données sensibles contre tout affichage non autorisé. En sécurisant ou en masquant les données des utilisateurs ou rôles non autorisés, ces fonctionnalités de sécurité peuvent assurer la protection des données dans un entrepôt et dans un point de terminaison d’analytique SQL sans avoir à modifier l’application.

Limites

  • Si vous fournissez des autorisations d’éléments ou supprimez des utilisateurs qui disposaient précédemment d’autorisations, la propagation des autorisations peut prendre jusqu’à deux heures. Les nouvelles autorisations sont visibles immédiatement dans Gérer les autorisations. Reconnectez-vous pour vérifier que les autorisations sont reflétées dans votre point de terminaison d’analytique SQL.
  • Les destinataires partagés peuvent accéder à l’entrepôt à l’aide de l’identité du propriétaire (mode délégué). Vérifiez que le propriétaire de l’entrepôt n’est pas supprimé de l’espace de travail.
  • Les destinataires partagés ont uniquement accès à l’entrepôt qu’ils reçoivent et non à tout autre élément au sein du même espace de travail que l’entrepôt. Si vous souhaitez accorder des autorisations à d’autres utilisateurs de votre équipe pour collaborer sur l’entrepôt (accès en lecture et en écriture), ajoutez-les en tant que rôles d’espace de travail, tels que Membre ou Contributeur.
  • Actuellement, lorsque vous partagez un entrepôt et choisissez Lire toutes les données utilisant SQL, le destinataire partagé peut accéder à l’éditeur d’entrepôt en mode lecture seule. Ces destinataires partagés peuvent créer des requêtes, mais ne peuvent pas actuellement enregistrer leurs requêtes.
  • Actuellement, le partage d’un entrepôt n’est disponible que par le biais de l’expérience utilisateur.
  • Si vous souhaitez fournir un accès granulaire à des objets spécifiques dans l’entrepôt, partagez l’entrepôt sans autorisations supplémentaires, puis fournissez un accès granulaire à des objets spécifiques à l’aide de l’instruction GRANT T-SQL. Consultez Syntaxe T-SQL pour plus d’informations sur les instructions GRANT, REVOKE et DENY.
  • Si vous voyez que les autorisations ReadAll et ReadData sont désactivées dans la boîte de dialogue de partage, actualisez la page.
  • Les destinataires partagés n’ont pas l’autorisation de partager à nouveau un entrepôt.
  • Si un rapport basé sur l’entrepôt est partagé avec un autre destinataire, le destinataire partagé a besoin de plus d’autorisations pour accéder au rapport. Cela dépend du mode d’accès au modèle sémantique par Power BI :
    • Si vous y accédez via le mode requête directe, les autorisations ReadData (ou les autorisations SQL granulaires pour des tables/vues spécifiques) doivent être fournies à l’entrepôt.
    • Si vous y accédez via le mode Direct Lake, les autorisations ReadData (ou les autorisations granulaires pour des tables/vues spécifiques) doivent être fournies à l’entrepôt. Le mode Direct Lake est le type de connexion par défaut des modèles sémantiques qui utilisent un entrepôt ou un point de terminaison d’analytique SQL comme source de données. Pour plus d’informations, consultez Mode Direct Lake.
    • Si vous y accédez via le mode importation , aucune autorisation supplémentaire n’est nécessaire.
    • Actuellement, le partage d’un entrepôt directement avec un SPN n’est pas pris en charge.