Étiquettes de confidentialité protégées dans Fabric et Power BI
Les étiquettes protégées sont des étiquettes de confidentialité auxquelles sont associées des stratégies de protection des fichiers. Elles permettent de protéger les fichiers et les données. Une stratégie de protection des fichiers associée à une étiquette accorde des droits d'utilisation aux utilisateurs, notamment la possibilité d'ouvrir un fichier, de modifier un fichier, de copier à partir d'un fichier, etc. Lorsqu'une étiquette protégée est appliquée à un fichier ou à un élément, les utilisateurs inclus dans la stratégie peuvent effectuer les actions pour lesquelles ils disposent de droits d'utilisation dans le cadre de la stratégie des étiquettes. Une stratégie de protection des fichiers peut accorder à différents groupes d'utilisateurs des droits d'utilisation différents. En vertu de cette stratégie, un groupe d'utilisateurs peut par exemple se voir accorder le contrôle total du fichier, tandis qu'un autre groupe d'utilisateurs n'est autorisé qu'à l'ouvrir et à le consulter.
Disposer d'un ensemble d'étiquettes de confidentialité et de stratégies est une condition préalable à l'utilisation d'étiquettes de confidentialité dans Fabric et Power BI. Les étiquettes et leurs stratégies de protection des fichiers sont définies par les administrateurs de sécurité dans le portail de conformité Microsoft Purview. En général, le même ensemble d'étiquettes protégées est utilisé dans toute l'entreprise pour les applications Office comme Word, Excel et PowerPoint, ainsi que pour Fabric et Power BI.
Fonctionnement des étiquettes protégées dans Fabric et Power BI
Dans Fabric et le service Power BI, les étiquettes protégées contrôlent exclusivement la possibilité de modifier ou de supprimer les étiquettes sur les éléments. Elles ne contrôlent pas l’accès au contenu. Pour qu'un utilisateur puisse modifier ou supprimer une étiquette protégée d'un élément, il doit soit être l'utilisateur qui a appliqué l'étiquette de confidentialité (le propriétaire de RMS), soit remplir au moins l'une des conditions suivantes en matière de droits d'utilisation de l'étiquette :
- OWNER
- EXPORT
- EDIT et EDITRIGHTSDATA
la troisième option, EDIT et EDITRIGHTSDATA, se réduit à EDIT si l'étiquette de l'élément a été définie par un processus automatisé, tel que l'héritage à partir de sources de données ou de l'héritage en aval. Voir Assouplissements pour prendre en charge des scénarios d’étiquetage automatique pour plus de détails.
dans Power BI Desktop, les étiquettes protégées contrôlent non seulement la possibilité de modifier ou de supprimer l'étiquette protégée, mais aussi l'accès au contenu (affichage, édition, exportation, etc.). Les scénarios de collaboration avec des fichiers PBIX protégés peuvent donc être bloqués, car la plupart des utilisateurs ne disposeront probablement pas des droits d'utilisation suffisants pour ouvrir et modifier le fichier.
Imaginez par exemple que vous créez un rapport dans Power BI Desktop, puis vous y appliquez une étiquette protégée avant de partager le fichier PBIX avec un autre utilisateur. Il est très probable que l'utilisateur ne dispose pas des autorisations suffisantes pour ouvrir le fichier.
Ainsi, pour éviter cette situation et permettre à d'autres utilisateurs de travailler avec des fichiers PBIX protégés, l'administrateur de Fabric doit activer le paramètre client Augmentation du nombre d'utilisateurs qui peuvent modifier et republier des fichiers PBIX chiffrés (aperçu). Lorsque ce paramètre est activé, plus d'utilisateurs (cf. note) peuvent ouvrir, modifier et publier/republier des fichiers PBIX protégés, en tenant compte des restrictions suivantes :
- Ils ne peuvent pas les exporter vers des formats qui ne prennent pas en charge les étiquettes de confidentialité, comme les fichiers CSV.
- Ils ne peuvent pas modifier l’étiquette dans le fichier PBIX.
- Ils ne peuvent republier le fichier PBIX que dans l'espace de travail d'origine à partir duquel le fichier a été créé.
Remarque
Le fichier doit avoir été publié au moins une fois pour que d'autres utilisateurs puissent le republier dans cet espace de travail spécifique. Si le fichier n'a pas encore été publié, l'émetteur d'étiquette le plus récent (celui qui a récemment défini l'étiquette protégée) ou un utilisateur disposant de droits d'utilisation suffisants doit le publier, puis partager le fichier avec les autres éditeurs.
Ces restrictions garantissent que la sécurité du contenu est contrôlée par les personnes qui disposent d'autorisations suffisantes pour définir l'étiquette.
Remarque
Les utilisateurs doivent détenir tous les droits d'utilisation suivants dans le cadre de la stratégie des étiquettes :
- afficher le contenu (VIEW)
- modifier le contenu (DOCEDIT)
- enregistrer (MODIFIER)
- copier et extraire du contenu (EXTRACT)
- autoriser les macros (OBJMODEL)
Ces droits d'utilisation constituent un sous-ensemble des autorisations de co-édition prédéfinies dans le portail de conformité Microsoft Purview.
En outre, le commutateur de la fonctionnalité d'évaluation Prise en charge des utilisateurs moins élevés dans Power BI Desktop doit être sélectionné. Pour plus d'informations, consultez la section Commutation de la fonctionnalité d'évaluation dans Desktop pour la modification par des utilisateurs disposant d'autorisations de sensibilité restrictives.
Assouplissements pour prendre en charge des scénarios d’étiquetage automatique
Fabric et Power BI prennent en charge plusieurs fonctionnalités, comme l'héritage d'étiquettes à partir de sources de données et l'héritage en aval, qui appliquent automatiquement des étiquettes de confidentialité au contenu. Ces scénarios automatisés peuvent entraîner des situations dans lesquelles aucun utilisateur n’a été défini comme émetteur d’étiquette RMS pour une étiquette sur un élément. Cela signifie qu'aucun utilisateur n'est assuré de pouvoir modifier ou supprimer l'étiquette.
Dans de tels cas, les exigences en matière de droits d’utilisation pour modifier ou supprimer l’étiquette sont assouplies. Un utilisateur n’a donc besoin que de l’un des droits d’utilisation suivants pour pouvoir modifier ou supprimer l’étiquette :
- OWNER
- EXPORT
- EDITION
Si aucun utilisateur ne dispose de ces droits d’utilisation, personne ne peut modifier ou supprimer l’étiquette de l’élément, et l’accès à l’élément est potentiellement menacé.
Pour éviter cette situation, l'administrateur Fabric peut activer le paramètre client Autoriser les administrateurs d'espace de travail à remplacer automatiquement les étiquettes de confidentialité appliquées. Les administrateurs d’espace de travail peuvent ainsi remplacer automatiquement les étiquettes de confidentialité appliquées, sans tenir compte des règles d’application des modifications d’étiquette.
Pour activer ce paramètre, accédez à : Portail administration > Paramètres client > Protection des informations, puis activez le bouton bascule sur le paramètre Autoriser les administrateurs de l’espace de travail à remplacer automatiquement les étiquettes de confidentialité appliquées.