Stratégies de protection dans Microsoft Fabric (préversion)
Les stratégies de contrôle d’accès de la protection Microsoft Purview (stratégies de protection) permettent aux organisations de contrôler l’accès aux éléments de Fabric à l’aide d’étiquettes de confidentialité.
Cet article s’adresse aux administrateurs chargés de la sécurité et de la conformité, aux administrateurs et aux utilisateurs de Fabric, ainsi qu’à toute personne souhaitant découvrir comment les stratégies de protection contrôlent l’accès aux éléments de Fabric. Si vous souhaitez voir comment créer une stratégie de protection pour Fabric, consultez Créer et gérer des stratégies de protection pour Fabric (préversion).
Remarque
L’ajout de principaux de service aux stratégies de protection n’est pas pris en charge actuellement via le portail Microsoft Purview. Pour activer des principaux de service pour accéder aux éléments protégés par une stratégie de protection, vous pouvez les ajouter à la stratégie via une cmdlet PowerShell. Ouvrez un ticket de support pour accéder à la cmdlet.
Notez que si vous n’ajoutez pas de principaux de service à la liste autorisée d’utilisateurs, l’accès des principaux de service ayant actuellement accès aux données sera refusé, ce qui entraînera éventuellement l’arrêt de votre application. Par exemple, les principaux de service peuvent être utilisés pour l’authentification d’application pour accéder aux modèles sémantiques.
Comment fonctionnent les stratégies de protection pour Fabric ?
Chaque stratégie de protection pour Fabric est associée à une étiquette de confidentialité. La stratégie contrôle l’accès à un élément qui a l’étiquette associée en autorisant les utilisateurs et les groupes spécifiés dans la stratégie à conserver les autorisations dont ils disposent sur l’élément, tout en bloquant l’accès pour tous les autres utilisateurs. La stratégie peut :
Autoriser les utilisateurs et les groupes spécifiés à conserver l’autorisation de lecture sur les éléments étiquetés s’ils la possèdent déjà. Toutes les autres autorisations dont ils disposent sur l’élément sont supprimées.
et/ou
Autoriser les utilisateurs et les groupes spécifiés à conserver le contrôle total sur l’élément étiqueté s’ils l’ont, ou à conserver les autorisations dont ils disposent.
Comme mentionné, la stratégie bloque l’accès à l’élément pour tous les utilisateurs et groupes qui ne sont pas spécifiés dans la stratégie.
Remarque
Une stratégie de protection ne s’applique pas à un émetteur d’étiquette. Autrement dit, l’utilisateur qui a appliqué pour la dernière fois une étiquette associée à une stratégie de protection à un élément peut accéder à cet élément, même s’il n’est pas spécifié dans la stratégie. Par exemple, si une stratégie de protection est associée à l’étiquette A et qu’un utilisateur applique l’étiquette A à un élément, cet utilisateur pourra accéder à l’élément même s’il n’est pas spécifié dans la stratégie.
Cas d’utilisation
Voici des exemples d’utilisation des stratégies de protection :
- Une organisation souhaite que seuls les utilisateurs de l’organisation puissent accéder aux éléments étiquetés « Confidentiel ».
- Une organisation souhaite que seuls les utilisateurs du service financier puissent modifier les éléments de données étiquetés « Données financières », tout en permettant à d’autres utilisateurs de l’organisation de pouvoir lire ces éléments.
Qui crée des stratégies de protection pour Fabric ?
Les stratégies de protection pour Fabric sont généralement configurées par les équipes de sécurité et de conformité Purview d’une organisation. Le créateur de la stratégie de protection doit avoir le rôle Administrateur Information Protection ou un rôle supérieur. Pour plus d’informations, consultez Créer et gérer des stratégies de protection pour Fabric (préversion).
Spécifications
Une licence Microsoft 365 E3/E5 est requise pour les étiquettes de confidentialité de Protection des données Microsoft Purview. Pour plus d’informations, consultez Protection des données Microsoft Purview : étiquetage de confidentialité.
Au moins une étiquette de confidentialité « correctement configurée » de Protection des données Microsoft Purview doit exister dans le locataire. « Correctement configurée » dans le contexte des stratégies de protection pour Fabric signifie que lorsque l’étiquette a été configurée, elle a incluse dans l’étendue de Fichiers et autres ressources de données. En outre, ses paramètres de protection ont été définis pour inclure l’Accès au contrôle (pour plus d’informations sur la configuration des étiquettes de confidentialité, consultez Créer et configurer des étiquettes de confidentialité et leurs stratégies). Seules ces étiquettes de confidentialité « correctement configurées » peuvent être utilisées pour créer les stratégies de protection pour Fabric.
Pour que les stratégies de protection soient appliquées dans Fabric, le paramètre client Fabric Permettre aux utilisateurs d’appliquer des étiquettes de confidentialité pour le contenu doit être activé. Ce paramètre est requis pour l’application de toutes les stratégies associées aux étiquettes de confidentialité dans Fabric. Par conséquent, si les étiquettes de confidentialité sont déjà utilisées dans Fabric, ce paramètre est déjà activé. Pour plus d’informations sur l’activation des étiquettes de confidentialité dans Fabric, consultez Activer les étiquettes de confidentialité.
Types d’éléments pris en charge
Les stratégies de protection sont prises en charge pour tous les types d’éléments Fabric natifs et pour les modèles sémantiques Power BI. Tous les autres types d’éléments Power BI ne sont actuellement pas pris en charge.
Observations et limitations
L’ajout de principaux de service aux stratégies de protection n’est pas pris en charge actuellement via le portail Microsoft Purview. Pour activer des principaux de service pour accéder aux éléments protégés par une stratégie de protection, vous pouvez les ajouter à la stratégie via une cmdlet PowerShell. Ouvrez un ticket de support pour accéder à la cmdlet.
Notez que si vous n’ajoutez pas de principaux de service à la liste autorisée d’utilisateurs, l’accès des principaux de service ayant actuellement accès aux données sera refusé, ce qui entraînera éventuellement l’arrêt de votre application. Par exemple, les principaux de service peuvent être utilisés pour l’authentification d’application pour accéder aux modèles sémantiques.
Avec les stratégies de protection pour Fabric, il ne peut y avoir qu’une seule étiquette par stratégie de protection et une seule stratégie de protection par étiquette. Toutefois, les étiquettes utilisées dans les stratégies de protection peuvent être associées à des stratégies d’étiquettes de confidentialité régulières.
Jusqu’à 50 stratégies de protection peuvent être créées.
Jusqu’à 100 utilisateurs et groupes peuvent être ajoutés à une stratégie de protection.
Les stratégies de protection pour Fabric ne prennent pas en charge les utilisateurs invités/externes.
Les pipelines ALM ne fonctionnent pas dans les scénarios où un utilisateur crée un pipeline ALM dans un espace de travail qui contient un élément protégé par une stratégie de protection qui n’inclut pas l’utilisateur.
Une fois qu’une stratégie a été créée, la détection et la protection des éléments étiquetés avec l’étiquette de confidentialité associée à la stratégie peuvent prendre jusqu’à 30 minutes.