Partager via

Héritage en aval de l’étiquette de sensibilité

  • Article

Lorsqu'une étiquette de confidentialité est appliquée à un modèle sémantique ou à un rapport dans le service Power BI, il est possible que l'étiquette se propage et soit appliquée au contenu créé à partir de ce modèle sémantique ou de ce rapport. Pour les modèles sémantiques, cela signifie d’autres modèles sémantiques, rapports et tableaux de bord. Pour les rapports, cela signifie des tableaux de bord. Cette fonctionnalité est appelée héritage en aval.

La transmission des paramètres en aval est un lien critique dans la solution de protection des informations de bout en bout de Power BI. Avec héritage à partir de sources de données, héritage lors de la création d’un nouveau contenu, héritage lors de l’exportation vers lede fichiers et d’autres fonctionnalités pour appliquer des étiquettes de confidentialité, l’héritage en aval permet de garantir que les données sensibles restent protégées tout au long de son parcours via Power BI, de la source de données au point de consommation.

L'héritage en aval est illustré à l'aide de la vue lignée. Lorsqu’une étiquette est appliquée au modèle sémantique rentabilité client, cette étiquette filtre et s’applique au contenu en aval du modèle sémantique : les rapports générés à l’aide de ce modèle sémantique et, dans ce cas, un tableau de bord créé à partir d’un de ces rapports.

Capture d’écran de la vue de lignée montrant l’héritage en aval.

Important

  • L’héritage en aval ne remplace jamais les étiquettes qui ont été appliquées manuellement.
  • L'héritage descendant ne peut jamais remplacer une étiquette par une étiquette moins restrictive.

Modes d’héritage en aval

L’héritage en aval fonctionne dans l’un des deux modes. L’administrateur Power BI décide via un paramètre de client quel mode peut être utilisé par le client.

  • héritage en aval avec consentement de l’utilisateur (valeur par défaut) : dans ce mode, lorsque les utilisateurs appliquent des étiquettes de confidentialité sur des modèles sémantiques ou des rapports, ils peuvent choisir d’appliquer cette étiquette en aval. Ils font leur choix en sélectionnant la zone qui s’affiche avec le sélecteur d’étiquette de sensibilité.
  • héritage en aval entièrement automatisé (lorsqu’il est activé par un administrateur Power BI) : dans ce mode, l’héritage en aval se produit automatiquement chaque fois qu’une étiquette est appliquée à un modèle sémantique ou à un rapport. Aucune case à cocher n’est fournie pour le consentement de l’utilisateur.

Les deux modes d’héritage en aval sont expliqués plus en détail dans les sections suivantes.

En mode de consentement de l’utilisateur, lorsqu’un utilisateur applique une étiquette de confidentialité à un modèle ou à un rapport sémantique, il peut également choisir d’appliquer l’étiquette à son contenu en aval. Une case à cocher s’affiche avec le sélecteur d’étiquette :

Capture d’écran de la boîte de dialogue Étiquette de sensibilité avec le consentement de l’utilisateur pour l’héritage descendant vérifié.

Par défaut, la case à cocher est cochée. Cela signifie que lorsque l’utilisateur applique une étiquette de confidentialité à un modèle ou un rapport sémantique, l’étiquette se propage à son contenu en aval. Pour chaque élément en aval, l’étiquette est appliquée uniquement si :

  • L’utilisateur qui a appliqué ou modifié l’étiquette dispose d’autorisations de modification Power BI sur l’élément en aval (autrement dit, l’utilisateur est administrateur, membre ou contributeur dans l’espace de travail où se trouve l’élément en aval).
  • L’utilisateur qui a appliqué ou modifié l’étiquette est autorisé à modifier l’étiquette de sensibilité qui existe déjà sur l’élément en aval.

L’effacement de la case à cocher empêche l’étiquette d’être héritée en aval.

Héritage en aval entièrement automatisé

En mode entièrement automatisé, une étiquette appliquée à un modèle sémantique ou à un rapport est automatiquement propagée et appliquée au contenu en aval du modèle sémantique ou du rapport, sans tenir compte des autorisations d’édition sur l’élément en aval et des droits d’utilisation et sur l’étiquette.

Assouplissement de l'application des changements d'étiquettes

Dans certains cas, l’héritage en aval (comme d’autres scénarios d’étiquetage automatisé) peut entraîner une situation où aucun utilisateur n’a toutes les autorisations requises pour modifier une étiquette. Pour de telles situations, les relaxations d’application des changements d’étiquette sont en place pour garantir l’accès aux éléments affectés. Pour plus de détails, consultez Relaxations pour s'adapter aux scénarios d’étiquetage automatique.

Activation de l’héritage descendant entièrement automatisé

L’héritage en aval entièrement automatisé est contrôlé par le paramètre client Appliquer automatiquement des étiquettes de confidentialité au contenu en aval. Ce paramètre est activé par défaut lorsque la protection des informations est activée (autrement dit, lorsque le paramètre client Autoriser les utilisateurs à appliquer des étiquettes de confidentialité pour le contenu est activé). Pour modifier le paramètre d’héritage en aval, accédez aux paramètres du locataire dans le portail d’administration et activez/désactivez le paramètre Application automatique des étiquettes de confidentialité au contenu en aval selon vos préférences.

Capture d’écran du paramètre de locataire pour appliquer automatiquement des étiquettes au contenu en aval.

Considérations et limitations

  • L’héritage en aval est limité à 80 éléments. Si le nombre d’éléments en aval dépasse 80, aucun héritage en aval n’a lieu. Seul l'élément auquel l'étiquette a été appliquée reçoit l'étiquette.
  • L’héritage en aval ne remplace jamais les étiquettes appliquées manuellement. Voir la section suivante pour une considération importante.
  • L’héritage en aval ne remplace jamais une étiquette sur le contenu en aval par une étiquette moins restrictive que l’étiquette actuellement appliquée.
  • Étiquettes de confidentialité héritées des sources de données sont propagées automatiquement en aval uniquement lorsque le mode d’héritage en aval entièrement automatisé est activé.

Héritage en aval entre des modèles sémantiques et des rapports publiés à partir de fichiers .pbix

Lorsque vous publiez un fichier .pbix qui a une étiquette de confidentialité, l’étiquette héritée par le modèle sémantique et le rapport créés dans le service sont considérées comme automatiquement ou manuellement appliquées selon que l’étiquette du fichier .pbix a été appliquée automatiquement ou manuellement. Cela a des implications pour l’héritage en aval ultérieur du modèle sémantique vers son rapport associé. Si l’étiquette du fichier .pbix a été automatiquement appliquée, puis ultérieurement, après la publication, si l’étiquette du modèle sémantique est modifiée, le rapport associé hérite de la modification. Toutefois, si l’étiquette du fichier .pbix a été appliquée manuellement, alors si l’étiquette sur le modèle sémantique est modifiée, l’étiquette de son rapport associé ne sera pas remplacée, car elle est considérée comme appliquée manuellement. Ceci est conforme à la règle selon laquelle l’héritage en aval ne remplace jamais une étiquette appliquée manuellement.

Contenu connexe