Partager via

Bien démarrer avec les stratégies de protection contre la perte de données pour Fabric et Power BI

  • Article

Cet article décrit les stratégies Protection contre la perte de données Microsoft Purview (DLP) dans Fabric. Le public cible est les administrateurs d’infrastructure, les équipes de sécurité et de conformité et les propriétaires de données Fabric.

Vue d’ensemble

Pour aider les organisations à détecter et à protéger leurs données sensibles, Fabric prend en charge les stratégies de Protection contre la perte de données Microsoft Purview (DLP). Lorsqu’une stratégie DLP pour Fabric détecte un type d’élément pris en charge contenant des informations sensibles, un conseil de stratégie peut être joint à l’élément qui explique la nature du contenu sensible, et une alerte peut être inscrite sur la page Alertes de protection contre la perte de données du portail Microsoft Purview à des fins de surveillance et de gestion par les administrateurs. En outre, les alertes par e-mail peuvent être envoyées aux administrateurs et aux utilisateurs spécifiés.

Cet article décrit le fonctionnement de la DLP dans Fabric, répertorie les considérations et limitations, ainsi que les exigences en matière de licences et d’autorisations, et explique comment l’utilisation du processeur DLP est mesurée. Pour plus d’informations, reportez-vous aux rubriques suivantes :

Conseil

Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.

Considérations et limitations

  • Les stratégies DLP pour Fabric sont définies dans le portail Microsoft Purview.
  • Les stratégies DLP s’appliquent aux espaces de travail. Seuls les espaces de travail hébergés dans des capacités Fabric ou Premium sont pris en charge. Pour plus d’informations, consultez Concepts et licences Microsoft Fabric.
  • Les charges de travail d’évaluation DLP ont un impact sur la capacité. Actuellement, DLP pour Fabric est disponible sans coût supplémentaire, mais cela est susceptible d’être modifié. Consultez ce document et le blog Fabric pour obtenir des mises à jour.
  • Les modèles de stratégie DLP ne sont pas encore pris en charge pour les stratégies DLP Fabric. Lorsque vous créez une stratégie DLP pour Fabric, choisissez l’option « stratégie personnalisée ».
  • Les règles de stratégie DLP d’infrastructure prennent actuellement en charge les étiquettes de confidentialité et les types d’informations sensibles en tant que conditions.
  • Les stratégies DLP pour Fabric ne sont pas prises en charge pour les exemples de modèles sémantiques, de jeux de données de diffusion en continu ou de modèles sémantiques qui se connectent à leur source de données via DirectQuery ou une connexion active. Cela inclut les modèles sémantiques avec stockage mixte, où certaines données proviennent du mode importation et d’autres via DirectQuery.
  • Les stratégies DLP pour Fabric s’appliquent uniquement aux données des tables Lakehouse/dossier stockées au format Delta.
  • Les stratégies DLP pour Fabric prennent en charge tous les types Delta primitifs, à l’exception des timestamp_ntz.
  • Les stratégies DLP pour Fabric ne sont pas prises en charge pour les types de données Delta Parquet suivants :
    • Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
    • Données avec les codecs de compression LZ4, Zstd et Gzip.
  • Les classifieurs EDM (Exact Data Match) et lesclassifieurs pouvant être entraînés ne sont pas pris en charge par DLP pour Fabric. Si vous sélectionnez un EDM ou un classifieur pouvant être entraîné dans l’état d’une stratégie, la stratégie ne produit aucun résultat, même si le modèle sémantique ou lakehouse contient en fait des données qui répondent au classifieur EDM ou à l’apprentissage. Les autres classifieurs spécifiés dans la stratégie retournent les résultats, le cas échéant.
  • Les stratégies DLP pour Fabric ne sont pas prises en charge dans la région Chine Nord. Consultez Comment trouver la région par défaut de votre organization pour savoir comment trouver la région de données par défaut de votre organization.
  • Les capacités Azure ne sont pas prises en charge pour DLP dans Fabric dans les clusters suivants :
    • WUS3
    • WUS2
    • SCUS
  • L’intégration d’un nouveau locataire à DLP peut prendre quelques heures, en fonction du nombre d’espaces de travail pris en charge qui sont en cours d’intégration.

Licences et autorisations

Licences SKU/abonnements

Avant de commencer à utiliser DLP pour Power BI, vous devez confirmer votre abonnement Microsoft 365. Pour obtenir des conseils complets sur les licences, consultez les conseils Microsoft 365 pour la sécurité et la conformité.

Autorisations

Les données de DLP pour Fabric peuvent être consultées dans l’Explorateur d’activités. Quatre rôles accordent des autorisations à l’Explorateur d’activités ; le compte que vous utilisez pour accéder aux données doit être membre de l’un d’eux.

Pour afficher l’Explorateur d’activités, le compte que vous utilisez pour accéder aux données doit être membre de l’un des rôles suivants ou supérieur.

  • Administrateur de conformité
  • Administrateur de sécurité
  • Administrateur de conformité des données

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Administrateur général est un rôle à privilèges élevés qui ne doit être utilisé que dans les scénarios où un rôle moins privilégié ne peut pas être utilisé.

Types d’éléments pris en charge

Les stratégies DLP pour Fabric prennent actuellement en charge (préversion) les types d’éléments suivants.

  • Modèles sémantiques
  • Lakehouses

Consultez Considérations et limitations pour les exceptions.

Fonctionnement des stratégies DLP pour Fabric

Vous définissez une stratégie DLP dans la section Protection contre la perte de données du portail Microsoft Purview. Dans la stratégie, vous spécifiez les étiquettes de confidentialité et/ou les types d’informations sensibles que vous souhaitez détecter. Vous spécifiez également les actions qui se produisent lorsque la stratégie détecte un modèle sémantique ou lakehouse qui contient des données sensibles du type que vous avez spécifié. Les stratégies DLP pour Fabric prennent en charge trois actions :

  • Notification de l’utilisateur via des conseils de stratégie.

  • Les alertes. Les alertes peuvent être envoyées par e-mail aux administrateurs et aux utilisateurs. En outre, les administrateurs peuvent surveiller et gérer les alertes sous l’onglet Alertes du portail Purview.

  • Restreindre l’accès. Lorsqu’un type d’élément pris en charge enfreint une stratégie configurée avec l’action Restreindre l’accès, l’accès à l’élément est limité, soit aux propriétaires de données, soit aux membres du organization, selon la façon dont la stratégie est configurée. Tous les autres utilisateurs perdent l’accès à l’élément.

    Remarque

    L’action restreindre l’accès est appliquée uniquement sur les modèles sémantiques.

Lorsqu’un modèle sémantique ou lakehouse est évalué par des stratégies DLP, s’il correspond aux conditions spécifiées dans une stratégie DLP, les actions spécifiées dans la stratégie se produisent. Les stratégies DLP sont lancées par les actions suivantes :

Modèles sémantiques :

Un modèle sémantique est évalué par rapport aux stratégies DLP chaque fois que l’un des événements suivants se produit :

  • Publier
  • Republier
  • Actualisé à la demande
  • Actualisé de façon planifiée

Remarque

L’évaluation DLP du modèle sémantique ne se produit pas si l’une des conditions suivantes est vraie :

  • L’initiateur de l’événement (publication, republier, actualisation à la demande, actualisation planifiée) est un compte utilisant l’authentification du principal de service.
  • Le propriétaire du modèle sémantique est un principal de service.

Lakehouse :

Un lakehouse est évalué par rapport aux stratégies DLP lorsque les données d’un lakehouse subissent une modification, comme l’obtention de nouvelles données, la connexion d’une nouvelle source, l’ajout ou la mise à jour de tables existantes, etc.

Que se passe-t-il lorsqu’un élément est marqué par une stratégie DLP Fabric

Lorsqu’une stratégie DLP détecte un problème avec un élément :

  • Si la « notification utilisateur » est activée dans la stratégie, l’élément est marqué dans Fabric avec une icône indiquant qu’une stratégie DLP a détecté un problème avec l’élément. Pointez sur l’icône pour afficher un carte de pointage qui fournit une option permettant d’afficher les détails complets dans un panneau latéral. Pour plus d’informations sur ce que vous voyez dans le panneau latéral, consultez Répondre à une violation DLP dans Fabric.

    Capture d’écran de l’icône de conseil de stratégie dans le hub de données OneLake.

    Pour les modèles sémantiques, l’ouverture de la page de détails affiche un conseil de stratégie qui explique la violation de stratégie et comment le type d’informations sensibles détectées doit être géré. La sélection de Afficher tout ouvre un panneau latéral avec tous les détails de la stratégie.

    Capture d’écran du conseil de stratégie sur la page des détails du modèle sémantique.

    Remarque

    Si vous masquez le conseil de stratégie, il n’est pas supprimé. Il apparaîtra la prochaine fois que vous visiterez la page.

    Pour lakehouses, l’indication s’affiche dans l’en-tête en mode édition, et l’ouverture du menu volant permet d’afficher plus de détails sur les conseils de stratégie affectant le lakehouse. La sélection de Afficher tout ouvre un panneau latéral avec tous les détails de la stratégie.

    Capture d’écran du conseil de stratégie dans le menu volant d’en-tête lakehouse.

  • Si les alertes sont activées dans la stratégie, une alerte est enregistrée sur la page Alertes de protection contre la perte de données dans le portail Microsoft Purview, et (si configuré) un e-mail est envoyé aux administrateurs et/ou utilisateurs spécifiés. Pour plus d’informations, consultez Surveiller et gérer les violations de stratégie DLP.

Configurer une stratégie DLP pour Power BI/Fabric

Suivez les procédures décrites dans Créer et déployer des stratégies de protection contre la perte de données et utilisez le modèle personnalisé.

Importante

Lorsque vous sélectionnez les emplacements de votre stratégie DLP pour Power BI/Fabric, sélectionnez uniquement l’emplacement Power BI/Fabric. Ne sélectionnez aucun autre emplacement, cette configuration n’est pas prise en charge.

Voir aussi