Stratégies de protection contre la perte de données pour Power BI (préversion)

Pour aider les organisations à détecter et à protéger leurs données sensibles, Power BI prend en charge les stratégies de protection contre la perte de données (DLP, Data Loss Prevention) de Microsoft Purview. Quand une stratégie DLP pour Power BI détecte un jeu de données sensible, un conseil de stratégie peut être attaché au jeu de données dans le service Power BI pour expliquer la nature du contenu sensible, et une alerte peut être inscrite sous l’onglet Alertes de la section Protection contre la perte de données du portail de conformité Microsoft Purview à des fins de monitoring et de gestion par les administrateurs. De plus, des alertes peuvent être envoyées par e-mail aux administrateurs et aux utilisateurs spécifiés.

Considérations et limitations

  • Les stratégies DLP pour Power BI sont définies dans le portail de conformité de Microsoft Purview.
  • Les stratégies DLP s’appliquent aux espaces de travail. Seuls les espaces de travail hébergés dans des capacités Premium Gen2 sont pris en charge.
  • Les charges de travail d’évaluation de jeux de données DLP impactent la capacité. La mesure des charges de travail d’évaluation DLP n’est pas encore prise en charge.
  • Les espaces de travail sont pris en charge, à condition qu’ils soient hébergés dans des capacités Premium Gen2.
  • Les modèles de stratégie DLP ne sont pas encore pris en charge pour les stratégies DLP Power BI. Lors de la création d’une stratégie DLP pour Power BI, choisissez l’option « stratégie personnalisée ».
  • Les règles de stratégie DLP Power BI prennent en charge les étiquettes de confidentialité et les types d’informations sensibles en tant que conditions.
  • Les stratégies DLP pour Power BI ne sont pas prises en charge pour les exemples de jeux de données, les jeux de données en streaming ou les jeux de données qui se connectent à leur source de données par le biais de DirectQuery ou d’une connexion active.
  • Les stratégies DLP pour Power BI ne sont pas prises en charge dans les clouds souverains.
  • Les stratégies DLP pour Power BI ne prennent pas en charge l’analyse des types d’informations sensibles dans les données stockées dans la région Asie Sud-Est. Découvrez comment trouver la région par défaut de votre organisation pour savoir comment trouver la région de données par défaut de votre organisation.

Licences et autorisations

Licence de références SKU/d’abonnements

Avant de commencer à utiliser DLP pour Power BI, vous devez vérifier votre abonnement Microsoft 365. Une des licences suivantes doit être affectée au compte d’administrateur qui définit les règles DLP :

  • Microsoft 365 E5
  • Conformité Microsoft 365 E5
  • Information Protection et gouvernance Microsoft 365 E5

Autorisations

Les données de DLP pour Power BI peuvent être visualisées dans l’explorateur d’activités. Il y a quatre rôles qui accordent une autorisation à l’explorateur d’activités ; le compte que vous utilisez pour accéder aux données doit être membre de l’un d’eux.

  • Administrateur général
  • Administrateur de conformité
  • Administrateur de sécurité
  • Administrateur des données de conformité

Fonctionnement des stratégies DLP pour Power BI

Pour définir une stratégie DLP, utilisez la section Protection contre la perte de données du portail de conformité. Dans la stratégie, vous spécifiez les étiquettes de confidentialité et/ou les types d’informations sensibles que vous souhaitez détecter. Vous spécifiez également les actions qui se produisent quand la stratégie détecte un jeu de données qui contient des données sensibles du genre que vous avez spécifié. Les stratégies DLP pour Power BI prennent en charge deux actions :

  • Notification de l’utilisateur par le biais de conseils de stratégie.
  • Alertes. Des alertes peuvent être envoyées par e-mail aux administrateurs et aux utilisateurs. De plus, les administrateurs peuvent monitorer et gérer les alertes sous l’onglet Alertes du Centre de conformité.

Si un jeu de données évalué par des stratégies DLP correspond aux conditions spécifiées dans une stratégie, les actions spécifiées dans la stratégie sont exécutées. Un jeu de données est évalué en fonction de stratégies DLP chaque fois que l’un des événements suivants se produit :

  • Publish
  • Republier
  • Actualisation à la demande
  • Actualisation planifiée

Notes

L’évaluation DLP du jeu de données ne se produit pas si l’une des conditions suivantes est remplie :

  • L’initiateur de l’événement est un principal de service.
  • Le propriétaire du jeu de données est un principal du service ou un utilisateur B2B.

Que se passe-t-il quand une stratégie DLP Power BI signale un jeu de données ?

Quand une stratégie DLP détecte un problème avec un jeu de données :

  • Si la « notification de l’utilisateur » est activée dans la stratégie, le jeu de données est marqué d’un bouclier dans le service Power BI pour indiquer qu’une stratégie DLP a détecté un problème.

    Capture d’écran d’un badge de conseil de stratégie dans des listes.

    Ouvrez la page de détails du jeu de données pour voir un conseil de stratégie qui décrit la violation de la stratégie et explique comment gérer le type d’informations sensibles détecté.

    Capture d’écran d’un conseil de stratégie dans la page de détails d’un jeu de données.

    Notes

    Si vous masquez le conseil de stratégie, il n’est pas supprimé. Vous le verrez la prochaine fois que vous visiterez la page.

  • Si les alertes sont activées dans la stratégie, une alerte est enregistrée sous l’onglet Alertes de la section Protection contre la perte de données du Centre de conformité et, sous réserve de configuration, un e-mail est envoyé aux administrateurs et/ou aux utilisateurs spécifiés. L’image suivante illustre l’onglet Alertes dans la section Protection contre la perte de données du Centre de conformité.

    Capture d’écran de l’onglet Alertes dans le Centre de conformité.

Configurer une stratégie DLP pour Power BI

  1. Connectez-vous au portail de conformité Microsoft Purview.

  2. Choisissez la solution Protection contre la perte de données dans le volet de navigation, sélectionnez l’onglet Stratégies, puis choisissez Créer une stratégie.

    Capture d’écran de la page de création d’une stratégie DLP.

  3. Choisissez la catégorie Personnalisée, puis le modèle Stratégie personnalisée.

    Notes

    Aucun autre modèle ou catégorie n’est actuellement pris en charge.

    Capture d’écran de la page de sélection d’une stratégie DLP personnalisée.

    Quand vous avez terminé, cliquez sur Suivant.

  4. Nommez la stratégie et entrez une description explicite.

    Capture d’écran de la section demandant le nom et la description de la stratégie DLP.

    Quand vous avez terminé, cliquez sur Suivant.

  5. Activez Power BI comme emplacement de la stratégie DLP. Désactivez tous les autres emplacements. Actuellement, les stratégies DLP pour Power BI doivent spécifier Power BI comme unique emplacement.

    Capture d’écran de la sélection de l’emplacement pour la stratégie DLP.

    Par défaut, la stratégie s’applique à tous les espaces de travail. Vous pouvez également spécifier des espaces de travail particuliers à inclure dans la stratégie ou à exclure de la stratégie.

    Notes

    Les actions DLP sont uniquement prises en charge pour les espaces de travail hébergés dans des capacités Premium Gen2.

    Si vous sélectionnez Choisir des espaces de travail ou Exclure des espaces de travail, une boîte de dialogue vous permet de créer une liste d’espaces de travail inclus (ou exclus). Vous devez spécifier les espaces de travail par ID d’objet d’espace de travail. Cliquez sur l’icône d’informations pour savoir comment rechercher des ID d’objets d’espace de travail.

    Capture d’écran de la boîte de dialogue de sélection des espaces de travail d’une stratégie DLP.

    Après avoir activé Power BI comme emplacement pour la stratégie DLP et choisi les espaces de travail auxquels la stratégie s’appliquera, cliquez sur Suivant.

  6. La page Définir les paramètres de stratégie s’affiche. Choisissez Créer ou personnaliser des règles DLP avancées pour commencer à définir votre stratégie.

    Capture d’écran de la page de création de règles avancées pour une stratégie DLP.

    Quand vous avez terminé, cliquez sur Suivant.

  7. Dans la page Personnaliser les règles DLP avancées , vous pouvez créer une règle ou choisir une règle existante à modifier. Cliquez sur Créer une règle.

    Capture d’écran de la page de création de règles pour une stratégie DLP.

  8. La page Créer une règle s’affiche. Dans la page Créer une règle, indiquez le nom et la description de la règle, puis configurez les autres sections décrites après l’image ci-dessous.

    Capture d’écran du formulaire de création de règles pour une stratégie DLP.

Conditions

Dans la section Conditions, vous définissez les conditions selon lesquelles la stratégie s’applique à un jeu de données. Les conditions sont créées dans des groupes. Les groupes permettent de construire des conditions complexes.

  1. Ouvrez la section Conditions, choisissez Ajouter une condition, puis Le contenu inclut.

    Capture d’écran de la section « Le contenu inclut » sous Ajouter une condition pour une stratégie DLP.

    Le premier groupe s’ouvre. Vous pouvez modifier le nom attribué par défaut.

  2. Choisissez Ajouter, puis choisissez Types d’informations sensibles ou Étiquettes de confidentialité.

    Capture d’écran de la section d’ajout de conditions pour une stratégie DLP.

    Notes

    Les stratégies DLP pour Power BI ne prennent pas en charge l’analyse des types d’informations sensibles dans les données stockées dans la région Asie Sud-Est. Découvrez comment trouver la région par défaut de votre organisation pour savoir comment trouver la région de données par défaut de votre organisation.

    Quand vous choisissez Types d’informations sensibles ou Étiquettes de confidentialité, vous pouvez choisir les étiquettes de confidentialité ou les types d’informations sensibles que vous souhaitez détecter à partir d’une liste qui s’affiche dans une barre latérale.

    Capture d’écran des choix Types d’informations sensibles et Étiquettes de confidentialité.

    Quand vous sélectionnez un type d’informations sensibles comme condition, vous devez ensuite spécifier le nombre d’instances de ce type qui doivent être détectées pour que la condition soit considérée comme remplie. Vous pouvez spécifier de 1 à 500 instances. Si vous souhaitez détecter 500 instances uniques ou plus, entrez une plage allant de « 500 » à « Tout ». Vous pouvez également sélectionner le degré de confiance dans l’algorithme de correspondance. Cliquez sur le bouton d’informations en regard du niveau de confiance pour voir la définition de chaque niveau.

    Capture d’écran du réglage du niveau de confiance pour les types d’informations sensibles.

    Vous pouvez ajouter des étiquettes de confidentialité ou des types d’informations sensibles au groupe. À droite du nom du groupe, vous pouvez spécifier N’importe lequel de ces éléments ou Tous ces éléments. Cela détermine si une correspondance avec tous les éléments du groupe ou un seul d’entre eux est requise pour que la condition soit maintenue. Si vous avez spécifié plusieurs étiquettes de confidentialité, vous ne pouvez choisir que N’importe lequel de ces éléments, car une seule étiquette peut être appliquée à un jeu de données.

    L’image ci-dessous montre un groupe (par défaut) qui contient deux conditions d’étiquette de confidentialité. La logique N’importe lequel de ces éléments signifie qu’une correspondance avec l’une des étiquettes de confidentialité dans le groupe constitue la valeur « true » pour ce groupe.

    Capture d’écran de la section de groupes de conditions pour une stratégie DLP.

    Vous pouvez créer plusieurs groupes et contrôler la logique entre les groupes avec une logique ET ou OU.

    L’image ci-dessous montre une règle contenant deux groupes joints par la logique OU.

    Capture d’écran d’une règle avec deux groupes.

Exceptions

Si le jeu de données a une étiquette de confidentialité ou un type d’informations sensibles qui correspond à l’une des exceptions définies, la règle n’est pas appliquée au jeu de données.

Les exceptions sont configurées de la même façon que les conditions décrites ci-dessus.

Capture d’écran de la section Exceptions pour une stratégie DLP.

Actions

Les actions de protection ne sont actuellement pas disponibles pour les stratégies DLP Power BI.

Capture d’écran de la section Actions pour une stratégie DLP.

Notifications à l’utilisateur

La section des notifications aux utilisateurs vous permet de configurer votre conseil de stratégie. Activez le bouton bascule, cochez les cases Notifier les utilisateurs du service Office 365 avec un conseil de stratégie et Conseils de stratégie, puis écrivez votre conseil de stratégie dans la zone de texte.

Capture d’écran de la section Notifications aux utilisateurs pour une stratégie DLP.

Remplacements par l’utilisateur

Les remplacements par l’utilisateur ne sont actuellement pas disponibles pour les stratégies DLP Power BI.

Capture d’écran de la section Remplacements par l’utilisateur pour une stratégie DLP.

Rapports d’incidents

Affectez un niveau de gravité qui sera affiché dans les alertes générées à partir de cette stratégie. Activez (par défaut) ou désactivez les notifications par e-mail aux administrateurs, spécifiez des utilisateurs ou des groupes pour les notifications par e-mail et configurez les détails de l’envoi de la notification.

Capture d’écran de la section Rapports d’incidents pour une stratégie DLP.

Options supplémentaires

Capture d’écran de la section Options supplémentaires pour une stratégie DLP.

Monitorer et gérer les alertes de stratégie

Connectez-vous au portail de conformité Microsoft Purview et accédez à Protection contre la perte de données > Alertes.

Capture d’écran de l’onglet Alertes pour une stratégie DLP.

Cliquez sur une alerte pour commencer à l’explorer au niveau du détail et voir les options de gestion.

Étapes suivantes