Modèle d’autorisation
Microsoft Fabric dispose d’un modèle d’autorisation flexible qui vous permet de contrôler l’accès aux données de votre organisation. Cet article explique les différents types d’autorisations dans Fabric et leur fonctionnement ensemble pour contrôler l’accès aux données de votre organisation.
Un espace de travail est une entité logique pour regrouper des éléments dans Fabric. Les rôles d’espace de travail définissent des autorisations d’accès pour les espaces de travail. Bien que les éléments soient stockés dans un espace de travail, ils peuvent être partagés avec d’autres utilisateurs dans Fabric. Lorsque vous partagez des éléments Fabric, vous pouvez décider des autorisations pour accorder à l’utilisateur avec lequel vous partagez l’élément. Certains éléments tels que les rapports Power BI permettent un contrôle encore plus précis des données. Les rapports peuvent être configurés afin qu’en fonction de leurs autorisations, les utilisateurs qui les affichent voient uniquement une partie des données qu’ils contiennent.
Rôles d’espace de travail
Les rôles d’espace de travail sont utilisés pour contrôler l’accès aux espaces de travail et le contenu qu’ils contiennent. Un administrateur Fabric peut attribuer des rôles d’espace de travail à des utilisateurs ou groupes individuels. Les rôles d’espace de travail sont limités à un espace de travail spécifique et ne s’appliquent pas à d’autres espaces de travail, à la capacité dans laquelle l’espace de travail se trouve ou au locataire.
Il existe quatre rôles d’espace de travail et s’appliquent à tous les éléments de l’espace de travail. Les utilisateurs qui n’ont pas ces rôles ne peuvent pas accéder à l’espace de travail. Ces rôles sont les suivants :
Visionneuse : peut afficher tout le contenu de l’espace de travail, mais ne peut pas le modifier.
Contributeur : peut afficher et modifier tout le contenu de l’espace de travail.
Membre : peut afficher, modifier et partager tout le contenu dans l’espace de travail.
Administrateur : peut afficher, modifier, partager et gérer tout le contenu de l’espace de travail, y compris la gestion des autorisations.
Ce tableau présente un petit ensemble de fonctionnalités dont chaque rôle a. Pour obtenir une liste complète et plus détaillée, consultez les rôles d’espace de travail Microsoft Fabric.
| Fonctionnalité | Administrateur | Membre | Contributeur | Observateur |
|---|---|---|---|---|
| supprimer l’espace de travail | ✅ | ❌ | ❌ | ❌ |
| Add admins | ✅ | ❌ | ❌ | ❌ |
| Ajouter des membres | ✅ | ✅ | ❌ | ❌ |
| Écrire des données | ✅ | ✅ | ✅ | ❌ |
| Créer des éléments | ✅ | ✅ | ✅ | ❌ |
| Lire les données | ✅ | ✅ | ✅ | ✅ |
Autorisations d’élément
Les autorisations d’élément sont utilisées pour contrôler l’accès à des éléments Fabric individuels au sein d’un espace de travail. Les autorisations d’élément sont limitées à un élément spécifique et ne s’appliquent pas à d’autres éléments. Utilisez des autorisations d’élément pour contrôler qui peut afficher, modifier et gérer des éléments individuels dans un espace de travail. Vous pouvez utiliser des autorisations d’élément pour accorder à un utilisateur l’accès à un seul élément d’un espace de travail auquel il n’a pas accès.
Lorsque vous partagez l’élément avec un utilisateur ou un groupe, vous pouvez configurer des autorisations d’élément. Le partage d’un élément accorde à l’utilisateur l’autorisation de lecture pour cet élément par défaut. Les autorisations de lecture permettent aux utilisateurs d’afficher les métadonnées de cet élément et d’afficher les rapports associés à cet élément. Toutefois, les autorisations de lecture n’autorisent pas les utilisateurs à accéder aux données sous-jacentes dans SQL ou OneLake.
Différents éléments Fabric disposent d’autorisations différentes. Pour en savoir plus sur les autorisations pour chaque élément, consultez :
Autorisations de calcul
Les autorisations peuvent également être définies dans un moteur de calcul spécifique dans Fabric, en particulier via le point de terminaison d'analytique SQL ou dans un modèle sémantique. Les autorisations du moteur de calcul permettent l’Access Control aux données plus granulaire, tel que la sécurité au niveau ligne et de la table.
point de terminaison d'analytique SQL : le point de terminaison d'analytique SQL fournit un accès SQL direct aux tables dans OneLake et peut avoir la sécurité configurée en mode natif via des commandes SQL. Ces autorisations s’appliquent uniquement aux requêtes effectuées via SQL.
Modèle sémantique : les modèles sémantiques permettent de définir la sécurité à l’aide de DAX. Les restrictions définies à l’aide de DAX s’appliquent aux utilisateurs qui interrogent via le modèle sémantique ou les rapports Power BI basés sur le modèle sémantique.
Vous trouverez plus d’informations dans les articles suivants :
Autorisations OneLake (rôles d’accès aux données)
OneLake dispose de ses propres autorisations pour régir l’accès aux fichiers et dossiers dans OneLake par le biais des rôles d’accès aux données de OneLake. Ces derniers permettent aux utilisateurs de créer des rôles personnalisés au sein d’un lakehouse et d’accorder des autorisations de lecture uniquement aux dossiers spécifiés lors de l’accès à OneLake. Pour chaque rôle OneLake, les utilisateurs peuvent attribuer des utilisateurs, des groupes de sécurité ou accorder une attribution automatique en fonction du rôle d’espace de travail.
Apprenez-en plus sur le modèle de contrôle d’accès aux données OneLake et consultez les guides pratiques.
Comment sécuriser une lakehouse pour les équipes Science des données
Comment sécuriser un lakehouse pour les équipes Entrepôt de données
Comment sécuriser les données pour les architectures de données courantes ?
Ordre des opérations
Fabric dispose de trois niveaux de sécurité différents. Un utilisateur doit avoir accès à chaque niveau pour pouvoir accéder aux données. Les niveaux sont évalués l’un après l’autre pour déterminer si un utilisateur a accès. Les règles de sécurité, comme les stratégies Microsoft Information Protection, évaluent à un niveau donné pour autoriser ou interdire l’accès. L’ordre des opérations lors de l’évaluation de la sécurité Fabric est le suivant :
- Authentification Entra : vérifie si l’utilisateur est en mesure de s’authentifier auprès du locataire Microsoft Entra.
- Accès à l’infrastructure : vérifie si l’utilisateur peut accéder à Microsoft Fabric.
- Sécurité des données : vérifie si l’utilisateur peut effectuer l’action demandée sur une table ou un fichier.
Exemples
Cette section fournit deux exemples sur la façon dont les autorisations peuvent être configurées dans Fabric.
Exemple 1 : configuration des autorisations d'équipe
Wingtip Toys est configuré avec un locataire pour l’ensemble de l’organisation, et trois capacités. Chaque capacité représente une région différente. Wingtip Toys opère dans les États-Unis, l’Europe et l’Asie. Chaque capacité dispose d’un espace de travail pour chaque service de l’organisation, y compris le service des ventes.
Le service des ventes a un responsable, un responsable de l’équipe commerciale et des membres de l’équipe commerciale. Wingtip Toys emploie également un analyste pour l’ensemble de l’organisation.
Le tableau suivant présente les conditions requises pour chaque rôle dans le service des ventes et la façon dont les autorisations sont configurées pour les activer.
| Role | Exigence | Programme d’installation |
|---|---|---|
| Gestionnaire | Afficher et modifier tout le contenu du service des ventes dans l’ensemble de l’organisation | Rôle membre pour tous les espaces de travail de vente de l’organisation |
| Responsable d’équipe | Afficher et modifier tout le contenu du service des ventes dans une région spécifique | Rôle membre pour l’espace de travail de ventes dans la région |
| Membre de l’équipe des ventes | ||
| Analyste | Afficher tout le contenu du service des ventes dans l’ensemble de l’organisation | Rôle de viewer pour tous les espaces de travail de vente de l’organisation |
Wingtip a également un rapport trimestriel qui répertorie ses revenus de ventes par membre des ventes. Ce rapport est stocké dans un espace de travail financier. À l’aide de la sécurité au niveau des lignes, le rapport est configuré afin que chaque membre des ventes puisse uniquement voir ses propres chiffres de vente. Les prospects d’équipe peuvent voir les chiffres de vente de tous les membres de la vente dans leur région, et le responsable des ventes peut voir les chiffres de vente de tous les membres de vente de l’organisation.
Example 2 : autorisations d'espace de travail et d'article
Lorsque vous partagez un article ou modifiez ses autorisations, les rôles d'espace de travail ne changent pas. L'exemple dans cette section montre comment les autorisations d'espace de travail et d'article interagissent.
Veronica et Marta travaillent ensemble. Veronica est la propriétaire d'un rapport qu'elle veut partager avec Marta. Si Veronica partage le rapport avec Marta, cette dernière pourra y accéder quel que soit le rôle d'espace de travail qu'elle détient.
Supposons que Marta dispose d'un rôle de visionneuse dans l'espace de travail dans lequel le rapport y est stocké. Si Veronica décide de supprimer les autorisations d'articles de Marta dans le rapport, celle-ci sera toujours en mesure d'afficher le rapport dans l'espace de travail. Marta pourra également ouvrir le rapport à partir de l'espace de travail et afficher son contenu. Cette action est due au fait que Marta dispose d'autorisations d'affichage dans l'espace de travail.
Si Veronica ne veut pas que Marta affiche le rapport, la suppression des autorisations d'article de Marta dans le rapport n'est pas suffisante. Veronica doit également supprimer les autorisations de visionneuse de Marta dans l'espace de travail. Sans les autorisations de visionneuse dans l'espace de travail, Marta ne pourra pas réaliser que le rapport existe. En effet, elle ne pourra pas accéder à l'espace de travail. Marta ne pourra pas non plus utiliser le lien vers le rapport, car elle n'en a pas accès.
Étant donné que Marta ne dispose pas d'un rôle de visualisation dans l'espace de travail, Veronica décide de partager à nouveau le rapport avec elle. Marta pourra alors le consulter en utilisant le lien que Veronica partage avec elle, sans avoir accès à l'espace de travail.
Exemple 3 : Autorisations d’application Power BI
Lorsque vous partagez des rapports Power BI, vous souhaiterez souvent que vos destinataires aient uniquement accès aux rapports, et non aux éléments de l’espace de travail. Pour cela, vous pouvez utiliser des applications Power BI ou partager des rapports directement avec les utilisateurs.
En outre, vous pouvez limiter l’accès de la visionneuse aux données à l’aide de la sécurité au niveau des lignes (SNL). Avec la SNL, vous pouvez créer des rôles qui ont accès à certaines parties de vos données et limiter les résultats retournant uniquement ce à quoi l’identité de l’utilisateur peut accéder.
Cela fonctionne bien lors de l’utilisation de modèles d’importation, car les données sont importées dans le modèle sémantique, et les destinataires y ont accès dans le cadre de l’application. Avec DirectLake, le rapport lit les données directement à partir du Lakehouse, et le destinataire du rapport doit avoir accès à ces fichiers dans le lac. Pour ce faire, vous disposez de plusieurs méthodes :
- Donner
ReadDatadirectement l’autorisation sur le Lakehouse. - Basculer les informations d’identification de la source de données d’Authentification unique (SSO) vers une identité fixe qui a accès aux fichiers du lac.
Étant donné que la SNL est définie dans le modèle sémantique, les données sont d’abord lues, puis les lignes seront filtrées.
Si une sécurité est définie dans le point de terminaison d'analytique SQL sur lequel repose le rapport, les requêtes reviennent automatiquement au mode DirectQuery. Si vous ne souhaitez pas ce comportement de secours par défaut, vous pouvez créer un Lakehouse à l’aide de raccourcis vers les tables du Lakehouse d’origine et ne pas définir la valeur SNL ou OLS dans SQL sur le nouveau Lakehouse.