Partage via


Sécurité dans Microsoft Fabric

Microsoft Fabric est une plateforme SaaS (Software as a Service) qui permet aux utilisateurs d’obtenir, de créer, de partager et de visualiser des données.

En tant que service SaaS, Fabric offre un package de sécurité complet pour toute la plateforme. Fabric supprime le coût et la responsabilité de la maintenance de votre solution de sécurité et les transfère au cloud. Avec Fabric, vous pouvez utiliser l’expertise et les ressources de Microsoft pour sécuriser vos données, corriger les vulnérabilités, surveiller les menaces et vous conformer aux réglementations. Fabric vous permet également de gérer, contrôler et auditer vos paramètres de sécurité, conformément à vos besoins et demandes changeants.

Lorsque vous apportez vos données dans le cloud et que vous les utilisez avec diverses expériences d’analyse telles que Power BI, Data Factory et la prochaine génération de Synapse, Microsoft garantit que les fonctionnalités de sécurité et de fiabilité intégrées sécurisent vos données au repos et en transit. Microsoft s'assure également que vos données sont récupérables en cas de panne ou de sinistre de l'infrastructure.

La sécurité de Fabric est :

  • Always On : chaque interaction avec Fabric est chiffrée par défaut et authentifiée à l’aide de Microsoft Entra ID. Toutes les communications entre les expériences Fabric transitent via l’Internet du réseau principal de Microsoft. Les données au repos sont automatiquement stockées chiffrées. Pour réglementer l’accès à Fabric, vous pouvez ajouter des fonctionnalités de sécurité supplémentaires telles que les liaisons privées ou l’accès conditionnel Entra. Fabric peut également se connecter aux données protégées par un pare-feu ou un réseau privé à l’aide d’un accès approuvé.

  • Conforme : Fabric dispose d’une souveraineté des données prête à l’emploi avec des capacités multigéographiques. Fabric prend également en charge un large éventail de normes de conformité.

  • Gouvernable : Fabric est fourni avec un ensemble d’outils de gouvernance tels que la traçabilité des données, des étiquettes de protection des données, la protection contre la perte de données et l’intégration purview.

  • Configurable : vous pouvez configurer la sécurité de Fabric conformément à vos directives organisationnelles.

  • Évolutive : Microsoft améliore constamment la sécurité de Fabric en ajoutant de nouvelles fonctionnalités et de nouveaux contrôles.

Authenticate

Microsoft Fabric est une plateforme SaaS, comme de nombreux autres services Microsoft tels qu’Azure, Microsoft Office, OneDrive et Dynamics. Tous ces services Microsoft SaaS, notamment Fabric, utilisent Microsoft Entra ID comme fournisseur d’identité basé sur le cloud. Microsoft Entra ID aide les utilisateurs à se connecter à ces services rapidement et facilement à partir de n’importe quel appareil et réseau. Chaque demande de connexion à Fabric est authentifiée avec Microsoft Entra ID, ce qui permet aux utilisateurs de se connecter en toute sécurité à Fabric depuis leur siège social, lorsqu’ils travaillent à domicile ou à distance.

Comprendre la sécurité réseau

Fabric est un service SaaS qui s’exécute dans Microsoft Cloud. Certains scénarios impliquent la connexion à des données qui se trouvent en dehors de la plateforme Fabric. Par exemple, l’affichage d’un rapport à partir de votre propre réseau ou la connexion à des données qui se trouve dans un autre service. Les interactions au sein de Fabric utilisent le réseau interne de Microsoft et le trafic en dehors du service est protégé par défaut. Pour plus d’informations et une description détaillée, consultez Données en transit.

Sécurité réseau entrante

Votre organisation peut vouloir restreindre et sécuriser le trafic réseau entrant dans Fabric en fonction des exigences de votre entreprise. Avec l’accès conditionnel de Microsoft Entra ID et les liaisons privées, vous pouvez sélectionner la solution entrante appropriée pour votre organisation.

Accès conditionnel Microsoft Entra ID

Microsoft Entra ID fournit à Fabric un accès conditionnel qui vous permet de sécuriser l’accès à Fabric lors de chaque connexion. Voici quelques exemples de restrictions d’accès que vous pouvez appliquer à l’aide de l’accès conditionnel.

  • Définir une liste d’adresses IP pour la connectivité entrante à Fabric.

  • Utiliser l’authentification multifacteur (MFA).

  • Limiter le trafic en fonction de paramètres tels que le pays d’origine ou le type de périphérique.

Pour configurer l’accès conditionnel, consultez Accès conditionnel dans Fabric.

Pour en savoir plus sur l’authentification dans Fabric, consultez les Principes fondamentaux de la sécurité de Microsoft Fabric.

Les liaisons privées offrent une connexion sécurisée à Fabric en limitant l’accès à votre client Fabric à partir d’un réseau virtuel (VNet) Azure et en bloquant tout accès public. Cela garantit que seul le trafic réseau provenant de ce VNet est autorisé à accéder aux fonctionnalités de Fabric telles que les Notebooks, les Lakehouses et les entrepôts de données, dans votre client.

Pour configurer des liaisons privées dans Fabric, consultez Configurer et utiliser des liaisons privées.

Sécurité réseau sortante

Fabric dispose d’un ensemble d’outils qui vous permettent de vous connecter à des sources de données externes et d’intégrer ces données dans Fabric de manière sécurisée. Cette section répertorie différentes façons d’importer et de se connecter aux données d’un réseau sécurisé dans Fabric.

Accès à l’espace de travail approuvé

Fabric vous permet d’accéder aux comptes Azure Data Lake Gen 2 avec pare-feu de manière sécurisée. Les espaces de travail Fabric qui ont une identité d’espace de travail peuvent accéder en toute sécurité aux comptes Azure Data Lake Gen 2 avec un accès réseau public activé à partir de réseaux virtuels et d’adresses IP sélectionnés. Vous pouvez limiter l’accès ADLS gen 2 à des espaces de travail Fabric spécifiques. Pour plus d’informations, consultez Accès à un espace de travail approuvé.

Remarque

Les identités de l’espace de travail Fabric ne peuvent être créées que dans les espaces de travail associés à une capacité SKU Fabric F. Pour plus d’informations sur l’achat d’un abonnement Fabric, consultez Acheter un abonnement Microsoft Fabric.

Points de terminaison privés managés

Les points de terminaison privés gérés offrent des connexions sécurisées aux sources de données telles que les bases de données Azure SQL sans les exposer au réseau public ni nécessiter de configurations réseau complexes.

Réseaux virtuels managés

Les réseaux virtuels managés sont des réseaux virtuels créés et gérés par Microsoft Fabric pour chaque espace de travail Fabric. Les réseaux virtuels managés fournissent un isolement réseau pour les charges de travail Fabric Spark, ce qui signifie que les clusters de calcul sont déployés dans un réseau dédié et ne font plus partie du réseau virtuel partagé.

Les réseaux virtuels managés permettent également des fonctionnalités de sécurité réseau telles que des points de terminaison privés gérés et la prise en charge des liaisons privées pour les éléments Ingénieurs de données et Science des données dans Microsoft Fabric qui utilisent Apache Spark.

Passerelle de données

Pour vous connecter à des sources de données locales ou à une source de données qui peut être protégée par un pare-feu ou un réseau virtuel, vous pouvez utiliser l’une des options suivantes :

  • Passerelle de données locale : la passerelle agit comme un pont entre vos sources de données locales et Fabric. La passerelle est installée sur un serveur au sein de votre réseau et permet à Fabric de se connecter à vos sources de données via un canal sécurisé sans avoir à ouvrir de ports ou à apporter des modifications à votre réseau.

  • Passerelle de données de réseau virtuel (VNet) : le VNet Gateway vous permet de vous connecter depuis des services de cloud computing Microsoft à vos services Data Azure dans un VNet sans avoir besoin d’une passerelle de données locale.

Connexion à OneLake à partir d’un service existant

Vous pouvez vous connecter à Fabric à l’aide de votre service PaaS (Platform as a Service) Azure existant. Pour Synapse et Azure Data Factory (ADF), vous pouvez utiliser Azure Integration Runtime (IR) ou un réseau virtuel managé Azure Data Factory. Vous pouvez également vous connecter à ces services et à d’autres services tels que les flux de données de mappage, les clusters Synapse Spark, les clusters Databricks Spark et Azure HDInsight à l’aide des API OneLake.

Étiquettes de service Azure

Utilisez les étiquettes de service pour ingérer des données sans utiliser de passerelles de données, à partir de sources de données déployées dans un réseau virtuel Azure, comme les machines virtuelles Azure SQL, Azure SQL Managed Instance (MI) et les API REST. Vous pouvez également utiliser des étiquettes de service pour obtenir le trafic à partir d’un réseau virtuel ou d’un pare-feu Azure. Par exemple, les étiquettes de service peuvent autoriser le trafic sortant vers Fabric afin qu’un utilisateur sur une machine virtuelle puisse se connecter à des chaînes de connexion SQL Fabric à partir de SSMS, tout en bloquant l’accès à d’autres ressources Internet publiques.

Liste d'adresses IP autorisées

Si vous avez des données qui ne résident pas dans Azure, vous pouvez activer une liste d’adresses IP autorisées sur le réseau de votre organisation pour autoriser le trafic vers et depuis Fabric. Une liste d'adresses IP autorisées est utile si vous avez besoin d'obtenir des données à partir de sources de données qui ne prennent pas en charge les balises de service, telles que les sources de données sur site. Avec ces raccourcis, vous pouvez obtenir des données sans les copier dans OneLake à l’aide d’un point de terminaison d'analytique SQL Lakehouse ou de Direct Lake.

Vous pouvez obtenir la liste des adresses IP Fabric à partir des étiquettes de service sur site. La liste est disponible en tant que fichier JSON ou de manière programmatique avec les API REST, PowerShell et l’interface de ligne de commande Azure (CLI).

Sécuriser les données

Dans Fabric, toutes les données stockées dans OneLake sont chiffrées au repos. Toutes les données au repos sont stockées dans votre région d’origine, ou dans l’une de vos capacités dans une région distante de votre choix afin que vous puissiez respecter les règles de souveraineté des données au repos. Pour plus d’informations, consultez Principes fondamentaux de la sécurité de Microsoft Fabric.

Comprendre les locataires dans les zones géographiques multiples

Certaines organisations ont une présence mondiale et peuvent nécessiter des services dans plusieurs zones géographiques Azure. Par exemple, une entreprise peut avoir son siège aux États-Unis, tout en exerçant ses activités dans d’autres zones géographiques, comme l’Australie. Pour respecter les réglementations locales, les entreprises ayant une présence mondiale doivent s’assurer que les données restent stockées au repos dans plusieurs régions. Dans Fabric, c’est ce qu’on appelle le multigéographique.

La couche d’exécution des requêtes, les caches de requêtes et les données d’éléments attribuées à un espace de travail multigéographique restent dans la zone géographique Azure de leur création. Toutefois, des métadonnées et leur traitement sont parfois stockés au repos dans la zone géographique du locataire.

Fabric fait partie d’un plus grand écosystème Microsoft. Si votre organisation utilise déjà d’autres services d’abonnement cloud (comme Azure, Microsoft 365 ou Dynamics 365), Fabric fonctionne alors dans le même locataire Microsoft Entra. Le domaine de votre organisation (par exemple contoso.com) est associé à Microsoft Entra ID. Comme tous les services de cloud computing Microsoft.

Fabric garantit que vos données sont sécurisées entre les régions lorsque vous travaillez avec plusieurs locataires qui disposent de plusieurs capacités dans plusieurs zones géographiques.

Accéder aux données

Fabric contrôle l’accès aux données à l’aide d’espaces de travail. Dans les espaces de travail, les données apparaissent sous la forme d’éléments Fabric, et les utilisateurs ne peuvent pas afficher ou utiliser des éléments (données) si vous ne leur accordez pas l’accès à l’espace de travail. Vous trouverez plus d’informations sur les autorisations d’espace de travail et d’élément, dans le modèle d’autorisation.

Rôles d’espace de travail

L’accès à l’espace de travail est répertorié dans le tableau ci-dessous. Il inclut les rôles d’espace de travail et Fabric et sécurité OneLake. Les utilisateurs disposant d’un rôle de viewer peuvent exécuter des requêtes SQL, DAX (Data Analysis Expressions) ou MDX (Expressions multidimensionnelles), mais ils ne peuvent pas accéder aux éléments Fabric ni exécuter un bloc-notes.

Role Accès à l’espace de travail Accès OneLake
Administration, membre et contributeur Peut utiliser tous les éléments de l’espace de travail
Visionneuse Peut consulter tous les articles de l’espace de travail

Partager des éléments

Vous pouvez partager des éléments Fabric avec des utilisateurs de votre organisation qui n’ont aucun rôle d’espace de travail. Le partage d’éléments donne un accès restreint, ce qui permet aux utilisateurs de n’accéder qu’à l’élément partagé dans l’espace de travail.

Limiter l’accès

Vous pouvez limiter l’accès viewer aux données à l’aide de la sécurité au niveau des lignes (SNL), de la sécurité au niveau des colonnes (CLS) et de la sécurité au niveau objet (OLS). Avec RLS, CLS et OLS, vous pouvez créer des identités d’utilisateurs qui ont accès à certaines parties de vos données et limiter les résultats SQL à ce à quoi l’identité de l’utilisateur peut accéder.

Vous pouvez également ajouter RLS à un jeu de données DirectLake. Si vous définissez la sécurité pour SQL et DAX, DirectLake revient à DirectQuery pour les tables qui ont des RLS dans SQL. Dans ce cas, les résultats DAX ou MDX sont limités à l’identité de l’utilisateur.

Pour exposer des rapports à l’aide d’un jeu de données DirectLake avec RLS sans secours DirectQuery, utilisez le partage direct de jeux de données ou les applications dans Power BI. Avec les applications dans Power BI, vous pouvez accorder l’accès aux rapports sans accès viewer. Ce type d’accès signifie que les utilisateurs ne peuvent pas utiliser SQL. Pour permettre à DirectLake de lire les données, vous devez basculer les informations d’identification de la source de données d’Authentification unique (SSO) vers une identité fixe qui a accès aux fichiers du lac.

Protection des données

Fabric prend en charge les étiquettes de confidentialité provenant de la Protection des données Microsoft Purview. Il s’agit des étiquettes (telles que Général, Confidentiel et Hautement confidentiel) qui sont largement utilisées dans les applications Microsoft Office comme Word, PowerPoint et Excel, pour protéger les informations sensibles. Dans Fabric, vous pouvez classifier les éléments qui contiennent des données sensibles à l’aide de ces mêmes étiquettes de confidentialité. Les étiquettes de confidentialité suivent ensuite automatiquement les données d’un élément à l’autre à mesure qu’elles circulent dans Fabric, depuis la source de données jusqu’à l’utilisateur. L’étiquette de confidentialité suit également lorsque les données sont exportées vers des formats pris en charge tels que PBIX, Excel, PowerPoint et PDF, garantissant que vos données restent protégées. Seuls les utilisateurs autorisés peuvent ouvrir le fichier. Pour plus d’informations, consultez Gouvernance et conformité dans Microsoft Fabric.

Pour vous aider à gouverner, protéger et gérer vos données, vous pouvez utiliser Microsoft Purview. Microsoft Purview et Fabric fonctionnent ensemble, vous permettant de stocker, d’analyser et de gérer vos données à partir d’un seul emplacement, le hub Microsoft Purview.

Récupérer des données

La résilience des données de Fabric garantit que vos données sont disponibles en cas de sinistre. Fabric vous permet également de récupérer vos données en cas de sinistre : c’est la récupération d’urgence. Pour plus d’informations, consultez Fiabilité dans Microsoft Fabric.

Gérer Fabric

En tant qu’administrateur dans Fabric, vous pouvez contrôler les capacités de toute l’organisation. Fabric permet la délégation du rôle d’administrateur aux capacités, aux espaces de travail et aux domaines. En déléguant les responsabilités d’administration aux bonnes personnes, vous pouvez mettre en œuvre un modèle qui permet à plusieurs administrateurs clés de contrôler les paramètres généraux de Fabric dans l’ensemble de l’organisation, tandis que d’autres administrateurs responsables des paramètres liés à des zones spécifiques.

En utilisant différents outils, les administrateurs peuvent également surveiller les aspects clés de Fabric tels que la consommation de capacité.

Journaux d’audit

Pour afficher vos journaux d’audit, suivez les instructions de suivi des activités des utilisateurs dans Microsoft Fabric. Vous pouvez également faire référence à la liste des opérations pour voir quelles activités sont disponibles pour la recherche dans les journaux d’audit.

Fonctionnalités

Consultez cette section pour obtenir une liste des fonctionnalités de sécurité disponibles dans Microsoft Fabric.

Fonctionnalité Description
Accès conditionnel Sécurisez vos applications à l’aide de Microsoft Entra ID
Référentiel sécurisé Contrôlez la manière dont les ingénieurs Microsoft accèdent à vos données.
Fabric et sécurité OneLake Découvrez comment sécuriser vos données dans Fabric et OneLake.
Résilience Fiabilité et résilience régionale avec les zones de disponibilité Azure.
Balises de service Activez une instance Azure SQL Managed Instance (MI) pour autoriser les connexions entrantes à partir de Microsoft Fabric