Héritage en aval de l’étiquette de sensibilité

  • Article

Lorsqu’une étiquette de confidentialité est appliquée à un modèle sémantique ou à un rapport dans le service Power BI, il est possible d’appliquer l’étiquette vers le bas et d’appliquer du contenu généré à partir de ce modèle sémantique ou de ce rapport. Pour les modèles sémantiques, cela signifie d’autres modèles sémantiques, rapports et tableaux de bord. Pour les rapports, cela signifie des tableaux de bord. Cette fonctionnalité est appelée héritage en aval.

L’héritage en aval est un lien critique dans la solution de protection des informations de bout en bout de Power BI. Avec l'héritage à partir des sources de données, l’héritage lors de la création d’un nouveau contenu, l’héritage lors de l’exportation vers un fichier, et d’autres fonctionnalités d’application des étiquettes de sensibilité, l’héritage en aval permet de garantir que les données sensibles restent protégées tout au long de leur parcours dans Power BI, de la source de données à leur utilisation.

L'héritage en aval est illustré à l'aide de la vue lignée. Lorsqu'une étiquette est appliquée au modèle sémantique Rentabilité client, cette étiquette est filtrée vers le bas et appliquée au contenu en aval du modèle sémantique : les rapports créés à l'aide de ce modèle sémantique et, dans ce cas, un tableau de bord créé à partir des objets visuels de l'un de ces rapports.

Screenshot of lineage view that shows downstream inheritance.

Important

  • L’héritage en aval ne remplace jamais les étiquettes qui ont été appliquées manuellement.
  • L’héritage en aval ne remplace jamais une étiquette par une étiquette moins restrictive.

Modes d’héritage en aval

L’héritage en aval fonctionne dans l’un des deux modes. L’administrateur Power BI utilise un paramètre de locataire pour choisir le mode utilisable sur le locataire.

  • Héritage en aval avec consentement de l’utilisateur (par défaut) : dans ce mode, lorsque les utilisateurs appliquent des étiquettes de confidentialité sur des modèles sémantiques ou des rapports, ils peuvent choisir d’appliquer cette étiquette en aval. Ils font leur choix en sélectionnant la case qui s’affiche avec le sélecteur d’étiquette de confidentialité.
  • Héritage en aval entièrement automatisé (lorsqu’il est activé par un administrateur Power BI) : dans ce mode, l’héritage en aval se produit automatiquement chaque fois qu’une étiquette est appliquée à un modèle sémantique ou à un rapport. Aucune case à cocher n’est disponible pour le consentement de l’utilisateur.

Les deux modes d’héritage en aval sont expliqués plus en détail dans les sections suivantes.

En mode de consentement de l’utilisateur, lorsqu’un utilisateur applique une étiquette de confidentialité à un modèle ou à un rapport sémantique, il peut également choisir d’appliquer l’étiquette à son contenu en aval. Une case à cocher s’affiche avec le sélecteur d’étiquette :

Screenshot of the sensitivity label dialog with the user consent for downstream inheritance checked.

Par défaut, la case à cocher est activée. Cela signifie que lorsque l’utilisateur applique une étiquette de confidentialité à un modèle ou un rapport sémantique, l’étiquette se propage à son contenu en aval. Pour chaque élément en aval, l’étiquette est appliquée uniquement si :

  • L’utilisateur qui a appliqué ou modifié l’étiquette dispose des autorisations de modification Power BI sur l’élément en aval (autrement dit, l’utilisateur est un administrateur, un membre ou un contributeur dans l’espace de travail où se trouve l’élément en aval).
  • L’utilisateur qui a appliqué ou modifié l’étiquette est autorisé à modifier l’étiquette de sensibilité qui existe déjà sur l’élément en aval.

La désactivation de la case à cocher empêche l’héritage de l’étiquette en aval.

Héritage en aval entièrement automatisé

En mode entièrement automatisé, une étiquette appliquée à un modèle sémantique ou à un rapport est automatiquement propagée et appliquée au contenu en aval du modèle sémantique ou du rapport, sans tenir compte des autorisations de modification sur l'élément en aval et des droits d'utilisation sur l'étiquette.

Mise en application souple de changements d’étiquette

Dans certains cas, l’héritage en aval (comme d’autres scénarios d’étiquetage automatique) peut entraîner une situation dans laquelle aucun utilisateur ne dispose de toutes les autorisations nécessaires pour modifier une étiquette. Dans de telles situations, des mises en application souples de changements d’étiquette garantissent l’accès aux éléments affectés. Voir Assouplissements pour prendre en charge des scénarios d’étiquetage automatique pour plus de détails.

Activation de l’héritage en aval entièrement automatisé

Par défaut, l’héritage en aval fonctionne en mode de consentement de l’utilisateur. Pour basculer l’héritage en aval dans le locataire en mode entièrement automatisé, l’administrateur Power BI doit activer le paramètre de locataire Appliquer automatiquement les étiquettes de confidentialité au contenu en aval dans le portail d’administration.

Screenshot of tenant setting for automatically applying labels to downstream content.

Considérations et limitations

  • L’héritage en aval est limité à 80 éléments. Si le nombre d’éléments en aval dépasse 80, aucun héritage en aval n’a lieu. Seul l’élément auquel l’étiquette a été réellement appliquée reçoit l’étiquette.
  • L’héritage en aval ne remplace jamais les étiquettes appliquées manuellement. Voir la section suivante pour une considération importante.
  • L’héritage en aval ne remplace jamais une étiquette sur le contenu en aval par une étiquette moins restrictive que l’étiquette appliquée.
  • Les étiquettes de sensibilité héritées des sources de données sont propagées automatiquement en aval uniquement lorsque le mode d’héritage en aval entièrement automatisé est activé.

Héritage en aval entre des modèles sémantiques et des rapports publiés à partir de fichiers .pbix

Lorsque vous publiez un fichier .pbix doté d'une étiquette de sensibilité, l'étiquette héritée par le modèle sémantique et le rapport créés dans le service est considérée comme appliquée automatiquement ou manuellement selon que l'étiquette du fichier .pbix a été appliquée automatiquement ou manuellement. Cela a des implications pour l’héritage en aval ultérieur du modèle sémantique vers son rapport associé. Si l'étiquette du fichier .pbix a été appliquée automatiquement et si l'étiquette du modèle sémantique est modifiée, le rapport associé hérite de la modification ultérieurement après la publication. Toutefois, si l'étiquette du fichier .pbix a été appliquée manuellement et si l'étiquette du modèle sémantique est modifiée, l'étiquette du rapport associé n'est pas écrasée, car elle est considérée comme appliquée manuellement. Cela est conforme à la règle selon laquelle un héritage en aval ne remplace jamais une étiquette appliquée manuellement.

Contenu connexe