Planification de l’implémentation de Power BI : protection des informations pour Power BI

  • Article

Notes

Cet article fait partie de la série d’articles sur la planification de l’implémentation de Power BI. Cette série se concentre principalement sur la charge de travail Power BI au sein de Microsoft Fabric. Pour une introduction à la série, consultez Planification de l’implémentation de Power BI.

Cet article décrit les activités de planification liées à l’implémentation de la protection des informations dans Power BI. Il s’adresse aux personnes suivantes :

  • Administrateurs Power BI : Les administrateurs chargés de superviser Power BI dans l’organisation. Les administrateurs Power BI ont besoin de collaborer avec les équipes de sécurité de l’information et d’autres équipes pertinentes.
  • Centre d’excellence, service informatique et équipes BI : les autres qui sont également responsables de la supervision de Power BI au sein de l’organisation. Ils peuvent devoir collaborer avec les administrateurs Power BI, les équipes de sécurité des informations et d’autres équipes pertinentes.

Important

La protection des informations et la protection contre la perte de données constituent une entreprise importante à l’échelle de l’organisation. Son étendue et son impact sont bien plus importants que Power BI seul. Ce type d’initiative nécessite un financement, une hiérarchisation et une planification. Attendez-vous à impliquer plusieurs équipes interfonctionnelles dans vos efforts de planification, d’utilisation et de supervision.

Les activités d’étiquetage et de classification s’étendent au-delà de Power BI et même des ressources de données. Les décisions décrites dans cet article s’appliquent aux ressources pour l’ensemble de l’organisation, y compris les fichiers et les e-mails, et pas seulement à Power BI. Cet article présente des rubriques qui s’appliquent à l’étiquetage et à la classification en général, car prendre les bonnes décisions organisationnelles est essentiel pour la réussite de la prévention de la perte de données dans Power BI.

Cet article inclut également des lignes directrices d’introduction sur la définition d’une structure d’étiquette de confidentialité. Techniquement, la structure d’étiquettes de confidentialité est un prérequis pour l’implémentation d’étiquettes de confidentialité dans Power BI. L’objectif de l’inclusion de certaines informations de base dans cet article est de vous aider à comprendre ce qui est impliqué. Il est essentiel de collaborer avec le service informatique pour planifier et implémenter la protection des informations dans l’organisation.

Objectif des étiquettes de confidentialité

L’utilisation d’étiquettes de confidentialité Protection des données Microsoft Purview concerne la classification du contenu. Imaginez une étiquette de confidentialité comme une étiquette que vous appliquez à un élément, un fichier, un site ou une ressource de données.

Le recours à la protection des informations présente de nombreux avantages. La classification et l’étiquetage du contenu aident les organisations à :

  • Comprendre où résident les données sensibles.
  • Suivre les exigences de conformité externes et internes.
  • Protéger les informations contre des utilisateurs non autorisßes.
  • Informer les utilisateurs sur la façon de gérer les données de manière responsable.
  • Implémenter des contrôles en temps réel pour réduire le risque de fuite de données.

Pour plus de cas d’usage pour la protection des informations, consultez Protection des informations et protection contre la perte de données (cas d’usage courants).

Conseil

Il convient de se rappeler que la Microsoft Purview Information Protection est le produit. Les étiquettes de confidentialité sont une caractéristique spécifique de ce produit.

Une étiquette de confidentialité est une brève description en texte clair. D’un point de vue conceptuel, vous pouvez penser à une étiquette de confidentialité comme une étiquette. Une seule étiquette peut être attribuée à chaque élément (comme un modèle sémantique Power BI, précédemment appelé jeu de données, dans le service Power BI) ou à chaque fichier (comme un fichier Power BI Desktop).

Une étiquette a les objectifs suivants.

  • Classification : elle fournit une classification pour décrire le niveau de confidentialité.
  • Éducation et sensibilisation des utilisateurs : elle aide les utilisateurs à comprendre comment utiliser le contenu de manière appropriée.
  • Stratégies : elle constitue la base de l’application de la mise en œuvre de stratégies et de protection des informations et protection contre la perte de données.

Conditions préalables à la protection des informations Power BI

À ce stade, vous devez avoir effectué les étapes de planification de niveau organisation décrites dans l’article Planification de la protection des informations au niveau de l’organisation. Avant de continuer, vous devez bien comprendre les aspects suivants :

  • État actuel : l’état actuel de la protection des informations dans votre organisation. Vous devez savoir si les étiquettes de confidentialité sont déjà utilisées pour les fichiers Microsoft Office. Dans ce cas, l’étendue du travail pour ajouter Power BI est beaucoup plus petite que si vous apportez la protection des informations à l’organisation pour la première fois.
  • Objectifs et exigences : les objectifs stratégiques de l’implémentation de la protection contre la perte de données dans votre organisation. La compréhension des objectifs et des exigences servira de guide pour vos efforts d’implémentation.

Si la protection des informations n’est pas utilisée par votre organisation, le reste de cette section fournit des informations pour vous aider à collaborer avec d’autres personnes pour introduire la protection des informations dans votre organisation.

Si la protection des informations est activement utilisée dans votre organisation, nous vous recommandons d’utiliser cet article pour vérifier que les conditions préalables sont remplies. Si les étiquettes de confidentialité sont activement utilisées, la plupart (ou toutes) les activités des phases de déploiement 1 à 4 (dans la section suivante) sont déjà terminées.

Phases de déploiement

Nous vous recommandons d’adopter un plan de déploiement progressif pour l’implémentation et le test de la protection des informations. L’objectif d’un plan de déploiement progressif est de vous préparer à apprendre, à ajuster et à itérer au fur et à mesure. L’avantage est que moins d’utilisateurs sont impactés au cours des premières phases (lorsque les modifications sont plus probables), jusqu’à ce que la protection des informations soit finalement déployée pour tous les utilisateurs de l’organisation.

L’introduction de la protection des informations est une entreprise importante. Comme décrit dans l’article Planification de la protection des informations au niveau de l’organisation, si votre organisation a déjà implémenté la protection des informations pour les documents Microsoft Office, bon nombre de ces tâches sont déjà effectuées.

Cette section fournit une vue d’ensemble des phases que nous vous recommandons d’inclure dans votre plan de déploiement progressif. Cela devrait vous donner une idée de ce à quoi vous attendre. Le reste de cet article décrit d’autres critères de prise de décision pour les aspects clés qui affectent Power BI le plus directement.

Phase 1 : planifier, décider, préparer

Dans la première phase, concentrez-vous sur la planification, la prise de décision et les activités préparatoires. La majeure partie du reste de cet article se concentre sur cette première phase.

Le plus tôt possible, précisez où les tests initiaux auront lieu. Ce choix aura un impact sur l’emplacement où vous allez initialement configurer, publier et tester. Pour les tests initiaux, vous pouvez utiliser un locataire hors production (si vous y avez accès).

Conseil

La plupart des organisations ont un locataire, il peut donc être difficile d’explorer de nouvelles fonctionnalités de manière isolée. Pour les organisations qui ont un locataire de développement ou de test distinct, nous vous recommandons de l’utiliser pour la phase de test initiale. Pour plus d’informations sur la gestion des locataires et sur la création d’un locataire d’évaluation pour tester de nouvelles fonctionnalités, consultez Configuration du locataire.

Phase 2 : configurer les ressources utilisateur de prise en charge

La deuxième phase comprend des étapes de configuration des ressources pour la prise en charge des utilisateurs. Les ressources incluent votre stratégie de classification et de protection des données et la page d’aide personnalisée.

Il est important d’avoir une partie de la documentation utilisateur publiée tôt. Il est également important que l’équipe de support utilisateur soit préparée à l’avance.

Phase 3 : configurer des étiquettes et publier

La troisième phase se concentre sur la définition des étiquettes de confidentialité. Une fois toutes les décisions prises, la configuration n’est ni difficile ni chronophage. Les étiquettes de confidentialité sont configurées dans le portail de conformité Microsoft Purview dans le Centre d’administration Microsoft 365.

Phase 4 : stratégie d’étiquette de publication

Avant qu’une étiquette puisse être utilisée, vous devez la publier dans le cadre d’une stratégie d’étiquette. Les stratégies d’étiquette permettent à certains utilisateurs d’utiliser une étiquette. Les stratégies d’étiquette sont publiées dans le portail de conformité Microsoft Purview dans le Centre d'administration Microsoft 365.

Notes

Jusqu’à ce stade, tout est une condition préalable à l’implémentation de la protection des informations pour Power BI.

Phase 5 : activer les paramètres du locataire Power BI

Il existe plusieurs paramètres de locataire de protection des informations dans le portail d’administration Power BI. Ils sont nécessaires pour activer la protection des informations dans le service Power BI.

Important

Vous devez définir les paramètres du locataire après avoir configuré et publié les étiquettes dans le portail de conformité Microsoft Purview.

Phase 6 : test initial

Dans la sixième phase, vous effectuez des tests initiaux pour vérifier que tout se déroule comme prévu. À des fins de test initial, vous devez publier la stratégie d’étiquette uniquement pour l’équipe d’implémentation.

Au cours de cette phase, veillez à tester :

  • Fichiers Microsoft Office
  • Éléments Power BI dans le service Power BI
  • Fichiers Power BI Desktop
  • Exportation de fichiers à partir du service Power BI
  • Autres étendues incluses dans la configuration, telles que les sites Teams ou SharePoint

Veillez à vérifier les fonctionnalités et l’expérience utilisateur à l’aide d’un navigateur web, ainsi que d’appareils mobiles couramment utilisés. Mettez à jour votre documentation utilisateur en conséquence.

Important

Même si seuls quelques membres de l’équipe sont autorisés à définir une étiquette de confidentialité, tous les utilisateurs pourront voir les étiquettes attribuées au contenu. Si vous utilisez votre locataire de production, les utilisateurs peuvent se demander pourquoi ils voient des étiquettes attribuées à des éléments dans un espace de travail dans le service Power BI. Soyez prêt à prendre en charge et à répondre aux questions des utilisateurs.

Phase 7 : recueillir les commentaires des utilisateurs

L’objectif de cette phase est d’obtenir des commentaires d’un petit groupe d’utilisateurs clés. Les commentaires doivent identifier les zones de confusion, les lacunes dans la structure de l’étiquette ou les problèmes techniques. Vous pouvez également trouver des raisons d’améliorer la documentation utilisateur.

À cette fin, vous devez publier (ou republier) la stratégie d’étiquette pour un petit sous-ensemble d’utilisateurs qui sont prêts à fournir des commentaires.

Conseil

Veillez à prendre suffisamment de temps dans votre plan de projet. Pour les étiquettes et les paramètres de stratégie d’étiquette, la documentation du produit recommande d’attendre 24 heures pour que les modifications prennent effet. Ce temps est nécessaire pour garantir que toutes les modifications se propagent aux services associés.

Phase 8 : mise en production de manière itérative

La phase d’implémentation est généralement un processus itératif.

Souvent, l’objectif initial est d’atteindre un état où tout le contenu Power BI a une étiquette de confidentialité attribuée. Pour atteindre cet objectif, vous pouvez introduire une stratégie d’étiquette obligatoire ou une stratégie d’étiquette par défaut. Vous pouvez également utiliser les API d’administration de protection des informations pour définir ou supprimer des étiquettes de confidentialité par programme.

Vous pouvez inclure progressivement d’autres groupes d’utilisateurs jusqu’à ce que la totalité de l’organisation soit incluse. Ce processus implique la republication de chaque stratégie d’étiquette vers des groupes d’utilisateurs de plus en plus importants.

Tout au long de ce processus, veillez à donner la priorité à l’orientation, à la communication et à la formation de vos utilisateurs afin qu’ils comprennent le processus et ce que l’on attend d’eux.

Phase 9 : surveiller, auditer, ajuster, intégrer

D’autres étapes doivent être effectuées après le déploiement initial. Vous devez avoir une équipe principale pour surveiller les activités de protection des informations et les ajuster au fil du temps. À mesure que des étiquettes sont appliquées, vous serez en mesure d’évaluer leur utilité et d’identifier les domaines d’ajustement.

L’audit de la protection des informations comporte de nombreux aspects. Pour plus d’informations, consultez Audit de la protection des informations et de la protection contre la perte de données pour Power BI.

Les investissements que vous effectuez dans la configuration de la protection des informations et la protection contre la perte de données peuvent être utilisés dans les stratégies de protection contre la perte de données pour Power BI, qui sont configurées dans le portail de conformité Microsoft Purview. Pour plus d’informations, notamment une description des fonctionnalités de protection des informations et protection contre la perte de données, consultez Protection contre la perte de données pour Power BI.

La protection des informations peut également être utilisée pour créer des stratégies dans les applications Microsoft Defender pour le cloud. Pour plus d’informations, y compris une description des fonctionnalités qui peuvent vous être utiles, consultez Applications Microsoft Defender pour le cloud pour Power BI.

Liste de vérification : lors de la préparation de vos phases de déploiement de protection des informations, les décisions et actions clés incluent :

  • Créer un plan de déploiement progressif : définissez les phases de votre plan de déploiement. Clarifiez les objectifs spécifiques pour chaque phase.
  • Identifier où effectuer des tests : déterminez où le test initial peut être effectué. Pour réduire l’impact sur les utilisateurs, utilisez un locataire hors production, si possible.
  • Créer un plan de projet : créez un plan de projet qui inclut toutes les activités clés, les estimations de chronologie et les responsables.

Structure de l’étiquette de confidentialité

La structure des étiquettes de confidentialité est une condition préalable à l’implémentation d’étiquettes de confidentialité dans Power BI. Cette section contient des informations de base pour vous aider à comprendre ce qui est impliqué dans la création de la structure d’étiquette.

Cette section n’est pas une liste exhaustive de toutes les considérations possibles relatives aux étiquettes de confidentialité pour toutes les applications possibles. Au lieu de cela, elle se concentre sur les considérations et les activités qui affectent directement la classification du contenu Power BI. Veillez à travailler avec d’autres parties prenantes et administrateurs système pour prendre des décisions qui fonctionnent bien pour toutes les applications et les cas d’usage.

La base de l’implémentation de la protection des informations commence par un ensemble d’étiquettes de confidentialité. L’objectif final est de créer un ensemble d’étiquettes de confidentialité qui sont claires et simples à utiliser pour les utilisateurs.

La structure d’étiquette de confidentialité utilisée dans une organisation représente une taxonomie d’étiquette. Elle est également communément appelée taxonomie de classification des données, car l’objectif est de classifier les données. Elle est parfois appelée définition de schéma.

Il n’existe pas d’ensemble d’étiquettes standard ou intégré. Chaque organisation doit définir et personnaliser un ensemble d’étiquettes en fonction de ses besoins. Le processus d’obtention du bon ensemble d’étiquettes implique une collaboration approfondie. Cela nécessite une planification réfléchie pour s’assurer que les étiquettes répondront aux objectifs et aux exigences. N’oubliez pas que les étiquettes seront appliquées à plus d’un contenu Power BI.

Conseil

La plupart des organisations commencent par attribuer des étiquettes aux fichiers Microsoft Office. Elles évoluent ensuite pour classifier d’autres contenus, tels que les éléments et fichiers Power BI.

Une structure d’étiquette comprend :

  • Étiquettes : les étiquettes forment une hiérarchie. Chaque étiquette indique le niveau de sensibilité d’un élément, d’un fichier ou d’une ressource de données. Nous vous recommandons de créer entre trois et sept étiquettes. Les étiquettes doivent rarement changer.
  • Sous-étiquettes : les sous-étiquettes indiquent des variations de protection ou d’étendue au sein d’une étiquette spécifique. En les incluant dans différentes stratégies d’étiquette, vous pouvez étendre les sous-étiquettes à un certain ensemble d’utilisateurs ou aux utilisateurs impliqués dans un projet spécifique.

Conseil

Bien que les sous-étiquettes offrent de la flexibilité, elles doivent être utilisées avec modération uniquement pour répondre aux exigences critiques. La création d’un trop grand nombre de sous-étiquettes entraîne une gestion accrue. Elles peuvent également submerger les utilisateurs avec trop d’options.

Les étiquettes forment une hiérarchie, en allant de la classification la moins sensible à la classification la plus sensible.

Parfois, le contenu Power BI contient des données qui s’étendent sur plusieurs étiquettes. Par exemple, un modèle sémantique pourrait contenir des informations sur l’inventaire des produits (Usage interne général) et les chiffres de ventes du trimestre actuel (Restreinte). Lors du choix de l’étiquette à attribuer au modèle sémantique Power BI, les utilisateurs doivent apprendre à appliquer l’étiquette la plus restrictive.

Conseil

La section suivante décrit la stratégie de classification et de protection des données qui peut fournir aux utilisateurs des lignes directrices sur l’utilisation de chaque étiquette.

Important

L’attribution d’une étiquette ou d’une sous-étiquette n’affecte pas directement l’accès au contenu Power BI dans le service Power BI. Au lieu de cela, l’étiquette fournit une catégorie utile qui peut guider le comportement de l’utilisateur. Les stratégies de protection contre la perte de données peuvent également être basées sur l’étiquette attribuée. Toutefois, rien ne change dans la façon dont l’accès au contenu Power BI est géré, sauf lorsqu’un fichier est chiffré. Pour plus d’informations, consultez Utilisation de la protection de chiffrement.

Soyez délibéré avec les étiquettes que vous créez, car il est difficile de supprimer ou d’éliminer une étiquette une fois que vous avez progressé au-delà de la phase de test initiale. Étant donné que les sous-étiquettes peuvent (éventuellement) être utilisées pour un ensemble particulier d’utilisateurs, elles peuvent changer plus souvent que les étiquettes.

Voici quelques meilleures pratiques pour définir une structure d’étiquette.

  • Utiliser des termes intuitifs et non ambigus : il est important de faire preuve de clarté pour que les utilisateurs sachent ce qu’ils doivent choisir lorsqu’ils classent leurs données. Par exemple, avoir une étiquette Top Secret et une étiquette Hautement confidentiel est ambigu.
  • Créer un ordre hiérarchique logique : l’ordre des étiquettes est crucial pour que tout fonctionne correctement. N’oubliez pas que la dernière étiquette de la liste est la plus sensible. L’ordre hiérarchique, en combinaison avec des termes bien sélectionnés, doit être logique et intuitif pour les utilisateurs. Une hiérarchie claire facilite également la création et la maintenance des stratégies.
  • Créer seulement quelques étiquettes qui s’appliquent à l’ensemble de l’organisation : le fait d’avoir trop d’étiquettes parmi lesquelles les utilisateurs peuvent choisir est déroutant. Cela entraînera également une sélection d’étiquette moins précise. Nous vous recommandons de créer seulement quelques étiquettes pour l’ensemble initial.
  • Utiliser des noms génériques explicites : évitez d’utiliser le jargon ou les acronymes du secteur dans les noms de vos étiquettes. Par exemple, au lieu de créer une étiquette nommée Informations d’identification personnelle, utilisez plutôt des noms comme Hautement restreinte ou Hautement confidentielle.
  • Utiliser des termes facilement localisés dans d’autres langues : pour les organisations mondiales ayant des activités dans plusieurs pays/régions, il est important de choisir des termes d’étiquette qui ne seront pas confus ou ambigus lorsqu’ils sont traduits dans d’autres langues.

Conseil

Si vous vous trouvez à planifier de nombreuses étiquettes qui sont très spécifiques, prenez du recul et réévaluez votre approche. La complexité peut entraîner la confusion des utilisateurs, une adoption réduite et une protection des informations moins efficace. Nous vous recommandons de commencer par un ensemble initial d’étiquettes (ou d’utiliser ce que vous avez déjà). Une fois que vous avez acquis plus d’expérience, développez prudemment l’ensemble d’étiquettes en ajoutant des étiquettes plus spécifiques si nécessaire.

Liste de vérification : lors de la planification de la structure de votre étiquette de confidentialité, les décisions et actions clés incluent :

  • Définir un ensemble initial d’étiquettes de confidentialité : créez un ensemble initial de trois à sept étiquettes de confidentialité. Assurez-vous qu’elles ont une large utilisation pour un large éventail de contenu. Prévoyez d’itérer sur la liste initiale au fur et à mesure que vous finalisez la stratégie de classification et de protection des données.
  • Déterminer si vous avez besoin de sous-étiquettes : déterminez s’il est nécessaire d’utiliser des sous-étiquettes pour l’une des étiquettes.
  • Vérifier la localisation des termes de l’étiquette : si les étiquettes sont traduites dans d’autres langues, les locuteurs natifs vérifient que les étiquettes localisées transmettent la signification prévue.

Étendue de l’étiquette de confidentialité

Une étendue d’étiquette de confidentialité limite l’utilisation d’une étiquette. Bien que vous ne puissiez pas spécifier Power BI directement, vous pouvez appliquer des étiquettes à différentes étendues. Les étendues possibles incluent :

  • Éléments (tels que les éléments publiés sur le service Power BI, les fichiers et les e-mails)
  • Groupes et sites (tels qu’un canal Teams ou un site SharePoint)
  • Ressources de données schématisées (sources prises en charge qui sont inscrites dans le mappage de données Purview)

Important

Il n’est pas possible de définir une étiquette de confidentialité avec une étendue de Power BI uniquement. Bien que certains paramètres s’appliquent spécifiquement à Power BI, l’étendue n’en fait pas partie. L’étendue des éléments est utilisée pour le service Power BI. Les étiquettes de confidentialité sont gérées différemment des stratégies de protection des informations et protection contre la perte de données, qui sont décrites dans l’article Protection contre la perte de données pour la planification Power BI, de sorte que certains types de stratégies de protection des informations et protection contre la perte de données peuvent être définies spécifiquement pour Power BI. Si vous envisagez d’utiliser l’héritage d’étiquettes de confidentialité à partir de sources de données dans Power BI, il existe des exigences spécifiques pour l’étendue de l’étiquette.

Les événements liés aux étiquettes de confidentialité sont enregistrés dans l’explorateur d’activités. Les détails journalisés de ces événements seront considérablement plus riches lorsque l’étendue est plus large. Vous serez également mieux préparé à protéger les données dans un large éventail d’applications et de services.

Lorsque vous définissez l’ensemble initial d’étiquettes de confidentialité, envisagez de rendre l’ensemble initial d’étiquettes disponible pour toutes les étendues. En effet, les utilisateurs peuvent être déroutés lorsqu’ils voient des étiquettes différentes dans des applications et des services différents. Au fil du temps, toutefois, vous pourriez découvrir des cas d’usage pour des sous-étiquettes plus spécifiques. Toutefois, il est plus sûr de commencer avec un ensemble cohérent et simple d’étiquettes initiales.

L’étendue de l’étiquette est définie dans le portail de conformité Microsoft Purview lorsque l’étiquette est configurée.

Liste de vérification : lors de la planification de l’étendue de l’étiquette, les décisions et actions clés incluent :

  • Déterminer l’étendue de l’étiquette : discutez et décidez si chacune de vos étiquettes initiales sera appliquée à toutes les étendues.
  • Passer en revue tous les prérequis : examinez les conditions préalables et les étapes d’installation nécessaires qui seront requises pour chaque étendue que vous envisagez d’utiliser.

Utilisation de la protection de chiffrement

Il existe plusieurs options de protection avec une étiquette de confidentialité.

  • Chiffrement : les paramètres de chiffrement concernent les fichiers ou les e-mails. Par exemple, un fichier Power BI Desktop peut être chiffré.
  • Marquages : fait référence aux en-têtes, pieds de page et filigranes. Les marquages sont utiles pour les fichiers Microsoft Office, mais ils ne sont pas affichés sur le contenu Power BI.

Conseil

Généralement, lorsqu’une personne fait référence à une étiquette comme étant protégée, elle fait référence au chiffrement. Il peut être suffisant que seules les étiquettes de niveau supérieur, comme Restreinte et Hautement restreinte, soient chiffrées.

Le chiffrement est un moyen d’encoder des informations de manière cryptographique. Le chiffrement présente plusieurs avantages clés.

  • Seuls les utilisateurs autorisés (par exemple, les utilisateurs internes au sein de votre organisation) peuvent ouvrir, déchiffrer et lire un fichier protégé.
  • Le chiffrement reste avec un fichier protégé, même lorsque le fichier est envoyé en dehors de l’organisation ou est renommé.
  • Le paramètre de chiffrement est obtenu à partir du contenu étiqueté d’origine. Considérez qu’un rapport dans le service Power BI a une étiquette de confidentialité de Hautement restreinte. Si elle est exportée vers un chemin d’exportation pris en charge, l’étiquette reste intacte et le chiffrement est appliqué sur le fichier exporté.

Le service Azure Rights Management (Azure RMS) est utilisé pour la protection des fichiers avec chiffrement. Certaines conditions préalables importantes doivent être remplies pour utiliser le chiffrement Azure RMS.

Important

Il existe une limitation à prendre en compte : un utilisateur hors connexion (sans connexion Internet) ne peut pas ouvrir un fichier Power BI Desktop chiffré (ou un autre type de fichier protégé par Azure RMS). En effet, Azure RMS doit vérifier de manière synchrone qu’un utilisateur est autorisé à ouvrir, déchiffrer et afficher le contenu du fichier.

Les étiquettes chiffrées sont gérées différemment selon l’endroit où l’utilisateur travaille.

  • Dans le service Power BI : le paramètre de chiffrement n’a pas d’effet direct sur l’accès utilisateur dans le service Power BI. Les autorisations Power BI standard (telles que les rôles d’espace de travail, les autorisations d’application ou les autorisations de partage) contrôlent l’accès utilisateur dans le service Power BI. Les étiquettes de confidentialité n’affectent pas l’accès au contenu dans le service Power BI.
  • Fichiers Power BI Desktop : une étiquette chiffrée peut être attribuée à un fichier Power BI Desktop. L’étiquette est également conservée lorsqu’elle est exportée à partir du service Power BI. Seuls les utilisateurs autorisés peuvent ouvrir, déchiffrer et afficher le fichier.
  • Fichiers exportés : les fichiers Microsoft Excel, Microsoft PowerPoint et PDF exportés à partir du service Power BI conservent leur étiquette de confidentialité, y compris la protection contre le chiffrement. Pour les formats de fichiers pris en charge, seuls les utilisateurs autorisés peuvent ouvrir, déchiffrer et afficher le fichier.

Important

Il est essentiel que les utilisateurs comprennent les distinctions entre le service Power BI et les fichiers, qui sont facilement confondus. Nous vous recommandons de fournir un document FAQ, ainsi que des exemples, pour aider les utilisateurs à comprendre les différences.

Pour ouvrir un fichier Power BI Desktop protégé ou un fichier exporté, un utilisateur doit répondre aux critères suivants.

  • Connectivité Internet : l’utilisateur doit être connecté à Internet. Une connexion Internet active est nécessaire pour communiquer avec Azure RMS.
  • Autorisations RMS : l’utilisateur doit disposer d’autorisations RMS, qui sont définies dans l’étiquette (plutôt que dans la stratégie d’étiquette). Les autorisations RMS permettent aux utilisateurs autorisés de déchiffrer, d’ouvrir et d’afficher les formats de fichiers pris en charge.
  • Utilisateur autorisé : les utilisateurs ou les groupes doivent être spécifiés dans la stratégie d’étiquette. En règle générale, l’attribution d’utilisateurs autorisés n’est requise que pour les créateurs de contenu et les propriétaires afin qu’ils puissent appliquer des étiquettes. Toutefois, lors de l’utilisation de la protection de chiffrement, il existe une autre exigence. Chaque utilisateur qui doit ouvrir un fichier protégé doit être spécifié dans la stratégie d’étiquette. Cette exigence signifie que des licences de protection des informations peuvent être requises pour plus d’utilisateurs.

Conseil

Le paramètre de locataire Autoriser les administrateurs de l’espace de travail à remplacer les étiquettes de confidentialité appliquées automatiquement permet aux administrateurs de l’espace de travail de modifier une étiquette qui a été automatiquement appliquée, même si la protection (chiffrement) est activée pour l’étiquette. Cette fonctionnalité est particulièrement utile lorsqu’une étiquette a été automatiquement attribuée ou héritée, mais que l’administrateur de l’espace de travail n’est pas un utilisateur autorisé.

La protection des étiquettes est définie dans le portail de conformité Microsoft Purview lorsque vous configurez l’étiquette.

Liste de vérification : lors de la planification de l’utilisation du chiffrement des étiquettes, les décisions et actions clés incluent :

  • Déterminer les étiquettes qui doivent être chiffrées : pour chaque étiquette de confidentialité, déterminez si elle doit être chiffrée (protégée). Examinez attentivement les limitations impliquées.
  • Identifier les autorisations RMS pour chaque étiquette : déterminez les autorisations de l’utilisateur pour accéder aux fichiers chiffrés et interagir avec eux. Créez un mappage d’utilisateurs et de groupes pour chaque étiquette de confidentialité pour faciliter le processus de planification.
  • Passer en revue et résoudre les prérequis de chiffrement RMS : assurez-vous que les conditions techniques requises pour utiliser le chiffrement Azure RMS sont remplies.
  • Prévoir d’effectuer des tests approfondis du chiffrement : en raison des différences entre les fichiers Office et les fichiers Power BI, assurez-vous que vous vous engagez dans une phase de test approfondie.
  • Inclure dans la documentation utilisateur et la formation : veillez à inclure des lignes directrices dans votre documentation et une formation sur ce que les utilisateurs doivent attendre pour les fichiers auxquels une étiquette de confidentialité est chiffrée.
  • Effectuer le transfert des connaissances avec le support : planifiez des sessions de transfert de connaissances spécifiques avec l’équipe de support. En raison de la complexité du chiffrement, elle recevra probablement des questions de la part des utilisateurs.

Héritage des étiquettes à partir de sources de données

Lors de l’importation de données à partir de sources de données prises en charge (telles que Azure Synapse Analytics, Azure SQL Database ou un fichier Excel), un modèle sémantique Power BI peut éventuellement hériter de l’étiquette de confidentialité appliquée aux données sources. L’héritage permet de :

  • Promouvoir la cohérence de l’étiquetage.
  • Réduire l’effort de l’utilisateur lors de l’attribution d’étiquettes.
  • Réduire le risque que les utilisateurs accèdent aux données sensibles et les partagent avec des utilisateurs non autorisés, car elles n’ont pas été étiquetées.

Conseil

Il existe deux types d’héritage pour les étiquettes de confidentialité. L’héritage en aval fait référence aux éléments en aval (comme les rapports) qui héritent automatiquement d’une étiquette de son modèle sémantique Power BI. Toutefois, cette section se concentre sur _l’héritage en amont. L’héritage en amont fait référence à un modèle sémantique Power BI qui hérite d’une étiquette d’une source de données amont du modèle sémantique.

Prenons un exemple où la définition de travail de l’organisation pour l’étiquette de confidentialité Hautement restreinte inclut des numéros de compte financier. Étant donné que les numéros de compte financier sont stockés dans une base de données Azure SQL, l’étiquette de confidentialité Hautement restreinte a été attribuée à cette source. Lorsque des données de la base de données Azure SQL sont importées dans Power BI, l’intention est que le modèle sémantique hérite de l’étiquette.

Vous pouvez attribuer des étiquettes de confidentialité à une source de données prise en charge de différentes manières.

  • Découverte et classification des données : vous pouvez analyser une base de données prise en charge pour identifier les colonnes qui pourraient contenir des données sensibles. En fonction des résultats de l’analyse, vous pouvez appliquer certaines ou toutes les recommandations d’étiquette. Découverte et classification des données est pris en charge pour des bases de données comme Azure SQL Database, Azure SQL Managed Instance et Azure Synapse Analytics. Découverte et classification des données SQL est pris en charge pour les bases de données SQL Server locales.
  • Attributions manuelles : vous pouvez attribuer une étiquette de confidentialité à un fichier Excel. Vous pourriez également attribuer manuellement des étiquettes à des colonnes de base de données dans Azure SQL Database ou SQL Server.
  • Étiquetage automatique dans Microsoft Purview : les étiquettes de confidentialité peuvent être appliquées aux sources de données prises en charge qui sont inscrites en tant que ressources dans le Mappage de données Microsoft Purview.

Avertissement

Les détails de l’attribution d’étiquettes de confidentialité à une source de données sont hors de portée pour cet article. Les fonctionnalités techniques évoluent en fonction de ce qui est pris en charge pour l’héritage dans Power BI. Nous vous recommandons d’effectuer une preuve de concept technique pour vérifier vos objectifs, la facilité d’utilisation et si les fonctionnalités répondent à vos besoins.

L’héritage se produit uniquement lorsque vous activez le paramètre de locataire Appliquer des étiquettes de confidentialité des sources de données à leurs données dans Power BI. Pour plus d’informations sur les paramètres de locataire, consultez la section Paramètres de locataire Power BI plus loin dans cet article.

Conseil

Vous devez vous familiariser avec le comportement d’héritage. Veillez à inclure différentes circonstances dans votre plan de test.

Liste de vérification : lors de la planification de l’héritage des étiquettes à partir de sources de données, les décisions et actions clés incluent :

  • Déterminer si Power BI doit hériter des étiquettes des sources de données : déterminez si Power BI doit hériter de ces étiquettes. Prévoyez d’activer le paramètre de locataire pour autoriser cette fonctionnalité.
  • Passer en revue les prérequis techniques : déterminez si vous devez prendre des mesures supplémentaires pour attribuer des étiquettes de confidentialité aux sources de données.
  • Tester la fonctionnalité d’héritage des étiquettes : effectuez une preuve de concept technique pour tester le fonctionnement de l’héritage. Vérifiez que la fonctionnalité fonctionne comme prévu dans différentes circonstances.
  • Inclure dans la documentation utilisateur : vérifiez que les informations sur l’héritage des étiquettes sont ajoutées aux lignes directrices fournies aux utilisateurs. Incluez des exemples réalistes dans la documentation utilisateur.

Stratégies d’étiquette publiées

Après avoir défini une étiquette de confidentialité, l’étiquette peut être ajoutée à une ou plusieurs stratégies d’étiquette. Une stratégie d’étiquette est la façon dont vous publiez l’étiquette afin qu’elle puisse être utilisée. Elle définit les étiquettes qui peuvent être utilisées par quel ensemble d’utilisateurs autorisés. Il existe également d’autres paramètres, tels que l’étiquette par défaut et l’étiquette obligatoire.

L’utilisation de plusieurs stratégies d’étiquette peut être utile lorsque vous devez cibler différents ensembles d’utilisateurs. Vous pouvez définir une étiquette de confidentialité une seule fois, puis l’inclure dans une ou plusieurs stratégies d’étiquette.

Conseil

Une étiquette de confidentialité n’est pas disponible jusqu’à ce qu’une stratégie d’étiquette contenant l’étiquette soit publiée dans le portail de conformité Microsoft Purview.

Utilisateurs et groupes autorisés

Lorsque vous créez une stratégie d’étiquette, un ou plusieurs utilisateurs ou groupes doivent être sélectionnés. La stratégie d’étiquette détermine quels utilisateurs peuvent utiliser l’étiquette. Elle permet aux utilisateurs d’attribuer cette étiquette à un contenu spécifique, tel qu’un fichier Power BI Desktop, un fichier Excel ou un élément publié sur le service Power BI.

Nous vous recommandons de simplifier au maximum les utilisateurs et les groupes autorisés. Une bonne règle générale consiste à publier les étiquettes principales pour tous les utilisateurs. Parfois, il convient qu’une sous-étiquette soit attribuée, ou étendue, à un sous-ensemble d’utilisateurs.

Nous vous recommandons d’attribuer des groupes au lieu d’individus dans la mesure du possible. L’utilisation de groupes simplifie la gestion de la stratégie et réduit la fréquence à laquelle elle doit être republiée.

Avertissement

Les utilisateurs et les groupes autorisés pour une étiquette sont différents des utilisateurs attribués à Azure RMS pour une étiquette protégée (chiffrée). Si un utilisateur rencontre des problèmes lors de l’ouverture d’un fichier chiffré, examinez les autorisations de chiffrement pour des utilisateurs et des groupes spécifiques (qui sont configurées dans la configuration de l’étiquette, plutôt que dans la stratégie d’étiquette). Dans la plupart des cas, nous vous recommandons d’attribuer les mêmes utilisateurs aux deux. Cette cohérence permet d’éviter toute confusion et de réduire les tickets de support.

Les utilisateurs et les groupes autorisés sont définis dans le portail de conformité Microsoft Purview lors de la publication de la stratégie d’étiquette.

Liste de vérification : lors de la planification des utilisateurs et groupes autorisés dans votre stratégie d’étiquette, les décisions et actions clés incluent :

  • Déterminer les étiquettes qui s’appliquent à tous les utilisateurs : discutez et décidez des étiquettes de confidentialité qui doivent être utilisées par tous les utilisateurs.
  • Déterminer les sous-étiquettes qui s’appliquent à un sous-ensemble d’utilisateurs : discutez et déterminez s’il existe des sous-étiquettes qui seront disponibles uniquement pour un ensemble spécifique d’utilisateurs ou de groupes.
  • Identifier si de nouveaux groupes sont nécessaires : déterminez si de nouveaux groupes Microsoft Entra ID (précédemment appelé Azure Active Directory) doivent être créés pour prendre en charge les utilisateurs et les groupes autorisés.
  • Créer un document de planification : si le mappage des utilisateurs autorisés aux étiquettes de confidentialité est compliqué, créez un mappage d’utilisateurs et de groupes pour chaque stratégie d’étiquette.

Étiquette par défaut pour le contenu Power BI

Lorsque vous créez une stratégie d’étiquette, vous pouvez choisir une étiquette par défaut. Par exemple, l’étiquette Usage interne général peut être définie comme étiquette par défaut. Ce paramètre affecte les nouveaux éléments Power BI créés dans Power BI Desktop ou le service Power BI.

Vous pouvez configurer l’étiquette par défaut dans la stratégie d’étiquette spécifiquement pour le contenu Power BI, qui est distinct des autres éléments. La plupart des décisions et paramètres de protection des informations s’appliquent plus largement. Toutefois, le paramètre d’étiquette par défaut (et le paramètre d’étiquette obligatoire décrit ci-dessous) s’applique uniquement à Power BI.

Conseil

Bien que vous puissiez définir différentes étiquettes par défaut (pour le contenu Power BI et non Power BI), déterminez s’il s’agit de la meilleure option pour les utilisateurs.

Il est important de comprendre qu’une nouvelle stratégie d’étiquette par défaut s’appliquera au contenu créé ou modifié après la publication de la stratégie d’étiquette. Cela n’affecte pas rétroactivement l’étiquette par défaut au contenu existant. Votre administrateur Power BI peut utiliser les API de protection des informations pour définir des étiquettes de confidentialité en bloc afin de s’assurer que le contenu existant est attribué à une étiquette de confidentialité par défaut.

Les options d’étiquette par défaut sont définies dans le portail de conformité Microsoft Purview lors de la publication de la stratégie d’étiquette.

Liste de vérification : lors de la planification de l’application d’une étiquette par défaut pour le contenu Power BI, les décisions et actions clés incluent :

  • Déterminer si une étiquette par défaut sera spécifiée : discutez et déterminez si une étiquette par défaut est appropriée. Dans ce cas, déterminez l’étiquette la mieux adaptée par défaut.
  • Inclure dans la documentation utilisateur : si nécessaire, vérifiez que les informations sur l’étiquette par défaut sont mentionnées dans les lignes directrices fournies aux utilisateurs. L’objectif est que les utilisateurs comprennent comment déterminer si l’étiquette par défaut est appropriée ou si elle doit être modifiée.

Étiquetage obligatoire du contenu Power BI

La classification des données est une exigence réglementaire courante. Pour répondre à cette exigence, vous pouvez choisir d’exiger que les utilisateurs étiquettent tout le contenu Power BI. Cette exigence d’étiquetage obligatoire prend effet lorsque les utilisateurs créent ou modifient du contenu Power BI.

Vous pouvez choisir d’implémenter des étiquettes obligatoires, des étiquettes par défaut (décrites dans la section précédente) ou les deux. Tenez compte des facteurs suivants :

  • Une stratégie d’étiquette obligatoire garantit que l’étiquette ne sera pas vide
  • Une stratégie d’étiquette obligatoire oblige les utilisateurs à choisir ce que doit être l’étiquette
  • Une stratégie d’étiquette obligatoire empêche les utilisateurs de supprimer entièrement une étiquette
  • Une stratégie d’étiquette par défaut est moins intrusive pour les utilisateurs, car elle n’exige pas qu’ils agissent
  • Une stratégie d’étiquette par défaut peut entraîner un contenu mal étiqueté, car un utilisateur n’a pas expressément fait le choix
  • L’activation d’une stratégie d’étiquette par défaut et d’une stratégie d’étiquette obligatoire peut fournir des avantages complémentaires

Conseil

Si vous choisissez d’implémenter des étiquettes obligatoires, nous vous recommandons d’implémenter également les étiquettes par défaut.

Vous pouvez configurer la stratégie d’étiquette obligatoire spécifiquement pour le contenu Power BI. La plupart des paramètres de protection des informations s’appliquent plus largement. Toutefois, le paramètre d’étiquette obligatoire (et le paramètre d’étiquette par défaut) s’applique spécifiquement à Power BI.

Conseil

Une stratégie d’étiquette obligatoire ne s’applique pas aux principaux de service ou aux API.

Les options d’étiquetage obligatoire sont définies dans le portail de conformité Microsoft Purview lors de la publication de la stratégie d’étiquette.

Liste de vérification : lorsqu’il s’agit de déterminer si l’étiquetage obligatoire du contenu de Power BI sera nécessaire, les décisions et actions clés incluent :

  • Déterminer si les étiquettes seront obligatoires : discutez et décidez si les étiquettes obligatoires sont nécessaires pour des raisons de conformité.
  • Inclure dans la documentation utilisateur : si nécessaire, assurez-vous que des informations sur les étiquettes obligatoires sont ajoutées aux lignes directrices fournies aux utilisateurs. L’objectif est que les utilisateurs comprennent à quoi s’attendre.

Exigences en termes de licence

Des licences spécifiques doivent être en place pour fonctionner avec des étiquettes de confidentialité.

Une licence Protection des données Microsoft Purview est requise pour :

  • Administrateurs : les administrateurs qui vont configurer, gérer et superviser les étiquettes.
  • Utilisateurs : les créateurs et propriétaires de contenu qui seront responsables de l’application d’étiquettes au contenu. Cela inclut également ceux qui doivent déchiffrer, ouvrir et afficher des fichiers protégés (chiffrés).

Vous disposez peut-être déjà de ces fonctionnalités, car elles sont incluses dans certaines suites de licences, telles que Microsoft 365 E5. Par ailleurs, les fonctionnalités de Microsoft 365 E5 Conformité peuvent être achetées sous forme de licence autonome.

Une licence Power BI Pro ou Premium par utilisateur est également requise pour les utilisateurs qui appliquent et gèrent les étiquettes de confidentialité dans le service Power BI ou le Power BI Desktop.

Conseil

Si vous avez besoin de clarifications sur les exigences de licence, contactez votre équipe de compte Microsoft. N’oubliez pas que la licence Microsoft 365 E5 Conformité inclut des fonctionnalités supplémentaires qui n’entrent pas dans le cadre de cet article.

Liste de vérification : lors de l’évaluation des exigences de licence pour les étiquettes de confidentialité, les décisions et actions clés incluent :

  • Passer en revue les exigences de licence des produits : vérifiez que vous avez examiné toutes les exigences de licence.
  • Passer en revue les conditions requises pour les licences utilisateur : vérifiez que tous les utilisateurs auxquels vous prévoyez d’attribuer des étiquettes disposent de licences Power BI Pro ou PPU.
  • Se procurer des licences supplémentaires : le cas échéant, achetez d’autres licences pour déverrouiller la fonctionnalité que vous envisagez d’utiliser.
  • Attribuer des licences : attribuez une licence à chaque utilisateur qui affectera, mettra à jour ou gérera les étiquettes de confidentialité. Attribuez une licence à chaque utilisateur qui interagira avec les fichiers chiffrés.

Paramètres de locataire Power BI

Plusieurs paramètres de locataire Power BI sont liés à la protection des informations.

Important

Les paramètres de locataire Power BI pour la protection des informations ne doivent pas être définis tant que toutes les conditions préalables ne sont pas remplies. Les étiquettes et les stratégies d’étiquette doivent être configurées et publiées dans le portail de conformité Microsoft Purview. Jusqu’ici, vous êtes toujours dans le processus de prise de décision. Avant de définir les paramètres du locataire, vous devez d’abord déterminer un processus permettant de tester les fonctionnalités avec un sous-ensemble d’utilisateurs. Ensuite, vous pouvez décider comment effectuer un déploiement progressif.

Utilisateurs qui peuvent appliquer des étiquettes

Vous devez décider qui sera autorisé à appliquer des étiquettes de confidentialité au contenu Power BI. Cette décision détermine comment vous définissez le paramètre de locataire Autoriser les utilisateurs à appliquer des étiquettes de confidentialité pour le contenu.

C’est généralement le créateur ou le propriétaire du contenu qui attribue l’étiquette pendant leur flux de travail normal. L’approche la plus simple consiste à activer ce paramètre de locataire, qui permet à tous les utilisateurs de Power BI d’appliquer des étiquettes. Dans ce cas, les rôles d’espace de travail standard déterminent qui peut modifier les éléments dans le service Power BI (y compris l’application d’une étiquette). Vous pouvez utiliser le journal d’activité pour savoir quand un utilisateur attribue ou modifie une étiquette.

Étiquettes provenant de sources de données

Vous devez décider si vous souhaitez que les étiquettes de confidentialité soient héritées des sources de données prises en charge en amont de Power BI. Par exemple, si des colonnes d’Azure SQL Database ont été définies avec l’étiquette de confidentialité Hautement restreinte, un modèle sémantique Power BI qui importe des données de cette source héritera de cette étiquette.

Si vous décidez d’activer l’héritage à partir de sources de données en amont, définissez le paramètre de locataire Appliquer les étiquettes de confidentialité des sources de données à leurs données dans Power BI. Nous vous recommandons d’activer l’héritage des étiquettes de source de données pour favoriser la cohérence et réduire les efforts.

Étiquettes pour le contenu en aval

Vous devez décider si les étiquettes de confidentialité doivent être héritées par le contenu en aval. Par exemple, si un modèle sémantique Power BI a une étiquette de confidentialité Hautement restreinte, tous les rapports en aval héritent de cette étiquette du modèle sémantique.

Si vous décidez d’activer l’héritage par contenu en aval, définissez le paramètre de locataire Appliquer automatiquement les étiquettes de confidentialité au contenu en aval. Nous vous recommandons de planifier l’activation de l’héritage par contenu en aval pour favoriser la cohérence et réduire les efforts.

Remplacements de l’administrateur de l’espace de travail

Ce paramètre s’applique aux étiquettes qui ont été appliquées automatiquement (par exemple, lorsque les étiquettes par défaut sont appliquées ou lorsque les étiquettes sont automatiquement héritées). Lorsqu’une étiquette a des paramètres de protection, Power BI autorise uniquement les utilisateurs autorisés à modifier l’étiquette. Ce paramètre permet aux administrateurs de l’espace de travail de modifier une étiquette qui a été appliquée automatiquement, même s’il existe des paramètres de protection sur l’étiquette.

Si vous décidez d’autoriser les mises à jour d’étiquettes, définissez le paramètre de locataire Autoriser les administrateurs de l’espace de travail à remplacer les étiquettes de confidentialité appliquées automatiquement. Ce paramètre s’applique à toute l’organisation (pas aux groupes individuels). Il permet aux administrateurs de l’espace de travail de modifier les étiquettes qui ont été appliquées automatiquement.

Nous vous recommandons d’envisager d’autoriser les administrateurs de l’espace de travail Power BI à mettre à jour les étiquettes. Vous pouvez utiliser le journal d’activité pour savoir quand ils attribuent ou modifient une étiquette.

Interdire le partage de contenu protégé

Vous devez décider si le contenu protégé (chiffré) peut être partagé avec tous les membres de votre organisation.

Si vous décidez d’interdire le partage de contenu protégé, définissez le paramètre locataire Empêcher le partage du contenu avec des étiquettes protégées à l’aide d’un lien avec tous les membres de votre organisation. Ce paramètre s’applique à toute l’organisation (pas aux groupes individuels).

Nous vous recommandons vivement d’activer ce paramètre locataire pour interdire le partage de contenu protégé. Lorsqu’il est activé, il interdit les opérations de partage concernant des contenus plus sensibles (définis par les étiquettes dont le chiffrement est défini) avec l’ensemble de l’organisation. En activant ce paramètre, vous réduisez le risque de fuite de données.

Important

Il existe un paramètre locataire similaire, appelé Autoriser les liens partageables pour accorder l’accès à tous les membres de votre organisation. Bien qu’il ait un nom similaire, son objectif est différent. Il définit les groupes qui peuvent créer un lien de partage pour l’ensemble de l’organisation, quelle que soit l’étiquette de confidentialité. Dans la plupart des cas, nous vous recommandons de limiter cette fonctionnalité dans votre organisation. Pour plus d’informations, consultez l’article Planification de la sécurité des consommateurs de rapports.

Types de fichiers d’exportation pris en charge

Dans le portail d’administration Power BI, il existe de nombreux paramètres locataires d’exportation et de partage. Dans la plupart des cas, nous recommandons de mettre à la disposition de tous les utilisateurs (ou de la plupart d’entre eux) la possibilité d’exporter des données, afin de ne pas limiter la productivité des utilisateurs.

Toutefois, les secteurs hautement réglementés pourraient avoir l’obligation de restreindre les exportations lorsque la protection des informations ne peut pas être appliquée pour le format de sortie. Une étiquette de confidentialité appliquée dans le service Power BI suit le contenu lorsqu’il est exporté vers un chemin d’accès de fichier pris en charge. Cela inclut des fichiers Excel, PowerPoint, PDF et Power BI Desktop. Étant donné que l’étiquette de confidentialité reste avec le fichier exporté, les avantages de protection (chiffrement qui empêche les utilisateurs non autorisés d’ouvrir le fichier) sont conservés pour ces formats de fichier pris en charge.

Avertissement

Lors de l’exportation à partir de Power BI Desktop vers un fichier PDF, la protection n’est pas conservée pour le fichier exporté. Nous vous recommandons d’apprendre à vos créateurs de contenu à exporter à partir du service Power BI afin d’obtenir une protection maximale des informations.

Tous les formats d’exportation ne prennent pas en charge la protection des informations. Les formats non pris en charge, tels que les fichiers .csv, .xml, .mhtml ou .png (disponibles lors de l’utilisation de l’API ExportToFile) pourraient être désactivés dans les paramètres locataires Power BI.

Conseil

Nous vous recommandons de restreindre les fonctionnalités d’exportation seulement quand vous devez répondre à des exigences réglementaires spécifiques. Dans les scénarios classiques, nous vous recommandons d’utiliser le journal d’activité Power BI pour identifier les utilisateurs qui effectuent des exportations. Vous pouvez ensuite indiquer à ces utilisateurs des alternatives plus efficaces et plus sécurisées.

Liste de vérification : lors de la planification de la configuration des paramètres locataires dans le portail d’administration Power BI, les décisions et actions clés incluent :

  • Déterminer les utilisateurs qui peuvent appliquer des étiquettes de confidentialité : discutez et décidez si les étiquettes de confidentialité peuvent être attribuées au contenu Power BI par tous les utilisateurs (en fonction de la sécurité Power BI standard) ou uniquement par certains groupes d’utilisateurs.
  • Déterminer si les étiquettes doivent être héritées de sources de données en amont : discutez et déterminez si les étiquettes des sources de données doivent être appliquées automatiquement au contenu Power BI qui utilise la source de données.
  • Déterminer si les étiquettes doivent être héritées par les éléments en aval : discutez et déterminez si les étiquettes attribuées aux modèles sémantiques Power BI existants doivent être appliquées automatiquement au contenu associé.
  • Déterminer si les administrateurs d’espace de travail Power BI peuvent remplacer les étiquettes : discutez et décidez s’il est approprié que les administrateurs de l’espace de travail puissent modifier les étiquettes protégées qui ont été automatiquement attribuées.
  • Déterminer si le contenu protégé peut être partagé avec l’ensemble de l’organisation : discutez et décidez si des liens de partage pour des « personnes de votre organisation » peuvent être créés lorsqu’une étiquette protégée (chiffrée) a été attribuée à un élément dans le service Power BI.
  • Déterminer les formats d’exportation activés : identifiez les exigences réglementaires qui affecteront les formats d’exportation disponibles. Discutez et décidez si les utilisateurs pourront utiliser tous les formats d’exportation dans le service Power BI. Déterminez si certains formats doivent être désactivés dans les paramètres locataires lorsque le format d’exportation ne prend pas en charge la protection des informations.

Politique de classification et de protection des données

La configuration de votre structure d’étiquette et la publication de vos stratégies d’étiquette sont des premières étapes nécessaires. Toutefois, il y a encore beaucoup à faire pour aider votre organisation à réussir la classification et la protection des données. Il est essentiel que vous donniez des lignes directrices aux utilisateurs sur ce qui peut et ne peut pas être fait avec du contenu qui a été attribué à une certaine étiquette. C’est la raison pour laquelle une stratégie de classification et de protection des données est utile. Vous pouvez la considérer comme un ensemble de directives d’étiquette.

Notes

Une stratégie de classification et de protection des données est une stratégie de gouvernance interne. Vous pouvez choisir de la désigner autrement. Ce qui compte le plus, c’est qu’il s’agisse de la documentation que vous créez et fournissez à vos utilisateurs afin qu’ils sachent comment utiliser efficacement les étiquettes. Étant donné que la stratégie d’étiquette est une page spécifique dans le portail de conformité Microsoft Purview, essayez d’éviter d’appeler votre stratégie de gouvernance interne par le même nom.

Nous vous recommandons de créer de manière itérative votre stratégie de classification et de protection des données pendant le processus de prise de décision. De ce fait, tout sera clairement défini au moment de configurer les étiquettes de confidentialité.

Voici quelques-unes des informations clés que vous pouvez inclure dans votre stratégie de classification et de protection des données.

  • Description de l’étiquette : en plus du nom de l’étiquette, fournissez une description complète de l’étiquette. La description doit être claire mais brève. Voici quelques exemples de descriptions :
    • Utilisation interne générale : pour les données privées, internes et commerciales
    • Restreinte : pour les données commerciales sensibles qui pourraient causer un préjudice si elles sont compromises ou soumises à des exigences réglementaires ou de conformité
  • Exemples : donnez des exemples pour expliquer quand utiliser l’étiquette. Voici quelques exemples :
    • Utilisation interne générale : pour la plupart des communications internes, des données de support non sensibles, des réponses aux enquêtes, des révisions, des évaluations et des données de localisation imprécises
    • Restreinte : pour les données d’identification personnelle, telles que le nom, l’adresse, le numéro de téléphone, l’e-mail, le numéro d’identification ou l’origine ethnique. Inclut les contrats fournisseurs et partenaires, les données financières non publiques, les données sur les employés et les données liées aux ressources humaines (RH). Inclut également les informations propriétaires, la propriété intellectuelle et les données de localisation précises.
  • Étiquette requise : indique si l’attribution d’une étiquette est obligatoire pour tout contenu nouveau ou modifié.
  • Étiquette par défaut : indique si cette étiquette est une étiquette par défaut qui est automatiquement appliquée au nouveau contenu.
  • Restrictions d’accès : informations supplémentaires qui précisent si les utilisateurs internes et/ou externes sont autorisés à voir le contenu attribué à cette étiquette. Voici quelques exemples :
    • Tous les utilisateurs, y compris les utilisateurs internes, les utilisateurs externes et les tiers avec un accord de confidentialité actif en vigueur peuvent accéder à ces informations.
    • Les utilisateurs internes peuvent uniquement accéder à ces informations. Aucun partenaire, fournisseur, sous-traitant ou tiers, quel que soit le statut de l’accord de confidentialité.
    • L’accès interne aux informations est basé sur l’autorisation liée à la fonction.
  • Exigences de chiffrement : décrit si les données doivent être chiffrées au repos et en transit. Ces informations sont corrélées à la façon dont l’étiquette de confidentialité est configurée et affectent les stratégies de protection qui peuvent être implémentées pour le chiffrement de fichiers.
  • Téléchargements autorisés et/ou accès hors connexion : décrit si l’accès hors connexion est autorisé. Il peut également définir si les téléchargements sont autorisés sur des appareils professionnels ou personnels.
  • Comment demander une exception : décrit si un utilisateur peut demander une exception à la stratégie standard et comment cela peut être fait.
  • Fréquence d’audit : spécifie la fréquence des révisions de conformité. Les étiquettes de confidentialité les plus élevées doivent impliquer des processus d’audit plus fréquents et plus approfondis.
  • Autres métadonnées : une stratégie de données nécessite davantage de métadonnées, telles que le propriétaire de la stratégie, l’approbateur et la date d’effet.

Conseil

Lors de la création de votre stratégie de classification et de protection des données, concentrez-vous sur le fait d’en faire une référence simple pour les utilisateurs. Elle doit être aussi courte et claire que possible. Si elle est trop complexe, les utilisateurs ne prendront pas toujours le temps de la comprendre.

Une façon d’automatiser l’implémentation d’une stratégie, telle que la stratégie de classification et de protection des données, consiste à utiliser les Conditions d’utilisation de Microsoft Entra. Lorsqu’une stratégie de conditions d’utilisation est configurée, les utilisateurs doivent en prendre connaissance avant d’être autorisés à visiter le service Power BI pour la première fois. Il est également possible de leur demander de l’accepter à nouveau de façon périodique, par exemple tous les 12 mois.

Liste de vérification : lors de la planification de la stratégie interne pour régir les attentes relatives à l’utilisation des étiquettes de confidentialité, les décisions et actions clés incluent :

  • Créer une stratégie de classification et de protection des données : pour chaque étiquette de confidentialité dans votre structure, créez un document de stratégie centralisé. Ce document doit définir ce qui peut ou ne peut pas être fait avec le contenu qui a été attribué à chaque étiquette.
  • Obtenir un consensus sur la stratégie de classification et de protection des données : assurez-vous que toutes les personnes nécessaires au sein de l’équipe que vous avez réunie ont accepté les dispositions.
  • Réfléchir à la façon de gérer les exceptions à la stratégie : les organisations hautement décentralisées devraient déterminer si des exceptions pourraient survenir. Bien qu’il soit préférable d’avoir une stratégie de classification et de protection des données standardisée, déterminez la façon dont vous allez traiter les exceptions lorsque de nouvelles demandes sont effectuées.
  • Déterminer la localisation de votre stratégie interne : réfléchissez à l’endroit où la stratégie de classification et de protection des données doit être publiée. Assurez-vous que tous les utilisateurs peuvent y accéder facilement. Prévoyez de l’inclure dans la page d’aide personnalisée lorsque vous publiez la stratégie d’étiquette.

Documentation et formation de l’utilisateur

Avant de déployer la fonctionnalité de protection des informations, nous vous recommandons de créer et de publier une documentation d’aide pour vos utilisateurs. L’objectif de la documentation est d’obtenir une expérience utilisateur transparente. La préparation des lignes directrices pour vos utilisateurs vous aidera également à vous assurer que vous avez tout pris en compte.

Vous pouvez publier les lignes directrices dans le cadre de la page d’aide personnalisée de l’étiquette de confidentialité. Une page SharePoint ou une page wiki dans votre portail centralisé peut fonctionner correctement, car elle sera facile à gérer. Un document chargé sur une bibliothèque partagée ou un site Teams est également une bonne approche. L’URL de la page d’aide personnalisée est spécifiée dans le portail de conformité Microsoft Purview lorsque vous publiez la stratégie d’étiquette.

Conseil

La page d’aide personnalisée est une ressource importante. Des liens vers celle-ci sont mis à disposition dans divers applications et services.

La documentation utilisateur doit inclure la stratégie de classification et de protection des données décrite précédemment. Cette stratégie interne s’adresse à tous les utilisateurs. Les utilisateurs intéressés incluent les créateurs de contenu et les consommateurs qui doivent comprendre les implications pour les étiquettes qui ont été attribuées par d’autres utilisateurs.

En plus de la politique de classification et de protection des données, nous vous recommandons de préparer des lignes directrices pour vos créateurs de contenu et propriétaires sur :

  • Affichage des étiquettes : informations sur la signification de chaque étiquette. Corrélez chaque étiquette avec votre stratégie de classification et de protection des données.
  • Attribution des étiquettes : lignes directrices sur l’attribution et la gestion des étiquettes. Incluez les informations qu’ils devront connaître, telles que les étiquettes obligatoires, les étiquettes par défaut et le fonctionnement de l’héritage d’étiquette.
  • Workflow : suggestions sur l’attribution et la révision d’étiquettes dans le cadre de leur flux de travail normal. Les étiquettes peuvent être attribuées dans Power BI Desktop dès le début du développement, ce qui protège le fichier Power BI Desktop d’origine pendant le processus de développement.
  • Notifications situationnelles : sensibilisation aux notifications générées par le système que les utilisateurs peuvent recevoir. Par exemple, un site SharePoint est attribué à une certaine étiquette de confidentialité, mais un fichier individuel a été attribué à une étiquette plus sensible (plus élevée). L’utilisateur qui a attribué l’étiquette plus élevée reçoit une notification par e-mail indiquant que l’étiquette attribuée au fichier est incompatible avec le site où il est stocké.

Incluez des informations sur les personnes à contacter en cas de questions ou problèmes techniques. Étant donné que la protection des informations est un projet à l’échelle de l’organisation, la prise en charge est souvent fournie par le service informatique.

Les questions fréquentes (FAQ) et les exemples sont particulièrement utiles pour la documentation utilisateur.

Conseil

Certaines exigences réglementaires incluent un composant de formation spécifique.

Liste de vérification : lors de la préparation de la documentation utilisateur et de la formation, les décisions et actions clés incluent :

  • Identifier les informations à inclure : déterminez les informations à inclure afin que tous les publics concernés comprennent ce qui est attendu d’eux lorsqu’il s’agit de protéger les données pour le compte de l’organisation.
  • Publier la page d’aide personnalisée : créez et publiez une page d’aide personnalisée. Incluez des lignes directrices sur l’étiquetage sous forme de FAQ et d’exemples. Incluez un lien pour accéder à la stratégie de classification et de protection des données.
  • Publier la stratégie de classification et de protection des données : publiez le document de stratégie qui définit exactement ce qui peut ou ne peut pas être fait avec le contenu affecté à chaque étiquette.
  • Déterminer si une formation spécifique est nécessaire : créez ou mettez à jour votre formation utilisateur pour inclure des informations utiles, en particulier s’il existe une exigence réglementaire.

Service client

Il est important de vérifier qui sera responsable du support utilisateur. Il est fréquent que les étiquettes de confidentialité soient prises en charge par un support technique informatique centralisé.

Vous devrez peut-être créer des conseils pour le support technique (parfois appelé runbook). Vous allez peut-être devoir également organiser des sessions de transfert de connaissances pour vous assurer que le support technique est prêt à répondre aux demandes de support.

Liste de vérification : lors de la préparation de la fonction de support utilisateur, les décisions et actions clés incluent :

  • Identifier qui fournira le support utilisateur : lorsque vous définissez des rôles et des responsabilités, veillez à inclure la façon dont les utilisateurs obtiendront de l’aide sur les problèmes liés à la protection des informations.
  • Vérifier que l’équipe de support utilisateur est prête : créez de la documentation et organisez des sessions de transfert des connaissances pour vous assurer que le support technique est prêt à prendre en charge la protection des informations. Mettez l’accent sur les aspects complexes qui peuvent perturber les utilisateurs, tels que la protection du chiffrement.
  • Communiquer entre les équipes : discutez du processus et des attentes avec l’équipe de support technique, ainsi que vos administrateurs Power BI et le Centre d’excellence. Assurez-vous que toutes les personnes impliquées sont préparées aux questions potentielles des utilisateurs Power BI.

Récapitulatif de l’implémentation

Une fois les décisions prises et les conditions préalables remplies, il est temps de commencer à implémenter la protection des informations conformément à votre plan de déploiement progressif.

La liste de vérification suivante comprend une liste résumée des étapes d’implémentation de bout en bout. La plupart des étapes incluent d’autres détails qui ont été abordés dans les sections précédentes de cet article.

Liste de vérification : lors de l’implémentation de la protection des informations, les décisions et actions clés incluent :

  • Vérifier l’état actuel et les objectifs : assurez-vous que l’état actuel de la protection des informations dans l’organisation soit clair. Tous les objectifs et exigences pour l’implémentation de la protection des informations doivent être clairs et activement utilisés pour diriger le processus de prise de décision.
  • Prendre des décisions : passez en revue et discutez de toutes les décisions requises. Cette tâche doit se produire avant de configurer quoi que ce soit en production.
  • Passer en revue les exigences de licence : assurez-vous de bien comprendre les exigences relatives aux licences de produits et aux licences utilisateur. Procurez-vous et attribuez davantage de licences, si nécessaire.
  • Publier la documentation utilisateur : publiez votre stratégie de classification et de protection des données. Créez une page d’aide personnalisée qui contient les informations pertinentes dont les utilisateurs auront besoin.
  • Préparer l’équipe de support technique : organisez des sessions de transfert des connaissances pour vous assurer que l’équipe de support technique est prête à répondre aux questions des utilisateurs.
  • Créer les étiquettes de confidentialité : configurez chacune des étiquettes de confidentialité dans le portail de conformité Microsoft Purview.
  • Publier une stratégie d’étiquette de confidentialité : créez et publiez une stratégie d’étiquette dans le portail de conformité Microsoft Purview. Commencez par tester avec un petit groupe d’utilisateurs.
  • Définir les paramètres locataires Power BI : dans le portail d’administration Power BI, définissez les paramètres locataires de la protection des informations.
  • Effectuer des tests initiaux : effectuez un ensemble de tests initiaux pour vérifier que tout fonctionne correctement. Utilisez un locataire hors production pour les tests initiaux, si disponible.
  • Recueillir les commentaires des utilisateurs : publiez la stratégie d’étiquette pour un petit sous-ensemble d’utilisateurs prêts à tester la fonctionnalité. Obtenez des commentaires sur le processus et l’expérience utilisateur.
  • Poursuivre les mises en production itératives : publiez la stratégie d’étiquette sur d’autres groupes d’utilisateurs. Intégrez davantage de groupes d’utilisateurs jusqu’à ce que l’intégralité de l’organisation soit incluse.

Conseil

Ces éléments de liste de vérification sont résumés à des fins de planification. Pour plus d’informations sur ces éléments de la liste de vérification, consultez les sections précédentes de cet article.

Surveillance continue

Une fois l’implémentation terminée, vous devrez vous concentrer sur la surveillance et le réglage des étiquettes de confidentialité.

Les administrateurs Power BI et les administrateurs de sécurité et de conformité devront collaborer de temps en temps. Pour le contenu Power BI, deux publics sont concernés par la surveillance.

  • Administrateurs Power BI : une entrée dans le journal d’activité Power BI est enregistrée chaque fois qu’une étiquette de confidentialité est attribuée ou modifiée. L’entrée du journal d’activité enregistre les détails de l’événement, notamment l’utilisateur, la date et l’heure, le nom de l’élément, l’espace de travail et la capacité. D’autres événements du journal d’activité (par exemple, lorsqu’un rapport est consulté) incluent l’identifiant d’étiquette de confidentialité attribuée à l’élément.
  • Administrateurs de la sécurité et de la conformité : les administrateurs de la sécurité et de la conformité de l’organisation utilisent généralement des rapports, des alertes et des journaux d’audit Microsoft Purview.

Liste de vérification : lors de la surveillance de la protection des informations, les décisions et actions clés incluent :

  • Vérifier les rôles et les responsabilités : veillez à ce que les responsabilités des uns et des autres soient clairement établies. Informez vos administrateurs Power BI ou administrateurs de sécurité et communiquez avec eux s’ils sont directement responsables de certains aspects.
  • Créer ou valider votre processus de révision de l’activité : assurez-vous que les administrateurs de la sécurité et de la conformité comprennent bien les attentes en matière de révision régulière de l’explorateur d’activités.

Conseil

Pour plus d’informations sur l’audit, consultez Audit de la protection des informations et de la protection contre la perte de données pour Power BI.

Contenu connexe

Dans l’article suivant de cette série, découvrez la protection contre la perte de données pour Power BI.