Partager via

Planification de l’implémentation de Power BI : planification de la sécurité au niveau du locataire

Notes

Cet article fait partie de la série d’articles de planification de l’implémentation de Power BI . La série se concentre sur la planification de l’implémentation d’une expérience Power BI à l’intérieur de Microsoft Fabric. Consultez l’introduction de la série.

Cet article sur la planification de la sécurité au niveau du locataire est principalement consacré aux points suivants :

  • Administrateurs d’infrastructure : administrateurs responsables de la supervision de Power BI dans l’organisation.
  • Centre d’excellence, équipe informatique et BI : les équipes qui sont également responsables de la supervision de Power BI. Ils peuvent devoir collaborer avec les administrateurs Power BI, les équipes de sécurité des informations et d’autres équipes pertinentes.

Cet article pourrait également être intéressant pour les créateurs Power BI en libre-service qui doivent créer, publier et gérer du contenu dans les espaces de travail.

La série d’articles est destinée à approfondir le contenu du Livre blanc sur la sécurité de Power BI. Le livre blanc Sécurité dans Power BI se concentre sur les sujets techniques clés tels que l’authentification, la résidence des données et l’isolement réseau. La série sur la planification de l’implémentation vous propose des considérations et des décisions pour vous aider à planifier la sécurité et la confidentialité.

Comme le contenu Power BI peut être utilisé et sécurisé de différentes façons, les créateurs de contenu peuvent prendre de nombreuses décisions tactiques. Toutefois, il existe également des décisions de planification stratégiques à prendre au niveau du locataire. Ces décisions de planification stratégique sont au centre de cet article.

Nous vous recommandons de prendre les décisions en matière de sécurité au niveau du locataire dès que possible, car elles affectent tout le reste. En outre, il est plus facile de prendre d’autres décisions en matière de sécurité quand vous voyez clairement vos objectifs de sécurité générale.

Administration Power BI

L’administrateur Fabric est un rôle à privilèges élevés qui a un contrôle significatif sur Power BI. Nous vous recommandons d’examiner attentivement à qui ce rôle est attribué, car un administrateur Fabric peut remplir de nombreuses fonctions de haut niveau, notamment :

  • Gestion des paramètres du locataire : les administrateurs de la structure peuvent gérer les paramètres du locataire dans le portail d’administration. Ils peuvent activer ou désactiver des paramètres, et autoriser ou interdire des utilisateurs ou des groupes spécifiques dans les paramètres. Il est important de comprendre que les paramètres de votre locataire ont une influence significative sur l’expérience utilisateur.
  • Gestion des rôles d’espace de travail : les administrateurs peuvent s’ajouter au rôle d’administrateur de l’espace de travail dans le portail d’administration. Ils peuvent éventuellement mettre à jour la sécurité de l’espace de travail pour accéder à toutes les données ou accorder des droits à d’autres utilisateurs pour accéder à n’importe quelle donnée dans Fabric.
  • Accès à l’espace de travail personnel : les administrateurs peuvent accéder au contenu et régir l’espace de travail personnel de n’importe quel utilisateur.
  • Accès aux métadonnées du locataire : les administrateurs peuvent accéder aux métadonnées à l’échelle du locataire, y compris les journaux d’activité Power BI et les événements d’activité récupérés par les API d’administration Power BI.

Conseil

À titre de bonne pratique, vous devez affecter à des utilisateurs (entre deux et quatre) le rôle Administrateur Fabric. De cette façon, vous pouvez réduire les risques tout garantissant une couverture adéquate et une formation croisée.

Un administrateur Power BI se voit attribué au moins l’un des rôles intégrés suivants :

  • Administrateur Fabric
  • Administrateur de plateforme Power
  • Administrateur général : il s’agit d’un rôle à privilège élevé et l’appartenance doit être limitée.

Lors de l’attribution de rôles d’administrateur, nous vous recommandons de suivre les meilleures pratiques.

Notes

Alors qu’un administrateur Power Platform peut gérer le service Power BI, l’inverse n’est pas vrai. Une personne affectée au rôle administrateur Fabric ne peut pas gérer d’autres applications dans Power Platform.

Liste de contrôle : lors de la détermination des personnes qui seront administrateurs Fabric, les décisions et actions clés incluent :

  • Identifiez qui est actuellement affecté au rôle d’administrateur : vérifiez qui est affecté à l’un des rôles qui peuvent administrer Power BI.
  • Déterminez qui doit gérer le service Power BI : s’il y a trop d’administrateurs, créez un plan pour réduire le nombre total. S’il existe des utilisateurs qui se sont vus attribués un rôle d’’administrateurs Power BI qui ne sont pas bien adaptés à un rôle avec privilèges élevés, créez un plan pour résoudre le problème.
  • Clarifier les rôles et responsabilités : pour chaque administrateur de Power BI, assurez-vous que leurs responsabilités sont claires. Vérifiez qu’un entraînement croisé approprié s’est produit.

Stratégies de sécurité et de confidentialité

Vous devrez prendre des décisions au niveau du locataire relatives à la sécurité et à la confidentialité. Les tactiques mises en œuvre et les décisions que vous prenez s’appuient sur :

  • Votre culture des données. L’objectif est d’encourager une culture des données qui fait comprendre que la sécurité et la protection des données sont de la responsabilité de chacun.
  • Vos stratégies de gestion et de propriété des contenus. Le niveau de gestion centralisée et décentralisée des contenus affecte considérablement la façon dont la sécurité est gérée.
  • Vos stratégies d’étendue de distribution des contenus. Le nombre de personnes qui voient le contenu influence la façon dont la sécurité doit être gérée pour le contenu.
  • Vos exigences de conformité aux réglementations mondiales, nationales/régionales et sectorielles.

Voici quelques exemples de stratégies générales de sécurité. Vous pouvez choisir de prendre des décisions qui ont un impact sur l’ensemble de l’organisation.

  • Conditions requises pour la sécurité au niveau des lignes : vous pouvez utiliser la sécurité au niveau des lignes (RLS) pour restreindre l’accès aux données pour des utilisateurs spécifiques. Cela signifie que différents utilisateurs voient des données différentes en accédant au même rapport. Un modèle sémantique Power BI ou une source de données (lors de l’utilisation de l’authentification unique) peut appliquer RLS. Pour plus d’informations, consultez la section Appliquer la sécurité des données en fonction de l’identité du consommateur dans l’article Planifier la sécurité des consommateurs de rapport.
  • Détectabilité des données : déterminez la mesure dans laquelle la détectabilité des données doit être encouragée dans Power BI. La détectabilité affecte qui peut trouver des modèles sémantiques ou des datamarts dans le catalogue OneLake, et si les auteurs de contenu sont autorisés à demander l’accès à ces éléments à l’aide du flux de travail d’accès aux demandes . Pour plus d’informations, consultez le scénario d’utilisation Décisionnel en libre-service géré et personnalisable.
  • Données autorisées à être stockées dans Power BI : déterminez s’il existe certains types de données qui ne doivent pas être stockées dans Power BI. Par exemple, vous pouvez spécifier que certains types d’informations sensibles, comme les numéros de compte bancaire ou les numéros de sécurité sociale, ne puissent pas être stockés dans un modèle sémantique. Pour plus d’informations, consultez l’article Protection des informations et prévention de la perte de données.
  • Mise en réseau privée entrante : déterminez si l’isolation réseau est requise à l’aide de points de terminaison privés pour accéder à Power BI. Quand vous utilisez Azure Private Link, le trafic de données est envoyé en utilisant le backbone du réseau privé Microsoft au lieu de passer par Internet.
  • Mise en réseau privé sortante : déterminez si davantage de sécurité est nécessaire lors de la connexion à des sources de données. La passerelle de données de réseau virtuel (VNet) permet une connectivité sortante sécurisée de Power BI vers des sources de données au sein d’un réseau virtuel. Vous pouvez utiliser une passerelle de données de réseau virtuel Azure quand du contenu est stocké dans un espace de travail Premium.

Important

Lorsque vous envisagez d’isoler le réseau, collaborez avec vos équipes informatiques d’infrastructure et de réseautique avant de modifier le paramètre de tenant Fabric. Azure Private Link permet une sécurité renforcée du trafic entrant via des points de terminaison privés, tandis qu’une passerelle de réseau virtuel Azure permet une sécurité renforcée du trafic sortant lors de la connexion à des sources de données. La passerelle de réseau virtuel Azure est gérée par Microsoft et non pas par le client : elle élimine donc la charge de travail liée à l’installation et à la supervision des passerelles locales.

Certaines de vos décisions au niveau de l’organisation entraînent des stratégies de gouvernance d’entreprise, en particulier quand elles sont liées à la conformité. D’autres décisions au niveau de l’organisation risquent d’aboutir à des directives que vous pouvez fournir aux créateurs de contenu responsables de la gestion et de la sécurisation de leur propre contenu. Les stratégies et directives qui en résultent doivent être incluses dans votre portail centralisé, vos supports de formation et votre plan de communication.

Conseil

Consultez les autres articles de cette série pour obtenir d’autres suggestions relatives à la planification de la sécurité pour les consommateurs de rapport et les créateurs de contenu.

Check-list : lors de la planification de vos stratégies de sécurité générale, les décisions et actions clés incluent :

  • Identifiez les exigences réglementaires liées à la sécurité : examinez et documentez chaque exigence, notamment la façon dont vous garantirez la conformité.
  • Identifiez les stratégies de sécurité de haut niveau : déterminez les exigences de sécurité suffisamment importantes pour qu’elles soient incluses dans une stratégie de gouvernance.
  • Collaborez avec d’autres administrateurs : contactez les administrateurs système appropriés pour savoir comment répondre aux exigences de sécurité et quels prérequis techniques existent. Planifiez la réalisation d’une preuve de concept technique.
  • Mettre à jour les paramètres du locataire Fabric : configurez chaque paramètre de locataire Fabric approprié. Planifiez régulièrement des révisions du suivi.
  • Créer et publier des conseils sur l’utilisateur : créer une documentation pour les stratégies de sécurité de haut niveau. Incluez des détails sur le processus et la façon dont un utilisateur peut demander une exemption du processus standard. Rendez ces informations disponibles dans votre portail centralisé et dans vos supports de formation.
  • Mettre à jour les supports de formation : pour les stratégies de sécurité de haut niveau, déterminez les exigences ou recommandations que vous devez inclure dans les supports de formation des utilisateurs.

Intégration à Microsoft Entra ID

La sécurité Power BI repose sur les fondations d’un locataire Microsoft Entra. Les concepts Microsoft Entra suivants présentent un intérêt pour la sécurité d’un locataire Power BI.

  • Accès utilisateur : l’accès au service Power BI nécessite un compte d’utilisateur (en plus d’une licence Power BI : Gratuit, Power BI Pro ou Premium par utilisateur - PPU). Vous pouvez ajouter des utilisateurs internes et invités à Microsoft Entra ID, ou ils peuvent être synchronisés avec un annuaire Active Directory local (AD) local. Pour plus d’informations sur les utilisateurs invités, consultez Stratégie pour les utilisateurs externes.
  • Groupes de sécurité : Les groupes de sécurité Microsoft Entra sont requis lors de la mise à disposition de certaines fonctionnalités dans les paramètres du locataire. Vous aurez sans doute également besoin de groupes pour sécuriser efficacement le contenu de l’espace de travail Power BI ou pour distribuer du contenu. Pour plus d’informations, consultez Stratégie d’utilisation des groupes.
  • Stratégies d’accès conditionnel : vous pouvez configurer l’accès conditionnel au service Power BI et à l’application mobile Power BI. L’accès conditionnel Microsoft Entra peut restreindre l’authentification dans différentes situations. Par exemple, vous pouvez appliquer des stratégies qui :
    • Exige l’authentification multifacteur pour tout ou partie des utilisateurs.
    • Autorisent seulement des appareils qui sont conformes aux stratégies de l’organisation.
    • Autorisent la connectivité à partir d’un réseau ou d’une ou plusieurs plages IP spécifiques.
    • Bloquent la connectivité depuis une machine non jointe à un domaine.
    • Bloquent la connectivité pour une authentification à risques.
    • Autorisent seulement certains types d’appareils à se connecter.
    • Autorisent ou refusent de façon conditionnelle l’accès à Power BI pour des utilisateurs spécifiques.
  • Principaux de services : vous devrez peut-être créer un enregistrement d'application Microsoft Entra pour approvisionner un principal de service. L’authentification du principal de service est une pratique recommandée quand un administrateur Power BI veut exécuter des scripts planifiés sans assistance qui extraient des données en utilisant des API d’administration Power BI. Les principaux de service sont également utiles lors de l’incorporation de contenu Power BI dans une application personnalisée.
  • Stratégies en temps réel : vous pouvez choisir de configurer des stratégies de contrôle de session ou de contrôle d’accès en temps réel, qui impliquent à la fois Microsoft Entra ID et Microsoft Defender pour Cloud Apps. Par exemple, vous pouvez interdire le téléchargement d’un rapport dans le service Power BI lorsqu’il a une étiquette de confidentialité spécifique. Pour plus d’informations, consultez l’article Protection des informations et prévention de la perte de données.

Il sera sans doute difficile de trouver le bon équilibre entre l’accès sans restriction et l’accès trop restrictif (qui frustre les utilisateurs). La meilleure stratégie consiste à vous rapprocher de votre administrateur Microsoft Entra pour bien comprendre ce qui est actuellement configuré. Essayez de rester réactif aux besoins de l’entreprise tout en gardant à l’esprit les restrictions nécessaires.

Conseil

De nombreuses organisations disposent d’un environnement Active Directory (AD) local qu’ils synchronisent avec Microsoft Entra ID dans le cloud. Cette configuration est appelée solution d’identité hybride , qui est hors de portée pour cet article. Le concept important à comprendre est que les utilisateurs, les groupes et les principaux de service doivent exister dans Microsoft Entra ID pour que les services cloud comme Power BI fonctionnent. L’utilisation d’une solution d’identité hybride fonctionne pour Power BI. Nous vous recommandons de déterminer la meilleure solution pour votre organisation avec vos administrateurs Microsoft Entra.

Check-list : au moment d’identifier les besoins pour l’intégration de Microsoft Entra, voici quelques-unes des décisions et des mesures clés à prendre :

  • Collaborez avec les administrateurs Microsoft Entra : collaborez avec vos administrateurs Microsoft Entra pour savoir quelles stratégies Microsoft Entra existantes sont en place. Déterminez s’il existe des stratégies (actuelles ou planifiées) qui vont affecter l’expérience utilisateur dans le service Power BI et/ou dans les applications mobiles Power BI.
  • Déterminez quand l’accès utilisateur ou le principal de service doivent être utilisés : pour les opérations automatisées, décidez quand utiliser un principal de service plutôt que l’accès utilisateur.
  • Créer ou mettre à jour des conseils sur l’utilisateur : déterminez s’il existe des rubriques de sécurité que vous devez documenter pour la communauté des utilisateurs Power BI. De cette façon, ils sauront à quoi s’attendre pour l’utilisation de groupes et de stratégies d’accès conditionnel.

Stratégie pour les utilisateurs externes

Power BI prend en charge Microsoft Entra B2B. Les utilisateurs externes, par exemple d’une entreprise cliente ou partenaire, peuvent être invités en tant qu’utilisateurs invités dans Microsoft Entra ID à des fins de collaboration. Les utilisateurs externes peuvent utiliser Power BI, et de nombreux autres services Azure et Microsoft 365.

Important

Le Livre blanc Microsoft Entra B2B est la meilleure ressource pour découvrir les stratégies de prise en charge des utilisateurs externes. Cet article se limite à décrire les considérations les plus importantes qui sont pertinentes pour la planification.

Il existe des avantages quand un utilisateur externe provient d’une autre organisation où Microsoft Entra ID est également configuré.

  • Le locataire domestique gère les informations d’identification : le locataire domestique de l’utilisateur reste en contrôle de son identité et de sa gestion des informations d’identification. Vous n’avez pas besoin de synchroniser les identités.
  • Le locataire d’accueil gère l’état de l’utilisateur : lorsqu’un utilisateur quitte cette organisation et que le compte est supprimé ou désactivé, avec effet immédiat, l’utilisateur n’a plus accès à votre contenu Power BI. C’est un avantage significatif, car vous ne saurez pas forcément quand quelqu’un aura quitté son organisation.
  • Flexibilité pour les licences utilisateur : il existe des options de licence rentables. Un utilisateur externe peut déjà disposer d’une licence Power BI Pro ou PPU, auquel cas vous n’avez pas besoin de lui en attribuer une. Il est également possible de lui accorder l’accès au contenu dans un espace de travail de capacité Premium, Fabric F64 ou une capacité supérieure en lui attribuant une licence Fabric (gratuite).

Important

Cet article fait référence à Power BI Premium ou à ses abonnements de capacité (SKU P). Actuellement, Microsoft consolide les options d’achat et met hors service les références SKU Power BI Premium par capacité. Les clients nouveaux et existants doivent plutôt envisager l’achat d’abonnements de capacité Fabric (SKU F).

Pour plus d’informations, consultez Importante mise à jour à venir des licences Power BI Premium et FAQ sur Power BI Premium.

Paramètres importants

L’activation et la gestion de l’accès utilisateur externe présentent deux aspects :

  • Paramètres Microsoft Entra gérés par un administrateur Microsoft Entra. Ces paramètres Microsoft Entra sont un prérequis.
  • Paramètres de locataire Fabric gérés par un administrateur Power BI dans le portail d’administration. Ces paramètres vont contrôler l’expérience utilisateur dans le service Power BI.

Processus d’invitation des invités

Il existe deux façons d’inviter des utilisateurs à votre locataire.

  • Invitations planifiées : vous pouvez configurer des utilisateurs externes à l’avance dans l’ID Microsoft Entra. De cette façon, le compte Invité est prêt quand un utilisateur Power BI a besoin de l’utiliser pour attribuer des autorisations (par exemple les autorisations d’application). Bien qu’il nécessite une planification préalable, c’est le processus le plus cohérent, car toutes les fonctionnalités de sécurité de Power BI sont prises en charge. Un administrateur peut utiliser PowerShell pour ajouter facilement un grand nombre d’utilisateurs externes.
  • Invitations ad hoc : un compte invité peut être généré automatiquement dans l’ID Microsoft Entra au moment où un utilisateur Power BI partage ou distribue du contenu à un utilisateur externe (qui n’a pas été configuré précédemment). Cette approche est pratique quand vous ne savez pas à l’avance qui seront les utilisateurs externes. Cependant, cette fonctionnalité doit d’abord être activée dans Microsoft Entra ID. L’approche d’invitation ad hoc fonctionne pour les autorisations ad hoc accordées par élément et les autorisations d’application.

Conseil

Toutes les options de sécurité du service Power BI ne prennent pas en charge le déclenchement d’une invitation ad hoc. Pour cette raison, il existe une expérience utilisateur incohérente lors de l’attribution d’autorisations (par exemple, la sécurité de l’espace de travail et les autorisations accordées par élément par rapport aux autorisations d’application). Dans la mesure du possible, nous vous recommandons d’utiliser l’approche d’invitation planifiée, car elle aboutit à une expérience utilisateur cohérente.

ID du locataire du client

Chaque locataire Microsoft Entra dispose d’un identificateur global unique (GUID) connu sous le nom d’ID de locataire. Dans Power BI, il s’agit de l’ID de locataire client (CTID). Le CTID permet au service Power BI de localiser du contenu du point de vue d’un autre locataire de l’organisation. Vous devez ajouter le CTID aux URL lors du partage de contenu avec un utilisateur externe.

Voici un exemple d’ajout du CTID à une URL : https://app.powerbi.com/Redirect?action=OpenApp&appId=abc123&ctid=def456

Quand vous devez fournir le CTID pour votre organisation à un utilisateur externe, vous pouvez le trouver dans le service Power BI en ouvrant la boîte de dialogue À propos de Power BI. Il est disponible dans le menu Aide et support (?) qui se trouve en haut à droite du service Power BI. Le CTID est ajouté à la fin de l’URL du locataire.

Capture d'écran de la fenêtre de dialogue À propos de Power BI avec l'ID du locataire du client en surbrillance.

Personnalisation de l’organisation

Quand un accès d’invités externes se produit fréquemment dans votre organisation, il est judicieux d’utiliser une marque personnalisée. Le branding personnalisé aide les utilisateurs à identifier le client organisationnel auquel ils accèdent. Les éléments de personnalisation peuvent inclure un logo, une image de couverture et une couleur de thème.

La capture d’écran suivante montre à quoi ressemble le service Power BI quand un compte Invité y accède. Il inclut une option Contenu invité, qui est disponible quand le CTID est ajouté à l’URL.

Capture d’écran du service Power BI avec l’option Contenu invité mise en évidence.

Partage de données externes

Certaines organisations doivent faire davantage que partager des rapports avec des utilisateurs externes. Elles prévoient de partager des modèles sémantiques avec des utilisateurs externes, comme des partenaires, des clients ou des fournisseurs.

L’objectif du partage de modèles sémantiques sur place (également appelé partage de modèles sémantiques interlocataire) est de permettre aux utilisateurs externes de créer leurs propres rapports personnalisés et modèles composites en utilisant des données que vous créez, gérez et fournissez. Le modèle sémantique partagé d’origine (créé par vous) reste dans votre locataire Power BI. Les rapports et modèles dépendants sont stockés dans le locataire Power BI de l’utilisateur externe.

Il existe plusieurs aspects de sécurité pour que le partage de modèles sémantiques sur place fonctionne.

  • Paramètre de locataire : autoriser les utilisateurs invités à utiliser des modèles sémantiques partagés dans leurs propres locataires : ce paramètre spécifie si la fonctionnalité de partage de données externe peut être utilisée. Il doit être activé pour que l’un des deux autres paramètres (montrés ci-dessous) prenne effet. Il est activé ou désactivé pour l’ensemble de l’organisation par l’administrateur Power BI.
  • Paramètre de locataire : autoriser des utilisateurs spécifiques à activer le partage de données externes : ce paramètre spécifie quels groupes d’utilisateurs peuvent partager des données en externe. Les groupes d’utilisateurs autorisés ici seront autorisés à utiliser le troisième paramètre (décrit ci-dessous). Ce paramètre est géré par l’administrateur Power BI.
  • Paramètre de modèle sémantique : partage externe : ce paramètre spécifie si ce modèle sémantique spécifique peut être utilisé par des utilisateurs externes. Ce paramètre est géré par les créateurs et les propriétaires de contenu pour chaque modèle sémantique spécifique.
  • Autorisation de modèle sémantique : Lecture et génération : les autorisations de modèle sémantique standard pour prendre en charge les créateurs de contenu sont toujours en place.

Important

En règle générale, le terme consommateur est utilisé pour désigner les utilisateurs en visualisation uniquement qui consomment du contenu produit par d’autres membres de l’organisation. Toutefois, avec le partage de modèles sémantiques sur place, il existe un producteur du modèle sémantique et un consommateur du modèle sémantique. Dans cette situation, le consommateur du modèle sémantique est généralement un créateur de contenu dans l’autre organisation.

Si la sécurité au niveau des lignes est spécifiée pour votre modèle sémantique, elle est respectée pour les utilisateurs externes. Pour plus d’informations, consultez la section Appliquer la sécurité des données en fonction de l’identité du consommateur dans l’article Planifier la sécurité des consommateurs de rapport.

Abonnements d’utilisateurs externes

Comme décrit précédemment, il est plus courant que les utilisateurs externes soient gérés en tant qu’utilisateurs invités dans Microsoft Entra ID. En plus de cette approche courante, Power BI fournit d’autres fonctionnalités pour distribuer des abonnements aux rapports à des utilisateurs extérieurs à l’organisation.

Le paramètre de locataire Power BI Autoriser l’envoi d’abonnements par e-mail à des utilisateurs externes indique si les utilisateurs sont autorisés à envoyer des abonnements par e-mail à des utilisateurs externes qui ne sont pas encore des utilisateurs invités dans Microsoft Entra. Nous vous recommandons de définir ce paramètre du locataire pour qu’il s’aligne sur la façon stricte ou flexible dont votre organisation préfère gérer les comptes d’utilisateurs externes.

Conseil

Les administrateurs peuvent vérifier quels utilisateurs externes reçoivent des abonnements en utilisant l’API Obtenir les abonnements aux rapports en tant qu’administrateur. L’adresse e-mail de l’utilisateur externe est montrée. Le type de principal est Non résolu, car l’utilisateur externe n’est pas configuré dans Microsoft Entra ID.

Check-list : lors de la planification de la gestion des utilisateurs invités externes, les décisions et actions clés incluent :

  • Identifier les exigences pour les utilisateurs externes dans Power BI : déterminez les cas d’usage qu’il existe pour la collaboration externe. Clarifiez les scénarios d’utilisation de Power BI avec Microsoft Entra B2B. Déterminez si la collaboration avec des utilisateurs externes est un événement courant ou rare.
  • Déterminez les paramètres Microsoft Entra actuels : Collaborez avec votre administrateur Microsoft Entra pour savoir comment la collaboration externe est actuellement configurée. Déterminez quel sera l’impact sur l’utilisation de B2B avec Power BI.
  • Décidez comment inviter des utilisateurs externes : collaborez avec vos administrateurs Microsoft Entra pour décider de la façon dont les comptes invités seront créés dans l’ID Microsoft Entra. Décidez si les invitations ad hoc seront autorisées. Décidez dans quelle mesure l’approche d’invitation planifiée sera utilisée. Vérifiez que l’ensemble du processus est compris et documenté.
  • Créez et publiez des conseils sur les utilisateurs externes : créez de la documentation pour vos créateurs de contenu qui les guideront sur la façon de partager du contenu avec des utilisateurs externes (en particulier lorsque le processus d’invitation planifié est requis). Incluez des informations sur les limitations auxquelles les utilisateurs externes seront confrontés s’ils ont l’intention de permettre à des utilisateurs externes de modifier et de gérer du contenu. Publiez ces informations sur votre portail centralisé et vos supports de formation.
  • Déterminez comment gérer le partage de données externes : déterminez si le partage de données externes doit être autorisé et s’il est limité à un ensemble spécifique de créateurs de contenu approuvés. Définissez le paramètre du locataire Autoriser les utilisateurs invités à travailler avec des modèles sémantiques partagés dans leurs propres locataires et le paramètre Autoriser des utilisateurs spécifiques à activer le partage de données externes pour les aligner sur votre décision. Fournissez des informations sur le partage de données externes pour vos créateurs de modèles sémantiques. Publiez ces informations sur votre portail centralisé et vos supports de formation.
  • Déterminez comment gérer les licences Power BI pour les utilisateurs externes : si l’utilisateur invité n’a pas de licence Power BI existante, décidez du processus d’affectation d’une licence. Vérifiez que le processus est documenté.
  • Incluez votre CTID dans la documentation utilisateur pertinente : enregistrez l’URL qui ajoute l’ID de locataire (CTID) dans la documentation utilisateur. Incluez des exemples pour les créateurs et les consommateurs sur l’utilisation des URL avec ajout du CTID.
  • Configurer une personnalisation personnalisée dans Power BI : dans le portail d’administration, configurez la personnalisation personnalisée pour aider les utilisateurs externes à identifier le locataire de l’organisation auquel ils accèdent.
  • Vérifiez ou mettez à jour les paramètres du locataire : vérifiez comment les paramètres du locataire sont actuellement configurés dans le service Power BI. Mettez-les à jour si nécessaire en fonction des décisions prises pour la gestion de l’accès des utilisateurs externes.

Stratégie pour les emplacements des fichiers

Il existe différents types de fichiers qui doivent être stockés de façon appropriée. Il est donc important d’aider les utilisateurs à comprendre les attentes concernant l’emplacement des fichiers et des données.

Il peut y avoir un risque associé aux fichiers Power BI Desktop et aux classeurs Excel, car ils peuvent contenir des données importées. Ces données peuvent inclure des informations sur les clients, des informations d’identification personnelle, des informations propriétaires, ou des données soumises à des exigences réglementaires ou de conformité.

Conseil

Il est facile de négliger les fichiers qui sont stockés en dehors du service Power BI. Nous vous recommandons de les prendre en compte quand vous planifiez la sécurité.

Voici quelques types de fichiers qui seront sans doute impliqués dans une implémentation de Power BI.

  • Fichiers sources
    • Fichiers Power BI Desktop : fichiers d’origine (.pbix) pour le contenu publié dans le service Power BI. Quand le fichier contient un modèle de données, il peut contenir des données importées.
    • Classeurs Excel : les classeurs Excel (.xlsx) peuvent inclure des connexions à des modèles sémantiques dans le service Power BI. Ils peuvent également contenir des données exportées. Il s’agit même parfois de classeurs d’origine pour le contenu publié sur le service Power BI (en tant qu’élément de classeur dans un espace de travail).
    • Fichiers de rapport paginés : fichiers de rapports originaux (.rdl) pour le contenu publié sur le service Power BI.
    • Fichiers de données sources : fichiers plats (par exemple, .csv ou .txt) ou classeurs Excel qui contiennent des données sources importées dans un modèle Power BI.
  • Fichiers exportés et autres fichiers
    • Fichiers Power BI Desktop : fichiers .pbix téléchargés à partir du service Power BI.
    • Fichiers PowerPoint et PDF : présentations PowerPoint (.pptx) et documents PDF téléchargés à partir du service Power BI.
    • Fichiers Excel et CSV : données exportées à partir de rapports dans le service Power BI.
    • Fichiers de rapport paginés : fichiers exportés à partir de rapports paginés dans le service Power BI. Excel, PDF et PowerPoint sont pris en charge. D’autres formats de fichiers d’exportation existent également pour les rapports paginés, y compris Word, XML ou archive web. Lors de l’utilisation de l’API d’exportation de fichiers vers des rapports, les formats d’image sont également pris en charge.
    • Fichiers e-mail : images de messagerie et pièces jointes à partir d’abonnements.

Vous devez prendre des décisions sur les emplacements où les utilisateurs peuvent ou non stocker des fichiers. En règle générale, ce processus implique la création d’une stratégie de gouvernance à laquelle les utilisateurs peuvent se référer. Les emplacements des fichiers sources et des fichiers exportés doivent être sécurisés pour garantir un accès approprié par les utilisateurs autorisés.

Voici quelques recommandations pour travailler avec des fichiers.

  • Stocker des fichiers dans une bibliothèque partagée : utilisez un site Teams, une bibliothèque SharePoint ou une bibliothèque partagée OneDrive pour le travail ou l’établissement scolaire. Évitez d’utiliser des bibliothèques et des lecteurs personnels. Vérifiez que l’emplacement de stockage est sauvegardé. Vérifiez également que le contrôle de version est activé pour l’emplacement de stockage pour qu’il soit possible de revenir à une version précédente.
  • Utilisez le service Power BI autant que possible : dans la mesure du possible, utilisez le service Power BI pour le partage et la distribution du contenu. De cette façon, il y a toujours un audit complet des accès. Le stockage et le partage de fichiers sur un système de fichiers doivent être réservés au petit nombre d’utilisateurs qui collaborent sur du contenu.
  • N’utilisez pas d’e-mail : découragez l’utilisation de l’e-mail pour le partage de fichiers. Quand une personne envoie par e-mail un classeur Excel ou un fichier Power BI Desktop à 10 utilisateurs, il en résulte 10 copies du fichier. Il y a toujours le risque d’inclure une adresse e-mail incorrecte (interne ou externe). En outre, le risque est plus grand que le fichier soit transféré à quelqu’un d’autre. (Pour réduire ce risque, collaborez avec votre administrateur Exchange Online afin d’implémenter des règles pour bloquer les pièces jointes en fonction de conditions de taille ou de type d’extension de fichier. D’autres stratégies de protection contre la perte de données pour Power BI sont décrites dans les articles Protection des informations et prévention de la perte de données.)
  • Utilisez des fichiers de modèle : parfois, il est légitime de partager un fichier Power BI Desktop avec quelqu’un d’autre. Dans ce cas, envisagez de créer et de partager un fichier de modèle Power BI Desktop (.pbit). Un fichier de modèle contient seulement des métadonnées, de sorte qu’il est d’une taille inférieure à celle du fichier source. Cette technique oblige le destinataire à entrer les informations d’identification de la source de données pour actualiser les données du modèle.

Il existe des paramètres de locataire dans le portail d’administration qui contrôlent les formats d’exportation que les utilisateurs sont autorisés à utiliser lors de l’exportation à partir du service Power BI. Il est important de passer en revue et de définir ces paramètres. C’est une activité complémentaire à la planification des emplacements de fichiers qui doivent être utilisés pour les fichiers exportés.

Conseil

Certains formats d’exportation prennent en charge la protection des informations de bout en bout en utilisant un chiffrement. En raison des exigences réglementaires, certaines organisations ont un besoin réel de restreindre les formats d’exportation que les utilisateurs peuvent utiliser. L’article Protection des informations pour Power BI décrit les facteurs à prendre en compte lors du choix des formats d’exportation à activer ou désactiver dans les paramètres du locataire. Dans la plupart des cas, nous vous recommandons de restreindre les fonctionnalités d’exportation seulement quand vous devez répondre à des exigences réglementaires spécifiques. Vous pouvez utiliser le journal d’activité Power BI pour identifier les utilisateurs qui effectuent de nombreuses exportations. Vous pouvez ensuite indiquer à ces utilisateurs des alternatives plus efficaces et plus sécurisées.

Check-list : lors de la planification des emplacements des fichiers, les décisions et actions clés incluent :

  • Identifiez l’emplacement des fichiers : déterminez où les fichiers doivent être stockés. Déterminez s’il existe des emplacements spécifiques qui ne doivent pas être utilisés.
  • Créez et publiez de la documentation sur les emplacements de fichiers : créez une documentation utilisateur qui clarifie les responsabilités de gestion et de sécurisation des fichiers. Elle doit également décrire les emplacements où les fichiers doivent (ou non) être stockés. Publiez ces informations sur votre portail centralisé et vos supports de formation.
  • Définissez les paramètres du locataire pour les exportations : passez en revue et définissez chaque paramètre de locataire lié aux formats d’exportation que vous souhaitez prendre en charge.

Stratégie pour l’utilisation des groupes

Nous vous recommandons d’utiliser des groupes de sécurité Microsoft Entra pour sécuriser le contenu Power BI pour les raisons suivantes.

  • Maintenance réduite : l’appartenance au groupe de sécurité peut être modifiée sans avoir à modifier les autorisations pour le contenu Power BI. De nouveaux utilisateurs peuvent être ajoutés au groupe et les utilisateurs non nécessaires peuvent être supprimés du groupe.
  • Précision améliorée : étant donné que les modifications d’appartenance au groupe sont apportées une seule fois, elles entraînent des attributions d’autorisations plus précises. Si une erreur est détectée, elle peut être corrigée plus facilement.
  • Délégation : vous pouvez déléguer la responsabilité de la gestion de l’appartenance au groupe au propriétaire du groupe.

Décisions générales pour les groupes

Il y a des décisions stratégiques à prendre concernant la façon dont les groupes seront utilisés.

Autorisation de créer et gérer des groupes

Deux décisions importantes sont à prendre concernant la création et la gestion des groupes.

  • Qui est autorisé à créer un groupe ? En règle générale, seul le département informatique peut créer des groupes de sécurité. Cependant, il est possible d’ajouter des utilisateurs au rôle Microsoft Entra intégré Administrateur de groupes. De cette façon, certains utilisateurs approuvés, comme les champions Power BI ou les membres satellites de votre Centre d’excellence, peuvent créer des groupes pour leur département.
  • Qui est autorisé à gérer les membres d’un groupe ? Il est courant que le département informatique gère l’appartenance aux groupes. Cependant, il est possible de spécifier un ou plusieurs propriétaires de groupe qui sont autorisés à ajouter et supprimer des membres de groupe. L’utilisation de la gestion de groupes en libre-service est pratique quand une équipe décentralisée ou des membres satellites du Centre d’excellence sont autorisés à gérer l’appartenance à des groupes spécifiques à Power BI.

Conseil

Autoriser la gestion des groupes en libre-service et spécifier des propriétaires de groupe décentralisés sont d’excellents moyens d’équilibrer l’efficacité et la rapidité avec la gouvernance.

Planification de groupes Power BI

Il est important de créer une stratégie générale pour l’utilisation des groupes afin de sécuriser le contenu Power BI et pour de nombreuses autres utilisations.

Différents cas d’usage pour les groupes

Considérez les cas d’usage suivants pour les groupes.

Cas d’usage Description Exemple de nom de groupe
Communication avec le Centre d’excellence Power BI Inclut tous les utilisateurs associés au Centre d’excellence, y compris tous les membres principaux et satellites du Centre d’excellence. En fonction de vos besoins, vous pouvez également créer un groupe distinct seulement pour les membres principaux. C’est probablement un groupe Microsoft 365 qui est corrélé à un site Teams. • Centre d’excellence Power BI
Communication avec l’équipe de direction de Power BI Inclut le sponsor de la direction et les représentants des unités opérationnelles qui collaborent au pilotage de l’initiative Power BI au sein de l’organisation. • Comité directeur Power BI
Communication avec la communauté des utilisateurs Power BI Inclut tous les utilisateurs auxquels n’importe quels types de licence utilisateur Power BI sont attribués. C’est utile pour faire des annonces à tous les utilisateurs Power BI de votre organisation. C’est probablement un groupe Microsoft 365 qui est corrélé à un site Teams. • Communauté Power BI
Support de la communauté des utilisateurs Power BI Inclut les utilisateurs du support technique qui interagissent directement avec la communauté des utilisateurs pour gérer les problèmes de support de Power BI. Cette adresse e-mail (et le site Teams, le cas échéant) est disponible et visible par les utilisateurs. • Support des utilisateurs Power BI
Fourniture d’un support avec escalade de niveau Inclut des utilisateurs spécifiques, généralement du Centre d’excellence Power BI, qui fournissent un support avec escalade de niveau. Cette adresse e-mail (et le site Teams, le cas échéant) est généralement privée, pour une utilisation seulement par l’équipe de support utilisateur. • Support des utilisateurs Power BI avec escalade de niveau
Administration du service Power BI Inclut des utilisateurs spécifiques autorisés à administrer le service Power BI. Si vous le souhaitez, les membres de ce groupe peuvent être corrélés au rôle dans Microsoft 365 pour simplifier la gestion. • Administrateurs Power BI
Notification des fonctionnalités autorisées et déploiements progressifs des fonctionnalités Inclut les utilisateurs autorisés pour un paramètre de locataire spécifique dans le portail d’administration (si la fonctionnalité sera limitée) ou si la fonctionnalité doit être déployée progressivement sur des groupes d’utilisateurs. La plupart des paramètres de locataire vont vous obliger à créer un groupe spécifique à Power BI. • Créateurs d’espaces de travail Power BI

• Partage de données externes Power BI
Gestion des passerelles de données Inclut un ou plusieurs groupes d’utilisateurs autorisés à administrer un cluster de passerelle. Il y a parfois plusieurs groupes de ce type quand il existe plusieurs passerelles ou quand des équipes décentralisées gèrent les passerelles. • Administrateurs de passerelle Power BI

• Créateurs de sources de données de passerelle Power BI

• Propriétaires de sources de données de passerelle dans Power BI

• Utilisateurs de source de données de la passerelle Power BI
Gérer les capacités Premium Inclut les utilisateurs autorisés à gérer une capacité Premium. Il y a parfois plusieurs groupes de ce type quand il existe plusieurs capacités ou quand des équipes décentralisées gèrent les capacités. • Contributeurs de capacité Power BI
Sécurisation des espaces de travail, des applications et des éléments De nombreux groupes basés sur des domaines spécifiques et autorisés à accéder à la gestion de la sécurité des rôles d’espace de travail Power BI, des autorisations d’application et des autorisations par élément. • Administrateurs d’espaces de travail Power BI

• Membres d’espaces de travail Power BI

• Contributeurs d’espaces de travail Power BI

• Viewers d’espaces de travail Power BI

• Viewers d’applications Power BI
Déploiement de contenu Inclut les utilisateurs qui peuvent déployer du contenu en utilisant un pipeline de déploiement Power BI. Ce groupe est utilisé conjointement avec les autorisations d’espace de travail. • Administrateurs de pipeline de déploiement Power BI
Automatisation des opérations d’administration Inclut les principaux de service autorisés à utiliser les API Power BI à des fins d’incorporation ou d’administration. • Principaux de service Power BI

Groupes pour les paramètres du locataire Fabric

Selon les processus internes que vous avez mis en place, vous aurez d’autres groupes nécessaires. Ces groupes sont pratiques pour la gestion des paramètres du locataire. Voici quelques exemples.

  • Créateurs d’espaces de travail Power BI : utile lorsque vous devez limiter les personnes pouvant créer des espaces de travail. Il est utilisé pour configurer le paramètre de locataire Créer des espaces de travail.
  • Experts en matière de certification Power BI : Utile pour spécifier qui est autorisé à utiliser l’approbation certifiée pour le contenu. Il est utilisé pour configurer le paramètre de locataire Certification.
  • Créateurs de contenu approuvés par Power BI : utile lorsque vous avez besoin d’une approbation ou d’une formation, ou d’un accusé de réception de stratégie pour l’installation de Power BI Desktop, ou pour obtenir une licence Power BI Pro ou PPU. Il est utilisé par les paramètres de locataire qui encouragent les fonctionnalités de création de contenu, comme Autoriser les connexions DirectQuery aux modèles sémantiques Power BI, Envoyer des applications aux utilisateurs finaux, Autoriser les points de terminaison XMLA, etc.
  • Utilisateurs d’outils externes Power BI : utile lorsque vous autorisez l’utilisation d’outils externes pour un groupe sélectif d’utilisateurs. Il est utilisé par la stratégie de groupe, ou quand les installations ou les demandes de logiciels doivent être contrôlées avec soin.
  • Développeurs personnalisés Power BI : utile lorsque vous devez contrôler qui est autorisé à incorporer du contenu dans d’autres applications en dehors de Power BI. Il est utilisé pour configurer le paramètre de locataire Incorporer du contenu dans les applications.
  • Publication publique Power BI : utile lorsque vous devez limiter les personnes pouvant publier des données publiquement. Il est utilisé pour configurer le paramètre de locataire Publier sur le web.
  • Partage Power BI à l’ensemble de l’organisation : utile lorsque vous devez restreindre qui peut partager un lien avec tous les membres de l’organisation. Il est utilisé pour configurer le paramètre de locataire Autoriser les liens partageables pour accorder l’accès à tous les membres de votre organisation.
  • Partage de données externes Power BI : utile lorsque vous devez autoriser certains utilisateurs à partager des modèles sémantiques avec des utilisateurs externes. Il est utilisé pour configurer le paramètre de locataire Autoriser des utilisateurs spécifiques à activer le locataire de partage de données externe.
  • Licence d’accès utilisateur invité Power BI : utile lorsque vous devez regrouper les utilisateurs externes approuvés auxquels une licence est accordée par votre organisation. Il est utilisé pour configurer le paramètre de locataire Autoriser les utilisateurs invités Microsoft Entra à accéder à Power BI.
  • Accès utilisateur invité Power BI BYOL : utile pour regrouper des utilisateurs externes approuvés venant de leur organisation d'origine qui apportent leur propre licence (BYOL). Il est utilisé pour configurer le paramètre de locataire Autoriser les utilisateurs invités Microsoft Entra à accéder à Power BI.

Conseil

Pour plus d’informations sur l’utilisation de groupes lors de la planification des accès aux espaces de travail, consultez l’article Planification au niveau de l’espace de travail. Pour plus d’informations sur la planification de la sécurisation des espaces de travail, des applications et des éléments, consultez l’article Planification de la sécurité des consommateurs de rapports.

Type de groupe

Vous pouvez créer différents types de groupes.

  • Groupe de sécurité : un groupe de sécurité est le meilleur choix lorsque votre objectif principal est d’accorder l’accès à une ressource.
  • Groupe de sécurité à extension messagerie : lorsque vous devez accorder l’accès à une ressource et distribuer des messages à l’ensemble du groupe par e-mail, un groupe de sécurité à extension messagerie est un bon choix.
  • Groupe Microsoft 365 : ce type de groupe a un site Teams et une adresse e-mail. C’est le meilleur choix quand l’objectif principal est la communication ou la collaboration dans un site Teams. Un groupe Microsoft 365 a seulement des membres et des propriétaires ; il n’y a pas de rôle de visiteur. Pour cette raison, son objectif principal est la collaboration. Ce type de groupe était anciennement appelé « groupe Office 365 », « groupe moderne » ou « groupe unifié ».
  • Groupe de distribution : vous pouvez utiliser un groupe de distribution pour envoyer une notification de diffusion à une liste d’utilisateurs. Aujourd’hui, il est considéré comme un concept hérité qui fournit une compatibilité descendante. Pour les nouveaux cas d’usage, nous vous recommandons de créer à la place un groupe de sécurité à extension messagerie.

Quand vous demandez un nouveau groupe ou que vous avez l’intention d’utiliser un groupe existant, il est important de connaître son type. Le type de groupe peut déterminer comment il est utilisé et géré.

  • Autorisations Power BI : Tous les types de groupe ne sont pas pris en charge pour chaque type d’opération de sécurité. Les groupes de sécurité (y compris les groupes de sécurité à extension messagerie) offrent la couverture la plus étendue quand il s’agit de définir des options de sécurité Power BI. La documentation Microsoft recommande généralement les groupes Microsoft 365. Cependant, dans le cas de Power BI, ils n’ont pas autant de capacités que les groupes de sécurité. Pour plus d’informations sur les autorisations Power BI, consultez les articles suivants de cette série sur la planification de la sécurité.
  • Paramètres du locataire Fabric : vous ne pouvez utiliser que des groupes de sécurité (y compris des groupes de sécurité à extension messagerie) pour autoriser ou interdire à des groupes d’utilisateurs de travailler avec les paramètres du locataire.
  • Fonctionnalités Avancées de Microsoft Entra : certains types de fonctionnalités avancées ne sont pas pris en charge pour tous les types de groupes. Par exemple, les groupes Microsoft 365 ne prennent pas en charge l’imbrication de groupes au sein d’un groupe. Bien que certains types de groupes prennent en charge l’appartenance de groupe dynamique en fonction des attributs utilisateur dans Microsoft Entra ID, les groupes qui utilisent l’appartenance dynamique ne sont pas pris en charge pour Power BI.
  • Géré différemment : votre demande de création ou de gestion d’un groupe peut être acheminée vers un autre administrateur en fonction du type de groupe (les groupes de sécurité et les groupes de distribution avec extension messagerie sont gérés dans Exchange). Par conséquent, votre processus interne diffère en fonction du type de groupe.

Convention de nommage des groupes

Il est probable que vous vous retrouverez avec de nombreux groupes dans Microsoft Entra ID participant à votre implémentation de Power BI. Par conséquent, il est important d’avoir un modèle ayant fait l’objet d’un accord quant à la façon dont les groupes sont nommés. Une bonne convention de nommage permet de déterminer l’objectif du groupe et de le rendre plus facile à gérer.

Envisagez d’utiliser la convention de nommage standard suivante : <Préfixe><Objectif>- <Rubrique/Étendue/Département><[Environnement]>

La liste suivante décrit chaque élément de la convention de nommage.

  • Préfixe : utilisé pour regrouper tous les groupes Power BI. Quand le groupe est utilisé pour plusieurs outils analytiques, votre préfixe peut être simplement BI, au lieu de Power BI. Dans ce cas, le texte qui décrit l’objectif sera plus générique afin d’être associé à plusieurs outils analytiques.
  • Objectif : L’objectif varie. Il peut s’agir d’un rôle d’espace de travail, d’autorisations d’application, d’autorisations au niveau d’un élément, de sécurité au niveau des lignes ou d’un autre objectif. Parfois, plusieurs objectifs peuvent être atteints avec un seul groupe.
  • Rubrique/Étendue/Service : utilisé pour clarifier la personne à qui le groupe s’applique. Il décrit souvent l’appartenance au groupe. Il peut également faire référence à la personne qui gère le groupe. Parfois, un même groupe peut être utilisé pour plusieurs objectifs. Par exemple, une collection d’espaces de travail pour la finance peut être gérée avec un seul groupe.
  • Environnement : facultatif. Utile pour différencier entre le développement, le test et la production.

Voici quelques exemples de noms de groupe qui appliquent la convention de nommage standard.

  • Power BI - Administrateurs d’espace de travail - Finance [Dev]
  • Power BI - Membres d’espace de travail - Finance [Dev]
  • Power BI - Contributeurs d’espace de travail - Finance [Dev]
  • Power BI - Visiteurs d’espace de travail - Finance [Dev]
  • Power BI - Visiteurs d’applications - Finances
  • Power BI - Administrateurs de passerelle - BI Entreprise
  • Power BI - Administrateurs de passerelle - Finance

Décisions par groupe

Lors de la planification des groupes dont vous aurez besoin, plusieurs décisions doivent être prises.

Quand un créateur ou un propriétaire de contenu demande un nouveau groupe, il utilise idéalement un formulaire pour fournir les informations suivantes.

  • Nom et objectif : nom de groupe suggéré et objectif prévu. Envisagez d’inclure Power BI (ou simplement BI quand vous avez plusieurs outils décisionnels) dans le nom du groupe pour indiquer clairement l’étendue du groupe.
  • Adresse e-mail : adresse e-mail lorsque la communication est également requise pour les membres du groupe. Tous les types de groupes n’ont pas besoin d’être à extension messagerie.
  • Type de groupe : les options incluent le groupe de sécurité, le groupe de sécurité à extension messagerie, le groupe Microsoft 365 et le groupe de distribution.
  • Propriétaire du groupe : qui est autorisé à posséder et à gérer les membres du groupe.
  • Appartenance au groupe : utilisateurs prévus qui seront membres du groupe. Déterminez si des utilisateurs externes et des utilisateurs internes peuvent être ajoutés, ou s’il existe une justification pour placer des utilisateurs externes dans un autre groupe.
  • Utilisation de l’attribution de membre de groupe juste-à-temps : vous pouvez utiliser Privileged Identity Management (PIM) pour autoriser un accès limité dans le temps, juste-à-temps, à un groupe. Ce service peut être pratique quand des utilisateurs ont besoin d’un accès temporaire. PIM est également pratique pour les administrateurs Power BI qui ont besoin d’un accès occasionnel.

Conseil

Les groupes existants basés sur l’organigramme ne fonctionnent pas toujours bien pour les objectifs de Power BI. Utilisez des groupes existants quand ils répondent à vos besoins. Cependant, soyez prêt à créer des groupes spécifiques à Power BI en cas de besoin.

Check-list : lors de la création de votre stratégie d’utilisation des groupes, les décisions et actions clés incluent :

  • Choisissez la stratégie d’utilisation des groupes : déterminez les cas d’usage et les objectifs dont vous aurez besoin pour utiliser des groupes. Précisez bien quand la sécurité doit être appliquée avec des comptes d’utilisateurs ou quand un groupe est nécessaire ou préférable.
  • Créez une convention d’affectation de noms pour les groupes spécifiques à Power BI : assurez-vous qu’une convention d’affectation de noms cohérente est utilisée pour les groupes qui prennent en charge la communication, les fonctionnalités, l’administration ou la sécurité Power BI.
  • Déterminez qui est autorisé à créer des groupes : indiquez si toutes les créations de groupes sont requises pour passer par le service informatique. ou si certaines personnes (comme des membres satellites du Centre d’excellence) peuvent être autorisés à créer des groupes pour leur unité opérationnelle.
  • Créez un processus pour demander un nouveau groupe : créez un formulaire pour que les utilisateurs demandent la création d’un nouveau groupe. Vérifiez qu’un processus est en place pour répondre rapidement aux nouvelles demandes. Gardez à l’esprit que si les demandes sont retardées, les utilisateurs peuvent être tentés de commencer à attribuer des autorisations à des comptes individuels.
  • Décidez quand la gestion décentralisée des groupes est autorisée : pour les groupes qui s’appliquent à une équipe spécifique, décidez quand il est acceptable pour un propriétaire de groupe (en dehors de l’informatique) de gérer les membres du groupe.
  • Déterminez si l’appartenance juste-à-temps au groupe sera utilisée : déterminez si la gestion des identités privilégiées sera utile. Si c’est le cas, déterminez les groupes pour lesquels il peut être utilisé (par exemple le groupe Administrateurs Power BI).
  • Passez en revue les groupes qui existent actuellement : déterminez quels groupes existants peuvent être utilisés et quels groupes doivent être créés.
  • Passez en revue chaque paramètre de locataire : pour chaque paramètre de locataire, déterminez s’il sera autorisé ou interdit pour un ensemble spécifique d’utilisateurs. Déterminez si un nouveau groupe doit être créé pour configurer le paramètre de locataire.
  • Créez et publiez des conseils pour les utilisateurs sur les groupes : incluez la documentation des créateurs de contenu qui inclut des exigences ou des préférences pour utiliser des groupes. Vérifiez qu’ils savent ce qu’il faut spécifier quand ils demandent un nouveau groupe. Publiez ces informations sur votre portail centralisé et vos supports de formation.

Contenu connexe

Dans l’article suivant de cette série, découvrez comment fournir du contenu de façon sécurisée aux consommateurs de rapports en lecture seule.

  • Last updated on