Partager via

Bien démarrer avec les stratégies de protection contre la perte de données pour Fabric et Power BI

Cet article est une vue d’ensemble générale des stratégies Protection contre la perte de données Microsoft Purview (DLP) Fabric et Power BI. Le public cible est les administrateurs d’infrastructure, les équipes de sécurité et de conformité et les propriétaires de données Fabric. Si vous êtes propriétaire de données et que vous souhaitez savoir comment répondre lorsqu’un conseil de stratégie vous indique que votre élément a une correspondance de stratégie DLP, consultez Répondre à une correspondance de stratégie DLP dans Fabric. Si vous êtes administrateur d’infrastructure ou administrateur de la sécurité et de la conformité et que vous avez besoin d’auditer les alertes sur les correspondances de stratégie DLP, consultez Surveiller les correspondances de stratégie DLP dans Fabric.

Vue d’ensemble

Pour aider les organisations à détecter et à protéger leurs données sensibles, Fabric prend en charge les stratégies de Protection contre la perte de données Microsoft Purview (DLP). Lorsqu’une stratégie DLP pour Fabric détecte un type d’élément pris en charge contenant des informations sensibles, les actions configurées dans la stratégie sont déclenchées. Ces actions peuvent inclure :

  • Joindre un conseil de stratégie à l’élément qui explique la nature du contenu sensible.
  • Inscription d’une alerte pour les administrateurs sur la page Alertes de protection contre la perte de données dans le portail Microsoft Purview.
  • Envoi d’alertes par e-mail aux administrateurs et aux utilisateurs spécifiés.
  • Restriction de l’accès à l’élément.

Pour plus d’informations, consultez Fonctionnement des stratégies DLP pour Fabric et Power BI.

Conseil

Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.

Licences et autorisations

Licences

Pour plus d’informations sur les licences, consultez

Autorisations

Les données de DLP pour Fabric et Power BI peuvent être consultées dans l’Explorateur d’activités. Quatre rôles accordent des autorisations à l’Explorateur d’activités ; le compte que vous utilisez pour accéder aux données doit être membre de l’un d’eux.

Pour afficher l’Explorateur d’activités, le compte que vous utilisez pour accéder aux données doit être membre de l’un des rôles suivants ou supérieur.

  • Administrateur de conformité
  • Administrateur de sécurité
  • Administrateur de conformité des données

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Administrateur général est un rôle à privilèges élevés qui ne doit être utilisé que dans les scénarios où un rôle moins privilégié ne peut pas être utilisé.

Facturation

Les charges de travail d’évaluation DLP ont un impact sur la consommation de capacité. Pour plus d’informations sur la façon dont ce contrôle est mesuré et facturé, consultez En savoir plus sur les modèles de facturation Microsoft Purview.

Fonctionnement des stratégies DLP pour Fabric et Power BI

Vous définissez une stratégie DLP dans la section Protection contre la perte de données du portail Microsoft Purview. Dans la stratégie, vous spécifiez les conditions, telles que les étiquettes de confidentialité et/ou les types d’informations sensibles que vous souhaitez détecter. Vous spécifiez également les actions que le système effectuera lorsqu’une correspondance de stratégie est détectée.

Lorsqu’un type d’élément pris en charge est évalué par des stratégies DLP, s’il correspond aux conditions spécifiées dans une stratégie DLP, les actions spécifiées dans la stratégie se produisent. Les stratégies DLP sont lancées par les actions suivantes :

Modèles sémantiques :

Un modèle sémantique est évalué par rapport aux stratégies DLP chaque fois que l’un des événements suivants se produit :

  • Publier
  • Republier
  • Actualisé à la demande
  • Actualisé de façon planifiée

Remarque

L’évaluation DLP du modèle sémantique ne se produit pas si l’une des conditions suivantes est vraie :

  • L’initiateur de l’événement (publication, republier, actualisation à la demande, actualisation planifiée) est un compte utilisant l’authentification du principal de service.
  • Le propriétaire du modèle sémantique est un principal de service.

Éléments d’infrastructure :

Un élément Fabric, tel que lakehouse, base de données SQL ou base de données mise en miroir, est évalué par rapport aux stratégies DLP lorsque les données qu’il contient subissent une modification, comme l’obtention de nouvelles données, la connexion d’une nouvelle source, l’ajout ou la mise à jour de tables existantes, etc.

Que se passe-t-il lorsqu’un élément est marqué par une stratégie DLP Fabric

Lorsqu’une stratégie DLP détecte un problème avec un élément :

  • Si la « notification utilisateur » est activée dans la stratégie, l’élément est marqué dans Fabric avec une icône indiquant qu’une stratégie DLP a détecté un problème avec l’élément. Pointez sur l’icône pour afficher un carte de pointage qui fournit une option permettant d’afficher les détails complets dans un panneau latéral. Pour plus d’informations sur ce que vous voyez dans le panneau latéral, consultez Répondre à une violation DLP dans Fabric.

    Capture d’écran de l’icône de conseil de stratégie dans le hub de données OneLake.

    Pour les modèles sémantiques, l’ouverture de la page de détails affiche un conseil de stratégie qui explique la violation de stratégie et comment le type d’informations sensibles détectées doit être géré. La sélection de Afficher tout ouvre un panneau latéral avec tous les détails de la stratégie.

    Capture d’écran du conseil de stratégie sur la page des détails du modèle sémantique.

    Remarque

    Si vous masquez le conseil de stratégie, il n’est pas supprimé. Il apparaîtra la prochaine fois que vous visiterez la page.

    Pour lakehouses, l’indication s’affiche dans l’en-tête en mode édition, et l’ouverture du menu volant permet d’afficher plus de détails sur les conseils de stratégie affectant le lakehouse. La sélection de Afficher tout ouvre un panneau latéral avec tous les détails de la stratégie.

    Capture d’écran du conseil de stratégie dans le menu volant d’en-tête lakehouse.

  • Si les alertes sont activées dans la stratégie, une alerte est enregistrée sur la page Alertes de protection contre la perte de données dans le portail Microsoft Purview, et (si configuré) un e-mail est envoyé aux administrateurs et/ou utilisateurs spécifiés. Pour plus d’informations, consultez Surveiller et gérer les violations de stratégie DLP.

Actions prises en charge

Lorsqu’un modèle sémantique ou lakehouse est évalué par des stratégies DLP, s’il correspond aux conditions spécifiées dans une stratégie DLP, les actions spécifiées dans la stratégie se produisent. Les stratégies DLP pour Fabric et Power BI prennent en charge trois actions :

  • Notification de l’utilisateur via des conseils de stratégie.
  • Les alertes. Les alertes peuvent être envoyées par e-mail aux administrateurs et aux utilisateurs. En outre, les administrateurs peuvent surveiller et gérer les alertes sous l’onglet Alertes du portail Purview.
  • Restreindre l’accès. Lorsqu’une stratégie est configurée avec l’action Restreindre l’accès, en cas de correspondance de stratégie, l’accès à l’élément est limité, soit aux propriétaires des données, soit aux membres du organization, selon la façon dont la stratégie est configurée. Tous les autres utilisateurs perdent l’accès à l’élément.

Pour plus d’informations sur ce qui déclenche l’évaluation DLP, consultez Fonctionnement des stratégies DLP pour Fabric et Power BI.

Types d’éléments pris en charge

Les stratégies DLP pour Fabric et Power BI prennent actuellement en charge (préversion) les types d’éléments suivants.

  • Modèles sémantiques
  • Lakehouses
  • Bases de données KQL
  • Bases de données mises en miroir
  • Bases de données SQL

Consultez Considérations et limitations pour les exceptions.

Types de conditions pris en charge

Les règles de stratégie DLP pour Fabric et Power BI prennent en charge les étiquettes de confidentialité et un sous-ensemble de types d’informations sensibles (voir considérations et limitations) en tant que conditions.

Configurer une stratégie DLP pour Fabric et Power BI

Pour plus d’informations sur la création d’une stratégie DLP pour Fabric ou Power BI, consultez Créer et déployer des stratégies de protection contre la perte de données. En particulier, suivez les procédures du scénario 8 Bloquer les rapports Power BI avec des nombres de carte de crédit et adaptez-les à votre propre scénario.

Considérations et limitations

  • Les stratégies DLP s’appliquent aux espaces de travail. Seuls les espaces de travail hébergés dans des capacités Fabric ou Premium sont pris en charge. Pour plus d’informations, consultez Concepts et licences Microsoft Fabric.
  • Les modèles de stratégie DLP ne sont pas encore pris en charge pour les stratégies DLP Fabric. Lorsque vous créez une stratégie DLP pour Fabric, choisissez l’option « stratégie personnalisée ».
  • Les stratégies DLP pour Fabric ne sont pas prises en charge pour les exemples de modèles sémantiques, de jeux de données de diffusion en continu ou de modèles sémantiques qui se connectent à leur source de données via DirectQuery ou une connexion active. Cela inclut les modèles sémantiques avec stockage mixte, où certaines données proviennent du mode importation et d’autres via DirectQuery.
  • Les stratégies DLP pour Fabric s’appliquent uniquement aux données des tables Lakehouse/dossier stockées au format Delta.
  • Les stratégies DLP pour Fabric prennent en charge tous les types Delta primitifs, à l’exception des timestamp_ntz.
  • Les stratégies DLP pour Fabric ne sont pas prises en charge pour les types de données Delta Parquet suivants :
    • Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
    • Données avec les codecs de compression LZ4, Zstd et Gzip.
  • Les classifieurs EDM (Exact Data Match) et lesclassifieurs pouvant être entraînés ne sont pas pris en charge par DLP pour Fabric. Si vous sélectionnez un EDM ou un classifieur pouvant être entraîné dans l’état d’une stratégie, la stratégie ne produit aucun résultat, même si le modèle sémantique ou lakehouse contient en fait des données qui répondent au classifieur EDM ou à l’apprentissage. Les autres classifieurs spécifiés dans la stratégie retournent les résultats, le cas échéant.
  • Les stratégies DLP pour Fabric ne sont pas prises en charge dans la région Chine Nord. Consultez Comment trouver la région par défaut de votre organization pour savoir comment trouver la région de données par défaut de votre organization.
  • Les capacités Azure ne sont pas prises en charge pour DLP dans Fabric dans les clusters suivants :
    • WUS3
    • WUS2
    • SCUS
  • L’intégration d’un nouveau locataire à DLP peut prendre quelques heures, en fonction du nombre d’espaces de travail pris en charge qui sont en cours d’intégration.

Voir aussi