Skip to content
Depuis la liste des éléments de l’espace de travail, cliquez sur l’icone de partage (ou le menu contextuel “…” puis “Partager”) en regard du warehouse concerné.Depuis le warehouse ouvert, utilisez le bouton “Partager” dans la barre d’outils.
Personnes de votre organisation : ce type de lien permet à toute personne de votre organisation d’accéder à l’élément, mais ne fonctionne pas pour les utilisateurs externes ou invités.Personnes avec un accès existant : génère une URL sans accorder de nouvelle permission. Utile pour envoyer un lien à quelqu’un qui a déjà accès.Personnes spécifiques : permet de cibler des personnes ou groupes précis, y compris des utilisateurs invités dans votre annuaire Microsoft Entra ID.
Aucune permission supplémentaire (Read uniquement) : le destinataire ne reçoit que la permission “Read”, qui permet uniquement de se connecter au point de terminaison SQL, soit l’équivalent de la permission CONNECT dans SQL Server. L’utilisateur voit le warehouse dans le catalogue OneLake mais ne peut pas lire les données des tables.Read all data using SQL (ReadData) : le destinataire peut lire toutes les tables et vues du warehouse en lecture seule, ce qui est l’équivalent du rôle db_datareader dans SQL Server. Il peut également se connecter via un outil client (SSMS, Azure Data Studio) en utilisant la chaine de connexion SQL.Read all data using Apache Spark (ReadAll) : le destinataire peut accéder aux fichiers du warehouse via le moteur Spark en utilisant le chemin ABFS disponible dans le volet Propriétés de l’éditeur du warehouse.Subscribe to events (SubscribeOneLakeEvents) : permet de s’abonner aux événements OneLake générés pour le warehouse dans le hub temps réel.Write : permet de modifier les données.Reshare : autorise le destinataire à repartager le warehouse avec d’autres utilisateurs.Monitor : permet de surveiller l’activité de la base de données et de terminer des sessions.Audit : permet de configurer et consulter les journaux d’audit SQL.Restore : permet d’effectuer des restaurations (réservée aux admins par défaut).
Lors du partage, vous pouvez choisir d’envoyer une notification par e-mail au destinataire. Lorsque le destinataire reçoit l’e-mail, il peut cliquer sur “Ouvrir” pour accéder à la page du warehouse dans le catalogue OneLake.Point important : le warehouse partagé directement n’apparait pas dans la liste des espaces de travail du destinataire ; il n’est accessible que via le hub OneLake.
Accédez au menu contextuel du warehouse, puis sélectionnez “Gérer les permissions”.Vous y trouverez la liste de tous les utilisateurs ayant accès au warehouse avec leurs rôles et permissions. En cliquant sur les points de suspension à coté d’un utilisateur, vous pouvez supprimer des permissions, en ajouter ou retirer complètement l’accès.
Partagez le warehouse sans permission supplémentaire (Read uniquement), puis accordez un accès granulaire aux objets spécifiques avec les instructions T-SQL GRANT.La sécurité au niveau objet peut être gérée via les instructions GRANT, REVOKE et DENY en T-SQL. Les utilisateurs peuvent être affectés à des rôles SQL, qu’il s’agisse de rôles personnalisés ou de rôles de base de données intégrés.La commande CREATE USER ne peut pas être exécutée explicitement ; lorsqu’un GRANT ou DENY est exécuté, l’utilisateur est créé automatiquement.
La sécurité au niveau des lignes (RLS) : restreint l’accès à certaines lignes via des prédicats WHERE dans des fonctions de filtrage.La sécurité au niveau des colonnes (CLS) : empêche la consultation de colonnes spécifiques par des utilisateurs non autorisés.Le masquage dynamique des données : masque les données sensibles (adresses e-mail, numéros) sans modifier les données sous-jacentes.
Support formation Microsoft Fabric
- Pages
Gestion du partage d'un warehouse
Voici un détail complet de la gestion du partage d’un warehouse dans Microsoft Fabric.
Prérequis pour le partage
Pour partager un warehouse, vous devez disposer du rôle Admin ou Membre dans l’espace de travail contenant le warehouse. Le partage est un moyen pratique de fournir aux utilisateurs un accès en lecture à vos données pour une consommation en aval. Les destinataires peuvent ensuite consommer les données via T-SQL, Spark ou Power BI.
Accéder à la boite de dialogue de partage
Deux chemins s’offrent à vous :
La boite de dialogue “Créer et envoyer un lien” s’ouvre alors, vous permettant de choisir l’audience et les permissions.
Types de liens de partage
La boite de dialogue propose trois types de liens :
Permissions disponibles lors du partage
Lors du partage, vous sélectionnez les permissions à accorder au destinataire. Voici les options :
Depuis avril 2025, des permissions supplémentaires au niveau de l’élément ont été introduites :
Notification et accès du destinataire
Gérer les permissions après le partage
Pour modifier ou révoquer les permissions :
Point de vigilance : la propagation des modifications de permissions peut prendre jusqu’à deux heures si l’utilisateur est connecté.
Permissions granulaires via T-SQL
Lorsque les permissions de partage ne suffisent pas, vous pouvez affiner l’accès au niveau des objets SQL. La démarche recommandée est la suivante :
Exemples de commandes :
-- Accorder la lecture sur une table spécifique
GRANT SELECT ON dbo.MaTable TO [utilisateur@domaine.com];
-- Refuser l'accès à une colonne sensible
DENY SELECT ON dbo.Commandes (CarteBancaire) TO [utilisateur@domaine.com];
-- Révoquer une permission précédemment accordée
REVOKE SELECT ON dbo.MaTable FROM [utilisateur@domaine.com];
Pour vérifier ses propres permissions, un utilisateur connecté peut exécuter :
SELECT * FROM sys.fn_my_permissions(NULL, 'DATABASE');
Couches de sécurité complémentaires
Au-delà du partage et des permissions granulaires, le warehouse Fabric supporte :
Partage vs. rôles d’espace de travail
Le partage est une meilleure option que l’affectation d’un rôle d’espace de travail lorsque vous souhaitez donner accès à un seul élément. En effet, un rôle d’espace de travail (comme Viewer) donne accès à tous les éléments de l’espace de travail, tandis que le partage cible uniquement le warehouse concerné.
La recommandation de Microsoft suit le principe du moindre privilège : les utilisateurs nécessitant uniquement un accès en lecture doivent être affectés au rôle Viewer et se voir accorder un accès en lecture sur des objets spécifiques via T-SQL. Seuls les membres de l’équipe collaborant activement sur la solution doivent être affectés aux rôles Admin, Membre ou Contributeur.
Want to print your doc?
This is not the way.
This is not the way.
Try clicking the ··· in the right corner or using a keyboard shortcut (
CtrlP
) instead.