Skip to content
Fabric garantit une sécurité renforcée avec un chiffrement par défaut.L'authentification se fait via Microsoft Entra ID.Accès réglementé possible grâce à des fonctionnalités supplémentaires comme les liaisons privées et l'accès conditionnel Entra.Offre une souveraineté des données avec des capacités multigéographiques.Prend en charge diverses normes de conformité.Inclut des outils de gouvernance tels que la traçabilité des données,des étiquettes de protection,la protection contre la perte de données.Sa sécurité est configurable selon les directives organisationnelles.
Liaisons privées (Private Links) : Vous pouvez configurer Fabric pour qu'il soit accessible uniquement via un réseau virtuel (VNet) Azure, bloquant ainsi tout accès depuis l'internet public.Points de terminaison privés managés : Permettent aux outils Fabric (comme les Notebooks ou le Warehouse) de se connecter de manière sécurisée à des sources de données externes (ex: SQL Azure) sans passer par l'internet.VNet managés : Microsoft crée et gère des réseaux virtuels isolés pour vos charges de travail Spark, garantissant qu'elles ne partagent pas le même réseau que d'autres clients.
Row-Level Security (RLS) : Permet de masquer certaines lignes d’une table en fonction de l’identité de l’utilisateur (ex: un commercial ne voit que les clients de sa région).Column-Level Security (CLS) : Permet de restreindre l’accès à certaines colonnes spécifiques (ex: masquer les colonnes “Salaire” ou “Numéro de Sécurité Sociale” pour les analystes RH, tout en leur laissant accès au reste de la table).Dynamic Data Masking (DDM) : Masque les données “à la volée” (ex: afficher XXXX-XXXX-1234 au lieu du numéro de carte complet) pour les utilisateurs non autorisés.
Étiquettes de confidentialité (Sensitivity Labels) : Vous pouvez marquer des données comme “Hautement Confidentiel”. Ces étiquettes suivent les données, même lorsqu’elles sont exportées vers Excel ou PDF.Politiques de protection (Protection Policies) : (En préversion) Vous pouvez définir des règles qui bloquent automatiquement l’accès à un élément Fabric si l’utilisateur ne dispose pas du niveau d’accréditation requis par l’étiquette de confidentialité associée.Prévention de la perte de données (DLP) : Fabric peut détecter automatiquement les données sensibles (comme les numéros de carte de crédit) et alerter les administrateurs ou bloquer le partage.Traçabilité (Lineage) : Visualisez le parcours des données depuis leur source jusqu'au rapport final pour auditer les accès et les transformations.
Rôles d’espace de travail : Les rôles Administrateur, Membre et Contributeur ont un accès complet.Le rôle Visionneuse (Viewer) est celui sur lequel on applique généralement les restrictions fines (RLS/CLS).Accès au privilège minimum : utiliser la fonction Partager (Share) pour donner accès à un seul élément (ex: un seul rapport) plutôt que d’ajouter l’utilisateur à l’espace de travail entier.
Private Links : Vous pouvez configurer Fabric pour qu’il ne soit accessible que depuis votre réseau d’entreprise (Azure VNet), bloquant tout accès depuis l’internet public.Accès Conditionnel (Entra ID) : Exige l’authentification multi-facteurs (MFA) ou restreint l’accès selon la localisation géographique de l’utilisateur.
Combiner les étiquettes de confidentialité Purview (pour la classification) avec la sécurité au niveau des lignes/colonnes (pour l’accès technique),tout en limitant le nombre d’utilisateurs ayant des rôles élevés (Admin/Member) dans l’espace de travail.
Support formation Microsoft Fabric
- Pages
Sécurité
Microsoft Fabric propose une approche de sécurité multicouche pour protéger les données sensibles, allant de l’isolation réseau à la restriction granulaire au sein même des tables.
Voici les principaux mécanismes pour limiter l’accès aux données sensibles dans Fabric :
Fondamentaux : "Always On" et Authentification
Sécurité réseau (entrante et sortante)
Sécurité au niveau des données (Granularité fine)
Pour les données stockées dans le Lakehouse ou le Warehouse, vous pouvez restreindre l’accès sans diviser vos tables en plusieurs fichiers :
-- Création d'un utilisateur de test (ou utilisation d'un groupe existant)
CREATE USER [analyste@votredomaine.com] FROM EXTERNAL PROVIDER;
-- 1. On refuse d'abord l'accès complet à la table pour être sûr
REVOKE SELECT ON dbo.Employes FROM [analyste@votre-domaine.com];
-- 2. On accorde l'accès UNIQUEMENT aux colonnes non sensibles
GRANT SELECT ON dbo.Employes(ID, Nom, Prenom, Poste, Departement)
TO [analyste@votredomaine.com];
-- Appliquer le masquage sur les colonnes sensibles
ALTER TABLE dbo.Clients
ALTER COLUMN Email ADD MASKED WITH (FUNCTION = 'email()');
ALTER TABLE dbo.Clients
ALTER COLUMN Telephone ADD MASKED WITH (FUNCTION = 'partial(0, "XXX-XXX-", 4)');
ALTER TABLE dbo.Clients
ALTER COLUMN ScoreCredit ADD MASKED WITH (FUNCTION = 'default()');
Gouvernance avec Microsoft Purview
L’intégration native avec Microsoft Purview permet une protection automatisée :
Contrôle d’accès OneLake (RBAC)
Le OneLake (le “OneDrive des données”) utilise un modèle de sécurité hérité et granulaire :
Sécurité Réseau et Conformité
Bonnes pratiques
Want to print your doc?
This is not the way.
This is not the way.
Try clicking the ··· in the right corner or using a keyboard shortcut (
CtrlP
) instead.