Activer l’application de la stratégie de données sur vos sources Microsoft Purview
L’application de la stratégie de données est une option dans l’inscription de la source de données dans Microsoft Purview. Cette option permet à Microsoft Purview de gérer l’accès aux données pour vos ressources. Le concept général est que le propriétaire des données autorise sa ressource de données à être disponible pour les stratégies d’accès en activant l’application de la stratégie de données.
Actuellement, un propriétaire de données peut activer l’application de la stratégie de données sur une ressource de données, ce qui l’active pour les types de stratégies d’accès suivants :
- Stratégies DevOps
- Stratégies d’accès du propriétaire des données
- Stratégies d’accès en libre-service : stratégies d’accès générées automatiquement par Microsoft Purview après l’approbation d’une demande d’accès en libre-service .
- Stratégies de protection
Pour pouvoir créer une stratégie de données sur une ressource, l’application de la stratégie de données doit d’abord être activée sur cette ressource. Cet article explique comment activer l’application de la stratégie de données sur vos ressources dans Microsoft Purview.
Importante
Étant donné que l’application de la stratégie de données affecte directement l’accès à vos données, elle affecte directement la sécurité de vos données. Passez en revue les considérations supplémentaires et les meilleures pratiques ci-dessous avant d’activer l’application de la stratégie de données dans votre environnement.
Configuration requise
Inscrire la source de données dans Microsoft Purview
Avant de pouvoir créer une stratégie dans Microsoft Purview pour une ressource de données, vous devez inscrire cette ressource de données dans Microsoft Purview Studio. Vous trouverez les instructions relatives à l’inscription de la ressource de données plus loin dans ce guide.
Remarque
Les stratégies Microsoft Purview s’appuient sur le chemin d’accès ARM de la ressource de données. Si une ressource de données est déplacée vers un nouveau groupe de ressources ou un nouvel abonnement, elle doit être désinscrit, puis ré-inscrite dans Microsoft Purview.
Configurer les autorisations pour activer l’application de la stratégie de données sur la source de données
Une fois qu’une ressource est inscrite, mais avant qu’une stratégie puisse être créée dans Microsoft Purview pour cette ressource, vous devez configurer les autorisations. Un ensemble d’autorisations est nécessaire pour activer l’application de la stratégie de données. Cela s’applique aux sources de données, aux groupes de ressources ou aux abonnements. Pour activer l’application de la stratégie de données, vous devez disposer de privilèges IAM (Identity and Access Management) spécifiques sur la ressource, ainsi que des privilèges Microsoft Purview spécifiques :
Vous devez disposer de l’une des combinaisons de rôles IAM suivantes sur le chemin d’accès azure Resource Manager de la ressource ou sur n’importe quel parent de celui-ci (c’est-à-dire, en utilisant l’héritage d’autorisation IAM) :
- Propriétaire IAM
- Contributeur IAM et Administrateur de l’accès utilisateur IAM
Pour configurer les autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure, suivez ce guide. La capture d’écran suivante montre comment accéder à la section Access Control dans la Portail Azure de la ressource de données pour ajouter une attribution de rôle.
Remarque
Le rôle Propriétaire IAM pour une ressource de données peut être hérité d’un groupe de ressources parent, d’un abonnement ou d’un groupe d’administration d’abonnement. Vérifiez quels Microsoft Entra utilisateurs, groupes et principaux de service détiennent ou héritent du rôle Propriétaire IAM pour la ressource.
Vous devez également disposer du rôle d’administrateur de source de données Microsoft Purview pour la collection ou une collection parente (si l’héritage est activé). Pour plus d’informations, consultez le guide sur la gestion des attributions de rôles Microsoft Purview.
La capture d’écran suivante montre comment attribuer le rôle d’administrateur de source de données au niveau de la collection racine.
Configurer des autorisations Microsoft Purview pour créer, mettre à jour ou supprimer des stratégies d’accès
Pour créer, mettre à jour ou supprimer des stratégies, vous devez obtenir le rôle auteur de stratégie dans Microsoft Purview au niveau de la collection racine :
- Le rôle Auteur de stratégie peut créer, mettre à jour et supprimer des stratégies DevOps et Propriétaire des données.
- Le rôle Auteur de stratégie peut supprimer des stratégies d’accès en libre-service.
Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.
Remarque
Le rôle d’auteur de stratégie doit être configuré au niveau de la collection racine.
En outre, pour rechercher facilement Microsoft Entra utilisateurs ou groupes lors de la création ou de la mise à jour de l’objet d’une stratégie, vous pouvez bénéficier grandement de l’obtention de l’autorisation Lecteurs d’annuaire dans Microsoft Entra ID. Il s’agit d’une autorisation courante pour les utilisateurs d’un locataire Azure. Sans l’autorisation Lecteur d’annuaire, l’auteur de la stratégie doit taper le nom d’utilisateur ou l’e-mail complet pour tous les principaux inclus dans l’objet d’une stratégie de données.
Configurer des autorisations Microsoft Purview pour publier des stratégies de propriétaire des données
Les stratégies de propriétaire des données permettent des vérifications et des équilibres si vous attribuez les rôles d’auteur de stratégie Microsoft Purview et d’administrateur de source de données à différentes personnes dans le organization. Avant qu’une stratégie de propriétaire de données ne prenne effet, une deuxième personne (administrateur de source de données) doit l’examiner et l’approuver explicitement en la publiant. Cela ne s’applique pas aux stratégies d’accès DevOps ou libre-service, car la publication est automatique pour ces stratégies lors de la création ou de la mise à jour de ces stratégies.
Pour publier une stratégie de propriétaire de données, vous devez obtenir le rôle Administrateur de source de données dans Microsoft Purview au niveau de la collection racine.
Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.
Remarque
Pour publier des stratégies de propriétaire de données, le rôle d’administrateur de source de données doit être configuré au niveau de la collection racine.
Déléguer la responsabilité du provisionnement de l’accès aux rôles dans Microsoft Purview
Une fois qu’une ressource a été activée pour l’application de la stratégie de données, tout utilisateur Microsoft Purview disposant du rôle d’auteur de stratégie au niveau de la collection racine peut provisionner l’accès à cette source de données à partir de Microsoft Purview.
Remarque
Tout administrateur de collection racine Microsoft Purview peut attribuer de nouveaux utilisateurs aux rôles d’auteur de stratégie racine. Tout administrateur de collection peut affecter de nouveaux utilisateurs à un rôle d’administrateur de source de données sous le regroupement. Réduisez et vérifiez soigneusement les utilisateurs qui détiennent les rôles d’administrateur de collection Microsoft Purview, d’administrateur de source de données ou d’auteur de stratégie .
Si un compte Microsoft Purview avec des stratégies publiées est supprimé, ces stratégies cesseront d’être appliquées dans un délai qui dépend de la source de données spécifique. Cette modification peut avoir des implications sur la sécurité et la disponibilité de l’accès aux données. Les rôles Contributeur et Propriétaire dans IAM peuvent supprimer des comptes Microsoft Purview. Vous pouvez case activée ces autorisations en accédant à la section Contrôle d’accès (IAM) de votre compte Microsoft Purview et en sélectionnant Attributions de rôles. Vous pouvez également utiliser un verrou pour empêcher la suppression du compte Microsoft Purview via des verrous Resource Manager.
Activer l’application de la stratégie de données
Pour activer l’application de la stratégie de données pour une ressource, la ressource doit d’abord être inscrite dans Microsoft Purview. Pour inscrire une ressource, suivez les sections Prérequis et Inscrire des pages sources pour vos ressources.
Une fois que vous avez inscrit votre ressource, suivez les étapes restantes pour activer une ressource individuelle pour l’application de la stratégie de données.
À partir du portail de gouvernance Microsoft Purview classique
Accédez au portail de gouvernance Microsoft Purview classique.
Sélectionnez l’onglet Mappage de données dans le menu de gauche.
Sélectionnez l’onglet Sources dans le menu de gauche.
Sélectionnez la source dans laquelle vous souhaitez activer l’application de la stratégie de données.
En haut de la page source, sélectionnez Modifier la source.
Définissez le bouton bascule Application de la stratégie de données sur Activé, comme illustré dans l’image ci-dessous.
À partir du nouveau portail Microsoft Purview
Accédez au nouveau portail Microsoft Purview.
Sélectionnez l’onglet Data Map dans le menu de gauche.
Sélectionnez l’onglet Sources de données dans le menu de gauche.
Sélectionnez la source dans laquelle vous souhaitez activer l’application de la stratégie de données.
Définissez le bouton bascule Application de la stratégie de donnéessur Activé, comme illustré dans l’image ci-dessous.
Désactiver l’application de la stratégie de données
Pour désactiver l’application de la stratégie de données pour une source, un groupe de ressources ou un abonnement, un utilisateur doit être un propriétaire IAM de ressource ou un administrateur de source de données Microsoft Purview. Une fois que vous disposez de ces autorisations, procédez comme suit :
À partir du portail de gouvernance Microsoft Purview classique
Accédez au portail de gouvernance Microsoft Purview.
Sélectionnez l’onglet Mappage de données dans le menu de gauche.
Sélectionnez l’onglet Sources dans le menu de gauche.
Sélectionnez la source pour laquelle vous souhaitez désactiver l’application de la stratégie de données.
En haut de la page source, sélectionnez Modifier la source.
Définissez le bouton bascule Application de la stratégie de donnéessur Désactivé.
À partir du nouveau portail Microsoft Purview
Accédez au nouveau portail Microsoft Purview.
Sélectionnez l’onglet Mappage de données dans le menu de gauche.
Sélectionnez l’onglet Sources dans le menu de gauche.
Sélectionnez la source pour laquelle vous souhaitez désactiver l’application de la stratégie de données.
Définissez le bouton bascule Application de la stratégie de données sur Désactivé.
Considérations supplémentaires relatives à l’application de la stratégie de données
- Veillez à noter le nom que vous utilisez lors de l’inscription dans Microsoft Purview. Vous en aurez besoin lorsque vous publierez une stratégie. La pratique recommandée consiste à rendre le nom inscrit exactement identique au nom du point de terminaison.
- Pour désactiver une source pour l’application de stratégie de données, vous devez d’abord supprimer toutes les stratégies publiées sur cette source de données.
- Bien que l’utilisateur ait besoin à la fois du propriétaire de la source de données et de l’administrateur de la source de données Microsoft Purview pour activer une source pour l’application de la stratégie de données, tout administrateur de source de données pour la collection peut la désactiver.
- La désactivation de l’application de la stratégie de données pour un abonnement la désactive également pour toutes les ressources inscrites dans cet abonnement.
Avertissement
Problèmes connus liés à l’inscription de la source
- Le déplacement de sources de données vers un autre groupe de ressources ou un autre abonnement n’est pas pris en charge. Si vous le souhaitez, désinscrivez la source de données dans Microsoft Purview avant de la déplacer, puis réinscrivez-la après cela. Notez que les stratégies sont liées au chemin ARM de la source de données. La modification de l’abonnement à la source de données ou du groupe de ressources rend les stratégies inefficaces.
- Une fois qu’un abonnement est désactivé pour l’application de la stratégie de données , toutes les ressources sous-jacentes activées pour l’application de la stratégie de données sont désactivées, ce qui est le bon comportement. Toutefois, les instructions de stratégie basées sur ces ressources seront toujours autorisées après cela.
Meilleures pratiques en matière d’application de la stratégie de données
- Nous encourageons vivement l’inscription de sources de données pour l’application des stratégies de données et la gestion de toutes les stratégies d’accès associées dans un seul compte Microsoft Purview.
- Si vous avez plusieurs comptes Microsoft Purview, sachez que toutes les sources de données appartenant à un abonnement doivent être inscrites pour l’application de la stratégie de données dans un seul compte Microsoft Purview. Ce compte Microsoft Purview peut se trouver dans n’importe quel abonnement du locataire. Le bouton bascule d’application de la stratégie de données devient grisé en cas de configurations non valides. Voici quelques exemples de configurations valides et non valides dans le diagramme ci-dessous :
- Le cas 1 montre une configuration valide où un compte de stockage est inscrit dans un compte Microsoft Purview dans le même abonnement.
- Le cas 2 montre une configuration valide où un compte de stockage est inscrit dans un compte Microsoft Purview dans un autre abonnement.
- Le cas 3 montre une configuration non valide découlant du fait que les comptes de stockage S3SA1 et S3SA2 appartiennent tous deux à l’abonnement 3, mais sont enregistrés sur des comptes Microsoft Purview différents. Dans ce cas, le bouton bascule d’application de la stratégie de données s’active uniquement dans le compte Microsoft Purview qui gagne et inscrit d’abord une source de données dans cet abonnement. Le bouton bascule est alors grisé pour l’autre source de données.
- Si le bouton bascule d’application de la stratégie de données est grisé et ne peut pas être activé, pointez dessus pour connaître d’abord le nom du compte Microsoft Purview qui a inscrit la ressource de données.
Étapes suivantes
- Créer des stratégies de propriétaire de données pour vos ressources
- Activer les stratégies de propriétaire de données Microsoft Purview sur toutes les sources de données d’un abonnement ou d’un groupe de ressources
- Activer les stratégies de propriétaire de données Microsoft Purview sur un compte de stockage Azure