Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Fabric est une plateforme SaaS (Software as a Service) qui permet aux utilisateurs d’obtenir, de créer, de partager et de visualiser des données. En tant que service SaaS, Fabric offre un package de sécurité complet pour toute la plateforme. Pour plus d’informations, consultez Sécurité réseau
Important
Les pipelines de déploiement ne sont actuellement pas pris en charge avec la gestion des accès entrant et sortant de l'espace de travail.
Sécurité au niveau de l’espace de travail
Les espaces de travail représentent la limite de sécurité principale pour les données stockées dans OneLake. Chaque espace de travail représente un domaine ou une zone de projet unique dans lequel les équipes peuvent collaborer sur des données. La sécurité au niveau de l’espace de travail dans Microsoft Fabric offre un contrôle granulaire sur l’accès aux données et la connectivité réseau en permettant aux administrateurs de configurer des protections entrantes et sortantes pour des espaces de travail individuels.
La sécurité au niveau de l’espace de travail se compose de deux fonctionnalités principales.
Protection de l’accès entrant de l’espace de travail : fonctionnalité de sécurité réseau qui utilise des liens privés pour s’assurer que les connexions à un espace de travail proviennent de réseaux sécurisés et approuvés. Les liaisons privées permettent une connectivité sécurisée à Fabric en limitant l’accès à votre locataire ou espace de travail Fabric à partir d’un réseau virtuel Azure et en bloquant tout accès public. Pour plus d’informations, consultez Gérer l’accès administrateur aux paramètres de protection d’accès entrant de l’espace de travail
Protection de l’accès sortant (OAP) de l’espace de travail : permet aux administrateurs de contrôler et de restreindre les connexions sortantes des artefacts d’espace de travail aux ressources externes. Pour la sécurité sortante, Fabric prend en charge la protection d’accès sortant de l’espace de travail. Cette fonctionnalité de sécurité réseau garantit que les connexions en dehors de l’espace de travail passent par une connexion sécurisée entre Fabric et un réseau virtuel. Il empêche les éléments d’établir des connexions non sécurisées à des sources en dehors de la limite de l’espace de travail, sauf si les administrateurs de l’espace de travail l’autorisent. Ce contrôle granulaire permet de restreindre la connectivité sortante pour certains espaces de travail tout en permettant au reste des espaces de travail de rester ouverts. Pour plus d'informations, consultez Protection d'accès sortant de l'Espace de travail (version d'évaluation)
Intégration Git et sécurité réseau
L’intégration git dans Fabric permet à un espace de travail de synchroniser son contenu (comme les notebooks, les dataflows, les rapports Power BI, etc.) avec un dépôt Git externe (GitHub ou Azure DevOps). Étant donné que l’espace de travail doit extraire ou envoyer (push) vers un service Git en dehors de Fabric, il implique une communication sortante.
Accès entrant et intégration Git de l’espace de travail
Lorsque Private Link est activé pour un espace de travail, les utilisateurs doivent se connecter via un réseau virtuel désigné, isolant efficacement l’espace de travail de l’exposition à l’Internet public.
Cette restriction affecte directement l’intégration de Git : les utilisateurs qui tentent d’accéder aux fonctionnalités Git (telles que la synchronisation ou la validation des modifications) doivent le faire à partir du réseau virtuel approuvé. Si un utilisateur tente d’ouvrir le volet Git ou d’effectuer des opérations Git à partir d’un réseau non approuvé, Fabric bloque entièrement l’accès à l’interface utilisateur de l’espace de travail, y compris les fonctionnalités Git. Cette restriction s’applique également aux API Git. Cette application garantit que les actions liées à Git, telles que la connexion à un référentiel ou la création d'une branche, sont effectuées uniquement dans des environnements sécurisés et contrôlés, ce qui réduit le risque de fuite de données par le biais de canaux de contrôle de code source.
L’intégration Git à la protection d’accès entrant est activée par défaut. Il n'y a pas de commutateur à désactiver. La ramification est bloquée.
Accès sortant de l’espace de travail et intégration Git
Par défaut, l’OAP de l’espace de travail bloque complètement l’intégration Git, car le contact avec un point de terminaison Git externe enfreint la règle « aucun trafic sortant ». Pour résoudre cette restriction, Fabric introduit un paramètre de consentement contrôlé par l’administrateur pour Git.
Fonctionnement de l’intégration Git avec OAP
Chaque espace de travail avec OAP activé a un bouton bascule explicite (case à cocher dans les paramètres réseau de l’espace de travail) étiqueté pour autoriser l’intégration Git pour cet espace de travail. Initialement, quand OAP est activé, cette case à cocher est désactivée par défaut, ce qui signifie qu’aucune connectivité Git n’est autorisée. Dans cet état, si un utilisateur ouvre le panneau Git de l’espace de travail dans Fabric, les fonctionnalités Git sont désactivées (grisées) avec une explication indiquant que « L’accès sortant est restreint ».
De même, toute tentative d’appel d’API Git (par exemple, via automation ou PowerShell) pour cet espace de travail échoue tant que Git n’est pas autorisé. Cette protection garantit que, par défaut, un espace de travail sécurisé ne peut pas synchroniser silencieusement son contenu vers un référentiel externe sans que cela ne soit remarqué.
Pour activer l’intégration Git, un administrateur peut accéder aux paramètres de sécurité sortants de l’espace de travail, puis cliquer sur le bouton bascule Autoriser l’intégration Git . (Cette case ne peut être cochée qu'une fois que l'OAP lui-même est activé ; il s'agit d'une sous-option dans les paramètres de sortie.) Cocher l'option Autoriser l'intégration Git revient pour l'administrateur à donner son consentement pour permettre à cet espace de travail de communiquer avec Git.
Note
Le consentement d’intégration Git est par espace de travail.
Une fois activé, Fabric supprime immédiatement les restrictions sur Git pour cet espace de travail : l’interface utilisateur Git devient active et toutes les opérations : la connexion d’un référentiel, la synchronisation (pull/push), la validation des modifications et la gestion des branches sont désormais autorisées pour les utilisateurs de cet espace de travail.
Note
Quand OAP n’est pas activé, le commutateur n’affectera pas l’intégration git et ne pourra pas être activé ou désactivé.
Le tableau suivant résume le fonctionnement de l’intégration git avec OAP.
| État OAP | Autoriser l'activation de l'intégration Git | État d’intégration Git |
|---|---|---|
| Enabled | Off | L’intégration Git ne fonctionnera pas |
| Enabled | Activé | L’intégration Git fonctionnera |
| Disabled | Grisée | Intégration Git non affectée |
Activer l’intégration Git
Pour utiliser la protection d’accès sortant de l’espace de travail et activer l’intégration git, procédez comme suit :
- Se connecter au portail d’infrastructure
- Accédez à votre espace de travail
- En haut à droite, sélectionnez les paramètres de l’espace de travail.
- Sur la droite, cliquez sur Mise en réseau sortante.
- Sous Protection de l’accès sortant (préversion), vérifiez que l’activation de l’intégration Git est activée.
Considérations relatives à l'expansion
La fonctionnalité Branch Out crée un espace de travail à partir de la branche Git actuelle, ou des liens vers un espace de travail existant, et est un cas particulier sous OAP. Lorsque l’intégration Git est autorisée via le consentement de l’administrateur, le branchement est également autorisé. Fabric fournit un avertissement clair dans la fenêtre de dialogue de bifurcation si vous essayez de bifurquer dans un espace de travail où OAP n'est pas activé.
Par exemple, si vous effectuez une branche à partir d’un espace de travail de développement verrouillé pour créer un espace de travail de test, un avertissement indique que le nouvel espace de travail ne dispose pas automatiquement d’une protection sortante.
Note
Les paramètres de l’espace de travail ne sont pas copiés vers d’autres espaces de travail via git ou directement. Cela s’applique au branchement ou aux espaces de travail copiés. L’intégration OAP et Git doit être activée une fois le nouvel espace de travail créé.
Les nouveaux espaces de travail sont par défaut avec OAP désactivé, et l’administrateur doit l’activer manuellement sur le nouvel espace de travail après sa création via l’option de branchement pour maintenir le même niveau de sécurité. Si vous vous connectez à un espace de travail existant, l’avertissement s’affichera si l’espace de travail cible n’est pas protégé par OAP. Cela permet d’empêcher un utilisateur ignorant de transmettre du contenu à un environnement qui sape la sécurité.
Suppression de l’intégration Git à partir d’OAP
Une fois Git autorisé, l’espace de travail fonctionne normalement en ce qui concerne le contrôle de code source. Si à un moment donné, un administrateur décide de désactiver l’intégration Git, il peut cliquer sur le bouton bascule Autoriser l’intégration Git . Fabric coupera ensuite immédiatement la connectivité Git pour cet espace de travail. Toutes les opérations Git suivantes (pull, push, etc.) échouent, et l’interface utilisateur revient à un état désactivé nécessitant une nouvelle approbation.
Pour éviter toute interruption accidentelle, Fabric fournit une confirmation/un avertissement à l’administrateur lors de la désactivation de l’accès Git, expliquant que toute synchronisation Git pour cet espace de travail s’arrête. Il est important de noter que la désactivation de Git ne supprime pas le référentiel ou l’historique, ce qui supprime la connexion du côté espace de travail.
Prise en charge des API REST
Les administrateurs peuvent utiliser des API REST pour interroger par programmation les paramètres réseau des espaces de travail. Ces requêtes peuvent être effectuées pour indiquer si la protection sortante est activée ou si vous souhaitez définir la stratégie de trafic sortant. Cela permet de générer des scripts d’audits : vous pouvez récupérer tous les espaces de travail et vérifier ceux qui ont gitAllowed : true sous OAP. À l’aide de ces API, une équipe de sécurité peut, par exemple, confirmer par nuit qu’aucun espace de travail supplémentaire n’a été autorisé par Git sans approbation. Microsoft a introduit les points de terminaison suivants pour obtenir ou définir la stratégie de trafic sortant Git pour un espace de travail
L’API GET /workspaces/{workspaceId}/gitOutboundPolicy permet aux administrateurs ou aux systèmes d’automatisation de récupérer la stratégie Git sortante actuelle pour un espace de travail spécifique. Cette action est particulièrement utile à des fins d’audit et de conformité, car elle confirme si les opérations Git (telles que la synchronisation, la validation ou la création de branche) sont autorisées selon les paramètres de protection d’accès sortant de l’espace de travail. La vérification de cette stratégie permet aux utilisateurs de s’assurer que seuls les espaces de travail explicitement approuvés sont autorisés à interagir avec des référentiels Git externes, ce qui permet d’éviter l’exfiltration involontaire des données.
L’API SET /workspaces/{workspaceId}/gitOutboundPolicy permet aux administrateurs de configurer par programmation la stratégie de trafic sortant Git pour un espace de travail. Cette configuration comprend l'activation ou la désactivation du consentement qui permet les opérations Git même lorsque DEP est activé. L’automatisation de cette configuration via l’API est bénéfique pour les flux de travail CI/CD, ce qui permet aux espaces de travail sécurisés d’être intégrés dans des pipelines de développement basés sur Git sans intervention manuelle. Il prend également en charge les pratiques d’infrastructure en tant que code, où les stratégies de réseau et d’intégration sont mises en version et déployées en même temps que les configurations d’espace de travail.
Audit et logs
La plateforme Fabric journalise les événements chaque fois qu’une opération est bloquée en raison de la sécurité réseau. Un volume élevé de ces erreurs peut indiquer une configuration incorrecte (une personne oubliée d’activer un paramètre nécessaire) ou une tentative potentielle de contourner la sécurité. Pour plus d’informations, consultez Suivre les activités des utilisateurs dans Microsoft Fabric
Limitations et considérations
Voici des informations que vous devez garder à l’esprit lors de l’utilisation d’OAP et de l’intégration Git.
- Tous les éléments ne prennent pas en charge la protection d’accès entrant et sortant. La synchronisation d’éléments non pris en charge dans l’espace de travail à partir de l’intégration git échoue. Pour obtenir la liste des éléments pris en charge, consultez les éléments pris en charge par liaison privée et les éléments pris en charge pour la protection d’accès sortant.
- Les pipelines de déploiement ne sont actuellement pas pris en charge avec la protection d’accès entrant de l’espace de travail.
- Si l'espace de travail fait partie des Pipelines de Déploiement, les administrateurs d'espace de travail ne peuvent pas activer la protection d'accès sortant, car les Pipelines de Déploiement ne sont pas supportés. De même, si la protection d’accès sortant est activée, l’espace de travail ne peut pas être ajouté aux pipelines de déploiement.
Pour plus d’informations, consultez OAP et considérations relatives à l’espace de travail