1 - Comment fonctionne la gestion des utilisateurs dans Power BI ?

Que vous soyez expert-comptable ou prestataire de services autour de reportings Power BI, vous devez gérer des groupes d’utilisateurs et des administrateurs. La gouvernance et l’administration de Power BI s’effectuent à plusieurs endroits, à commencer par Microsoft 365 et Power BI. Faisons le point !

Les aspects utilisateurs de Power BI gérés dans le Centre d’administration Microsoft 365

Le Centre d’administration Microsoft 365 sert aux tâches classiques liées au paramétrage de la facturation, des abonnements et des rapports d’activité. C’est aussi là que vous devez définir la gestion des utilisateurs ou des groupes, soit leur création, leur suppression et leur attribution de licences. D’ailleurs, l’onglet « utilisateurs » dans le portail administrateur de Power BI Fabric renvoie directement vers ce centre.

Gestion des rôles des utilisateurs dans les espaces de travail Power BI

Le fonctionnement de base de Power BI consiste à créer des espaces de travail pour organiser les droits des utilisateurs et le mode de collaboration entre eux. Ceci signifie octroyer un rôle à un utilisateur. Vous pouvez l’effectuer de différentes manières :

Ainsi, vous choisissez pour chaque espace de travail principalement entre 4 rôles :

Notez que tous ces rôles, sauf celui de lecteur, exigent une licence Power BI Pro ou PPU (Premium par utilisateur).

Gestion des accès aux datasets dans Power BI Service

Vous avez aussi la possibilité dans Power BI Service de définir des autorisations d’accès, directement au niveau des datasets, indépendamment des droits prévus pour l’espace de travail.

💡Pour mémoire, Microsoft a modifié le terme français pour traduire ce type de contenu Power BI, le dataset. Désormais, c’est un modèle sémantique et non plus un jeu de données.

En tant que gestionnaire des utilisateurs, vous pouvez définir vos propres niveaux d’autorisation dans chaque dataset Power BI (accorder, retirer, modifier les accès d’un utilisateur ou d’un groupe). Vous pouvez descendre finement dans le paramétrage des droits, par exemple, pour créer des rapports dans le modèle sémantique en question.

Notez que ces autorisations gérées au niveau du modèle sémantique donnent la possibilité à un utilisateur de créer ses propres rapports. Il se connecte pour cela à ce dataset auquel il a accès, même s’il n’est pas membre de l’espace de travail à l’origine. 

Cette fonctionnalité s’avère particulièrement pratique pour un dataset qui est partagé entre diverses équipes de l’entreprise ou divers espaces de travail. Vous évitez ainsi la démultiplication inutile des modèles et favorisez la collaboration inter-équipes. Ainsi, tous disposent de la même donnée, ce qui évite les incohérences pour un même indicateur utilisé par différents services.

Notez également la possibilité de gérer les autorisations pour les datasets, directement via l’API REST Power BI. Ceci facilite l’automatisation de la gestion des droits d’accès.

Administration des utilisateurs invités Microsoft Entra B2B

Ce type d’utilisateur peut disposer d’un rôle défini dans l’espace de travail, avec des autorisations associées. Ceci fonctionne, même si vous avez paramétré des restrictions au niveau du locataire Microsoft Entra.

Autres informations à connaître pour la gestion des accès et la sécurité

En tant qu’administrateur des droits et accès à un dataset, vous disposez d’une page de gestion des autorisations pour tout visualiser et modifier. Vous pouvez aussi octroyer les autorisations via une application Power BI. Ceci se gère directement dans l’application.

Notez que le fait de supprimer un utilisateur dans Microsoft Entra ID, anciennement Azure ID, ne signifie pas que l’accès aux espaces de travail Power BI est automatique. Vous devez aussi l’effectuer dans chaque espace de travail.

Enfin, vous pouvez restreindre les accès aux données, en fonction des profils des utilisateurs, grâce au système RLS, la sécurité au niveau des lignes dans Power BI.

2- Quelle partie de la gestion des utilisateurs s’effectue dans Microsoft Entra ?

Comme expliqué dans l’article sur Microsoft Entra et Power BI, le contrôle du locataire s’effectue dans les deux endroits. Voici les aspects de la gestion des utilisateurs qui s’effectuent du côté du centre d’administration de Microsoft, soit Entra ID

La gestion des identités et des groupes dans le centre d’administration de Microsoft

C’est dans Entra ID que se concentre toute la gestion des identités, quels que soient les services Microsoft Cloud y compris Power BI. C’est là que se créent et se gèrent les utilisateurs et les groupes d’utilisateurs, qu’ils soient internes ou invités. Ensuite, dans Power BI, vous leur attribuez des droits.

Cycle de vie de l'utilisateur et sécurité

En plus de la création, suppression ou modification des utilisateurs dans Microsoft Entra, vous leur attribuez un rôle. Ceci se réalise indépendamment de la configuration choisie dans les espaces de travail Power BI. Il s’agit ici de rôles en matière de droits d’administration pour les ressources cloud.

Le paramétrage des groupes d’utilisateurs dans le centre d’administration de Microsoft simplifie la gestion des droits d’accès. C’est encore plus vrai quand ils évoluent. C’est important pour la sécurité des données dans Power BI et dans les rapports émis.

En synthèse, une complémentarité de Power BI et d’Entra ID pour gérer les utilisateurs

 Vous percevez à la fois la complémentarité, la profondeur et parfois la complexité de l’administration des utilisateurs, tant dans Microsoft Entra que dans Power BI. Pour résumer :

3 - Quelques bonnes pratiques pour une utilisation Power BI sécurisée

Connaître toutes ces règles en matière d’organisation des rôles et droits d’accès, c’est bien. Prenez aussi en compte ces quelques informations ou recommandations supplémentaires. Vous rendrez votre gestion des utilisateurs Power BI plus efficace.

Utilisation de groupes pour simplifier la sécurité et la confidentialité

Sélectionnez bien les personnes de l’équipe à inclure dans un groupe d’utilisateurs pour Power BI. Ce système facilite la centralisation des permissions accordées. Il simplifie aussi la mise en œuvre ou la modification des droits du groupe.

En outre, la mise en place de règles de sécurité au niveau des lignes (RLS ou Row-Level-Security) sert à restreindre les accès pour différentes données. Vous limitez la visibilité des informations confidentielles à certains utilisateurs, selon leur rôle ou leur identifiant. C’est très utile, par exemple pour des tableaux de bord commerciaux par région ou par vendeur.

Sécurisation du partage pour Power BI

Prenez garde aux accès lors du partage de données avec l’équipe, voire avec des personnes externes à votre organisation. Évitez de partager directement la data avec les autres. Donnez plutôt l’accès à chaque rapport au sein des applications Power BI ou par des groupes de sécurité, plus faciles à administrer. 

Pensez aussi à désactiver les options de partage externe qui existent par défaut. Enfin, réduisez l’accès public uniquement à des utilisateurs que vous avez approuvés.

Organisation de l’outboarding de l'utilisateur

Le paramétrage des utilisateurs Power BI est important à l’arrivée de toute personne, lors de la création de son identité. Mais, c’est aussi lors de son départ que l’administrateur doit prendre garde à bien mettre à jour les informations. Ainsi, pensez à supprimer les accès aux espaces de travail Power BI, et non pas seulement à Microsoft Entra.

Par exemple, les passerelles de données (gateway), restent dans Power BI Services, même après la suppression de leur propriétaire dans Entra ID. Vous devez donc intervenir manuellement dans la page de gestion de ces passerelles pour les enlever.

Déploiement d’outils de surveillance et d’audit

La gestion des utilisateurs et de la sécurité autour de ces personnes passe aussi par la surveillance avec des outils d’audit. Power BI vous donne la possibilité d’activer des journaux d’audit pour analyser les activités de chaque utilisateur (accès, partage des informations et modifications). Le centre de conformité Microsoft 365 permet, lui, d’identifier des anomalies et de les corriger.

4 - Drivn : le SaaS qui vous simplifie l’administration de Power BI et des accès

Drivn est une solution en ligne pour la business intelligence. C’est un SaaS Power BI spécialement conçu pour divers types d’entreprises :

  • Les plus petites y trouvent une réelle alternative à Excel. C’est la facilité à bâtir et consulter leurs tableaux de bord sans formation Power BI.
  • Les structures les plus importantes, experts-comptables comme sociétés de conseil, traitent les données de nombreux clients. Elles accèdent avec Drivn à l’industrialisation de leurs processus. Elles bénéficient d’une gouvernance des données simple et sûre.

Drivn fonctionne sur le principe de la licence Power BI Embedded. C’est l’alternative crédible, abordable et sécurisée à Power BI Service. Plateforme disponible en marque blanche pour vos propres clients, elle sécurise le partage de rapports avec vos utilisateurs internes comme externes.

La gestion des droits d’accès est intégrée à la plateforme. Nous l’avons pensée pour vos métiers. Ainsi, chaque client ou collaborateur de votre organisation voit ou manipule seulement la data qui le concerne. Vous n’avez pas à gérer manuellement les rôles, groupes ou permissions. C’est vrai tant pour Power BI Service que pour Microsoft Centra ID (ex-Azure ID).

Avec une réduction du coût des licences Power BI Pro, le SaaS Drivn simplifie la gestion de vos utilisateurs. Pour des structures qui doivent administrer des centaines de personnes en matière d’accès et de rôles, c’est une solution qui soulage le travail d’administration et de surveillance. Concentrez-vous sur la mise à disposition de rapports Power BI pour vos clients. Nous prenons en charge le reste. Pour échanger avec le fondateur de Drivn sur vos besoins du type SaaS Power BI, inscrivez-vous ici pour une démo personnalisée.