Qu'est-ce que Microsoft Entra et quel est son lien avec Power BI ?

Microsoft Entra (anciennement Azure Active Directory) est la solution de gestion des identités et des accès de Microsoft. Power BI s'appuie dessus pour l'authentification des utilisateurs et la gestion des permissions sur les rapports et workspaces.

Comment Microsoft Entra contrôle-t-il l'accès à Power BI ?

Via les groupes de sécurité Entra, il est possible de définir qui accède à quels workspaces et rapports Power BI sans gérer les droits manuellement utilisateur par utilisateur. Cela simplifie la gouvernance à grande échelle.

Peut-on connecter Power BI à un annuaire Active Directory on-premise ?

Oui, via la synchronisation entre Active Directory on-premise et Microsoft Entra ID grâce à l'outil Microsoft Entra Connect (anciennement AAD Connect). Les utilisateurs peuvent ainsi se connecter à Power BI avec leurs identifiants d'entreprise.

Entra ID est-il nécessaire pour utiliser Power BI ?

Oui, Power BI Service nécessite obligatoirement un compte Microsoft 365 / Entra ID pour fonctionner. Il est impossible d'utiliser Power BI cloud sans une identité Microsoft gérée par Entra.

Microsoft Entra et Power BI : comment contrôler le locataire ?

1 - Qu'est-ce qu'un compte Microsoft Entra ID et comment ça marche ?

La correcte gouvernance des données et leur sécurité commencent par la gestion des utilisateurs et de leur niveau d’accès. Chez Microsoft, pour toutes les applications, y compris Power BI, la gestion des données de l’utilisation, la délivrance d’un token, etc., se passent dans Microsoft Entra.

Microsoft Entra, autrefois Azure AD : définition

Ce terme Microsoft Entra est un service ou centre d’administration afin de gérer les identités et les accès. C’est le système pour configurer tout ce qui doit conduire à la meilleure sécurité des données.

Microsoft parle de stratégie Confiance Zéro et d‘infrastructure de confiance. C’est là que l’administrateur contrôle les identités des utilisateurs lors de leur connexion. Il y vérifie les autorisations en fonction des rôles, trace et surveille les actions, etc.

Notez qu’avant de porter le nom de Microsoft Entra ID, cette fonctionnalité IAM (Identity and Access Management) s’appelait Azure AD (Active Directory).

Qu’est-ce que l’identifiant (ID) dans Microsoft Entra ?

Le terme Microsoft Entra ID correspond à un service de Microsoft pour gérer les ID, soit les identités, ainsi que tous les accès informatiques des utilisateurs à des ressources.

Ces ressources sont :

internes à l’organisation, qu’elles soient situées sur l’intranet ou hébergées par l’entreprise sur le Cloud ;
externes, qu’il s’agisse de données sur le portail Azure, sur Microsoft 365 ou sur des applications SaaS.

2 - Qu’est-ce qu’un tenant ou locataire ?

Ces termes se rencontrent dès lors que vous souhaitez accéder à un service proposé par Microsoft.

Qu’est-ce que le tenant ou locataire en général chez Microsoft ?

Le mot locataire ou sa version anglaise de tenant se rencontre indifféremment chez Microsoft. Ce terme signifie aussi tout simplement « client » au sens où il a accès à différents services. Citons des services comme :

Entra ID pour la gestion des utilisateurs ;
Azure SQL pour les gestions de bases de données SQL Server Cloud ;
Azure App Service, afin d’héberger des sites web ;
Power BI, pour de l’analyse.

Qu’est-ce qu’un tenant ou locataire Microsoft Entra ?

Voici la définition exacte que donne le site learn.microsoft : « le locataire Microsoft Entra est une limite de sécurité d’identité qui est sous le contrôle du service informatique de votre organisation ».

Le site précise que, dans cette limite de sécurité, les administrateurs informatiques contrôlent l’administration des objets (dont les utilisateurs). Ils gèrent aussi la configuration des paramètres à l’échelle du locataire.

Que comporte donc un locataire ou tenant Microsoft Entra ?

Microsoft Entra ID comprend :

un répertoire, le « directory » qui contient toutes les identités, tant des utilisateurs que des applications informatiques ;
la configuration des droits et des dispositions pour assurer la sécurité des données ;
des services fournis par Microsoft, comme office 365 ;
des applications externes.

locataire Microsoft Entra

Source : learn.microsoft.com, article sur la présentation des locataires Microsoft Entra.

Pourquoi créer un locataire Microsoft Entra pour bâtir une application qui fait appel à des API REST Power BI ?

Le mot API signifie Interface de Programmation d’Application. C’est un outil de connexion simple et automatisé entre deux applications. L’acronyme REST veut dire Representational State Transfer. L’API REST offre la possibilité d’accéder à des données dans diverses applications en réalisant une requête. Ainsi, les API REST Power BI sont des connecteurs qui procurent des « points de terminaison de service » pour incorporer, administrer et gouverner des jeux de données.

L’utilisation de ces API REST pour Power BI exige la création d’un locataire Microsoft Entra. Avec un tel tenant, vous pouvez ensuite définir une application et lui donner l’autorisation de faire appel à des API REST Power BI. Si votre entreprise ne dispose pas déjà d’un locataire, vous devez le créer avant d’intégrer Power BI dans une application.

Quels sont les aspects du paramétrage du locataire à réaliser dans Power BI Service ?

L’utilisateur qui doit gérer ses propres licences Power BI doit également réaliser divers paramétrages du locataire dans Power BI Service. Voici concrètement les points à passer en revue.

Sécurité des données

Gérer le modèle sémantique, soit restreindre l’accès aux données sensibles via la sécurité au niveau des lignes (RLS). C’est la garantie que chaque utilisateur voit uniquement les données qui lui sont destinées.
Gérer le partage externe, c’est-à-dire autoriser ou non le partage des rapports avec des utilisateurs externes (invités) et configurer les options de partage sécurisé.

Partage des données

Définir les formats d’exportation autorisés (Excel, CSV, PDF, PBIX, etc.), voire restreindre l’export selon les exigences réglementaires.
Utiliser les journaux d’activité Power BI pour surveiller les exportations de données et détecter d’éventuels usages abusifs.

Contrôle des fonctionnalités

Définir les droits d’utilisation pour les passerelles de données (personnelles ou d’entreprise).
Contrôler l’utilisation des principaux de service (méthode d’authentification) pour les intégrations automatisées ou via des API.
Gérer la création de contenu (rapports et tableaux de bord), soit définir qui peut créer, publier ou modifier du contenu dans l’espace de travail Power BI.

Recommandations pratiques à avoir en tête

Vérifier régulièrement les paramètres du locataire dans le portail d’administration Power BI pour s’assurer qu’ils sont alignés avec les politiques de sécurité et de conformité de l’organisation.
Publier une documentation claire sur les responsabilités des utilisateurs en matière de gestion et de sécurisation des données.
S’assurer que les utilisateurs comprennent les limites et possibilités offertes par les paramètres choisis (par exemple, restrictions d’export ou de partage).

3 - Contrôle du locataire : les points de vigilance dans Power BI Service et dans Microsoft Entra

La création d’un tenant ou locataire reste un domaine plutôt complexe. Elle peut comporter des écueils pour les personnes non habituées et formées à ce travail de paramétrage des comptes, tant dans Microsoft Entra ID que dans Power BI Service.

#1 - Prendre garde à bien configurer les paramètres du tenant

Une configuration inappropriée du système d’authentification et des niveaux d’accès aux ressources peut fragiliser la gouvernance des données traitées avec Power BI. Voici ce qui peut arriver avec un mauvais paramétrage du tenant, principalement dans Power BI Service :

Accès accordé à des employés non autorisés ou partage trop important d’informations sensibles, avec un risque de fuite de données et un non-respect de la confidentialité.
Configuration de la possibilité par défaut de partager des données en externe ou de les exporter, ce qui peut enfreindre les règles de conformité, comme le RGPD.

Sur ce plan, le risque d’erreur dans Microsoft Entra se limite à l’attribution à tort d’un rôle d’administrateur à un utilisateur. En revanche, dans Power BI Service, le risque est plus important, y compris pour des utilisateurs sans rôle étendu. Ils peuvent, par exemple, diffuser largement des rapports avec un simple lien public ou organisationnel.

#2 - Éviter les risques d’accès aux données pour des utilisateurs externes

Le locataire Microsoft Entra comme Power BI Service permet aux entreprises d’ajouter des utilisateurs externes ou invités. Toutefois, ce type de fonctionnalités demande de la vigilance. Il produit parfois des conséquences négatives et involontaires, en cas de méconnaissance des processus. Imaginez une société de conseil ou un cabinet d’expertise comptable qui fournit des tableaux de bord financiers sous Power BI à ses clients. Mal gérer les partages et accès de données à chaque utilisateur de ces entreprises peut avoir des conséquences dommageables.

#3 - Superviser et auditer les accès et les incidents en matière de sécurité des données

Mettre sous contrôle les activités c’est aussi quelque chose que les non-initiés ne savent pas toujours réaliser au niveau du locataire Microsoft Entra ID. Pourtant, c’est essentiel de surveiller les téléchargements massifs ou les modifications du paramétrage du tenant par exemple. Ces actions suspectes peuvent d’ailleurs s’avérer malveillantes. Elles constituent un danger pour la sécurité des données. Par ailleurs, si vous omettez la mise en place de journaux d’audit détaillés, vous éprouvez des difficultés à analyser et comprendre la raison des incidents.

#4 - Respecter la réglementation sur la protection des données, notamment le RGPD

La correcte protection des données s’avère indispensable pour éviter des sanctions, qu’elles soient financières ou non. La conformité avec le RGPD dans l’Union européenne ou le CCPA (California Consumer privacy Act) fait partie des points d’attention dans Microsoft Entra.

C’est un domaine sur lequel, chez Drivn, nous ne tergiversons pas. Nous avons déployé des solutions au sein de notre SaaS Power BI pour respecter le RGPD avec nos clients. Ainsi, ils évitent le partage de données personnelles dans des emplacements non sécurisés, ce qui pourrait représenter une violation potentielle à la réglementation.

#5 - Sécuriser l’accès au tenant Power BI pour limiter les risques d’intrusion

Parfois, la mise en place des identités et de leur authentification, ainsi que toute la gestion des accès Power BI laissent à désirer. Les entreprises peuvent alors rencontrer des sessions utilisateurs à risque. Ainsi, des connexions s’établissent en provenance de zones géographiques peu habituelles et avec des appareils non sécurisés, afin d’accéder au tenant Power BI. Ceci accroît clairement les risques d’intrusion. Vous devez configurer l’attribution des licences Power BI Pro à des utilisateurs ou groupes d’utilisateurs dans Microsoft Entra ID ou dans l’admin Office 365.

Votre activité consiste à partager des accès et des informations financières ou opérationnelles pour de multiples entreprises ? Alors, rationaliser le processus s’avère crucial pour gagner du temps et sécuriser le service. La gestion des utilisateurs peut vite devenir un enfer si vous n’adoptez pas les meilleurs outils de Microsoft pour cela.

Comment Drivn vous simplifie le contrôle du locataire Microsoft Entra ID ?

Chez Drivn, nous avons bâti notre plateforme BI self-service en mode SaaS avec la licence Power BI Embedded. Nous embarquons ainsi Power BI dans notre application maison, grâce à des API REST. Nous y avons ajouté notre propre intelligence artificielle, utile par exemple pour analyser les informations d’un compte de résultat avec l’IA.

Avec Drivn, les utilisateurs :

évitent la gestion des licences Power BI ;
se simplifient la gestion des utilisateurs ;
bénéficient d’une meilleure expérience utilisateur (UX) comparativement au couple Entra ID et Power BI Services.

Drivn correspond pour vos administrateurs informatiques à une utilisation de Power BI structurée et organisée, avec un contrôle professionnel de chaque locataire. Pour échanger sur notre solution BI qui simplifie la gestion des utilisateurs, prenez rendez-vous avec Adrian Rodriguez pour une démo gratuite.