Ensure Service Principals cannot create and use profiles
Proč na tom záleží
Profily instančních objektů služby (service principal profiles) umožňují nasazení v multitenantním prostředí, ale pokud jsou nesprávně nakonfigurovány, mohou vystavit zákaznická data neoprávněným aplikacím. Bez omezení by jakýkoli instanční objekt služby ve vašem tenantovi mohl vytvářet profily, které obcházejí stávající bezpečnostní hranice, čímž by porušoval princip nejnižších oprávnění. Správci musí kontrolovat, které instanční objekty služby mají tuto schopnost, aby zabránili možnému úniku dat mezi tenanty.
Co Aether365 kontroluje
Aether365 ověřuje, zda je nastavení "Allow service principals to create and use profiles" buď zakázáno, nebo povoleno pouze pro definovanou bezpečnostní skupinu. Tato kontrola se zobrazí ve vašem dashboardu Aether365 v sekci dodržování předpisů pro Microsoft 365.
Jak opravit
- Otevřete portál pro správu služby Microsoft Fabric na adrese https://app.powerbi.com/admin-portal.
- V levém navigačním panelu vyberte Tenant settings.
- Přejděte dolů do sekce Developer settings.
- Najděte "Allow service principals to create and use profiles" a nastavte jej na jednu z těchto možností:
- Disabled (doporučeno, pokud funkce není aktivně využívána)
- Enabled with specific security groups selected and defined (pokud je funkce vyžadována pro určité aplikace)
Dodržování předpisů
- CIS Microsoft 365 Foundations Benchmark 5.0.0, Control 9.1.11 (E3 Level 1)
- EIDSCA (Enterprise ID Security Compliance Assessment)
Související zdroje
- Portál pro správu služby Microsoft Fabric - Developer settings
- Vkládání víceklientských aplikací pomocí Power BI