Ensure Service Principals cannot create and use profiles
Warum dies wichtig ist
Service Principal-Profile ermöglichen Multi-Tenant-Bereitstellungen, können jedoch bei Fehlkonfiguration Kundendaten für nicht autorisierte Anwendungen freigeben. Ohne Einschränkungen könnten Service Principals in Ihrem Mandanten Profile erstellen, die bestehende Sicherheitsgrenzen umgehen und damit das Prinzip der geringsten Privilegien verletzen. Administratoren müssen kontrollieren, welche Service Principals diese Fähigkeit besitzen, um potenzielle Datenlecks zwischen Mandanten zu verhindern.
Was Aether365 prüft
Aether365 überprüft, ob die Einstellung "Allow service principals to create and use profiles" entweder deaktiviert oder nur für eine definierte Sicherheitsgruppe aktiviert ist. Diese Prüfung wird in Ihrem Aether365-Dashboard im Bereich "Microsoft 365 compliance" angezeigt.
So beheben Sie das Problem
- Öffnen Sie das Microsoft Fabric admin portal unter https://app.powerbi.com/admin-portal.
- Wählen Sie "Tenant settings" aus der linken Navigation aus.
- Scrollen Sie zum Abschnitt "Developer settings" nach unten.
- Suchen Sie "Allow service principals to create and use profiles" und legen Sie eine der folgenden Optionen fest:
- Disabled (empfohlen, wenn die Funktion nicht aktiv genutzt wird)
- Enabled with specific security groups selected and defined (wenn die Funktion für bestimmte Anwendungen erforderlich ist)
Compliance
- CIS Microsoft 365 Foundations Benchmark 5.0.0, Kontrolle 9.1.11 (E3 Level 1)
- EIDSCA (Enterprise ID Security Compliance Assessment)