Ensure Service Principals cannot create and use profiles
Γιατί έχει σημασία
Τα προφίλ αρχών υπηρεσίας (service principal profiles) επιτρέπουν αναπτύξεις πολλαπλών μισθωτών, αλλά μπορούν να εκθέσουν δεδομένα πελατών σε μη εξουσιοδοτημένες εφαρμογές εάν δεν έχουν ρυθμιστεί σωστά. Χωρίς περιορισμούς, οποιαδήποτε αρχή υπηρεσίας στον μισθωτή σας θα μπορούσε να δημιουργήσει προφίλ που παρακάμπτουν τα υπάρχοντα όρια ασφαλείας, παραβιάζοντας την αρχή των ελάχιστων προνομίων. Οι διαχειριστές πρέπει να ελέγχουν ποιες αρχές υπηρεσίας έχουν αυτή τη δυνατότητα για να αποτρέψουν πιθανή διαρροή δεδομένων μεταξύ μισθωτών.
Τι ελέγχει το Aether365
Το Aether365 επαληθεύει ότι η ρύθμιση "Allow service principals to create and use profiles" είναι είτε απενεργοποιημένη είτε ενεργοποιημένη μόνο για μια καθορισμένη ομάδα ασφαλείας. Αυτός ο έλεγχος εμφανίζεται στον πίνακα ελέγχου του Aether365 στην ενότητα συμμόρφωσης Microsoft 365.
Πώς να το διορθώσετε
- Ανοίξτε την πύλη διαχείρισης Microsoft Fabric στη διεύθυνση https://app.powerbi.com/admin-portal.
- Επιλέξτε Tenant settings από την αριστερή πλοήγηση.
- Μετακινηθείτε προς τα κάτω στην ενότητα Developer settings.
- Εντοπίστε την επιλογή "Allow service principals to create and use profiles" και ορίστε την σε μία από τις παρακάτω επιλογές:
- Disabled (συνιστάται εάν η δυνατότητα δεν χρησιμοποιείται ενεργά)
- Enabled with specific security groups selected and defined (εάν η δυνατότητα είναι απαραίτητη για συγκεκριμένες εφαρμογές)
Συμμόρφωση
- CIS Microsoft 365 Foundations Benchmark 5.0.0, Control 9.1.11 (E3 Level 1)
- EIDSCA (Enterprise ID Security Compliance Assessment)