Ensure Service Principals cannot create and use profiles
Perche' Questo e' Importante
I profili dei service principal consentono deployment multi-tenant, ma se configurati in modo errato possono esporre i dati dei clienti ad applicazioni non autorizzate. Senza restrizioni, qualsiasi service principal nel tenant potrebbe creare profili che aggirano i confini di sicurezza esistenti, violando il principio del privilegio minimo. Gli amministratori devono controllare quali service principal hanno questa capacita' per prevenire potenziali fughe di dati tra tenant.
Cosa Controlla Aether365
Aether365 verifica che l'impostazione "Allow service principals to create and use profiles" sia disabilitata o abilitata solo per un gruppo di sicurezza definito. Questo controllo appare nella dashboard di Aether365 sotto la sezione conformita' Microsoft 365.
Come Risolvere
- Aprire il portale di amministrazione Microsoft Fabric all'indirizzo https://app.powerbi.com/admin-portal.
- Selezionare "Tenant settings" dalla navigazione a sinistra.
- Scorrere fino alla sezione "Developer settings".
- Individuare "Allow service principals to create and use profiles" e impostarlo su una di queste opzioni:
- Disabled (consigliato se la funzionalita' non e' attivamente utilizzata)
- Enabled with specific security groups selected and defined (se la funzionalita' e' necessaria per determinate applicazioni)
Conformita'
- CIS Microsoft 365 Foundations Benchmark 5.0.0, Control 9.1.11 (E3 Level 1)
- EIDSCA (Enterprise ID Security Compliance Assessment)