Ensure Service Principals cannot create and use profiles
Dlaczego To Jest Ważne
Profile jednostek usług (service principal profiles) umożliwiają wdrożenia wielodostępne, ale niewłaściwie skonfigurowane mogą udostępniać dane klientów nieautoryzowanym aplikacjom. Bez ograniczeń każda jednostka usługi w Twojej dzierżawie mogłaby tworzyć profile, które omijają istniejące granice zabezpieczeń, naruszając zasadę najmniejszych uprawnień. Administratorzy muszą kontrolować, które jednostki usług mają tę możliwość, aby zapobiec potencjalnemu wyciekowi danych między dzierżawami.
Co Sprawdza Aether365
Aether365 weryfikuje, czy ustawienie "Allow service principals to create and use profiles" jest wyłączone lub włączone tylko dla zdefiniowanej grupy zabezpieczeń. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w sekcji zgodności Microsoft 365.
Jak Naprawić
- Otwórz portal administracyjny Microsoft Fabric pod adresem https://app.powerbi.com/admin-portal.
- Wybierz opcję Tenant settings z lewego panelu nawigacyjnego.
- Przewiń w dół do sekcji Developer settings.
- Znajdź opcję "Allow service principals to create and use profiles" i ustaw jedną z następujących wartości:
- Disabled (zalecane, jeśli funkcja nie jest aktywnie używana)
- Enabled with specific security groups selected and defined (jeśli funkcja jest wymagana dla określonych aplikacji)
Zgodność
- CIS Microsoft 365 Foundations Benchmark 5.0.0, Kontrola 9.1.11 (E3 Poziom 1)
- EIDSCA (Enterprise ID Security Compliance Assessment)
Powiązane Zasoby
- Portal administracyjny Microsoft Fabric - Developer settings
- Osadzanie aplikacji wielodostępnych z Power BI