Ensure Service Principals cannot create and use profiles
De ce este important
Profilurile service principal permit implementări multi-tenant, dar, dacă sunt configurate greșit, pot expune datele clienților către aplicații neautorizate. Fără restricții, orice service principal din entitatea dvs. ar putea crea profiluri care ocolesc granițele de securitate existente, încălcând principiul privilegiilor minime. Administratorii trebuie să controleze care service principal au această capacitate pentru a preveni potențiala scurgere de date între entități.
Ce verifică Aether365
Aether365 verifică dacă setarea "Allow service principals to create and use profiles" este dezactivată sau activată doar pentru un grup de securitate definit. Această verificare apare în tabloul de bord Aether365 la secțiunea de conformitate Microsoft 365.
Cum se remediază
- Deschideți portalul de administrare Microsoft Fabric la adresa https://app.powerbi.com/admin-portal.
- Selectați Tenant settings din navigarea din stânga.
- Derulați în jos până la secțiunea Developer settings.
- Localizați "Allow service principals to create and use profiles" și setați-l la una dintre aceste opțiuni:
- Disabled (recomandat dacă funcția nu este utilizată activ)
- Enabled with specific security groups selected and defined (dacă funcția este necesară pentru anumite aplicații)
Conformitate
- CIS Microsoft 365 Foundations Benchmark 5.0.0, Control 9.1.11 (E3 Level 1)
- EIDSCA (Enterprise ID Security Compliance Assessment)