Ensure Service Principals cannot create and use profiles
Prečo je to dôležité
Profily service principal umožňujú nasadenie v multi-tenant prostredí, no pri nesprávnej konfigurácii môžu vystaviť údaje zákazníkov neoprávneným aplikáciám. Bez obmedzení by akýkoľvek service principal vo vašom tenante mohol vytvárať profily, ktoré obchádzajú existujúce bezpečnostné hranice, čím by porušovali princíp najnižších oprávnení. Správcovia musia kontrolovať, ktoré service principal majú túto schopnosť, aby zabránili potenciálnemu úniku údajov medzi tenantmi.
Čo kontroluje Aether365
Aether365 overuje, či je nastavenie "Allow service principals to create and use profiles" vypnuté, alebo zapnuté len pre definovanú bezpečnostnú skupinu. Táto kontrola sa zobrazuje na paneli Aether365 v sekcii zhody s Microsoft 365.
Ako to opraviť
- Otvorte portál Microsoft Fabric admin na adrese https://app.powerbi.com/admin-portal.
- V ľavom navigačnom paneli vyberte Tenant settings.
- Posuňte sa nadol do sekcie Developer settings.
- Nájdite "Allow service principals to create and use profiles" a nastavte ho na jednu z týchto možností:
- Disabled (odporúča sa, ak funkcia nie je aktívne používaná)
- Enabled with specific security groups selected and defined (ak je funkcia potrebná pre určité aplikácie)
Súlad s normami
- CIS Microsoft 365 Foundations Benchmark 5.0.0, Control 9.1.11 (E3 Level 1)
- EIDSCA (Enterprise ID Security Compliance Assessment)