Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.
Ctrlk

Einschränkung des RealmJoin-Portals

Verwendung von Administrative Units mit RealmJoin

RealmJoin Portal unterstützt Microsoft Entra ID Administrative Units (AU).

Administrative Einheit für eingeschränkte Verwaltung

Um einige sensible Gruppen vor RealmJoin zu verbergen/zu schützen, können Sie eine Administrative Einheit für eingeschränkte Verwaltung in Microsoft Entra ID. Nach dem Erstellen dieser eingeschränkten AU können Sie sensible Gruppen dieser AU zuweisen und diese Gruppen vor RealmJoin Portal (und allen, die das RealmJoin Portal verwenden) „verbergen“. Dies ist eine gute Idee für hochsensible Gruppen die Sie schützen möchten, z. B. Gruppen, die zum Vergeben von Berechtigungen/Rollen verwendet werden, oder um Benutzer von bestimmten Conditional Access-Richtlinien usw. auszuschließen. Benutzer und Anwendungen müssen ausdrücklich gewährt/hinzugefügt werden zum Geltungsbereich der AU hinzugefügt werden, um mit Gruppen interagieren zu können, die durch die eingeschränkte Verwaltungs-AU „geschützt“ sind.

Um administrative Einheiten für eingeschränkte Verwaltung zu verwenden, gibt es keine Einstellungen in RealmJoin erforderlich.

  • Weitere Informationen zu Restricted management administrative units in Microsoft Entra ID finden Sie hier.

  • Um eine eingeschränkte AU zu erstellen, können Sie der Anleitung von Microsoft folgen hier.

  • Um Gruppen, die Sie schützen möchten, der eingeschränkten AU hinzuzufügen, sowie Administratoren, denen Sie erlauben möchten, mit diesen Gruppen zu interagieren, lesen Sie bitte diese Anleitung hier.

Zuweisen einer dedizierten administrativen Einheit zu RealmJoin Portal

Um RealmJoin Portal vollständig zu „kapseln“, können Sie eine dedizierte AU (standardmäßig nicht eingeschränkt) erstellen und die RealmJoin Portal-App dieser AU zuweisen. Dadurch erstellt RealmJoin Portal Gruppen nur in genau dieser spezifischen AU – und kann auch nur mit Gruppen interagieren, die ausdrücklich im Geltungsbereich dieser AU liegen.

  • Um eine AU zu erstellen, können Sie der Anleitung von Microsoft folgen

  • Um Gruppen dem Geltungsbereich der AU hinzuzufügen, damit RealmJoin weiterhin mit diesen Gruppen interagieren kann, lesen Sie bitte diese Anleitung

  • Um Rollen mit Geltungsbereich auf administrative Einheiten zuzuweisen, lesen Sie bitte diese Anleitung

RealmJoin die Verwendung von Administrative Units ermöglichen

  1. AU in Entra erstellen (Standard, nicht eingeschränkt).

  2. Weisen Sie in der AU der RealmJoin Portal-App dauerhaft die Rolle „Group Administrator“ zu (Anwendungs-ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3").

  3. Fügen Sie die Microsoft Graph-API-Berechtigung "AdministrativeUnit.Read.All" (Typ "Application") zur RealmJoin Portal-App (Anwendungs-ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3").

  4. Insbesondere wenn Sie das RealmJoin Portal bereits verwenden, verschieben Sie alle Gruppen, mit denen RealmJoin interagieren können soll, in den Geltungsbereich der AU (z. B. bestehende App-Gruppen oder Berechtigungsgruppen).

  5. Erstellen Sie ein Ticket beim RealmJoin Support und geben Sie die ObjectID der von Ihnen erstellten AU an.

  6. Warten Sie auf die Überprüfung durch den RealmJoin-Support.

  7. Jetzt können Sie die folgenden Anwendungsberechtigungen sicher aus der RealmJoin Portal-App (Anwendungs-ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3") entfernen, da diese nicht AU-bewusst sind: "Group.ReadWrite.All" & "GroupMember.ReadWrite.All" Stattdessen wird die Entra-Rolle „Group Administrator“ verwendet. Stellen Sie sicher, dass Sie die Rolle zuvor hinzugefügt haben (Schritt 2).

Bitte beachten Sie, dass Sie die Microsoft Graph-API-Berechtigungen nur über Graph hinzufügen/entfernen können!

Sie können das Grant-Skript von der RealmJoin Portal-Feature-Seite verwenden, um die unten gezeigte "AdministrativeUnit.Read.All" Berechtigung hinzuzufügen.

  • Kopieren Sie das Skript, fügen Sie die Berechtigung im markierten $permissions-Abschnitt hinzu, führen Sie das Skript aus und bestätigen Sie die Ausführung im Portal.

  • RealmJoin prüft automatisch die neue Berechtigung und zeigt sie im Bereich der gewährten Berechtigungen an.

  • Zum Entfernen von "Group.ReadWrite.All" & "GroupMember.ReadWrite.All" können Sie die Option „Revoke“ neben den Berechtigungen verwenden, um ein Skript nur für diese spezifische Berechtigung zu generieren.

Zuletzt aktualisiert

War das hilfreich?