> For the complete documentation index, see [llms.txt](https://docs.realmjoin.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.realmjoin.com/de/realmjoin-bereitstellung/infrastructure/limiting-the-scope-of-realmjoin-portal.md).

# Den Geltungsbereich des RealmJoin-Portals einschränken

RealmJoin Portal unterstützt [Microsoft Entra ID Administrative Units (AU)](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/administrative-units).

### Administrative Einheit für eingeschränkte Verwaltung

Um einige sensible Gruppen vor RealmJoin zu verbergen/zu schützen, können Sie eine **Administrative Einheit für eingeschränkte Verwaltung in Microsoft Entra ID**. Nach dem Erstellen dieser eingeschränkten AU können Sie **sensible Gruppen** dieser AU zuweisen und diese Gruppen vor RealmJoin Portal (und allen, die das RealmJoin Portal verwenden) „verbergen“.\
Dies ist eine gute Idee für **hochsensible Gruppen** die Sie schützen möchten, z. B. Gruppen, die zum Vergeben von Berechtigungen/Rollen verwendet werden, oder um Benutzer von bestimmten Conditional Access-Richtlinien usw. auszuschließen.\
Benutzer und Anwendungen **müssen ausdrücklich gewährt/hinzugefügt werden** zum Geltungsbereich der AU hinzugefügt werden, um mit Gruppen interagieren zu können, die durch die eingeschränkte Verwaltungs-AU „geschützt“ sind.

Um administrative Einheiten für eingeschränkte Verwaltung zu verwenden, gibt es **keine Einstellungen in RealmJoin erforderlich**.

* Weitere Informationen zu Restricted management administrative units in Microsoft Entra ID finden Sie [hier](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-restricted-management).
* Um eine eingeschränkte AU zu erstellen, können Sie der Anleitung von Microsoft folgen [hier](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-manage?tabs=admin-center).
* Um Gruppen, die Sie schützen möchten, der eingeschränkten AU hinzuzufügen, sowie Administratoren, denen Sie erlauben möchten, mit diesen Gruppen zu interagieren, lesen Sie bitte diese Anleitung [hier](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-members-add?tabs=admin-center).

### Zuweisen einer dedizierten administrativen Einheit zu RealmJoin Portal

Um RealmJoin Portal vollständig zu „kapseln“, können Sie eine dedizierte AU (standardmäßig nicht eingeschränkt) erstellen und die RealmJoin Portal-App dieser AU zuweisen.\
Dadurch erstellt RealmJoin Portal Gruppen nur in genau dieser spezifischen AU – und kann auch nur mit Gruppen interagieren, die ausdrücklich im Geltungsbereich dieser AU liegen.

* Um eine AU zu erstellen, können Sie [der Anleitung von Microsoft folgen](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-manage?tabs=admin-center)
* Um Gruppen dem Geltungsbereich der AU hinzuzufügen, damit RealmJoin weiterhin mit diesen Gruppen interagieren kann, lesen Sie bitte [diese Anleitung](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-members-add?tabs=admin-center)
* Um Rollen mit Geltungsbereich auf administrative Einheiten zuzuweisen, lesen Sie bitte [diese Anleitung](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/manage-roles-portal?tabs=admin-center#assign-roles-with-administrative-unit-scope)

#### RealmJoin die Verwendung von Administrative Units ermöglichen

1. AU in Entra erstellen (Standard, nicht eingeschränkt).
2. Weisen Sie in der AU der RealmJoin Portal-App dauerhaft die Rolle „Group Administrator“ zu (Anwendungs-ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3").
3. Fügen Sie die Microsoft Graph-API-Berechtigung `"AdministrativeUnit.Read.All"` (Typ "Application") zur RealmJoin Portal-App (Anwendungs-ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3").
4. Insbesondere wenn Sie das RealmJoin Portal bereits verwenden, verschieben Sie alle Gruppen, mit denen RealmJoin interagieren können soll, in den Geltungsbereich der AU (z. B. bestehende App-Gruppen oder Berechtigungsgruppen).
5. Erstellen Sie ein Ticket beim [RealmJoin Support](https://www.realmjoin.com/help/) und geben Sie die ObjectID der von Ihnen erstellten AU an.
6. Warten Sie auf die Überprüfung durch den RealmJoin-Support.
7. Jetzt können Sie die folgenden Anwendungsberechtigungen sicher aus der RealmJoin Portal-App (Anwendungs-ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3") entfernen, da diese nicht AU-bewusst sind:\
   \
   `"Group.ReadWrite.All"` & `"GroupMember.ReadWrite.All"`\
   \
   Stattdessen wird die Entra-Rolle „Group Administrator“ verwendet. Stellen Sie sicher, dass Sie die Rolle zuvor hinzugefügt haben (Schritt 2).

{% hint style="info" %}
Bitte beachten Sie, dass Sie die Microsoft Graph-API-Berechtigungen nur über Graph hinzufügen/entfernen können!

Sie können das Grant-Skript von der [RealmJoin Portal-Feature-Seite](https://portal.realmjoin.com/organization/features) verwenden, um die unten gezeigte `"AdministrativeUnit.Read.All"` Berechtigung hinzuzufügen.

* Kopieren Sie das Skript, fügen Sie die Berechtigung im markierten $permissions-Abschnitt hinzu, führen Sie das Skript aus und bestätigen Sie die Ausführung im Portal.
* RealmJoin prüft automatisch die neue Berechtigung und zeigt sie im Bereich der gewährten Berechtigungen an.
* Zum Entfernen von `"Group.ReadWrite.All"` & `"GroupMember.ReadWrite.All"` können Sie die Option „Revoke“ neben den Berechtigungen verwenden, um ein Skript nur für diese spezifische Berechtigung zu generieren.
  {% endhint %}

<figure><img src="/files/f4422996222dbe65833f18e1b5fcdee4e2651ec0" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.realmjoin.com/de/realmjoin-bereitstellung/infrastructure/limiting-the-scope-of-realmjoin-portal.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.