# Einschränkung des Umfangs des RealmJoin-Portals RealmJoin Portal unterstützt [Microsoft Entra ID Administrative Units (AU)](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/administrative-units). ### Eingeschränkte Verwaltungs-Administrative Unit Um einige sensible Gruppen vor RealmJoin zu verbergen/schützen, können Sie eine **eingeschränkte Verwaltungs-Administrative Unit in Microsoft Entra ID**erstellen. Nach dem Erstellen dieser eingeschränkten AU können Sie **sensible Gruppen** dieser AU zuweisen und diese Gruppen im RealmJoin Portal (und für alle, die das RealmJoin Portal verwenden) "verbergen".\ Dies ist eine gute Idee für **hoch sensible Gruppen** die Sie schützen möchten, z. B. Gruppen, die zum Gewähren von Berechtigungen/Rollen verwendet werden, oder um Benutzer von bestimmten Conditional Access Policies usw. auszuschließen. \ Benutzer und Anwendungen **müssen ausdrücklich zugewiesen/hinzugefügt werden** zum Geltungsbereich der AU, um mit Gruppen interagieren zu können, die durch die eingeschränkte Verwaltungs-AU "geschützt" sind. Um eingeschränkte Verwaltungs-Administrative Units zu nutzen, sind **keine Einstellungen im RealmJoin erforderlich**. * Sie können hier mehr über eingeschränkte Verwaltungs-Administrative Units in Microsoft Entra ID lesen [hier](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-restricted-management). * Um eine eingeschränkte AU zu erstellen, können Sie Microsofts Anleitung folgen [hier](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-manage?tabs=admin-center). * Um Gruppen, die Sie schützen möchten, sowie Administratoren, denen Sie die Interaktion mit diesen Gruppen erlauben möchten, der eingeschränkten AU hinzuzufügen, lesen Sie bitte diese Anleitung [hier](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-members-add?tabs=admin-center). ### Zuweisen einer dedizierten Administrative Unit zum RealmJoin Portal Um das RealmJoin Portal vollständig zu "kapseln", können Sie eine dedizierte AU (standardmäßig nicht eingeschränkt) erstellen und die RealmJoin Portal App dieser AU zuweisen.\ Dadurch erstellt das RealmJoin Portal Gruppen nur in dieser spezifischen AU - und kann auch nur mit Gruppen interagieren, die speziell im Geltungsbereich dieser AU liegen. * Um eine AU zu erstellen, können Sie [Microsofts Anleitung](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-manage?tabs=admin-center) * befolgen\ Um Gruppen dem AU-Geltungsbereich hinzuzufügen, damit RealmJoin weiterhin mit diesen Gruppen interagieren kann, lesen Sie bitte [diese Anleitung](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-members-add?tabs=admin-center) * Um Rollen mit Geltungsbereich einer Verwaltungs-Unit zuzuweisen, lesen Sie bitte [diese Anleitung](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/manage-roles-portal?tabs=admin-center#assign-roles-with-administrative-unit-scope) #### RealmJoin für die Nutzung von Administrative Units aktivieren 1. AU in Entra erstellen (Standard, nicht eingeschränkt). 2. In der AU der RealmJoin Portal App dauerhaft die Rolle "Group Administrator" zuweisen (Application ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3"). 3. Die Microsoft Graph API-Berechtigung hinzufügen `"AdministrativeUnit.Read.All"` (Typ "Application") zur RealmJoin Portal App (Application ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3"). 4. Insbesondere wenn Sie das RealmJoin Portal bereits verwenden, verschieben Sie alle Gruppen, mit denen RealmJoin interagieren können soll, in den Geltungsbereich der AU (z. B. bestehende App-Gruppen oder Berechtigungsgruppen). 5. Erstellen Sie ein Ticket mit dem [RealmJoin Support](https://www.realmjoin.com/help/) und geben Sie die ObjectID der von Ihnen erstellten AU an. 6. Warten Sie auf die Verifizierung durch den RealmJoin Support. 7. Nun können Sie die folgenden Anwendungsberechtigungen sicher aus der RealmJoin Portal App (Application ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3") entfernen, da diese nicht AU-bewusst sind:\ \ `"Group.ReadWrite.All"` & `"GroupMember.ReadWrite.All"` \ \ Stattdessen wird die Entra-Rolle "Group Administrator" verwendet. Stellen Sie sicher, dass Sie die Rolle vorher hinzugefügt haben (Schritt 2). {% hint style="info" %} Bitte beachten Sie, dass Sie die Microsoft Graph API-Berechtigungen nur über Graph hinzufügen/entfernen können! Sie können das Grant-Script von der [RealmJoin Portal-Funktionsseite](https://portal.realmjoin.com/organization/features) unten verwendet werden, um die `"AdministrativeUnit.Read.All"` Berechtigung hinzuzufügen. * Kopieren Sie das Script, fügen Sie die Berechtigung im markierten Abschnitt $permissions hinzu, führen Sie das Script aus und bestätigen Sie die Ausführung im Portal. * RealmJoin prüft automatisch auf die neue Berechtigung und zeigt sie im Bereich der erteilten Berechtigungen an. * Zum Entfernen von `"Group.ReadWrite.All"` & `"GroupMember.ReadWrite.All"` können Sie die Option "Revoke" neben den Berechtigungen verwenden, um ein Script nur für diese spezifische Berechtigung zu generieren. {% endhint %}