Einschränkung des Umfangs des RealmJoin-Portals

Das RealmJoin-Portal unterstützt Microsoft Entra ID Administrative Units (AU).

Eingeschränkte Verwaltungs-Administrative Unit

Um einige sensible Gruppen vor RealmJoin zu verbergen/zu schützen, können Sie eine eingeschränkte Verwaltungs-Administrative Unit in Microsoft Entra ID. Nachdem Sie diese eingeschränkte AU erstellt haben, können Sie sensible Gruppen zu dieser AU zuweisen und diese Gruppen vor dem RealmJoin-Portal (und allen, die das RealmJoin-Portal verwenden) „verbergen“. Das ist eine gute Idee für hochsensible Gruppen die Sie schützen möchten, z. B. Gruppen, die zur Vergabe von Berechtigungen/Rollen verwendet werden oder um Benutzer von bestimmten Conditional Access-Richtlinien auszuschließen usw. Benutzer und Anwendungen müssen ausdrücklich gewährt/hingefügt werden zum Umfang der AU, um mit Gruppen interagieren zu können, die durch die eingeschränkte Verwaltungs-AU „geschützt“ sind.

Um eingeschränkte Verwaltungs-Administrative Units zu nutzen, sind keine Einstellungen in RealmJoin erforderlich.

• Sie können mehr über eingeschränkte Verwaltungs-Administrative Units in Microsoft Entra ID lesen hier.

• Um eine eingeschränkte AU zu erstellen, können Sie der Microsoft-Anleitung folgen hier.

• Um Gruppen, die Sie schützen möchten, zur eingeschränkten AU hinzuzufügen sowie Administratoren, denen Sie erlauben möchten, mit diesen Gruppen zu interagieren, siehe diese Anleitung hier.

Zuweisung einer dedizierten Administrative Unit an das RealmJoin-Portal

Um das RealmJoin-Portal vollständig zu „kapseln“, können Sie eine dedizierte AU (standardmäßig nicht eingeschränkt) erstellen und die RealmJoin-Portal-App dieser AU zuweisen. Als Ergebnis wird das RealmJoin-Portal Gruppen nur in dieser spezifischen AU erstellen – und es kann auch nur mit Gruppen interagieren, die explizit im Umfang dieser AU liegen.

• Um eine AU zu erstellen, können Sie der Microsoft-Anleitung

• folgen. Um Gruppen zum AU-Umfang hinzuzufügen, sodass RealmJoin weiterhin mit diesen Gruppen interagieren kann, siehe diese Anleitung

• Um Rollen mit Administrative-Unit-Scope zuzuweisen, siehe bitte diese Anleitung

RealmJoin aktivieren, um Administrative Units zu verwenden

1. Erstellen Sie eine AU in Entra (Standard, nicht eingeschränkt).

2. Weisen Sie in der AU dauerhaft die Rolle „Gruppenadministrator“ der RealmJoin-Portal-App zu (Anwendungs-ID: „b0130885-16be-4c6f-83de-5b1042b5d2e3“).

3. Fügen Sie die Microsoft Graph-API-Berechtigung hinzu "AdministrativeUnit.Read.All" (Typ „Application“) zur RealmJoin-Portal-App (Anwendungs-ID: „b0130885-16be-4c6f-83de-5b1042b5d2e3“).

4. Besonders wenn Sie das RealmJoin-Portal bereits verwenden: Verschieben Sie alle Gruppen, mit denen RealmJoin interagieren soll, in den Umfang der AU (z. B. vorhandene App-Gruppen oder Berechtigungsgruppen).

5. Erstellen Sie ein Ticket mit dem RealmJoin-Support und geben Sie die ObjectID der von Ihnen erstellten AU an.

6. Warten Sie auf die Überprüfung durch den RealmJoin-Support.

7. Nun können Sie sicher die folgenden Anwendungsberechtigungen von der RealmJoin-Portal-App (Anwendungs-ID: „b0130885-16be-4c6f-83de-5b1042b5d2e3“) entfernen, da diese nicht AU-fähig sind: "Group.ReadWrite.All" & "GroupMember.ReadWrite.All" Stattdessen wird die Entra-Rolle „Gruppenadministrator“ verwendet. Stellen Sie sicher, dass Sie die Rolle zuvor hinzugefügt haben (Schritt 2).