# Limitación del alcance del Portal de RealmJoin RealmJoin Portal admite [Unidades administrativas (AU) de Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/administrative-units). ### Unidad administrativa de administración restringida Para ocultar/proteger algunos grupos sensibles de RealmJoin, puede crear una **unidad administrativa de administración restringida en Microsoft Entra ID**. Después de crear esa AU restringida, puede asignar **grupos sensibles** a esa AU y "ocultar" estos grupos de RealmJoin Portal (y de cualquiera que use RealmJoin Portal).\ Esta es una buena idea para **grupos de alta sensibilidad** que desea proteger, por ejemplo, grupos utilizados para conceder permisos/roles o para excluir usuarios de determinadas directivas de Conditional Access, etc. \ Los usuarios y las aplicaciones **deben recibir/asignarse explícitamente** al ámbito de la AU para poder interactuar con grupos que están "protegidos" por la AU de administración restringida. Para hacer uso de las unidades administrativas de administración restringida, no hay **ninguna configuración necesaria en RealmJoin**. * Puede leer más sobre las unidades administrativas de administración restringida en Microsoft Entra ID [aquí](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-restricted-management). * Para crear una AU restringida, puede seguir la guía de Microsoft [aquí](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-manage?tabs=admin-center). * Para agregar grupos que desea proteger a la AU restringida, así como administradores a los que desea permitir interactuar con estos grupos, consulte esta guía [aquí](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-members-add?tabs=admin-center). ### Asignar una Unidad Administrativa dedicada a RealmJoin Portal Para "encapsular" completamente RealmJoin Portal, puede crear una AU dedicada (predeterminada no restringida) y asignar la aplicación RealmJoin Portal a esa AU.\ Como resultado, RealmJoin Portal creará grupos solo en esa AU específica, y además solo podrá interactuar con grupos que estén específicamente dentro del ámbito de esta AU. * Para crear una AU, puede seguir [la guía de Microsoft](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-manage?tabs=admin-center) * Para agregar grupos al ámbito de la AU para que RealmJoin siga siendo capaz de interactuar con estos grupos, consulte [esta guía](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-members-add?tabs=admin-center) * Para asignar roles con ámbito de unidad administrativa, consulte [esta guía](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/manage-roles-portal?tabs=admin-center#assign-roles-with-administrative-unit-scope) #### Permitir que RealmJoin use Unidades Administrativas 1. Crear AU en Entra (predeterminada, no restringida). 2. En la AU, asigne permanentemente el rol "Group Administrator" a la aplicación RealmJoin Portal (Application ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3"). 3. Agregue el permiso de la API de Microsoft Graph `"AdministrativeUnit.Read.All"` (tipo "Application") a la aplicación RealmJoin Portal (Application ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3"). 4. Especialmente si ya usa RealmJoin Portal, mueva todos los grupos con los que RealmJoin debe poder interactuar al ámbito de la AU (por ejemplo, grupos de aplicaciones existentes o grupos de permisos). 5. Cree un ticket con el [soporte de RealmJoin](https://www.realmjoin.com/help/) y proporcione el ObjectID de la AU que creó. 6. Espere la verificación de RealmJoin Support. 7. Ahora puede eliminar de forma segura los siguientes permisos de aplicación de la aplicación RealmJoin Portal (Application ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3") ya que no son compatibles con AU:\ \ `"Group.ReadWrite.All"` & `"GroupMember.ReadWrite.All"` \ \ En su lugar se usa el rol de Entra "Group Administrator". Asegúrese de haber agregado el rol previamente (Paso 2). {% hint style="info" %} Tenga en cuenta que solo puede agregar/eliminar los permisos de la API de Microsoft Graph a través de Graph! Puede usar el Grant-Script de la [página de funciones de RealmJoin Portal](https://portal.realmjoin.com/organization/features) que se muestra a continuación para agregar el `"AdministrativeUnit.Read.All"` permiso. * Copie el script, agregue el permiso en la sección $permissions marcada, ejecute el script, confirme la ejecución en el Portal. * RealmJoin comprobará automáticamente el nuevo permiso y lo mostrará en la sección concedida. * Para la eliminación de `"Group.ReadWrite.All"` & `"GroupMember.ReadWrite.All"` puede usar la opción "Revoke" junto a los permisos para generar un script solo para ese permiso específico. {% endhint %}