Limitación del alcance del portal RealmJoin
Uso de unidades administrativas con RealmJoin
RealmJoin Portal admite Microsoft Entra ID Unidades Administrativas (UA).
Unidad Administrativa de Gestión Restringida
Para ocultar/proteger algunos grupos sensibles de RealmJoin, puedes crear una unidad administrativa de gestión restringida en Microsoft Entra ID. Después de crear esa UA restringida, puedes asignar grupos sensibles a esa UA y "ocultar" estos grupos de RealmJoin Portal (y de todas las personas que usan RealmJoin Portal). Esto es una buena idea para grupos de alta sensibilidad que quieras proteger, p. ej. grupos usados para conceder permisos/roles o para excluir usuarios de ciertas Políticas de Acceso Condicional, etc. Los usuarios y las aplicaciones deben ser explícitamente concedidos/agregados al ámbito de la UA para poder interactuar con grupos que están "protegidos" por la unidad administrativa de gestión restringida.
Para usar las unidades administrativas de gestión restringida, no se requieren ajustes en RealmJoin.
Puedes leer más sobre las unidades administrativas de gestión restringida en Microsoft Entra ID aquí.
Para crear una UA restringida, puedes seguir la guía de Microsoft aquí.
Para agregar los grupos que deseas proteger a la UA restringida, así como los administradores a los que deseas permitir interactuar con estos grupos, consulta esta guía aquí.
Asignar una Unidad Administrativa dedicada a RealmJoin Portal
Para "encapsular" completamente RealmJoin Portal, puedes crear una UA dedicada (por defecto no restringida) y asignar la aplicación RealmJoin Portal a esa UA. Como resultado, RealmJoin Portal creará grupos solo en esa UA específica y también solo podrá interactuar con los grupos que estén específicamente dentro del ámbito de esa UA.
Para crear una UA, puedes seguir la guía de Microsoft
Para agregar grupos al ámbito de la UA para que RealmJoin siga pudiendo interactuar con esos grupos, consulta esta guía
Para asignar roles con ámbito de unidad administrativa, consulta esta guía
Habilitar RealmJoin para usar Unidades Administrativas
Crear UA en Entra (predeterminada, no restringida).
En la UA, asigna permanentemente el rol "Administrador de grupos" a la aplicación RealmJoin Portal (ID de aplicación: "b0130885-16be-4c6f-83de-5b1042b5d2e3").
Agregar el permiso de Microsoft Graph API
"AdministrativeUnit.Read.All"(tipo "Aplicación") a la aplicación RealmJoin Portal (ID de aplicación: "b0130885-16be-4c6f-83de-5b1042b5d2e3").Especialmente si ya usas RealmJoin Portal, mueve todos los grupos con los que RealmJoin deba poder interactuar al ámbito de la UA (por ejemplo, grupos de aplicaciones existentes o grupos de permisos).
Crea un ticket con el Soporte de RealmJoin y proporciona el ObjectID de la UA que creaste.
Espera la verificación del Soporte de RealmJoin.
Ahora puedes eliminar de forma segura los siguientes permisos de aplicación de la aplicación RealmJoin Portal (ID de aplicación: "b0130885-16be-4c6f-83de-5b1042b5d2e3") ya que estos no son compatibles con UA:
"Group.ReadWrite.All"&"GroupMember.ReadWrite.All"En su lugar se usa el rol de Entra "Administrador de grupos". Asegúrate de haber agregado el rol de antemano (Paso 2).
Ten en cuenta que solo puedes agregar/quitar los permisos de Microsoft Graph API mediante Graph.
Puedes usar el script de concesión desde la página de funciones de RealmJoin Portal que se muestra a continuación para agregar el "AdministrativeUnit.Read.All" permiso.
Copia el script, añade el permiso en la sección marcada $permissions, ejecuta el script, confirma la ejecución en el Portal.
RealmJoin comprobará automáticamente el nuevo permiso y lo mostrará en la sección de permisos concedidos.
Para la eliminación de
"Group.ReadWrite.All"&"GroupMember.ReadWrite.All"puedes usar la opción "Revocar" junto a los permisos para generar un script solo para ese permiso específico.
Última actualización
¿Te fue útil?