> For the complete documentation index, see [llms.txt](https://docs.realmjoin.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.realmjoin.com/fr/deploiement-realmjoin/infrastructure/limiting-the-scope-of-realmjoin-portal.md).

# Limiter la portée du portail RealmJoin

Le portail RealmJoin prend en charge [Unités administratives Microsoft Entra ID (AU)](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/administrative-units).

### Unité administrative de gestion restreinte

Pour masquer/protéger certains groupes sensibles de RealmJoin, vous pouvez créer une **unité administrative de gestion restreinte dans Microsoft Entra ID**. Après avoir créé cette AU restreinte, vous pouvez attribuer **groupes sensibles** à cette AU et « masquer » ces groupes dans le portail RealmJoin (et pour toute personne utilisant le portail RealmJoin).\
C’est une bonne idée pour **groupes hautement sensibles** que vous souhaitez protéger, par ex. des groupes utilisés pour accorder des autorisations/rôles ou pour exclure des utilisateurs de certaines stratégies de Conditional Access, etc.\
Les utilisateurs et les applications **doivent se voir explicitement accorder/ajouter** au périmètre de l’AU pour pouvoir interagir avec des groupes « protégés » par l’AU de gestion restreinte.

Pour utiliser les unités administratives de gestion restreinte, il n’y a **aucun paramètre nécessaire dans RealmJoin**.

* Vous pouvez en savoir plus sur les unités administratives de gestion restreinte dans Microsoft Entra ID [ici](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-restricted-management).
* Pour créer une AU restreinte, vous pouvez suivre le guide de Microsoft [ici](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-manage?tabs=admin-center).
* Pour ajouter à l’AU restreinte les groupes que vous souhaitez protéger ainsi que les administrateurs que vous souhaitez autoriser à interagir avec ces groupes, veuillez consulter ce guide [ici](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-members-add?tabs=admin-center).

### Attribuer une unité administrative dédiée au portail RealmJoin

Pour « encapsuler » complètement le portail RealmJoin, vous pouvez créer une AU dédiée (par défaut non restreinte) et attribuer l’application RealmJoin Portal à cette AU.\
En conséquence, RealmJoin Portal créera des groupes uniquement dans cette AU spécifique - et ne pourra interagir qu’avec les groupes qui relèvent explicitement de cette AU.

* Pour créer une AU, vous pouvez suivre [le guide de Microsoft](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-manage?tabs=admin-center)
* Pour ajouter des groupes au périmètre de l’AU afin que RealmJoin puisse toujours interagir avec ces groupes, veuillez consulter [ce guide](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-members-add?tabs=admin-center)
* Pour attribuer des rôles avec un périmètre d’unité administrative, veuillez consulter [ce guide](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/manage-roles-portal?tabs=admin-center#assign-roles-with-administrative-unit-scope)

#### Autoriser RealmJoin à utiliser les unités administratives

1. Créer une AU dans Entra (par défaut, non restreinte).
2. Dans l’AU, attribuez définitivement le rôle « Administrateur de groupe » à l’application RealmJoin Portal (ID d’application : "b0130885-16be-4c6f-83de-5b1042b5d2e3").
3. Ajoutez l’autorisation de l’API Microsoft Graph `"AdministrativeUnit.Read.All"` (type « Application ») à l’application RealmJoin Portal (ID d’application : "b0130885-16be-4c6f-83de-5b1042b5d2e3").
4. Surtout si vous utilisez déjà le portail RealmJoin, déplacez tous les groupes avec lesquels RealmJoin doit pouvoir interagir dans le périmètre de l’AU (par ex. les groupes d’application existants ou les groupes d’autorisations).
5. Créez un ticket auprès du [support RealmJoin](https://www.realmjoin.com/help/) et fournissez l’ObjectID de l’AU que vous avez créée.
6. Attendez la vérification du support RealmJoin.
7. Vous pouvez maintenant supprimer sans risque les autorisations d’application suivantes de l’application RealmJoin Portal (ID d’application : "b0130885-16be-4c6f-83de-5b1042b5d2e3") car elles ne prennent pas en compte les AU :\
   \
   `"Group.ReadWrite.All"` & `"GroupMember.ReadWrite.All"`\
   \
   À la place, le rôle Entra « Administrateur de groupe » est utilisé. Assurez-vous d’avoir ajouté le rôle au préalable (étape 2).

{% hint style="info" %}
Gardez à l’esprit que vous ne pouvez ajouter/supprimer les autorisations de l’API Microsoft Graph que via Graph !

Vous pouvez utiliser le script d’autorisation depuis la [page des fonctionnalités du portail RealmJoin](https://portal.realmjoin.com/organization/features) présenté ci-dessous pour ajouter le `"AdministrativeUnit.Read.All"` autorisation.

* Copiez le script, ajoutez l’autorisation dans la section $permissions indiquée, exécutez le script, puis confirmez l’exécution dans le portail.
* RealmJoin vérifiera automatiquement la nouvelle autorisation et l’affichera dans la section accordée.
* Pour la suppression de `"Group.ReadWrite.All"` & `"GroupMember.ReadWrite.All"` vous pouvez utiliser l’option « Revoke » à côté des autorisations pour générer un script uniquement pour cette autorisation spécifique.
  {% endhint %}

<figure><img src="/files/2f0326d77364f95272ab99d6a4596beed534e7a4" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.realmjoin.com/fr/deploiement-realmjoin/infrastructure/limiting-the-scope-of-realmjoin-portal.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.