# Limiter le périmètre du portail RealmJoin
RealmJoin Portal prend en charge [les unités administratives (AU) de Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/administrative-units).
### Unité administrative de gestion restreinte
Pour masquer/protéger certains groupes sensibles de RealmJoin, vous pouvez créer une **unité administrative de gestion restreinte dans Microsoft Entra ID**. Après avoir créé cette AU restreinte, vous pouvez attribuer **des groupes sensibles** à cette AU et « masquer » ces groupes dans RealmJoin Portal (ainsi que pour toute personne utilisant RealmJoin Portal).\
C’est une bonne idée pour **les groupes hautement sensibles** que vous souhaitez protéger, par exemple des groupes utilisés pour accorder des autorisations/rôles ou pour exclure des utilisateurs de certaines stratégies de Conditional Access, etc.\
Les utilisateurs et les applications **doivent explicitement recevoir une autorisation/être ajoutés** au périmètre de l’AU afin de pouvoir interagir avec les groupes « protégés » par l’AU de gestion restreinte.
Pour utiliser les unités administratives de gestion restreinte, **aucun paramètre n’est nécessaire dans RealmJoin**.
* Vous pouvez en savoir plus sur les unités administratives de gestion restreinte dans Microsoft Entra ID [ici](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-restricted-management).
* Pour créer une AU restreinte, vous pouvez suivre le guide de Microsoft [ici](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-manage?tabs=admin-center).
* Pour ajouter les groupes que vous souhaitez protéger à l’AU restreinte ainsi que les administrateurs que vous souhaitez autoriser à interagir avec ces groupes, veuillez consulter ce guide [ici](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-members-add?tabs=admin-center).
### Attribution d’une unité administrative dédiée à RealmJoin Portal
Pour « encapsuler » complètement RealmJoin Portal, vous pouvez créer une AU dédiée (par défaut non restreinte) et attribuer l’application RealmJoin Portal à cette AU.\
En conséquence, RealmJoin Portal ne créera des groupes que dans cette AU spécifique - et ne pourra également interagir qu’avec les groupes qui sont spécifiquement dans le périmètre de cette AU.
* Pour créer une AU, vous pouvez suivre [le guide de Microsoft](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-manage?tabs=admin-center)
* Pour ajouter des groupes au périmètre de l’AU afin que RealmJoin puisse toujours interagir avec ces groupes, veuillez consulter [ce guide](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-members-add?tabs=admin-center)
* Pour attribuer des rôles avec un périmètre d’unité administrative, veuillez consulter [ce guide](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/manage-roles-portal?tabs=admin-center#assign-roles-with-administrative-unit-scope)
#### Autoriser RealmJoin à utiliser les unités administratives
1. Créer une AU dans Entra (par défaut, non restreinte).
2. Dans l’AU, attribuez de manière permanente le rôle « Group Administrator » à l’application RealmJoin Portal (ID d’application : « b0130885-16be-4c6f-83de-5b1042b5d2e3 »).
3. Ajoutez l’autorisation API Microsoft Graph `« AdministrativeUnit.Read.All »` (type « Application ») à l’application RealmJoin Portal (ID d’application : « b0130885-16be-4c6f-83de-5b1042b5d2e3 »).
4. Surtout si vous utilisez déjà RealmJoin Portal, déplacez tous les groupes avec lesquels RealmJoin doit pouvoir interagir dans le périmètre de l’AU (par exemple les groupes d’applications existants ou les groupes d’autorisations).
5. Créez un ticket avec le [RealmJoin Support](https://www.realmjoin.com/help/) et fournissez l’ObjectID de l’AU que vous avez créée.
6. Attendez la vérification de la part du support RealmJoin.
7. Vous pouvez maintenant supprimer en toute sécurité les autorisations applicatives suivantes de l’application RealmJoin Portal (ID d’application : « b0130885-16be-4c6f-83de-5b1042b5d2e3 »), car elles ne prennent pas en charge les AU :\
\
`« Group.ReadWrite.All »` & `« GroupMember.ReadWrite.All »`\
\
À la place, le rôle Entra « Group Administrator » est utilisé. Assurez-vous d’avoir ajouté le rôle au préalable (étape 2).
{% hint style="info" %}
Veuillez garder à l’esprit que vous ne pouvez ajouter/supprimer les autorisations API Microsoft Graph que via Graph !
Vous pouvez utiliser le script d’octroi depuis le [page des fonctionnalités de RealmJoin Portal](https://portal.realmjoin.com/organization/features) ci-dessous pour ajouter l’autorisation `« AdministrativeUnit.Read.All »` .
* Copiez le script, ajoutez l’autorisation dans la section $permissions indiquée, exécutez le script, confirmez l’exécution dans le Portal.
* RealmJoin vérifiera automatiquement la nouvelle autorisation et l’affichera dans la section accordée.
* Pour la suppression de `« Group.ReadWrite.All »` & `« GroupMember.ReadWrite.All »` vous pouvez utiliser l’option « Revoke » à côté des autorisations afin de générer un script uniquement pour cette autorisation spécifique.
{% endhint %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.realmjoin.com/fr/deploiement-realmjoin/infrastructure/limiting-the-scope-of-realmjoin-portal.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.