Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.
Ctrlk
For the complete documentation index, see llms.txt. This page is also available as Markdown.

Limiter la portée du portail RealmJoin

Utilisation des unités administratives avec RealmJoin

Le portail RealmJoin prend en charge Unités administratives Microsoft Entra ID (AU).

Unité administrative de gestion restreinte

Pour masquer/protéger certains groupes sensibles de RealmJoin, vous pouvez créer une unité administrative de gestion restreinte dans Microsoft Entra ID. Après avoir créé cette AU restreinte, vous pouvez attribuer groupes sensibles à cette AU et « masquer » ces groupes dans le portail RealmJoin (et pour toute personne utilisant le portail RealmJoin). C’est une bonne idée pour groupes hautement sensibles que vous souhaitez protéger, par ex. des groupes utilisés pour accorder des autorisations/rôles ou pour exclure des utilisateurs de certaines stratégies de Conditional Access, etc. Les utilisateurs et les applications doivent se voir explicitement accorder/ajouter au périmètre de l’AU pour pouvoir interagir avec des groupes « protégés » par l’AU de gestion restreinte.

Pour utiliser les unités administratives de gestion restreinte, il n’y a aucun paramètre nécessaire dans RealmJoin.

  • Vous pouvez en savoir plus sur les unités administratives de gestion restreinte dans Microsoft Entra ID ici.

  • Pour créer une AU restreinte, vous pouvez suivre le guide de Microsoft ici.

  • Pour ajouter à l’AU restreinte les groupes que vous souhaitez protéger ainsi que les administrateurs que vous souhaitez autoriser à interagir avec ces groupes, veuillez consulter ce guide ici.

Attribuer une unité administrative dédiée au portail RealmJoin

Pour « encapsuler » complètement le portail RealmJoin, vous pouvez créer une AU dédiée (par défaut non restreinte) et attribuer l’application RealmJoin Portal à cette AU. En conséquence, RealmJoin Portal créera des groupes uniquement dans cette AU spécifique - et ne pourra interagir qu’avec les groupes qui relèvent explicitement de cette AU.

  • Pour créer une AU, vous pouvez suivre le guide de Microsoft

  • Pour ajouter des groupes au périmètre de l’AU afin que RealmJoin puisse toujours interagir avec ces groupes, veuillez consulter ce guide

  • Pour attribuer des rôles avec un périmètre d’unité administrative, veuillez consulter ce guide

Autoriser RealmJoin à utiliser les unités administratives

  1. Créer une AU dans Entra (par défaut, non restreinte).

  2. Dans l’AU, attribuez définitivement le rôle « Administrateur de groupe » à l’application RealmJoin Portal (ID d’application : "b0130885-16be-4c6f-83de-5b1042b5d2e3").

  3. Ajoutez l’autorisation de l’API Microsoft Graph "AdministrativeUnit.Read.All" (type « Application ») à l’application RealmJoin Portal (ID d’application : "b0130885-16be-4c6f-83de-5b1042b5d2e3").

  4. Surtout si vous utilisez déjà le portail RealmJoin, déplacez tous les groupes avec lesquels RealmJoin doit pouvoir interagir dans le périmètre de l’AU (par ex. les groupes d’application existants ou les groupes d’autorisations).

  5. Créez un ticket auprès du support RealmJoin et fournissez l’ObjectID de l’AU que vous avez créée.

  6. Attendez la vérification du support RealmJoin.

  7. Vous pouvez maintenant supprimer sans risque les autorisations d’application suivantes de l’application RealmJoin Portal (ID d’application : "b0130885-16be-4c6f-83de-5b1042b5d2e3") car elles ne prennent pas en compte les AU : "Group.ReadWrite.All" & "GroupMember.ReadWrite.All" À la place, le rôle Entra « Administrateur de groupe » est utilisé. Assurez-vous d’avoir ajouté le rôle au préalable (étape 2).

Gardez à l’esprit que vous ne pouvez ajouter/supprimer les autorisations de l’API Microsoft Graph que via Graph !

Vous pouvez utiliser le script d’autorisation depuis la page des fonctionnalités du portail RealmJoin présenté ci-dessous pour ajouter le "AdministrativeUnit.Read.All" autorisation.

  • Copiez le script, ajoutez l’autorisation dans la section $permissions indiquée, exécutez le script, puis confirmez l’exécution dans le portail.

  • RealmJoin vérifiera automatiquement la nouvelle autorisation et l’affichera dans la section accordée.

  • Pour la suppression de "Group.ReadWrite.All" & "GroupMember.ReadWrite.All" vous pouvez utiliser l’option « Revoke » à côté des autorisations pour générer un script uniquement pour cette autorisation spécifique.

Mis à jour

Ce contenu vous a-t-il été utile ?