Limitation du périmètre du portail RealmJoin

Le portail RealmJoin prend en charge Unités administratives Microsoft Entra ID (UA).

Unité administrative de gestion restreinte

Pour masquer/protéger certains groupes sensibles de RealmJoin, vous pouvez créer une unité administrative de gestion restreinte dans Microsoft Entra ID. Après avoir créé cette UA restreinte, vous pouvez attribuer groupes sensibles à cette UA et « masquer » ces groupes du portail RealmJoin (et de tous ceux qui utilisent le portail RealmJoin). C'est une bonne idée pour groupes hautement sensibles que vous souhaitez protéger, par ex. des groupes utilisés pour accorder des permissions/rôles ou pour exclure des utilisateurs de certaines stratégies d’accès conditionnel, etc. Les utilisateurs et les applications doivent être explicitement accordés/ajoutés à la portée de l'UA pour pouvoir interagir avec les groupes qui sont « protégés » par l'unité administrative de gestion restreinte.

Pour utiliser des unités administratives de gestion restreinte, il n'y a aucun paramètre nécessaire dans RealmJoin.

• Vous pouvez en savoir plus sur les unités administratives de gestion restreinte dans Microsoft Entra ID ici.

• Pour créer une UA restreinte, vous pouvez suivre le guide de Microsoft ici.

• Pour ajouter les groupes que vous souhaitez protéger à l'UA restreinte ainsi que les administrateurs que vous souhaitez autoriser à interagir avec ces groupes, veuillez consulter ce guide ici.

Affectation d'une unité administrative dédiée au portail RealmJoin

Pour « encapsuler » complètement le portail RealmJoin, vous pouvez créer une UA dédiée (par défaut non restreinte) et affecter l'application RealmJoin Portal à cette UA. En conséquence, le portail RealmJoin créera des groupes uniquement dans cette UA spécifique - et ne pourra interagir qu'avec les groupes qui sont spécifiquement dans la portée de cette UA.

• Pour créer une UA, vous pouvez suivre le guide de Microsoft

• Pour ajouter des groupes à la portée de l'UA afin que RealmJoin puisse toujours interagir avec ces groupes, veuillez consulter ce guide

• Pour affecter des rôles avec portée sur une unité administrative, veuillez consulter ce guide

Activer RealmJoin pour utiliser les unités administratives

1. Créer une UA dans Entra (par défaut, non restreinte).

2. Dans l'UA, affectez en permanence le rôle « Administrateur de groupe » à l'application RealmJoin Portal (ID d'application : « b0130885-16be-4c6f-83de-5b1042b5d2e3 »).

3. Ajouter la permission API Microsoft Graph "AdministrativeUnit.Read.All" (type « Application ») à l'application RealmJoin Portal (ID d'application : « b0130885-16be-4c6f-83de-5b1042b5d2e3 »).

4. Surtout si vous utilisez déjà le portail RealmJoin, déplacez tous les groupes avec lesquels RealmJoin doit pouvoir interagir vers la portée de l'UA (par ex. groupes d'applications existants ou groupes de permissions).

5. Créez un ticket avec le Support RealmJoin et fournissez l'ObjectID de l'UA que vous avez créée.

6. Attendez la vérification du support RealmJoin.

7. Vous pouvez maintenant supprimer en toute sécurité les permissions d'application suivantes de l'application RealmJoin Portal (ID d'application : « b0130885-16be-4c6f-83de-5b1042b5d2e3 ») car elles ne sont pas compatibles avec les UA : "Group.ReadWrite.All" & "GroupMember.ReadWrite.All" À la place, le rôle Entra « Administrateur de groupe » est utilisé. Assurez-vous d'avoir ajouté le rôle au préalable (Étape 2).