RealmJoin Portal のスコープを制限する

RealmJoin Portal は サポートしています Microsoft Entra ID の管理単位 (AU).

制限付き管理の管理単位

いくつかの機密グループを RealmJoin から非表示/保護するには、 Microsoft Entra ID で制限付き管理の管理単位を作成できます。その制限付き AU を作成した後、 機密グループを その AU に割り当て、これらのグループを RealmJoin Portal から（および RealmJoin Portal を使用するすべての人から）「非表示」にできます。 これは、 非常に機密性の高いグループ を保護したい場合に適しています。たとえば、権限/ロールの付与に使用されるグループや、特定の Conditional Access Policies からユーザーを除外するためのグループなどです。 ユーザーおよびアプリケーションは 明示的に付与/追加される必要があり 、制限付き管理 AU によって「保護」されているグループとやり取りできるようにするには、AU のスコープに含める必要があります。

制限付き管理の管理単位を使用するには、 RealmJoin での設定は不要です.

• Microsoft Entra ID の制限付き管理の管理単位について詳しくは、こちらをご覧ください こちら.

• 制限付き AU を作成するには、Microsoft のガイドに従ってください こちら.

• 保護したいグループを制限付き AU に追加し、これらのグループとのやり取りを許可したい管理者を追加する方法については、こちらのガイドをご覧ください こちら.

RealmJoin Portal に専用の管理単位を割り当てる

RealmJoin Portal を完全に「カプセル化」するには、専用の AU（既定の非制限）を作成し、RealmJoin Portal アプリをその AU に割り当てることができます。 その結果、RealmJoin Portal はその特定の AU 内でのみグループを作成し、その AU のスコープ内に明示的に含まれるグループとしかやり取りできなくなります。

• AU を作成するには、 Microsoft のガイド

• に従ってください RealmJoin がこれらのグループと引き続きやり取りできるようにするために、グループを AU のスコープに追加する方法については、 こちらのガイド

• を参照してください 管理単位スコープでロールを割り当てる方法については、 こちらのガイド

RealmJoin で管理単位を使用できるようにする

1. Entra で AU を作成します（既定、非制限）。

2. AU 内で、ロール「Group Administrator」を RealmJoin Portal アプリ（Application ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3"）に恒久的に割り当てます。

3. Microsoft Graph API のアクセス許可を追加します "AdministrativeUnit.Read.All" （種類「Application」）を RealmJoin Portal アプリ（Application ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3"）に追加します。

4. 特にすでに RealmJoin Portal を使用している場合は、RealmJoin がやり取りできるようにすべきすべてのグループを AU のスコープに移してください（例: 既存のアプリグループや権限グループ）。

5. 以下の RealmJoin サポート にチケットを作成し、作成した AU の ObjectID を提供してください。

6. RealmJoin Support からの確認を待ちます。

7. これで、AU を認識しないため、RealmJoin Portal アプリ（Application ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3"）から以下のアプリケーション権限を安全に削除できます: "Group.ReadWrite.All" & "GroupMember.ReadWrite.All" 代わりに Entra のロール「Group Administrator」が使用されます。事前にそのロールを追加していることを確認してください（手順 2）。