> For the complete documentation index, see [llms.txt](https://docs.realmjoin.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.realmjoin.com/ja/realmjoin-no/infrastructure/limiting-the-scope-of-realmjoin-portal.md).

# RealmJoin Portal のスコープを制限する

RealmJoin Portal は次をサポートします [Microsoft Entra ID の管理単位 (AU)](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/administrative-units).

### 制限付き管理の管理単位

RealmJoin から一部の機密グループを非表示/保護するには、 **Microsoft Entra ID の制限付き管理の管理単位**。その制限付き AU を作成した後、割り当てることができます **機密グループ** それらをその AU に割り当てて、これらのグループを RealmJoin Portal（および RealmJoin Portal を使用しているすべてのユーザー）から「非表示」にします。\
これは次のようなケースに適しています **非常に機密性の高いグループ** 保護したいもの、たとえば権限/ロールの付与に使うグループや、特定の Conditional Access ポリシーからユーザーを除外するためのグループなどです。\
ユーザーとアプリケーション **明示的に付与/追加される必要があります** 制限付き管理 AU によって「保護」されたグループとやり取りできるようにするには、AU のスコープに含める必要があります。

制限付き管理の管理単位を利用するために必要なのは **RealmJoin での設定はありません**.

* Microsoft Entra ID の制限付き管理の管理単位について詳しくは、こちらをご覧ください [こちら](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-restricted-management).
* 制限付き AU を作成するには、Microsoft のガイドに従ってください [こちら](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-manage?tabs=admin-center).
* 保護したいグループや、これらのグループとやり取りできるようにしたい管理者を制限付き AU に追加するには、このガイドをご覧ください [こちら](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-members-add?tabs=admin-center).

### RealmJoin Portal に専用の管理単位を割り当てる

RealmJoin Portal を完全に「分離」するには、専用の AU（既定では制限なし）を作成し、RealmJoin Portal アプリをその AU に割り当てます。\
その結果、RealmJoin Portal はその特定の AU 内にのみグループを作成し、この AU のスコープ内にあるグループとだけやり取りできるようになります。

* AU を作成するには、次に従ってください [Microsoft のガイド](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-manage?tabs=admin-center)
* RealmJoin がこれらのグループと引き続きやり取りできるように、グループを AU のスコープに追加するには、こちらをご覧ください [このガイド](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-members-add?tabs=admin-center)
* 管理単位スコープでロールを割り当てるには、こちらをご覧ください [このガイド](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/manage-roles-portal?tabs=admin-center#assign-roles-with-administrative-unit-scope)

#### RealmJoin で管理単位を使用できるようにする

1. Entra で AU を作成します（既定、制限なし）。
2. AU で、ロール「Group Administrator」を RealmJoin Portal アプリ（Application ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3"）に永続的に割り当てます。
3. Microsoft Graph API のアクセス許可を追加します `"AdministrativeUnit.Read.All"` （種類は「Application」）を RealmJoin Portal アプリ（Application ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3"）に追加します。
4. 特にすでに RealmJoin Portal を使用している場合は、RealmJoin がやり取りできるようにする必要のあるすべてのグループを AU のスコープに移動してください（例: 既存のアプリ グループや権限グループ）。
5. 次の窓口にチケットを作成し、 [RealmJoin サポート](https://www.realmjoin.com/help/) 作成した AU の ObjectID を伝えてください。
6. RealmJoin サポートによる確認をお待ちください。
7. これで、以下のアプリケーションのアクセス許可は AU 対応ではないため、RealmJoin Portal アプリ（Application ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3"）から安全に削除できます:\
   \
   `"Group.ReadWrite.All"` & `"GroupMember.ReadWrite.All"`\
   \
   その代わりに、Entra のロール「Group Administrator」が使用されます。事前にそのロールを追加したことを確認してください（手順 2）。

{% hint style="info" %}
Microsoft Graph API のアクセス許可の追加/削除は Graph 経由でのみ行えることに注意してください！

次の場所にある Grant-Script を使用できます [RealmJoin Portal の機能ページ](https://portal.realmjoin.com/organization/features) 下記に示すものを使用して、次の `"AdministrativeUnit.Read.All"` アクセス許可を追加します。

* スクリプトをコピーし、マークされた $permissions セクションにアクセス許可を追加して、スクリプトを実行し、Portal で実行を確認します。
* RealmJoin は新しいアクセス許可を自動的に確認し、付与済みセクションに表示します。
* 削除するには `"Group.ReadWrite.All"` & `"GroupMember.ReadWrite.All"` 各アクセス許可の横にある「Revoke」オプションを使用して、その特定のアクセス許可のみのスクリプトを生成できます。
  {% endhint %}

<figure><img src="/files/59a2877207a61fc4fa9ef5423b5f69e99012ea64" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.realmjoin.com/ja/realmjoin-no/infrastructure/limiting-the-scope-of-realmjoin-portal.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.