RealmJoin ポータルのスコープを制限する

RealmJoin ポータルはサポートします Microsoft Entra ID 管理単位（AU）.

制限付き管理 管理単位

RealmJoin から一部の機密グループを非表示/保護するには、次を作成できます Microsoft Entra ID の制限付き管理 管理単位。その制限付き AU を作成した後、次を割り当てることができます 機密グループ をその AU に割り当て、これらのグループを RealmJoin ポータル（および RealmJoin ポータルを使用する全員）から「非表示」にできます。 これは次の場合に良い考えです： 高機密グループ を保護したい場合（例：権限/役割付与に使用されるグループや特定の条件付きアクセスポリシーからユーザーを除外するためのグループなど）。 ユーザーおよびアプリケーションは 明示的に付与/追加される必要があります AU のスコープに追加されて初めて、制限付き管理 AU によって「保護」されているグループとやり取りできるようになります。

制限付き管理 管理単位を利用するには、次のことが必要ありません： RealmJoin 側の設定.

• Microsoft Entra ID の制限付き管理 管理単位について詳しくはご覧ください こちら.

• 制限付き AU を作成するには、Microsoft のガイドに従うことができます こちら.

• 保護したいグループを制限付き AU に追加する方法や、これらのグループとやり取りを許可したい管理者を追加する方法については、次のガイドをご参照ください こちら.

RealmJoin ポータルに専用の管理単位を割り当てる

RealmJoin ポータルを完全に「カプセル化」するには、専用の AU（デフォルトで非制限）を作成し、その AU に RealmJoin ポータル アプリを割り当てることができます。 その結果、RealmJoin ポータルは特定のその AU 内にのみグループを作成し、その AU のスコープに明示的に含まれるグループとしかやり取りできなくなります。

• AU を作成するには、次に従うことができます Microsoft のガイド

• RealmJoin がこれらのグループと引き続きやり取りできるように AU のスコープにグループを追加するには、次をご参照ください このガイド

• 管理単位スコープを持つロールを割り当てるには、次をご参照ください このガイド

RealmJoin に管理単位の使用を許可する

1. Entra で AU を作成します（デフォルト、制限なし）。

2. AU 内で、RealmJoin ポータル アプリ（アプリケーション ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3"）に「グループ管理者」ロールを恒久的に割り当てます。

3. Microsoft Graph API のアクセス許可を追加します "AdministrativeUnit.Read.All" （種類「アプリケーション」）を RealmJoin ポータル アプリ（アプリケーション ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3"）に追加します。

4. 特に既に RealmJoin ポータルを使用している場合、RealmJoin がやり取りできる必要があるすべてのグループを AU のスコープに移動してください（既存のアプリグループや権限グループなど）。

5. 次でチケットを作成し、 RealmJoin サポート 作成した AU の ObjectID を提供してください。

6. RealmJoin サポートからの検証をお待ちください。

7. これらは AU 非対応のため、RealmJoin ポータル アプリ（アプリケーション ID: "b0130885-16be-4c6f-83de-5b1042b5d2e3"）から安全に次のアプリケーション許可を削除できます： "Group.ReadWrite.All" & "GroupMember.ReadWrite.All" 代わりに Entra のロール「グループ管理者」が使用されます。事前にそのロールを追加したことを確認してください（ステップ 2）。