Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.
Ctrlk

Limitar o Âmbito do Portal RealmJoin

Utilização de Unidades Administrativas com RealmJoin

RealmJoin Portal oferece suporte a Microsoft Entra ID Administrative Units (AU).

Unidade Administrativa de Gerenciamento Restrito

Para ocultar/proteger alguns grupos sensíveis do RealmJoin, você pode criar uma unidade administrativa de gerenciamento restrito no Microsoft Entra ID. Após criar essa AU restrita, você pode atribuir grupos sensíveis a essa AU e "ocultar" esses grupos do RealmJoin Portal (e de todos que usam o RealmJoin Portal). Essa é uma boa ideia para grupos altamente sensíveis que você deseja proteger, por exemplo, grupos usados para conceder permissões/funções ou para excluir usuários de determinadas Conditional Access Policies etc. Usuários e aplicativos devem ser explicitamente concedidos/adicionados ao escopo da AU para poder interagir com grupos que estão "protegidos" pela AU de gerenciamento restrito.

Para fazer uso das unidades administrativas de gerenciamento restrito, não há nenhuma configuração necessária no RealmJoin.

  • Você pode ler mais sobre as unidades administrativas de gerenciamento restrito no Microsoft Entra ID aqui.

  • Para criar uma AU restrita, você pode seguir o guia da Microsoft aqui.

  • Para adicionar à AU restrita os grupos que você deseja proteger, bem como os administradores que você deseja permitir que interajam com esses grupos, consulte este guia aqui.

Atribuindo uma Unidade Administrativa dedicada ao RealmJoin Portal

Para "encapsular" totalmente o RealmJoin Portal, você pode criar uma AU dedicada (padrão não restrita) e atribuir o aplicativo RealmJoin Portal a essa AU. Como resultado, o RealmJoin Portal criará grupos apenas nessa AU específica — e também só poderá interagir com grupos que estejam especificamente no escopo dessa AU.

  • Para criar uma AU, você pode seguir o guia da Microsoft

  • Para adicionar grupos ao escopo da AU para que o RealmJoin ainda consiga interagir com esses grupos, consulte este guia

  • Para atribuir funções com escopo de unidade administrativa, consulte este guia

Permitir que o RealmJoin use Unidades Administrativas

  1. Crie uma AU no Entra (padrão, não restrita).

  2. Na AU, atribua permanentemente a função "Group Administrator" ao aplicativo RealmJoin Portal (ID do aplicativo: "b0130885-16be-4c6f-83de-5b1042b5d2e3").

  3. Adicione a permissão da API Microsoft Graph "AdministrativeUnit.Read.All" (tipo "Application") ao aplicativo RealmJoin Portal (ID do aplicativo: "b0130885-16be-4c6f-83de-5b1042b5d2e3").

  4. Especialmente se você já usa o RealmJoin Portal, mova todos os grupos com os quais o RealmJoin deve conseguir interagir para o escopo da AU (por exemplo, grupos de aplicativos ou grupos de permissões existentes).

  5. Abra um ticket com o RealmJoin Support e forneça o ObjectID da AU que você criou.

  6. Aguarde a verificação do Suporte do RealmJoin.

  7. Agora você pode remover com segurança as seguintes permissões de aplicativo do aplicativo RealmJoin Portal (ID do aplicativo: "b0130885-16be-4c6f-83de-5b1042b5d2e3"), pois elas não têm conhecimento de AU: "Group.ReadWrite.All" & "GroupMember.ReadWrite.All" Em vez disso, é usada a função do Entra "Group Administrator". Certifique-se de ter adicionado a função antes (Etapa 2).

Lembre-se de que você só pode adicionar/remover as permissões da API Microsoft Graph via Graph!

Você pode usar o Grant-Script da página de recursos do RealmJoin Portal mostrada abaixo para adicionar a "AdministrativeUnit.Read.All" permissão.

  • Copie o script, adicione a permissão na seção $permissions marcada, execute o script e confirme a execução no Portal.

  • O RealmJoin verificará automaticamente a nova permissão e a exibirá na seção concedida.

  • Para remoção de "Group.ReadWrite.All" & "GroupMember.ReadWrite.All" você pode usar a opção "Revoke" ao lado das permissões para gerar um script apenas para essa permissão específica.

Última atualização

Isto foi útil?