> For the complete documentation index, see [llms.txt](https://docs.realmjoin.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.realmjoin.com/pt/implementacao-do-realmjoin/infrastructure/limiting-the-scope-of-realmjoin-portal.md).

# Limitar o âmbito do Portal RealmJoin

O RealmJoin Portal suporta [Unidades Administrativas (AU) do Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/administrative-units).

### Unidade Administrativa de gestão restrita

Para ocultar/proteger alguns grupos sensíveis do RealmJoin, você pode criar uma **Unidade Administrativa de gestão restrita no Microsoft Entra ID**. Depois de criar essa AU restrita, você pode atribuir **grupos sensíveis** a essa AU e "ocultar" esses grupos do RealmJoin Portal (e de todos que usam o RealmJoin Portal).\
Essa é uma boa ideia para **grupos altamente sensíveis** que você deseja proteger, por exemplo, grupos usados para conceder permissões/funções ou para excluir usuários de determinadas políticas de Conditional Access etc.\
Os usuários e aplicativos **devem ser explicitamente concedidos/adicionados** ao escopo da AU para poder interagir com grupos que estão "protegidos" pela AU de gestão restrita.

Para usar unidades administrativas de gestão restrita, não há **nenhuma configuração necessária no RealmJoin**.

* Você pode ler mais sobre as unidades administrativas de gestão restrita no Microsoft Entra ID [aqui](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-restricted-management).
* Para criar uma AU restrita, você pode seguir o guia da Microsoft [aqui](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-manage?tabs=admin-center).
* Para adicionar à AU restrita os grupos que você deseja proteger, bem como os administradores aos quais você deseja permitir interagir com esses grupos, consulte este guia [aqui](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-members-add?tabs=admin-center).

### Atribuindo uma Unidade Administrativa dedicada ao RealmJoin Portal

Para "encapsular" totalmente o RealmJoin Portal, você pode criar uma AU dedicada (padrão, não restrita) e atribuir o aplicativo RealmJoin Portal a essa AU.\
Como resultado, o RealmJoin Portal criará grupos apenas nessa AU específica — e também só poderá interagir com grupos que estejam especificamente no escopo dessa AU.

* Para criar uma AU, você pode seguir [o guia da Microsoft](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-manage?tabs=admin-center)
* Para adicionar grupos ao escopo da AU para que o RealmJoin ainda possa interagir com esses grupos, consulte [este guia](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/admin-units-members-add?tabs=admin-center)
* Para atribuir funções com escopo de unidade administrativa, consulte [este guia](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/manage-roles-portal?tabs=admin-center#assign-roles-with-administrative-unit-scope)

#### Permitir que o RealmJoin use Unidades Administrativas

1. Crie uma AU no Entra (padrão, não restrita).
2. Na AU, atribua permanentemente a função "Group Administrator" ao aplicativo RealmJoin Portal (ID da aplicação: "b0130885-16be-4c6f-83de-5b1042b5d2e3").
3. Adicione a permissão da API do Microsoft Graph `"AdministrativeUnit.Read.All"` (tipo "Application") ao aplicativo RealmJoin Portal (ID da aplicação: "b0130885-16be-4c6f-83de-5b1042b5d2e3").
4. Especialmente se você já usa o RealmJoin Portal, mova todos os grupos com os quais o RealmJoin deve poder interagir para o escopo da AU (por exemplo, grupos de aplicativos ou grupos de permissões já existentes).
5. Crie um ticket com o [Suporte do RealmJoin](https://www.realmjoin.com/help/) e informe o ObjectID da AU que você criou.
6. Aguarde a verificação do suporte do RealmJoin.
7. Agora você pode remover com segurança as seguintes permissões de aplicativo do aplicativo RealmJoin Portal (ID da aplicação: "b0130885-16be-4c6f-83de-5b1042b5d2e3") pois elas não têm reconhecimento de AU:\
   \
   `"Group.ReadWrite.All"` & `"GroupMember.ReadWrite.All"`\
   \
   Em vez disso, é usada a função do Entra "Group Administrator". Certifique-se de que você adicionou a função anteriormente (Etapa 2).

{% hint style="info" %}
Lembre-se de que você só pode adicionar/remover as permissões da API do Microsoft Graph por meio do Graph!

Você pode usar o Grant-Script da [página de funcionalidades do RealmJoin Portal](https://portal.realmjoin.com/organization/features) mostrado abaixo para adicionar a `"AdministrativeUnit.Read.All"` permissão.

* Copie o script, adicione a permissão na seção $permissions marcada, execute o script e confirme a execução no Portal.
* O RealmJoin verificará automaticamente a nova permissão e a exibirá na seção concedida.
* Para remover `"Group.ReadWrite.All"` & `"GroupMember.ReadWrite.All"` você pode usar a opção "Revoke" ao lado das permissões para gerar um script apenas para essa permissão específica.
  {% endhint %}

<figure><img src="/files/c6c79a3059d6f0d87b59d57e777a35204719df05" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.realmjoin.com/pt/implementacao-do-realmjoin/infrastructure/limiting-the-scope-of-realmjoin-portal.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.