Limitando o Escopo do Portal RealmJoin
Uso de Unidades Administrativas com RealmJoin
O Portal RealmJoin suporta Unidades Administrativas (Administrative Units - AU) do Microsoft Entra ID.
Unidade Administrativa de Gerenciamento Restrito
Para ocultar/proteger alguns grupos sensíveis do RealmJoin, você pode criar uma Unidade Administrativa de gerenciamento restrito no Microsoft Entra ID. Após criar essa AU restrita, você pode atribuir grupos sensíveis a essa AU e "ocultar" esses grupos do Portal RealmJoin (e de todos que usam o Portal RealmJoin). Isto é uma boa ideia para grupos de alta sensibilidade que você deseja proteger, por ex. grupos usados para conceder permissões/funções ou para excluir usuários de determinadas Políticas de Acesso Condicional etc. Usuários e aplicações devem ser explicitamente concedidos/adicionados ao escopo da AU para poderem interagir com grupos que são "protegidos" pela unidade administrativa de gerenciamento restrito.
Para fazer uso de unidades administrativas de gerenciamento restrito, não há configurações necessárias no RealmJoin.
Você pode ler mais sobre Unidades Administrativas de gerenciamento restrito no Microsoft Entra ID aqui.
Para criar uma AU restrita, você pode seguir o guia da Microsoft aqui.
Para adicionar grupos que você deseja proteger à AU restrita, bem como administradores que você deseja permitir que interajam com esses grupos, por favor veja este guia aqui.
Atribuindo uma Unidade Administrativa dedicada ao Portal RealmJoin
Para "encapsular" completamente o Portal RealmJoin, você pode criar uma AU dedicada (padrão não restrita) e atribuir o aplicativo do Portal RealmJoin a essa AU. Como resultado, o Portal RealmJoin criará grupos apenas nessa AU específica - e também só será capaz de interagir com grupos que estejam especificamente no escopo dessa AU.
Para criar uma AU, você pode seguir o guia da Microsoft
Para adicionar grupos ao escopo da AU para que o RealmJoin ainda possa interagir com esses grupos, por favor veja este guia
Para atribuir funções com escopo de unidade administrativa, por favor veja este guia
Habilitar o RealmJoin para usar Unidades Administrativas
Crie uma AU no Entra (padrão, não restrita).
Na AU, atribua permanentemente a função "Administrador de Grupo" ao aplicativo Portal RealmJoin (ID do Aplicativo: "b0130885-16be-4c6f-83de-5b1042b5d2e3").
Adicione a permissão da API Microsoft Graph
"AdministrativeUnit.Read.All"(tipo "Application") ao aplicativo Portal RealmJoin (ID do Aplicativo: "b0130885-16be-4c6f-83de-5b1042b5d2e3").Especialmente se você já usa o Portal RealmJoin, mova todos os grupos com os quais o RealmJoin deve ser capaz de interagir para o escopo da AU (por ex. grupos de aplicações existentes ou grupos de permissão).
Crie um ticket com o Suporte do RealmJoin e forneça o ObjectID da AU que você criou.
Aguarde a verificação pelo Suporte do RealmJoin.
Agora você pode remover com segurança as seguintes permissões de aplicação do aplicativo Portal RealmJoin (ID do Aplicativo: "b0130885-16be-4c6f-83de-5b1042b5d2e3") pois estas não são cientes de AU:
"Group.ReadWrite.All"&"GroupMember.ReadWrite.All"Em vez disso, a Função do Entra "Administrador de Grupo" é usada. Certifique-se de que você adicionou a função previamente (Passo 2).
Por favor, tenha em mente que você só pode adicionar/remover as permissões da API Microsoft Graph via Graph!
Você pode usar o Grant-Script da página de recursos do Portal RealmJoin mostrada abaixo para adicionar a "AdministrativeUnit.Read.All" permissão.
Copie o script, adicione a permissão na seção marcada $permissions, execute o script, confirme a execução no Portal.
O RealmJoin verificará automaticamente a nova permissão e a exibirá na seção concedida.
Para remoção de
"Group.ReadWrite.All"&"GroupMember.ReadWrite.All"você pode usar a opção "Revoke" ao lado das permissões para gerar um script apenas para essa permissão específica.
Last updated
Was this helpful?