Limitar o Âmbito do Portal RealmJoin
Uso de Unidades Administrativas com RealmJoin
O RealmJoin Portal suporta Unidades Administrativas (AU) do Microsoft Entra ID.
Unidade Administrativa de Gestão Restrita
Para ocultar/proteger alguns grupos sensíveis do RealmJoin, você pode criar uma unidade administrativa de gestão restrita no Microsoft Entra ID. Após criar essa AU restrita, você pode atribuir grupos sensíveis a essa AU e "ocultar" esses grupos do RealmJoin Portal (e de qualquer pessoa que use o RealmJoin Portal). Essa é uma boa ideia para grupos altamente sensíveis que você deseja proteger, por exemplo, grupos usados para conceder permissões/funções ou para excluir usuários de determinadas Políticas de Acesso Condicional etc. Usuários e aplicações devem receber explicitamente permissão/ser adicionados ao escopo da AU para poder interagir com grupos que são "protegidos" pela AU de gestão restrita.
Para fazer uso de unidades administrativas de gestão restrita, há nenhuma configuração necessária no RealmJoin.
Você pode ler mais sobre unidades administrativas de gestão restrita no Microsoft Entra ID aqui.
Para criar uma AU restrita, você pode seguir o guia da Microsoft aqui.
Para adicionar grupos que você deseja proteger à AU restrita, bem como administradores que você deseja permitir que interajam com esses grupos, consulte este guia aqui.
Atribuir uma Unidade Administrativa dedicada ao RealmJoin Portal
Para "encapsular" totalmente o RealmJoin Portal, você pode criar uma AU dedicada (padrão, não restrita) e atribuir o aplicativo RealmJoin Portal a essa AU. Como resultado, o RealmJoin Portal criará grupos apenas nessa AU específica - e também só será capaz de interagir com grupos que estejam especificamente no escopo dessa AU.
Para criar uma AU, você pode seguir o guia da Microsoft
Para adicionar grupos ao escopo da AU para que o RealmJoin ainda seja capaz de interagir com esses grupos, consulte este guia
Para atribuir funções com escopo de unidade administrativa, consulte este guia
Habilitar o RealmJoin para usar Unidades Administrativas
Crie a AU no Entra (padrão, não restrita).
Na AU, atribua permanentemente a função "Administrador de Grupo" ao aplicativo RealmJoin Portal (ID da Aplicação: "b0130885-16be-4c6f-83de-5b1042b5d2e3").
Adicione a permissão da API Microsoft Graph
"AdministrativeUnit.Read.All"(tipo "Application") ao aplicativo RealmJoin Portal (ID da Aplicação: "b0130885-16be-4c6f-83de-5b1042b5d2e3").Especialmente se você já usa o RealmJoin Portal, mova todos os grupos com os quais o RealmJoin deve poder interagir para o escopo da AU (por exemplo, grupos de aplicativos existentes ou grupos de permissões).
Crie um ticket com o Suporte do RealmJoin e forneça o ObjectID da AU que você criou.
Aguarde a verificação do suporte do RealmJoin.
Agora você pode remover com segurança as seguintes permissões de aplicação do aplicativo RealmJoin Portal (ID da Aplicação: "b0130885-16be-4c6f-83de-5b1042b5d2e3"), pois elas não reconhecem AU:
"Group.ReadWrite.All"&"GroupMember.ReadWrite.All"Em vez disso, é usada a função do Entra "Group Administrator". Certifique-se de que você adicionou a função previamente (Etapa 2).
Lembre-se de que você só pode adicionar/remover as permissões da API Microsoft Graph via Graph!
Você pode usar o script Grant do página de funcionalidades do RealmJoin Portal mostrada abaixo para adicionar a "AdministrativeUnit.Read.All" permissão.
Copie o script, adicione a permissão na seção $permissions destacada, execute o script e confirme a execução no Portal.
O RealmJoin verificará automaticamente a nova permissão e a exibirá na seção concedidas.
Para remoção de
"Group.ReadWrite.All"&"GroupMember.ReadWrite.All"você pode usar a opção "Revoke" ao lado das permissões para gerar um script apenas para essa permissão específica.
Last updated
Was this helpful?