Limity a omezení služby Microsoft Entra

  • Článek

Tento článek obsahuje omezení využití a další omezení služby pro ID Microsoft Entra, součást služby Microsoft Entra. Pokud hledáte úplnou sadu limitů služeb Microsoft Azure, přečtěte si téma Limity, kvóty a omezení předplatného a služeb Azure.

Tady jsou omezení využití a další limity služeb pro službu Microsoft Entra.

Kategorie Limit
Tenanti
  • Jeden uživatel může patřit do maximálně 500 tenantů Microsoft Entra jako člen nebo host.
  • Jeden uživatel může vytvořit maximálně 200 adresářů.
  • Limit 300 předplatných založených na licencích (například předplatná Microsoft 365) na tenanta
    		•
    Domény
  • Můžete přidat maximálně 5 000 spravovaných názvů domén.
  • Pokud nastavíte všechny domény pro federaci pomocí místní Active Directory, můžete v každém tenantovi přidat maximálně 2 500 názvů domén.
    		•
    Zdroje informací
    • Ve výchozím nastavení je možné vytvořit maximálně 50 000 prostředků Microsoft Entra v jednom tenantovi uživateli edice Microsoft Entra ID Free. Pokud máte alespoň jednu ověřenou doménu, výchozí kvóta služby Microsoft Entra pro vaši organizaci se rozšíří na 300 000 prostředků Microsoft Entra.
      Kvóta služby Microsoft Entra pro organizace vytvořené samoobslužnou registraci zůstává 50 000 prostředků Microsoft Entra, i když provedete interní převzetí správce a organizace se převede na spravovaného tenanta s alespoň jednou ověřenou doménou. Tento limit služby nesouvisí s limitem cenové úrovně 500 000 prostředků na stránce s cenami Microsoft Entra.
      Pokud chcete překročit výchozí kvótu, musíte kontaktovat podpora Microsoftu.
    • Uživatel, který není správcem, nemůže vytvořit více než 250 prostředků Microsoft Entra. Aktivní prostředky i odstraněné prostředky, které jsou k dispozici k obnovení, se započítávají do této kvóty. K obnovení jsou k dispozici pouze odstraněné prostředky Microsoft Entra, které byly odstraněny před méně než 30 dny. Odstraněné prostředky Microsoft Entra, které už nejsou k dispozici pro obnovení, se započítávají do této kvóty za 30 dnů v hodnotě 30 dnů.
      Pokud máte vývojáře, kteří budou pravděpodobně tuto kvótu v průběhu pravidelných povinností opakovaně překročit, můžete vytvořit a přiřadit vlastní roli s oprávněním k vytvoření neomezeného počtu registrací aplikací.
    • Omezení prostředků se vztahují na všechny objekty adresáře v daném tenantovi Microsoft Entra, včetně uživatelů, skupin, aplikací a instančních objektů.
    Rozšíření schématu
    • Rozšíření řetězcového typu (String) mohou mít maximálně 256 znaků.
    • Rozšíření binárního typu (Binary) jsou omezena na 256 bajtů.
    • Do libovolného prostředku Microsoft Entra lze zapisovat pouze 100 hodnot rozšíření napříč všemi typy a všemi aplikacemi.
    • Rozšířit pomocí atributů typu String nebo Binary s jednou hodnotou se dají jenom entity User, Group, TenantDetail, Device, Application a ServicePrincipal.
    Aplikace
    • Vlastníky jedné aplikace může být maximálně 100 uživatelů a instančních objektů.
    • Uživatel, skupina nebo instanční objekt můžou mít maximálně 1 500 přiřazení aplikačních rolí. Omezení platí pro instanční objekt, uživatele nebo skupinu ve všech aplikačních rolí, ne pro počet přiřazení k jedné aplikační roli.
    • Uživatel může mít nakonfigurované přihlašovací údaje pro maximálně 48 aplikací pomocí jednotného přihlašování založeného na heslech. Tento limit platí jenom pro přihlašovací údaje nakonfigurované v případě, že je uživatel přímo přiřazena aplikaci, a ne pro uživatele, který je členem skupiny, která je přiřazena.
    • Skupina může mít nakonfigurované přihlašovací údaje pro maximálně 48 aplikací pomocí jednotného přihlašování založeného na heslech.
    • Podívejte se na další omezení v rozdílech ověřování podle podporovaných typů účtů.
    Manifest aplikace Do manifestu aplikace lze přidat maximálně 1 200 položek.
    Podívejte se na další omezení v rozdílech ověřování podle podporovaných typů účtů.
    Skupiny
    • Uživatel, který není správcem, může v organizaci Microsoft Entra vytvořit maximálně 250 skupin. Libovolný správce Microsoft Entra, který může spravovat skupiny v organizaci, může také vytvořit neomezený počet skupin (až do limitu objektu Microsoft Entra). Pokud uživateli přiřadíte roli k odebrání limitu pro daného uživatele, přiřaďte méně privilegovanou předdefinovanou roli, jako je Správa istrator nebo Skupiny Správa istrator.
    • Organizace Microsoft Entra může mít v kombinaci maximálně 15 000 dynamických skupin a dynamických jednotek pro správu.
    • V jedné organizaci Microsoft Entra (tenant) je možné vytvořit maximálně 500 skupin , které je možné přiřadit role.
    • Vlastníky jedné skupiny může být maximálně 100 uživatelů.
    • Libovolný počet prostředků Microsoft Entra může být členy jedné skupiny.
    • Uživatel může být členem libovolného počtu skupin. Když se skupiny zabezpečení používají v kombinaci se SharePointem Online, může být uživatel celkem součástí 2 049 skupin zabezpečení. To zahrnuje jak přímé, tak nepřímé členství ve skupinách. Při překročení tohoto limitu se ověřování a výsledky hledání stanou nepředvídatelnými.
    • Počínaje Microsoft Entra Připojení v2.0 je výchozím rozhraním API koncový bod V2. Počet členů ve skupině, které můžete synchronizovat ze svého místní Active Directory s ID Microsoft Entra pomocí microsoft Entra Připojení, je omezeno na 250 000 členů. Další informace naleznete v tématu Microsoft Entra Připojení Sync V2.
    • Když vyberete seznam skupin, můžete zásady vypršení platnosti skupiny přiřadit maximálně 500 skupinám Microsoft 365. Pokud se zásada použije pro všechny skupiny Microsoftu 365, není nijak omezena.

    V tuto chvíli se u vnořených skupin podporují následující scénáře:
    • Jednu skupinu je možné přidat jako člena jiné skupiny a můžete dosáhnout vnoření skupin.
    • Deklarace členství ve skupinách Pokud je aplikace nakonfigurovaná tak, aby v tokenu přijímala deklarace identity členství ve skupinách, jsou zahrnuté vnořené skupiny, ve kterých je přihlášený uživatel členem.
    • Podmíněný přístup (pokud má zásada podmíněného přístupu obor skupiny).
    • Omezení přístupu k samoobslužnému resetování hesla
    • Omezení, kteří uživatelé můžou provádět připojení k Microsoft Entra a registraci zařízení

    U vnořených skupin se nepodporují následující scénáře:
    • Přiřazení aplikační role pro přístup i zřizování. Přiřazování skupin k aplikaci se podporuje, ale žádné skupiny, které jsou vnořené ve skupině přiřazené přímo, přístup nezískají.
    • Licencování na základě skupin (automatické přiřazování licence všem členům skupiny)
    • Skupiny Microsoft 365.
    Proxy aplikací
    • Maximálně 500 transakcí* za sekundu za proxy aplikací aplikaci.
    • Maximálně 750 transakcí za sekundu pro organizaci Microsoft Entra.

      *Transakce je definována jako jeden požadavek HTTP a odpověď pro jedinečný prostředek. Když jsou klienti omezeni, obdrží odpověď 429 (příliš mnoho požadavků). Metriky transakcí se shromažďují na každém konektoru a lze je monitorovat pomocí čítačů výkonu pod názvem Microsoft Entra private network connectorobjektu .
    Přístupový panel Počet aplikací na uživatele, které se dají zobrazit v Přístupový panel, není nijak omezený bez ohledu na počet přiřazených licencí.
    Sestavy V jednotlivých sestavách je možné zobrazit nebo stáhnout maximálně 1 000 řádků. Veškerá další data se oříznou.
    Jednotky pro správu
    • Prostředek Microsoft Entra může být členem maximálně 30 jednotek pro správu.
    • Maximálně 100 jednotek pro správu v tenantovi.
    • Organizace Microsoft Entra může mít v kombinaci maximálně 5 000 dynamických skupin a dynamických jednotek pro správu.
    Role a oprávnění Microsoft Entra
    • V organizaci Microsoft Entra je možné vytvořit maximálně 100 vlastních rolí Microsoft Entra.
    • Maximálně 150 vlastních přiřazení rolí Microsoft Entra pro jeden objekt zabezpečení v libovolném oboru.
    • Maximálně 100 předdefinovaných přiřazení rolí Microsoft Entra pro jeden objekt zabezpečení v oboru mimo tenanta (například jednotku pro správu nebo objekt Microsoft Entra). V oboru tenanta neexistuje žádný limit pro předdefinovaná přiřazení rolí Microsoft Entra. Další informace naleznete v tématu Přiřazení rolí Microsoft Entra v různých oborech.
    • Skupinu nelze přidat jako vlastníka skupiny.
    • Schopnost uživatele číst informace o tenantovi jiných uživatelů může být omezena pouze přepínačem microsoft Entra pro celou organizaci a zakázat přístup všech uživatelů bez oprávnění správce ke všem informacím o tenantovi (nedoporučuje se). Další informace naleznete v tématu Omezení výchozích oprávnění pro členské uživatele.
    • Může to trvat až 15 minut nebo se může stát, že se budete muset odhlásit a znovu přihlásit, než se členství v roli správce a odvolání projeví.
    Zásady podmíněného přístupu V jedné organizaci Microsoft Entra (tenant) je možné vytvořit maximálně 195 zásad.
    Podmínky použití Do jedné organizace Microsoft Entra (tenanta) můžete přidat maximálně 40 podmínek.
    Víceklientských organizací
    • Maximálně 100 aktivních tenantů, včetně tenanta vlastníka. Tenant vlastníka může přidat více než 100 čekajících tenantů, ale pokud dojde k překročení limitu, nebude se moct připojit k organizaci s více tenanty. Tento limit se použije v době, kdy se čekající tenant připojí k organizaci s více tenanty.
      • Tento limit je specifický pro počet tenantů ve víceklientských organizacích. Nevztahuje se sama na synchronizaci mezi tenanty.

    Související obsah