Microsoft Entra-Dienstgrenzwerte und -einschränkungen

  • Artikel

Dieser Artikel beschreibt die Nutzungsbeschränkungen und andere Diensteinschränkungen für den Microsoft Entra ID-Dienst, Teil von Microsoft Entra. Einen vollständigen Überblick über die Microsoft Azure-Diensteinschränkungen finden Sie unter Einschränkungen für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.

Hier sind die Nutzungseinschränkungen und andere Grenzwerte für den Microsoft Entra-Dienst.

Kategorie Begrenzung
Mandanten
  • Ein einzelner Benutzer bzw. eine einzelne Benutzerin kann bis zu 500 Microsoft Entra-Mandanten als Mitglied oder Gast angehören.
  • Ein einzelner Benutzer kann maximal 200 Verzeichnisse erstellen.
  • Grenzwert von 300 lizenzbasierten Abonnements (z. B. Microsoft 365-Abonnements) pro Mandant
    		•
    Domänen
  • Es können maximal 5.000 verwaltete Domänennamen hinzugefügt werden.
  • Wenn Sie alle Ihre Domänen für den Verbund mit der lokalen Active Directory-Instanz einrichten, können in jedem Mandanten maximal 2.500 Domänennamen hinzugefügt werden.
    		•
    Ressourcen
    • Benutzer*innen der kostenlosen Edition von Microsoft Entra können standardmäßig maximal 50.000 Microsoft Entra-Ressourcen in einem einzelnen Mandanten erstellen. Wenn Sie über mindestens eine verifizierte Domäne verfügen, wird das Standardkontingent für den Microsoft Entra-Dienst für Ihre Organisation auf 300.000 Microsoft Entra-Ressourcen erweitert.
      Das Kontingent für den Microsoft Entra-Dienst für durch die Self-Service-Registrierung erstellte Organisationen beträgt weiterhin 50.000 Microsoft Entra-Ressourcen, auch wenn eine interne Administratorübernahme stattfindet. Die Organisation wird in einen verwalteten Mandanten mit mindestens einer überprüften Domäne konvertiert. Dieses Dienstlimit steht nicht im Zusammenhang mit dem Tariflimit von 500.000 Ressourcen auf der Microsoft Entra-Preisseite.
      Um das Standardkontingent zu überschreiten, müssen Sie sich an den Microsoft-Support wenden.
    • Ein Benutzer ohne Administratorrechte kann maximal 250 Microsoft Entra-Ressourcen erstellen. Zu diesem Kontingent zählen sowohl aktive Ressourcen als auch gelöschte Ressourcen, die zum Wiederherstellen verfügbar sind. Nur gelöschte Microsoft Entra-Ressourcen, die vor weniger als 30 Tagen gelöscht wurden, stehen für die Wiederherstellung bereit. Gelöschte Microsoft Entra-Ressourcen, die nicht mehr für die Wiederherstellung verfügbar sind, zählen für 30 Tage mit einem Viertelwert zu diesem Kontingent.
      Wenn Sie Entwickler haben, die dieses Kontingent wahrscheinlich wiederholt im Rahmen ihrer regulären Aufgaben überschreiten, können Sie eine benutzerdefinierte Rolle erstellen und zuweisen, die die Berechtigung hat, eine unbegrenzte Anzahl von App-Registrierungen zu erstellen.
    • Ressourcenbeschränkungen gelten für alle Verzeichnisobjekte in einem bestimmten Microsoft Entra-Mandanten, einschließlich Benutzer, Gruppen, Anwendungen und Dienstprinzipalen.
    Schemaerweiterungen
    • Erweiterungen des Typs „String“ sind auf maximal 256 Zeichen begrenzt.
    • Erweiterungen des Typs „Binary“ sind auf 256 Byte beschränkt.
    • Es können maximal 100 Erweiterungswerte (für alle Typen und alle Anwendungen) in jede einzelne Microsoft Entra-Ressource geschrieben werden.
    • Nur die Entitäten „User“, „Group“, „TenantDetail“, „Device“, „Application“ und „ServicePrincipal“ mit dem Typ „String“ oder „Binary“ können mit Einzelwertattributen erweitert werden.
    Anwendungen
    • Maximal 100 Benutzer und Dienstprinzipale können Besitzer einer einzelnen Anwendung sein.
    • Für einen Benutzer, eine Gruppe oder einen Dienstprinzipal können maximal 1.500 App-Rollenzuweisungen festgelegt werden. Die Einschränkung gilt für den Dienstprinzipal, den Benutzer oder die Gruppe über alle App-Rollen hinweg und nicht für die Anzahl von Zuweisungen für eine einzelne App-Rolle.
    • Ein Benutzer kann Anmeldeinformationen für maximal 48 Apps mit kennwortbasiertem einmaligem Anmelden konfigurieren. Dieser Grenzwert gilt nur für Anmeldeinformationen, die konfiguriert werden, wenn der Benutzer der App direkt zugewiesen wird, und nicht, wenn der Benutzer Mitglied einer Gruppe ist, die zugewiesen wird.
    • Für eine Gruppe können Anmeldeinformationen für maximal 48 Apps mit kennwortbasiertem einmaligem Anmelden konfiguriert werden.
    • Weitere Grenzwerte finden Sie unter Validierungsunterschiede nach unterstützten Kontotypen.
    Anwendungsmanifest Dem Anwendungsmanifest können maximal 1.200 Einträge hinzugefügt werden.
    Weitere Grenzwerte finden Sie unter Validierungsunterschiede nach unterstützten Kontotypen.
    Gruppen
    • Ein Benutzer ohne Administratorrechte kann in einer Microsoft Entra-Organisation maximal 250 Gruppen erstellen. Alle Microsoft Entra-Administratoren, die Gruppen in der Organisation verwalten können, können auch eine unbegrenzte Anzahl von Gruppen erstellen (bis zum Grenzwert für Microsoft Entra-Objekte). Wenn Sie einem Benutzer eine Rolle zuweisen möchten, um den Grenzwert für diesen Benutzer zu entfernen, weisen Sie ihm eine integrierte Rolle mit weniger Berechtigungen zu (beispielsweise die Rolle „Benutzeradministrator“ oder „Gruppenadministrator“).
    • Eine Microsoft Entra-Organisation kann maximal 5.000 dynamische Gruppen und dynamische Verwaltungseinheiten enthalten.
    • In einer einzigen Microsoft Entra-Organisation (Mandant) können maximal 500 Gruppen, denen Rollen zugewiesen werden können, erstellt werden.
    • Maximal 100 Benutzer können Besitzer einer einzelnen Gruppe sein.
    • Eine beliebige Anzahl von Microsoft Entra-Ressourcen kann einer einzelnen Gruppe angehören.
    • Ein Benutzer kann ein Mitglied einer beliebigen Anzahl von Gruppen sein. Wenn Sicherheitsgruppen in Kombination mit SharePoint Online verwendet werden, kann ein Benutzer insgesamt 2.049 Sicherheitsgruppen angehören. Dies schließt sowohl direkte als auch indirekte Gruppenmitgliedschaften ein. Wenn dieser Grenzwert überschritten wird, werden Authentifizierungs- und Suchergebnisse unvorhersehbar.
    • Ab Microsoft Entra Connect v2.0 ist der V2-Endpunkt die Standard-API. Die Anzahl der Mitglieder einer Gruppe, die Sie über Ihre lokale Active Directory-Instanz mit Microsoft Entra ID synchronisieren können, ist bei Verwendung von Microsoft Entra Connect auf 250.000 beschränkt. Weitere Informationen finden Sie unter Microsoft Entra Connect Sync V2.
    • Wenn Sie eine Liste mit Gruppen auswählen, können Sie maximal 500 Microsoft 365-Gruppen eine Gruppenablaufrichtlinie zuweisen. Wird die Richtlinie auf alle Microsoft 365-Gruppen angewendet, gibt es keine Beschränkung.

    Aktuell werden folgende Szenarien mit geschachtelten Gruppen unterstützt:
    • Eine Gruppe kann einer anderen Gruppe als Mitglied hinzugefügt werden, und Sie können eine Gruppenverschachtelung erreichen.
    • Gruppenmitgliedschaftsansprüche: Wenn eine App so konfiguriert wurde, dass sie Gruppenmitgliedschaftsansprüche im Token empfängt, werden geschachtelte Gruppen einbezogen, denen der angemeldete Benutzer angehört.
    • Bedingter Zugriff (wenn für eine Richtlinie für bedingten Zugriff ein Gruppenbereich gilt)
    • Einschränken des Zugriffs auf die Self-Service-Kennwortzurücksetzung
    • Einschränken, welche Benutzer*innen Microsoft Entra beitreten und eine Geräteregistrierung durchführen dürfen.

    Folgende Szenarien werden mit geschachtelten Gruppen nicht unterstützt:
    • App-Rollenzuweisung (sowohl für den Zugriff als auch für die Bereitstellung). Das Zuweisen von Gruppen zu einer App wird unterstützt, aber alle Gruppen, die innerhalb der direkt zugewiesenen Gruppe geschachtelt sind, haben keinen Zugriff.
    • Gruppenbasierte Lizenzierung (automatisches Zuweisen einer Lizenz zu allen Mitgliedern einer Gruppe)
    • Microsoft 365-Gruppen
    Anwendungsproxy
    • Maximal 500 Transaktionen* pro Sekunde und Anwendungsproxyanwendung
    • Maximal 750 Transaktionen pro Sekunde für die Microsoft Entra-Organisation.

      * Eine Transaktion ist als einzelne HTTP-Anforderung und -Antwort für eine individuelle Ressource definiert. Wenn Clients gedrosselt werden, erhalten sie eine 429-Antwort (zu viele Anforderungen). Transaktionsmetriken werden für jeden Connector gesammelt und können mithilfe von Leistungsindikatoren unter dem Objektnamen Microsoft Entra private network connector überwacht werden.
    Anpassung des Zugriffsbereichs Im Zugriffsbereich können beliebig viele Anwendungen pro Benutzer angezeigt werden – unabhängig von den zugewiesenen Lizenzen.
    Berichte In einem Bericht können maximal 1.000 Zeilen angezeigt oder heruntergeladen werden. Weitere Daten werden abgeschnitten.
    Verwaltungseinheiten
    • Eine Microsoft Entra-Ressource kann zu höchstens 30 Verwaltungseinheiten gehören.
    • Maximal 100 eingeschränkte Verwaltungseinheiten in einem Mandanten.
    • Eine Microsoft Entra-Organisation kann maximal 5.000 dynamische Gruppen und dynamische Verwaltungseinheiten enthalten.
    Rollen und Berechtigungen in Microsoft Entra
    • In einer Microsoft Entra-Organisation können maximal 100 benutzerdefinierte Microsoft Entra-Rollen erstellt werden.
    • Maximal 150 benutzerdefinierte Microsoft Entra-Rollenzuweisungen für einen einzelnen Prinzipal in einem beliebigen Bereich.
    • Maximal 100 integrierte Microsoft Entra-Rollenzuweisungen für einen einzelnen Prinzipal im Nichtmandantenbereich (z. B. einer Verwaltungseinheit oder einem Microsoft Entra-Objekt). Im Mandantenbereich können beliebig viele integrierte Microsoft Entra-Rollenzuweisungen verwendet werden. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen mit verschiedenen Gültigkeitsbereichen.
    • Eine Gruppe kann nicht als Gruppenbesitzer hinzugefügt werden.
    • Die Fähigkeit von Benutzer*innen, Mandanteninformationen anderer Benutzer*innen lesen zu können, kann nur durch den organisationsweiten Microsoft Entra-Switch eingeschränkt werden, um den Zugriff für alle Nicht-Administratorbenutzer*innen auf alle Mandanteninformationen zu deaktivieren (nicht empfohlen). Weitere Informationen finden Sie unter Einschränken der Standardberechtigungen für Mitgliedsbenutzer.
    • Es kann bis zu 15 Minuten dauern, bis Hinzufügungen und Sperrungen von Administratorrollenmitgliedschaften wirksam werden. Gegebenenfalls müssen Sie sich auch ab- und wieder anmelden.
    Richtlinien für bedingten Zugriff In einer einzelnen Microsoft Entra-Organisation (Mandant) können maximal 195 Richtlinien erstellt werden.
    Nutzungsbedingungen Sie können einer einzelnen Microsoft Entra-Organisation (Mandant) höchstens 40 Benennungen hinzufügen.
    Mehrmandantenfähige Organisationen
    • Maximal fünf aktive Mandanten, einschließlich des Besitzermandanten. Der Besitzermandant kann mehr als fünf ausstehende Mandanten hinzufügen, aber der mehrinstanzenfähigen Organisation nicht beitreten, wenn der Grenzwert überschritten wird. Dieser Grenzwert wird zum Zeitpunkt angewendet, wenn ein ausstehender Mandant einer mehrinstanzenfähigen Organisation beitritt.
      • Dieser Grenzwert ist spezifisch für die Anzahl der Mandanten in einer mehrmandantenfähigen Organisation. Sie gilt nicht für die mandantenübergreifende Synchronisierung selbst.
    • Maximal 100 000 interne Benutzer pro aktivem Mandant. Dieser Grenzwert wird zum Zeitpunkt angewendet, wenn ein ausstehender Mandant einer mehrinstanzenfähigen Organisation beitritt.

    Zugehöriger Inhalt