Dienst- und andere Einschränkungen für Azure AD

Dieser Artikel beschreibt die Nutzungsbeschränkungen und andere Diensteinschränkungen für den Dienst von Azure Active Directory (Azure AD), Teil von Microsoft Entra. Einen vollständigen Überblick über die Microsoft Azure-Diensteinschränkungen finden Sie unter Einschränkungen für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.

Im Anschluss finden Sie die Verwendungseinschränkungen und andere Grenzwerte für den Azure AD-Dienst.

Category Begrenzung
Mandanten
  • Ein einzelner Benutzer kann als Mitglied oder Gast bis zu 500 Azure AD-Mandanten angehören.
  • Ein einzelner Benutzer kann maximal 200 Verzeichnisse erstellen.
  • Domänen
  • Es können maximal 5.000 verwaltete Domänennamen hinzugefügt werden.
  • Wenn Sie alle Ihre Domänen für den Verbund mit der lokalen Active Directory-Instanz einrichten, können in jedem Mandanten maximal 2.500 Domänennamen hinzugefügt werden.
  • Ressourcen
    • Bei der Azure Active Directory Free-Edition können Benutzer standardmäßig in einem einzelnen Mandanten maximal 50.000 Azure AD-Ressourcen erstellen. Wenn Sie mindestens eine verifizierte Domäne haben, wird das Standardkontingent für den Azure AD-Dienst für Ihre Organisation auf 300.000 Azure AD-Ressourcen erweitert.
      Das Kontingent für den Azure AD-Dienst für durch die Self-Service-Registrierung erstellte Organisationen beträgt weiterhin 50.000 Azure AD-Ressourcen, auch wenn eine interne Administratorübernahme stattgefunden hat und die Organisation in einen verwalteten Mandanten mit mindestens einer überprüften Domäne konvertiert wurde. Dieses Dienstlimit steht nicht im Zusammenhang mit dem Tariflimit von 500.000 Ressourcen auf der Azure AD-Preisseite.
      Um das Standardkontingent zu überschreiten, müssen Sie sich an den Microsoft-Support wenden.
    • Ein Benutzer ohne Administratorrechte kann maximal 250 Azure AD-Ressourcen erstellen. Zu diesem Kontingent zählen sowohl aktive Ressourcen als auch gelöschte Ressourcen, die zum Wiederherstellen verfügbar sind. Nur gelöschte Azure AD-Ressourcen, die vor weniger als 30 Tagen gelöscht wurden, stehen für die Wiederherstellung bereit. Gelöschte Azure AD-Ressourcen, die nicht mehr für die Wiederherstellung verfügbar sind, zählen für 30 Tage mit einem Viertelwert zu diesem Kontingent.
      Wenn Sie Entwickler haben, die dieses Kontingent wahrscheinlich wiederholt im Rahmen ihrer regulären Aufgaben überschreiten, können Sie eine benutzerdefinierte Rolle erstellen und zuweisen, die die Berechtigung hat, eine unbegrenzte Anzahl von App-Registrierungen zu erstellen.
    • Ressourcenbeschränkungen gelten für alle Verzeichnisobjekte in einem bestimmten Azure AD-Mandanten, einschließlich Benutzer, Gruppen, Anwendungen und Dienstprinzipalen.
    Schemaerweiterungen
    • Erweiterungen des Typs „String“ sind auf maximal 256 Zeichen begrenzt.
    • Erweiterungen des Typs „Binary“ sind auf 256 Byte beschränkt.
    • Es können maximal 100 Erweiterungswerte (für alle Typen und alle Anwendungen) in jede einzelne Azure AD-Ressource geschrieben werden.
    • Nur die Entitäten „User“, „Group“, „TenantDetail“, „Device“, „Application“ und „ServicePrincipal“ mit dem Typ „String“ oder „Binary“ können mit Einzelwertattributen erweitert werden.
    Anwendungen
    • Maximal 100 Benutzer und Dienstprinzipale können Besitzer einer einzelnen Anwendung sein.
    • Für einen Benutzer, eine Gruppe oder einen Dienstprinzipal können maximal 1.500 App-Rollenzuweisungen festgelegt werden. Die Einschränkung gilt für den Dienstprinzipal, den Benutzer oder die Gruppe über alle App-Rollen hinweg und nicht für die Anzahl von Zuweisungen für eine einzelne App-Rolle.
    • Einer App, die für kennwortbasiertes einmaliges Anmelden konfiguriert ist, können maximal 48 Gruppen mit konfigurierten Anmeldeinformationen zugewiesen sein.
    • Ein Benutzer kann Anmeldeinformationen für maximal 48 Apps mit kennwortbasiertem einmaligem Anmelden konfigurieren. Dieser Grenzwert gilt nur für Anmeldeinformationen, die konfiguriert werden, wenn dem Benutzer die App direkt zugewiesen wird, und nicht, wenn der Benutzer Mitglied einer Gruppe ist, die zugewiesen wird.
    • Weitere Grenzwerte finden Sie unter Validierungsunterschiede nach unterstützten Kontotypen.
    Anwendungsmanifest Dem Anwendungsmanifest können maximal 1.200 Einträge hinzugefügt werden.
    Weitere Grenzwerte finden Sie unter Validierungsunterschiede nach unterstützten Kontotypen.
    Gruppen
    • Ein Benutzer ohne Administratorrechte kann in einer Azure AD-Organisation maximal 250 Gruppen erstellen. Alle Azure AD-Administratoren, die Gruppen in der Organisation verwalten können, können auch eine unbegrenzte Anzahl von Gruppen erstellen (bis zum Grenzwert für Azure AD-Objekte). Wenn Sie einem Benutzer eine Rolle zuweisen möchten, um den Grenzwert für diesen Benutzer zu entfernen, weisen Sie ihm eine integrierte Rolle mit weniger Berechtigungen zu (beispielsweise die Rolle „Benutzeradministrator“ oder „Gruppenadministrator“).
    • Eine Azure AD-Organisation kann maximal 5.000 dynamische Gruppen und dynamische Verwaltungseinheiten enthalten.
    • In einer einzigen Azure AD-Organisation (Mandant) können maximal 500 Gruppen erstellt werden, denen Rollen zugewiesen werden können.
    • Maximal 100 Benutzer können Besitzer einer einzelnen Gruppe sein.
    • Eine beliebige Anzahl von Azure AD-Ressourcen kann einer einzelnen Gruppe angehören.
    • Ein Benutzer kann ein Mitglied einer beliebigen Anzahl von Gruppen sein. Wenn Sicherheitsgruppen in Kombination mit SharePoint Online verwendet werden, kann ein Benutzer insgesamt 2.049 Sicherheitsgruppen angehören. Dies schließt sowohl direkte als auch indirekte Gruppenmitgliedschaften ein. Wenn dieser Grenzwert überschritten wird, werden Authentifizierungs- und Suchergebnisse unvorhersehbar.
    • Die Anzahl von Mitgliedern einer Gruppe, die Sie über Ihre lokale Active Directory-Instanz mit Azure Active Directory synchronisieren können, ist bei Verwendung von Azure AD Connect standardmäßig auf 50.000 beschränkt. Wenn Sie eine Gruppenmitgliedschaft synchronisieren müssen, die über diesen Grenzwert hinausgeht, müssen Sie die Synchronisierungsendpunkt-API V2 für Azure AD Connect integrieren.
    • Geschachtelte Gruppen in Azure AD werden nicht in allen Szenarien unterstützt.
    • Wenn Sie eine Liste mit Gruppen auswählen, können Sie maximal 500 Microsoft 365-Gruppen eine Gruppenablaufrichtlinie zuweisen. Wird die Richtlinie auf alle Microsoft 365-Gruppen angewendet, gibt es keine Beschränkung.

    Aktuell werden folgende Szenarien mit geschachtelten Gruppen unterstützt:
    • Eine Gruppe kann einer anderen Gruppe als Mitglied hinzugefügt werden, und Sie können eine Gruppenverschachtelung erreichen.
    • Gruppenmitgliedschaftsansprüche: Wenn eine App so konfiguriert wurde, dass sie Gruppenmitgliedschaftsansprüche im Token empfängt, werden geschachtelte Gruppen einbezogen, denen der angemeldete Benutzer angehört.
    • Bedingter Zugriff (wenn für eine Richtlinie für bedingten Zugriff ein Gruppenbereich gilt)
    • Einschränken des Zugriffs auf die Self-Service-Kennwortzurücksetzung
    • Einschränken, welche Benutzer Azure AD beitreten und eine Geräteregistrierung durchführen dürfen.

    Folgende Szenarien werden mit geschachtelten Gruppen nicht unterstützt:
    • App-Rollenzuweisung (sowohl für den Zugriff als auch für die Bereitstellung). Das Zuweisen von Gruppen zu einer App wird unterstützt, aber alle Gruppen, die innerhalb der direkt zugewiesenen Gruppe geschachtelt sind, haben keinen Zugriff.
    • Gruppenbasierte Lizenzierung (automatisches Zuweisen einer Lizenz zu allen Mitgliedern einer Gruppe)
    • Microsoft 365-Gruppen
    Anwendungsproxy
    • Maximal 500 Transaktionen* pro Sekunde und Anwendungsproxyanwendung
    • Maximal 750 Transaktionen pro Sekunde für die Azure AD-Organisation

      * Eine Transaktion ist als einzelne HTTP-Anforderung und -Antwort für eine individuelle Ressource definiert. Wenn Clients gedrosselt werden, erhalten sie eine 429-Antwort (zu viele Anforderungen).
    Anpassung des Zugriffsbereichs Im Zugriffsbereich können beliebig viele Anwendungen pro Benutzer angezeigt werden – unabhängig von den zugewiesenen Lizenzen.
    Berichte In einem Bericht können maximal 1.000 Zeilen angezeigt oder heruntergeladen werden. Weitere Daten werden abgeschnitten.
    Verwaltungseinheiten
    • Eine Azure AD-Ressource kann zu höchstens 30 Verwaltungseinheiten gehören.
    • Eine Azure AD-Organisation kann maximal 5.000 dynamische Gruppen und dynamische Verwaltungseinheiten enthalten.
    Azure AD-Rollen und -Berechtigungen
    • In einer Azure AD-Organisation können maximal 100 benutzerdefinierte Azure AD-Rollen erstellt werden.
    • Maximal 150 benutzerdefinierte Azure AD-Rollenzuweisungen für einen einzelnen Prinzipal in einem beliebigen Bereich
    • Maximal 100 integrierte Azure AD-Rollenzuweisungen für einen einzelnen Prinzipal außerhalb des Mandantenbereichs (z. B. eine Verwaltungseinheit oder ein Azure AD-Objekt). Im Mandantenbereich können beliebig viele integrierte Azure AD-Rollenzuweisungen verwendet werden.
    • Eine Gruppe kann nicht als Gruppenbesitzer hinzugefügt werden.
    • Die Fähigkeit von Benutzern, Mandanteninformationen anderer Benutzer lesen zu können, kann nur durch den Azure AD-organisationsweiten Switch eingeschränkt werden, um den Zugriff für alle Nicht-Administratorbenutzer auf alle Mandanteninformationen zu deaktivieren (nicht empfohlen). Weitere Informationen finden Sie unter Einschränken der Standardberechtigungen für Mitgliedsbenutzer.
    • Es kann bis zu 15 Minuten dauern, bis Hinzufügungen und Sperrungen von Administratorrollenmitgliedschaften wirksam werden. Gegebenenfalls müssen Sie sich auch ab- und wieder anmelden.

    Nächste Schritte