Restrictions et limites du service Azure Active Directory

  • Article
  • 6 minutes de lecture

Cet article présente les contraintes d'utilisation et autres limites de service pour le service Azure Active Directory (Azure AD), qui fait partie de Microsoft Entra. Pour connaître l'ensemble complet des limites du service Microsoft Azure, consultez Abonnement Azure et limites, quotas et contraintes du service.

Présentation des contraintes d’utilisation et autres limites de service pour le service Azure AD.

Category Limite
Locataires
  • Un même utilisateur peut appartenir à un maximum de 500 locataires Azure AD en tant que membre ou invité.
  • Un même utilisateur peut créer un maximum de 200 annuaires.
    		•
    Domaines
  • Vous ne pouvez pas ajouter plus de 5 000 noms de domaines managés.
  • Si vous avez configuré tous vos domaines pour la fédération avec le répertoire Active Directory local, vous ne pouvez pas ajouter plus de 2 500 noms de domaine dans chaque locataire.
    		•
    Ressources
    • Par défaut, l’édition Azure Active Directory Free permet de créer un maximum de 50 000 ressources Azure AD dans un même locataire. Si vous avez au moins un domaine vérifié, le quota de service Azure AD par défaut est étendu à 300 000 ressources Azure AD.
      Le quota du service Azure AD pour les organisations créées par inscription en libre-service reste à 50 000 ressources Azure AD, même après une prise de contrôle administrative interne et la conversion de l’organisation en locataire managé avec au moins un domaine vérifié. Cette limite de service n’est pas liée à la limite de niveau tarifaire de 500 000 ressources sur la page de tarification Azure AD.
      Pour aller au-delà du quota par défaut, vous devez contacter le Support Microsoft.
    • Un utilisateur non-administrateur peut créer jusqu’à 250 ressources Azure AD. Les ressources actives et les ressources supprimées qui peuvent être restaurées sont comptabilisées dans ce quota. Seules les ressources Azure AD supprimées il y a moins de 30 jours peuvent être restaurées. Les ressources Azure AD supprimées qui ne peuvent plus être restaurées comptent pour un quart dans ce quota pendant 30 jours.
      Si vos développeurs sont susceptibles de dépasser régulièrement ce quota dans le cadre de leurs tâches habituelles, vous pouvez créer et attribuer un rôle personnalisé avec l’autorisation de créer un nombre illimité d’inscriptions d’applications.
    • Les limitations de ressources s’appliquent à tous les objets d’annuaire d’un locataire Azure AD donné, dont les utilisateurs, les groupes, les applications et les principaux de service.
    Extensions de schéma
    • Les extensions de type chaîne peuvent avoir jusqu’à 256 caractères.
    • Les extensions de type binaire sont limitées à 256 octets.
    • Seules 100 valeurs d’extension (de tous les types et pour toutes les applications) peuvent être écrites dans une ressource Azure AD.
    • Actuellement, seules les entités User, Group, TenantDetail, Device, Application et ServicePrincipal peuvent être étendues avec des attributs à valeur unique de type binaire ou chaîne.
    Applications
    • Au maximum 100 utilisateurs et principaux de service peuvent être propriétaires d’une application individuelle.
    • Un utilisateur, un groupe ou un principal de service peut avoir un maximum de 1 500 attributions de rôles d’application. La limitation se trouve sur le principal de service, l’utilisateur ou le groupe pour tous les rôles d’application, et non sur le nombre d’attributions sur un rôle d’application unique.
    • Une application configurée pour l’authentification unique par mot de passe peut avoir un maximum de 48 groupes affectés avec des informations d’identification configurées.
    • Un utilisateur peut avoir des informations d’identification configurées pour un maximum de 48 applications à l’aide de l’authentification unique par mot de passe. Cette limite s’applique uniquement aux informations d’identification configurées lorsque l’application est attribuée directement à l’utilisateur, et non lorsque l’utilisateur est membre d’un groupe auquel l’application est attribuée.
    • Découvrez des limites supplémentaires dans les Différences de validation par types de comptes pris en charge.
    Manifeste d’application Il est possible d’ajouter au maximum 1 200 entrées dans le manifeste de l’application.
    Découvrez des limites supplémentaires dans les Différences de validation par types de comptes pris en charge.
    Groupes
    • Un utilisateur non administrateur peut créer jusqu’à 250 groupes dans une organisation Azure AD. Tout administrateur Azure AD qui peut gérer des groupes dans l’organisation peut également créer un nombre illimité de groupes (jusqu’au nombre maximal d’objets Azure AD). Si vous attribuez à un utilisateur un rôle pour supprimer la limite, attribuez-lui un rôle intégré avec moins de privilèges, comme celui d’administrateur d’utilisateurs ou d’administrateur de groupes.
    • Une organisation Azure AD peut avoir au maximum 5 000 groupes dynamiques et unités administratives dynamiques combinés.
    • Un maximum de 500 groupes assignables à un rôle peuvent être créés dans une seule organisation (locataire) Azure AD.
    • 100 utilisateurs au maximum peuvent être propriétaires d'un seul groupe.
    • Il n’y a pas de limite au nombre de ressources Azure AD qui peuvent faire partie d’un même groupe.
    • Un utilisateur peut être membre de n’importe quel nombre de groupes. Lorsque des groupes de sécurité sont utilisés en association avec SharePoint Online, un utilisateur peut faire partie de 2 049 groupes de sécurité au total. Cela inclut les appartenances aux groupes directs et indirects. Lorsque cette limite est dépassée, les résultats d’authentification et de recherche deviennent imprévisibles.
    • Par défaut, vous ne pouvez pas synchroniser plus de 50 000 membres d’un groupe de votre annuaire Active Directory local vers Azure Active Directory en utilisant Azure AD Connect. Si vous devez synchroniser une appartenance à un groupe qui dépasse cette limite, vous devez intégrer l’API de point de terminaison Azure AD Connect Sync V2.
    • Lorsque vous sélectionnez une liste de groupes, vous pouvez affecter une stratégie d’expiration de groupe à un maximum de 500 groupes Microsoft 365. Il n’existe aucune limite quand la stratégie est appliquée à tous les groupes Microsoft 365.

    Actuellement, les scénarios suivants sont pris en charge avec les groupes imbriqués :
    • Un groupe peut être ajouté en tant que membre d’un autre groupe et vous pouvez obtenir une imbrication de groupes.
    • Revendications d’appartenance à un groupe. Lorsqu’une application est configurée pour recevoir des revendications d’appartenance à un groupe dans le jeton, les groupes imbriqués, dont l’utilisateur connecté est membre, sont inclus.
    • Accès conditionnel (quand une stratégie d’accès conditionnel a une étendue de groupe).
    • Restriction de l’accès à la réinitialisation de mot de passe en libre-service.
    • Restriction des utilisateurs pouvant utiliser la jonction Azure AD et l’inscription d’appareils.

    Les scénarios suivants ne sont pas pris en charge avec les groupes imbriqués :
    • Attribution de rôle d’application, pour l’accès et l’approvisionnement. L’attribution de groupes à une application est prise en charge, mais tous les groupes imbriqués dans le groupe directement affecté n’ont pas d’accès.
    • Licence basée sur les groupes (attribution automatique d’une licence à tous les membres d’un groupe).
    • Groupes Microsoft 365.
    Application Proxy (Proxy d’application)
    • Un maximum de 500 transactions* par seconde par application de proxy d’application.
    • Un maximum de 750 transactions par seconde pour l’organisation Azure AD.

      * Une transaction est définie comme une seule requête et réponse HTTP pour une ressource unique. En cas de limitation, les clients recevront la réponse 429 (trop de demandes).
    Volet d'accès Il n’existe aucune limite quant au nombre d’applications qui peuvent être affichées par utilisateur dans le volet d’accès, quel que soit le nombre de licences attribuées.
    Rapports 1 000 lignes au maximum peuvent être affichées ou téléchargées dans un rapport. Toutes les données supplémentaires sont tronquées.
    Unités administratives
    • Une ressource Azure AD peut faire partie de 30 unités administratives au maximum.
    • Une organisation Azure AD peut avoir au maximum 5 000 groupes dynamiques et unités administratives dynamiques combinés.
    Rôles et autorisations Azure AD
    • Vous pouvez créer 100 rôles personnalisés Azure AD maximum dans une organisation Azure AD.
    • Un maximum de 150 attributions de rôles personnalisées Azure AD pour un seul principal dans n’importe quelle étendue.
    • Un maximum de 100 attributions de rôles intégrées Azure AD pour un principal unique dans une étendue non-locataire (telle qu’une unité administrative ou un objet Azure AD). Il n’existe aucune limite pour les attributions de rôles intégrées Azure AD au niveau de l’étendue du locataire. Pour plus d’informations, consultez Attribuer des rôles Azure AD à différentes étendues.
    • Vous ne pouvez pas ajouter un groupe en tant que groupe propriétaire.
    • La capacité d’un utilisateur à lire les informations de locataire d’autres utilisateurs peut être limitée seulement par une option d’activation/désactivation à l’échelle de l’organisation Azure AD pour désactiver l’accès de tous les utilisateurs non administrateurs à l’ensemble des informations de locataire (non recommandé). Pour plus d’informations, consultez Pour restreindre les autorisations par défaut des utilisateurs membres.
    • Il peut s’écouler jusqu’à 15 minutes, ou bien falloir une déconnexion/reconnexion, pour que les ajouts et révocations de rôles d’administrateur prennent effet.
    Stratégies d’accès conditionnel Un maximum de 195 stratégies peuvent être créées dans une seule organisation (locataire) Azure AD.

    Étapes suivantes