Restrictions et limites du service Microsoft Entra

Cet article présente les contraintes d’utilisation et autres limites du service Microsoft Entra ID, qui fait partie de Microsoft Entra. Pour connaître l'ensemble complet des limites du service Microsoft Azure, consultez Abonnement Azure et limites, quotas et contraintes du service.

Voici les contraintes d’utilisation et autres limites du service Microsoft Entra.

Catégorie Limite
Locataires
  • Un utilisateur unique peut appartenir à un maximum de 500 tenants Microsoft Entra en tant que membre ou invité.
  • Un même utilisateur peut créer un maximum de 200 annuaires.
  • Limite de 300 abonnements basés sur une licence (tels que les abonnements Microsoft 365) par locataire
  • Domaines
  • Vous ne pouvez pas ajouter plus de 5 000 noms de domaines managés.
  • Si vous avez configuré tous vos domaines pour la fédération avec le répertoire Active Directory local, vous ne pouvez pas ajouter plus de 2 500 noms de domaine dans chaque locataire.
  • Ressources
    • Par défaut, l’édition gratuite de Microsoft Entra ID permet aux utilisateurs de créer 50 000 ressources Microsoft Entra au maximum dans un même tenant. Si vous avez au moins un domaine vérifié, le quota de service Microsoft Entra par défaut de votre organisation est étendu à 300 000 ressources Microsoft Entra.
      Le quota du service Microsoft Entra des organisations créées par inscription en libre-service reste à 50 000 ressources Microsoft Entra même après que vous avez effectué une prise de contrôle de l’administration interne et que l’organisation est convertie en tenant managé avec au moins un domaine vérifié. Cette limite de service n’est pas liée à la limite de niveau tarifaire de 500 000 ressources mentionnée dans la page de tarification Microsoft Entra.
      Pour aller au-delà du quota par défaut, vous devez contacter le Support Microsoft.
    • Un utilisateur non-administrateur peut créer jusqu’à 250 ressources Microsoft Entra. Les ressources actives et les ressources supprimées qui peuvent être restaurées sont comptabilisées dans ce quota. Seules les ressources Microsoft Entra supprimées il y a moins de 30 jours peuvent être restaurées. Les ressources Microsoft Entra supprimées qui ne peuvent plus être restaurées comptent pour un quart dans ce quota pendant 30 jours.
      Si vos développeurs sont susceptibles de dépasser régulièrement ce quota dans le cadre de leurs tâches habituelles, vous pouvez créer et attribuer un rôle personnalisé avec l’autorisation de créer un nombre illimité d’inscriptions d’applications.
    • Les limitations de ressources s’appliquent à tous les objets d’annuaire d’un tenant Microsoft Entra donné, dont les utilisateurs, les groupes, les applications et les principaux de service.
    Extensions de schéma
    • Les extensions de type chaîne peuvent avoir jusqu’à 256 caractères.
    • Les extensions de type binaire sont limitées à 256 octets.
    • Seules 100 valeurs d’extension (de tous les types et de toutes les applications) peuvent être écrites dans une ressource Microsoft Entra unique.
    • Actuellement, seules les entités User, Group, TenantDetail, Device, Application et ServicePrincipal peuvent être étendues avec des attributs à valeur unique de type binaire ou chaîne.
    Applications
    • Au maximum 100 utilisateurs et principaux de service peuvent être propriétaires d’une application individuelle.
    • Un utilisateur, un groupe ou un principal de service peut avoir un maximum de 1 500 attributions de rôles d’application. La limitation se trouve sur le principal de service, l’utilisateur ou le groupe pour tous les rôles d’application, et non sur le nombre d’attributions sur un rôle d’application unique.
    • Un utilisateur peut avoir des informations d’identification configurées pour un maximum de 48 applications à l’aide de l’authentification unique par mot de passe. Cette limite s’applique uniquement aux informations d’identification configurées lorsque l’application est attribuée directement à l’utilisateur, et non lorsque l’utilisateur est membre d’un groupe auquel l’application est attribuée.
    • Un groupe peut avoir des informations d’identification configurées pour un maximum de 48 applications en utilisant l’authentification unique par mot de passe.
    • Découvrez des limites supplémentaires dans les Différences de validation par types de comptes pris en charge.
    Manifeste d’application Il est possible d’ajouter au maximum 1 200 entrées dans le manifeste de l’application.
    Découvrez des limites supplémentaires dans les Différences de validation par types de comptes pris en charge.
    Groupes
    • Un utilisateur non administrateur peut créer jusqu’à 250 groupes dans une organisation Microsoft Entra. Tout administrateur Microsoft Entra qui peut gérer des groupes dans l’organisation peut également créer un nombre illimité de groupes (jusqu’au nombre maximal d’objets Microsoft Entra). Si vous attribuez à un utilisateur un rôle pour supprimer la limite, attribuez-lui un rôle intégré avec moins de privilèges, comme celui d’administrateur d’utilisateurs ou d’administrateur de groupes.
    • Une organisation Microsoft Entra peut avoir au maximum 5 000 groupes dynamiques et unités administratives dynamiques combinés.
    • Un maximum de 500 groupes attribuables à des rôles peuvent être créés dans une même organisation Microsoft Entra (locataire).
    • 100 utilisateurs au maximum peuvent être propriétaires d'un seul groupe.
    • Il n’y a pas de limite au nombre de ressources Microsoft Entra qui peuvent faire partie d’un même groupe.
    • Un utilisateur peut être membre de n’importe quel nombre de groupes. Lorsque des groupes de sécurité sont utilisés en association avec SharePoint Online, un utilisateur peut faire partie de 2 049 groupes de sécurité au total. Cela inclut les appartenances aux groupes directs et indirects. Lorsque cette limite est dépassée, les résultats d’authentification et de recherche deviennent imprévisibles.
    • À compter de Microsoft Entra Connect v2.0, le point de terminaison V2 est l’API par défaut. Vous ne pouvez pas synchroniser plus de 250 000 membres d’un groupe de votre annuaire Active Directory local avec Microsoft Entra ID à l’aide de Microsoft Entra Connect. Pour plus d’informations, consultez Microsoft Entra Connect Sync V2.
    • Lorsque vous sélectionnez une liste de groupes, vous pouvez affecter une stratégie d’expiration de groupe à un maximum de 500 groupes Microsoft 365. Il n’existe aucune limite quand la stratégie est appliquée à tous les groupes Microsoft 365.

    Actuellement, les scénarios suivants sont pris en charge avec les groupes imbriqués :
    • Un groupe peut être ajouté en tant que membre d’un autre groupe et vous pouvez obtenir une imbrication de groupes.
    • Revendications d’appartenance à un groupe. Lorsqu’une application est configurée pour recevoir des revendications d’appartenance à un groupe dans le jeton, les groupes imbriqués, dont l’utilisateur connecté est membre, sont inclus.
    • Accès conditionnel (quand une stratégie d’accès conditionnel a une étendue de groupe).
    • Restriction de l’accès à la réinitialisation de mot de passe en libre-service.
    • Restriction des utilisateurs pouvant utiliser la jonction Microsoft Entra et l’inscription de l’appareil.

    Les scénarios suivants ne sont pas pris en charge avec les groupes imbriqués :
    • Attribution de rôle d’application, pour l’accès et l’approvisionnement. L’attribution de groupes à une application est prise en charge, mais tous les groupes imbriqués dans le groupe directement affecté n’ont pas d’accès.
    • Licence basée sur les groupes (attribution automatique d’une licence à tous les membres d’un groupe).
    • Groupes Microsoft 365.
    Application Proxy (Proxy d’application)
    • Un maximum de 500 transactions* par seconde par application de proxy d’application.
    • Un maximum de 750 transactions par seconde pour l’organisation Microsoft Entra.

      * Une transaction est définie comme une seule requête et réponse HTTP pour une ressource unique. En cas de limitation, les clients recevront la réponse 429 (trop de demandes). Les métriques de transaction sont collectées sur chaque connecteur et peuvent être contrôlées à l'aide de compteurs de performance sous le nom d'objet Microsoft AAD App Proxy Connector.
    Volet d'accès Il n’existe aucune limite quant au nombre d’applications qui peuvent être affichées par utilisateur dans le volet d’accès, quel que soit le nombre de licences attribuées.
    Rapports 1 000 lignes au maximum peuvent être affichées ou téléchargées dans un rapport. Toutes les données supplémentaires sont tronquées.
    Unités administratives
    • Une ressource Microsoft Entra peut faire partie de 30 unités administratives au maximum.
    • Un maximum de 100 unités administratives de gestion restreinte dans un locataire.
    • Une organisation Microsoft Entra peut avoir au maximum 5 000 groupes dynamiques et unités administratives dynamiques combinés.
    Rôles et autorisations Microsoft Entra
    • Vous pouvez créer un maximum de 100 rôles personnalisés Microsoft Entra dans une organisation Microsoft Entra.
    • Un maximum de 150 attributions de rôles personnalisées Microsoft Entra pour un principal unique au niveau de toute étendue.
    • Un maximum de 100 attributions de rôles intégrés Microsoft Entra pour un principal unique dans une étendue non tenant (telle qu’une unité administrative ou un objet Microsoft Entra). Il n’existe aucune limite pour les attributions de rôles intégrés Microsoft Entra au niveau de l’étendue du tenant. Pour plus d’informations, consultez Attribuer des rôles Microsoft Entra à différentes étendues.
    • Vous ne pouvez pas ajouter un groupe en tant que groupe propriétaire.
    • Seule l’option d’activation/désactivation à l’échelle de l’organisation Microsoft Entra permet de limiter la capacité d’un utilisateur à lire les informations de tenant d’autres utilisateurs pour désactiver l’accès de tous les utilisateurs non administrateurs à l’ensemble des informations de tenant (non recommandé). Pour plus d’informations, consultez Pour restreindre les autorisations par défaut des utilisateurs membres.
    • Il peut s’écouler jusqu’à 15 minutes, ou bien falloir une déconnexion/reconnexion, pour que les ajouts et révocations de rôles d’administrateur prennent effet.
    Stratégies d’accès conditionnel Un maximum de 195 stratégies peuvent être créées dans une seule organisation (tenant) Microsoft Entra.
    Conditions d’utilisation Vous ne pouvez pas ajouter plus de 40 conditions à une organisation Microsoft Entra (tenant) unique.
    Organisations multilocataire
    • Un maximum de cinq locataires actifs, y compris le locataire propriétaire. Le locataire propriétaire peut ajouter plus de cinq locataires en attente, mais il ne peut pas rejoindre l’organisation multilocataire si la limite est dépassée. Cette limite est appliquée au moment où un locataire en attente rejoint une organisation multilocataire.
    • La limite est spécifique au nombre de locataires dans une organisation multilocataire. Elle ne s’applique pas à la synchronisation entre clients seule.
    • Un maximum de 100 000 utilisateurs internes par locataire actif. Cette limite est appliquée au moment où un locataire en attente rejoint une organisation multilocataire.

    Étapes suivantes