Megosztás a következőn keresztül:

A Microsoft Entra szolgáltatás korlátai és korlátozásai

Áttekintés

Ez a cikk a Microsoft Entra részét képező Microsoft Entra ID használati korlátozásait és egyéb szolgáltatási korlátait tartalmazza. Ha a Microsoft Azure szolgáltatási korlátainak teljes készletét keresi, tekintse meg az Azure-előfizetések és -szolgáltatások korlátait, kvótáit és korlátozásait.

Íme a Microsoft Entra szolgáltatás használati korlátozásai és egyéb szolgáltatási korlátai.

Category Limit
Tenants
  • Egyetlen felhasználó legfeljebb 500 Microsoft Entra-bérlőhöz tartozhat tagként vagy vendégként.
  • Legfeljebb 200 bérlőt hozhat létre. Ez a korlát csak a Microsoft Entra felügyeleti központban található örökölt bővítmény-bérlőlétrehozási felületre vonatkozik.
  • Bérlőnként legfeljebb 300 licencalapú előfizetés (például Microsoft 365-előfizetés) lehet.
Domains
  • Legfeljebb 5000 felügyelt tartománynevet adhat hozzá.
  • Ha az összes tartományát a helyszíni Active Directoryval való összevonáshoz állítja be, javasoljuk, hogy az optimális teljesítmény érdekében minden bérlőben 300 tartománynevet korlátozza. A maximális támogatott korlát 2500 tartománynév.
Resources
  • Az újonnan létrehozott bérlők ideiglenes kvótakorlátja 600 címtárobjektum, a bérlőlétrehozás utáni első két napban. Ezt a korlátozást a rendszer automatikusan kikényszeríti, és nem igényel műveletet a bérlői rendszergazda részéről. A kétnapos időszak után a rendszer automatikusan visszaállítja a kvótát a normál alapértelmezett értékre: 50 000 objektum ellenőrzött tartományt nem tartalmazó bérlők esetén, illetve 300 000 objektum ellenőrzött tartománnyal rendelkező bérlők esetén. Ha egy ellenőrzött tartományt a kezdeti kétnapos időszakban ad hozzá, az nem növeli azonnal a kvótát; meghatározza az időszak vége után alkalmazandó kvótaszintet. Ez az ideiglenes korlátozás nem érinti a meglévő bérlőket.
  • A Microsoft Entra ID Free kiadás felhasználói alapértelmezés szerint legfeljebb 50 000 Microsoft Entra-erőforrást hozhatnak létre egyetlen bérlőben. Ha legalább egy ellenőrzött tartománnyal rendelkezik, a szervezet alapértelmezett Microsoft Entra szolgáltatáskvótája 300 000 Microsoft Entra-erőforrásra lesz kiterjesztve.
    Az önkiszolgáló regisztrációval létrehozott szervezetek Microsoft Entra szolgáltatáskvótája továbbra is 50 000 Microsoft Entra-erőforrás marad, még akkor is, ha belső rendszergazdai átvételt hajt végre, és a szervezet egy felügyelt bérlővé alakul át legalább egy ellenőrzött tartománnyal. Ez a szolgáltatási korlát nem kapcsolódik a Microsoft Entra díjszabási oldalán található 500 000 erőforrásra vonatkozó tarifacsomag-korláthoz.
    Az alapértelmezett kvóta túllépéséhez kapcsolatba kell lépnie Microsoft ügyfélszolgálata.
  • A nem rendszergazdai felhasználók legfeljebb 250 Microsoft Entra-erőforrást hozhatnak létre. Mind az aktív, mind a törölt erőforrások, amelyek a kvóta számának visszaállításához rendelkezésre állnak. Csak a 30 nappal ezelőtt törölt Microsoft Entra-erőforrások állíthatók vissza. Törölte azokat a Microsoft Entra-erőforrásokat, amelyek már nem érhetők el ahhoz, hogy 30 napig egynegyed értékben állítsa vissza a kvóta számát.
    Ha olyan fejlesztőkkel rendelkezik, akik rendszeres feladataik során valószínűleg többször is túllépik ezt a kvótát, létrehozhat és hozzárendelhet egy egyéni szerepkört , amely korlátlan számú alkalmazásregisztráció létrehozására jogosult.
  • Az erőforráskorlátozások egy adott Microsoft Entra-bérlő összes címtárobjektumára vonatkoznak, beleértve a felhasználókat, csoportokat, alkalmazásokat és szolgáltatásneveket.
Sémabővítmények
  • A sztring típusú bővítmények legfeljebb 256 karakterből állhatnak.
  • A bináris típusú bővítmények legfeljebb 256 bájtosak lehetnek.
  • Csak 100 bővítményérték írható egyetlen Microsoft Entra-erőforrásba minden típusra és alkalmazásra .
  • Csak a User, Group, TenantDetail, Device, Application és ServicePrincipal entitások bővíthetők String típusú vagy Binary típusú egyértékű attribútumokkal.
  • A DateTime típusú bővítmények csak az "egyenlőség" operátort támogatják. A tartomány operátorai, például a "nagyobb mint" vagy a "kisebb" nem támogatottak.
Applications
  • Egy alkalmazásnak legfeljebb 100 felhasználó és szolgáltatásnév lehet a tulajdonosa.
  • Egy felhasználó, csoport vagy szolgáltatásnév legfeljebb 1500 alkalmazási szerepkör-hozzárendeléssel rendelkezhet. A korlátozás a hozzárendelt szolgáltatásnévre, felhasználóra vagy csoportra vonatkozik az összes alkalmazásszerepkörre, és nem az egyetlen alkalmazásszerepkör hozzárendeléseinek számára. Ez a korlát olyan alkalmazásszerepkör-hozzárendeléseket tartalmaz, ahol az erőforrás-szolgáltatásnév helyreállíthatóan törölve lett.
  • A felhasználók legfeljebb 48 alkalmazáshoz konfigurálhatnak hitelesítő adatokat jelszóalapú egyszeri bejelentkezéssel. Ez a korlát csak azokra a hitelesítő adatokra vonatkozik, amelyek akkor vannak konfigurálva, ha a felhasználó közvetlenül hozzá van rendelve az alkalmazáshoz, és nem akkor, ha a felhasználó egy hozzárendelt csoport tagja.
  • A csoportok hitelesítő adatai legfeljebb 48 alkalmazáshoz konfigurálhatók jelszóalapú egyszeri bejelentkezéssel.
  • További korlátozások az érvényesítési különbségekben támogatott fióktípusok szerint.
Alkalmazásjegyzék Legfeljebb 1200 bejegyzés adható hozzá az alkalmazásjegyzékhez.
További korlátozások az érvényesítési különbségekben támogatott fióktípusok szerint.
Groups
  • A nem rendszergazdai felhasználók legfeljebb 250 csoportot hozhatnak létre egy Microsoft Entra-szervezetben. Bármely Microsoft Entra-rendszergazda, aki képes a szervezet csoportjainak kezelésére, korlátlan számú csoportot is létrehozhat (a Microsoft Entra objektumkorlátig). Ha hozzárendel egy szerepkört egy felhasználóhoz, hogy eltávolítsa a felhasználóra vonatkozó korlátot, rendeljen hozzá egy kevésbé kiemelt, beépített szerepkört, például a felhasználói rendszergazdat vagy a csoportadminisztrátort.
  • A Microsoft Entra-szervezetek legfeljebb 15 000 dinamikus csoporttal (beleértve a Microsoft Entra jogosultságkezelési automatikus hozzárendelési szabályzataiból származókat) és dinamikus felügyeleti egységeket is tartalmazhatnak.
  • Egyetlen Microsoft Entra-szervezetben (bérlőben) legfeljebb 500 szerepkör-hozzárendelhető csoport hozható létre.
  • Egyetlen csoportnak legfeljebb 100 felhasználó lehet a tulajdonosa.
  • Jogkivonatonként 1010 csoport engedélyezett Entra Kerberos.
  • Tetszőleges számú Microsoft Entra-erőforrás tagja lehet egyetlen csoportnak.
  • Ha egy felhasználó (vagy csoport) több mint 2048 (közvetlen és beágyazott) csoport tagja, a hozzáférésük blokkolva lehet. Ez a korlátozás a közvetlen és a beágyazott csoporttagságokra is vonatkozik. Tekintse meg a Felhasználók, csoportok és számítási feladatok identitásának hozzárendeléseit a feltételes hozzáférésben.
  • Egy felhasználó egyszerre korlátlan számú csoport tagja lehet. A következő szolgáltatásspecifikus korlátok érvényesek, ha csoporttagságokat használnak a hitelesítésben vagy engedélyezésben (beleértve a közvetlen és közvetett tagságokat is):
    • SharePoint Online: Ha biztonsági csoportokat használ a SharePoint Online-ban, a felhasználó összesen legfeljebb 2047 biztonsági csoport tagja lehet, beleértve a közvetlen és közvetett tagságot is. Ha túllépi ezt a korlátot, a hitelesítés és a keresési eredmények kiszámíthatatlanná válhatnak. Lásd a SharePoint korlátait.
    • SAML-jogkivonatok: Ha engedélyezve vannak a választható csoportok jogcímei, legfeljebb 150 csoporttagság (beleértve a beágyazott csoportokat) szerepel az SAML-állításokban. Ha egy felhasználó több mint 150 csoportban van, a rendszer kihagyja a csoportok jogcímét, és ehelyett egy túlhasználati jogcímet küld. A Microsoft Entra ID csak akkor támogatja a csoportszűrést, ha egy felhasználó 1000 vagy kevesebb csoporthoz tartozik (beleértve a közvetlen és tranzitív tagságokat is). Ha túllépi ezt a korlátot, a szűrés nem lesz alkalmazva, és a rendszer túlhasználati jogcímet küld helyette. A megvalósítási útmutatóért tekintse meg az opcionális jogcímek konfigurálását és az SAML-jogkivonat jogcímeinek referenciáját .
    • JWT/OIDC-tokenek: Ha engedélyezve vannak a választható csoportok jogcímei, legfeljebb 200 csoporttagság (beleértve a beágyazott csoportokat) szerepel a JWT-jogkivonatokban. Ha egy felhasználó több mint 200 csoportban van, a rendszer kihagyja a csoportok jogcímét, és ehelyett egy túlhasználati jogcímet küld. A megvalósítási útmutatóért tekintse meg az opcionális jogcímek konfigurálását és az Access-jogkivonat jogcímeinek referenciáját .
    • Feltételes hozzáférési szabályzatok: A szabályzatértékelés felhasználónként legfeljebb 4096 csoporttagság használatát támogatja (közvetlen és közvetett). Ha túllépi ezt a korlátot, előfordulhat, hogy a szabályzatkényszerítés meghiúsul. Tekintse meg a Felhasználók, csoportok és számítási feladatok identitásának hozzárendeléseit a feltételes hozzáférésben.
  • A Microsoft Entra Connect 2.0-s verziótól kezdve a V2-végpont az alapértelmezett API. Egy csoport azon tagjainak száma, amelyeket a helyi Active Directory a Microsoft Entra Connect használatával szinkronizálhat, legfeljebb 250 000 tag lehet. További információ: Microsoft Entra Connect Sync V2.
  • A csoportok listájának kiválasztásakor legfeljebb 500 Microsoft 365-csoporthoz rendelhet csoport lejárati szabályzatot. Nincs korlátozás, ha a szabályzat az összes Microsoft 365-csoportra érvényes.

Jelenleg a következő forgatókönyvek támogatottak beágyazott csoportokkal:
  • Egy csoport felvehető egy másik csoport tagjaként, és csoportbe ágyazást is végezhet.
  • Csoporttagsági jogcímek. Ha egy alkalmazás úgy van konfigurálva, hogy csoporttagsági jogcímeket fogadjon a jogkivonatban, beágyazott csoportok jelennek meg, amelyekbe a bejelentkezett felhasználó tag.
  • Feltételes hozzáférés (ha egy feltételes hozzáférési szabályzat csoporthatókörrel rendelkezik).
  • Az önkiszolgáló jelszó-visszaállításhoz való hozzáférés korlátozása.
  • Annak korlátozása, hogy mely felhasználók végezhetnek Microsoft Entra-csatlakozást és eszközregisztrációt.

A beágyazott csoportok nem támogatják a következő forgatókönyveket:
  • Alkalmazási szerepkör hozzárendelése a hozzáféréshez és a kiépítéshez. A csoportok alkalmazáshoz való hozzárendelése támogatott, de a közvetlenül hozzárendelt csoportba ágyazott csoportoknak nem lesz hozzáférésük.
  • Csoportalapú licencelés (a licenc automatikus hozzárendelése a csoport összes tagjára).
  • Microsoft 365-csoportok.
alkalmazásproxy
  • Legfeljebb 500 tranzakció* másodpercenként alkalmazásproxy alkalmazásonként.
  • Legfeljebb 750 tranzakció másodpercenként a Microsoft Entra-szervezet számára.

*A tranzakció egyetlen HTTP-kérésként és válaszként van definiálva egy egyedi erőforráshoz. Ha az ügyfelek szabályozva vannak, 429-et kapnak (túl sok kérést). A tranzakciómetrikákat az egyes összekötők gyűjtik össze, és az objektumnév Microsoft Entra private network connectoralatt teljesítményszámlálókkal figyelhetők.
hozzáférési panel A hozzárendelt licencek számától függetlenül a felhasználónkénti alkalmazások száma nem korlátozható a hozzáférési panel.
Reports A jelentésekben legfeljebb 1000 sort lehet megtekinteni vagy letölteni. A további adatokat a rendszer csonkolja.
Felügyeleti egységek
  • A Microsoft Entra-erőforrás legfeljebb 30 felügyeleti egység tagja lehet.
  • A bérlőben nincs meghatározott korlát a felügyeleti egységek számára, de legfeljebb 100 korlátozott felügyeleti felügyeleti egység lehet egy bérlőben.
  • A Microsoft Entra-szervezetek legfeljebb 15 000 dinamikus csoporttal (beleértve a Microsoft Entra jogosultságkezelési automatikus hozzárendelési szabályzataiból származókat) és dinamikus felügyeleti egységeket is tartalmazhatnak.
Microsoft Entra szerepkörök és engedélyek
  • Egy Microsoft Entra-szervezetben legfeljebb 100 egyéni Microsoft Entra-szerepkör hozható létre.
  • Legfeljebb 150 Egyéni Microsoft Entra-szerepkör-hozzárendelés egyetlen taghoz bármilyen hatókörben.
  • Legfeljebb 100 Beépített Microsoft Entra-szerepkör-hozzárendelés egyetlen taghoz, nem bérlői hatókörben (például felügyeleti egységhez vagy Microsoft Entra-objektumhoz). A Microsoft Entra beépített szerepkör-hozzárendeléseinek nincs korlátja a bérlői hatókörben. További információ: Microsoft Entra-szerepkörök hozzárendelése.
  • Csoport nem adható hozzá csoporttulajdonosként.
  • A felhasználók bérlői adatainak olvasását csak a Microsoft Entra szervezeti szintű kapcsolója korlátozhatja, hogy letiltsa az összes nem rendszergazda felhasználó hozzáférését az összes bérlői információhoz (nem ajánlott). További információ: A tagfelhasználók alapértelmezett engedélyeinek korlátozása.
  • Akár 15 percet is igénybe vehet, vagy előfordulhat, hogy ki kell jelentkeznie, és vissza kell jelentkeznie, mielőtt a rendszergazdai szerepkör-tagság hozzáadása és visszavonása érvénybe lépne.
Feltételes hozzáférési szabályzatok Egyetlen Microsoft Entra-szervezetben (bérlőben) legfeljebb 195 szabályzat hozható létre.
Használati feltételek Egyetlen Microsoft Entra-szervezethez (bérlőhöz) legfeljebb 40 kifejezést adhat hozzá.
Több-bérlős szervezetek
  • Legfeljebb 100 aktív bérlő, beleértve a tulajdonos bérlőt is. A tulajdonos bérlő több mint 100 függőben lévő bérlőt adhat hozzá, de a korlát túllépése esetén nem tud csatlakozni a több-bérlős szervezethez. Ezt a korlátot akkor alkalmazza a rendszer, amikor egy függőben lévő bérlő több-bérlős szervezethez csatlakozik.
    • Ez a korlát a több-bérlős szervezetek bérlőinek számára vonatkozik. Ez önmagában nem vonatkozik a bérlők közötti szinkronizálásra.
Ügynökidentitás-tervek
  • Egy bérlő legfeljebb 250 tervvel rendelkezhet, amelyeket nem a Microsoft tulajdonában lévő platformok hoztak létre. Ez a korlátozás nem vonatkozik a Microsoft tulajdonában lévő platformokra, például a Foundryre és a Copilot Studióra.
  • A nem rendszergazdai felhasználók legfeljebb 250 ügynökidentitás-tervet hozhatnak létre.
    • Az aktív és a törölt tervek is hozzájárulnak ehhez a kvótához.
Ügynökidentitások
  • A bérlőkben minden olyan ügynökterv, amelyet nem a Microsoft tulajdonában lévő platform kezel, tervenként legfeljebb 250 ügynökidentitásra korlátozódik. Ez a korlátozás nem vonatkozik a Microsoft tulajdonában lévő platformok, például a Foundry és a Copilot Studio által felügyelt tervekre.
  • A nem rendszergazdai felhasználók esetében az ügynökidentitások létrehozása ügynöktervenként 250-re van leképezve.
    • Az aktív és a törölt ügynökidentitások is beleszámítanak ebbe a korlátba.
B2B-meghívók
  • Fizetős licenccel rendelkező munkaerő-bérlők
    • 30 napnál régebbi bérlők: napi 200 meghívás
    • 30 napnál régebbi bérlők: a Microsoft Entra szolgáltatáskvótáinak megfeleltetése
  • Fizetős licencek nélküli munkaerő-bérlők
    • 30 napnál nem régebbi bérlők: napi 10 meghívás
    • 30 napnál régebbi bérlők: napi 100 meghívó
Bérlők közötti hozzáférési szabályzatok
  • Az egyes bérlők közötti hozzáférési házirend-partnerek bérlői kapcsolatainak megfelelő crossTenantAccessPolicyConfigurationPartner objektum legfeljebb 4 KB lehet.
    Minden crossTenantAccessPolicyConfigurationPartner objektum, beleértve a terhelést és a JSON-blobadatok tartalmát is, nem haladhatja meg ezt a korlátot. A partnerszabályzatok optimalizálásához fontolja meg a csoportok használatát explicit felhasználói azonosítók helyett a hatókör meghatározásához.

Kapcsolódó tartalom

  • Last updated on