Azure AD サービスの制限と制約

この記事では、Microsoft Entra の一部である Azure Active Directory (Azure AD) サービスの使用上の制約およびその他のサービスの制限を説明します。 Microsoft Azure サービスの制限すべてをご覧になりたい場合は、「 Azure サブスクリプションとサービスの制限、クォータ、および制約」を参照してください。

ここでは、Azure AD サービスの使用上の制約およびその他のサービスの制限について説明します。

カテゴリ 制限
テナント
  • 1 人のユーザーは、最大 500 の Azure AD テナントにメンバーまたはゲストとして属することができます。
  • 1 人のユーザーは、最大で 200 個のディレクトリを作成できます。
  • ドメイン
  • 追加できるマネージド ドメイン名は 5,000 個以下です。
  • オンプレミスの Active Directory とのフェデレーションをすべてのドメインに設定した場合、各テナントには 2,500 を超えるドメイン名を追加できません。
  • リソース
    • 既定では、Azure Active Directory の Free エディションのユーザーは、1 つのテナントに最大 50,000 個の Azure AD リソースを作成できます。 検証済みドメインが少なくとも 1 つある場合は、組織の既定の Azure AD サービス クォータは 300,000 個の Azure AD リソースに拡張されます。
      内部管理者の引き継ぎを実行し、少なくとも 1 つの確認済みドメインを持つマネージド テナントに組織が変換された後も、セルフサービス サインアップによって作成された組織の Azure AD サービス クォータは、50,000 個の Azure AD リソースのままになります。 このサービス制限は、Azure AD の価格ページに記載されている 500,000 リソースの価格レベル制限とは関係ありません。
      既定のクォータを超えるためには、Microsoft サポートに連絡する必要があります。
    • 管理者以外のユーザーは、最大 250 個の Azure AD リソースを作成できます。 アクティブ リソースと復元可能な削除済みリソースの両方が、このクォータに加算されます。 30 日未満に削除された削除済み Azure AD リソースのみが復元可能です。 復元できなくなった削除済み Azure AD リソースは、30 日間、 4 分の 1 の値でこのクォータに加算されます。
      通常の作業で、このクォータを繰り返し超過する可能性のある開発者がいる場合は、無制限の数のアプリ登録を作成できる権限を持ったカスタムロールを作成して割り当てることもできます。
    • リソースの制限は、ユーザー、グループ、アプリケーション、サービス プリンシパルなど、特定の Azure AD テナント内のすべてのディレクトリ オブジェクトに適用されます。
    スキーマの拡張機能
    • 文字列型の拡張の最大文字数は 256 文字です。
    • バイナリ型の拡張は 256 バイトに制限されます。
    • 1 つの Azure AD リソースに対して書き込める拡張値は、(すべての型とすべてのアプリケーションで合計) 100 個のみです。
    • 文字列型またはバイナリ型の単一値の属性を使用して拡張できるのは、User、Group、TenantDetail、Device、Application、および ServicePrincipal エンティティのみです。
    アプリケーション
    • 最大 100 人のユーザーおよびサービス プリンシパルが 1 つのアプリケーションの所有者になれます。
    • ユーザー、グループ、またはサービス プリンシパルに割り当てることのできるアプリ ロールは 1,500 までです。 この制限は、すべてのアプリ ロールのサービス プリンシパル、ユーザー、またはグループが対象です。1 つのアプリ ロールへの割り当ての数に対するものではありません。
    • パスワードベースのシングル サインオン用に構成されたアプリには、資格情報を構成して最大 48 個のグループを割り当てることができます。
    • ユーザーは、パスワードベースのシングル サインオンを使用して、最大 48 個のアプリに対して資格情報を構成できます。 この制限は、ユーザーが割り当てられているグループのメンバーである場合ではなく、ユーザーがアプリに直接割り当てられているときに構成された資格情報にのみ適用されます。
    • 追加の制限については、サポートされているアカウントの種類別の検証の相違点に関するページをご覧ください。
    アプリケーション マニフェスト アプリケーション マニフェストには、最大で 1200 のエントリを追加できます。
    追加の制限については、サポートされているアカウントの種類別の検証の相違点に関するページをご覧ください。
    グループ
    • 管理者以外のユーザーは、Azure AD 組織に最大 250 個のグループを作成できます。 組織内のグループを管理できる Azure AD 管理者であれば、グループを無制限に作成することもできます (Azure AD オブジェクトの上限まで)。 ユーザーにロールを割り当ててそのユーザーの制限を削除するには、ユーザー管理者やグループ管理者など、特権の低い組み込みロールを割り当ててください。
    • Azure AD 組織では、最大 5,000 個の動的グループと動的管理単位を結合できます。
    • 1 つの Azure AD 組織 (テナント) には、最大 500 個のロール割り当て可能なグループを作成できます。
    • 最大 100 人のユーザーが 1 つのグループの所有者になれます。
    • 任意の数の Azure AD リソースが 1 つのグループのメンバーになることができます。
    • ユーザーは任意の数のグループのメンバーになることができます。 セキュリティ グループを SharePoint Online と組み合わせて使用している場合、ユーザーは合計 2,049 のセキュリティ グループに参加できます。 これには、直接および間接グループ メンバーシップが両方とも含まれます。 この制限を超えると、認証と検索の結果は予測不能になります。
    • 既定では、Azure AD Connect を使用してオンプレミスの Active Directory から Azure Active Directory に同期できるグループ内のメンバーの数は、50,000 ユーザーに制限されています。 この制限を超えるグループ メンバーを同期する必要がある場合、Azure AD Connect 同期 V2 エンドポイント API をオンボードしなければなりません。
    • グループのリストを選択すると、グループの有効期限ポリシーを最大 500 の Microsoft 365 グループに割り当てることができます。 ポリシーがすべての Microsoft 365 グループに適用される場合、制限はありません。

    現時点では、入れ子になったグループでは次のシナリオがサポートされています。
    • 1 つのグループを別のグループのメンバーとして追加することができるため、グループの入れ子を実現できます。
    • グループ メンバーシップ クレーム アプリがトークンでグループ メンバーシップ クレームを受信するように構成されている場合は、サインインしているユーザーがメンバーになっている入れ子になったグループが含まれます。
    • 条件付きアクセス (条件付きアクセス ポリシーにグループのスコープが設定されている場合)。
    • セルフサービスのパスワード リセットへのアクセスの制限。
    • Azure AD Join とデバイス登録を実行できるユーザーの制限。

    次のシナリオは、入れ子になったグループではサポート "されません"。
    • アクセスとプロビジョニングの両方を対象としたアプリ ロールの割り当て。 アプリへのグループの割り当てはサポートされますが、直接割り当てられたグループ内に入れ子になったグループにはアクセスできません。
    • グループベースのライセンス (グループのすべてのメンバーにライセンスを自動的に割り当てます)。
    • Microsoft 365 グループ。
    アプリケーション プロキシ
    • アプリケーション プロキシ アプリケーションごとに 1 秒あたり最大 500 件のトランザクション。
    • Azure AD 組織に対する 1 秒あたり最大 750 件のトランザクション。

      *トランザクションは、単一の HTTP 要求と一意のリソースの応答として定義されます。 クライアントは調整された場合、429 の応答を受け取ることになります (要求が多すぎます)。
    アクセス パネル 割り当てられたライセンス数に関係なく、アクセス パネルに表示できる、各ユーザーのアプリケーション数に制限はありません。
    Reports いずれのレポートでも、最大 1,000 行を表示またはダウンロードできます。 それを超えるデータは切り捨てられます。
    管理単位
    • Azure AD リソースは最大 30 個の管理単位のメンバーにすることができます。
    • Azure AD 組織では、最大 5,000 個の動的グループと動的管理単位を結合できます。
    Azure AD ロールとアクセス許可
    • Azure AD 組織ごとに、最大 100 個の Azure AD カスタム ロールを作成できます。
    • あらゆるスコープで 1 つのプリンシパルに最大 150 個の Azure AD カスタム ロール割り当て。
    • テナント以外のスコープ (管理単位、Azure AD オブジェクトなど) で 1 つのプリンシパルに最大 100 個の Azure AD 組み込みロール割り当て。 テナント スコープでの Azure AD 組み込みロール割り当てに制限はありません。 詳細については、「Azure AD ロールを異なるスコープで割り当てる」を参照してください。
    • グループをグループ所有者として追加することはできません。
    • ユーザーが他のユーザーのテナント情報を読み取ることができる権限は、管理者以外の全ユーザーがすべてのテナント情報にアクセスできないようにする、Azure AD 組織全体のスイッチでのみ制限できます (これは推奨されません)。 詳細については、「メンバー ユーザーの既定のアクセス許可を制限するには」を参照してください。
    • 管理者ロールのメンバーシップの追加と失効が有効になるまでには、最大 15 分かかる場合もあれば、サインアウトしてから再度サインインすることが必要になる場合もあります。
    条件付きアクセス ポリシー 1 つの Azure AD 組織 (テナント) には、最大 195 個のポリシーを作成できます。

    次のステップ