Share via


Microsoft Entra サービスの制限と制約

この記事では、Microsoft Entra の一部である Microsoft Entra ID サービスの使用上の制約およびその他のサービスの制限を説明します。 Microsoft Azure サービスの制限すべてをご覧になりたい場合は、「 Azure サブスクリプションとサービスの制限、クォータ、および制約」を参照してください。

Microsoft Entra サービスの使用上の制約とその他のサービスの制限を次に示します。

カテゴリ 制限
テナント
  • 1 人のユーザーは、最大 500 の Microsoft Entra テナントにメンバーまたはゲストとして属することができます。
  • 1 人のユーザーは、最大で 200 個のディレクトリを作成できます。
  • テナントあたり 300 のライセンスベースのサブスクリプション (Microsoft 365 サブスクリプションなど) の制限
  • ドメイン
  • 追加できるマネージド ドメイン名は 5,000 個以下です。
  • オンプレミスの Active Directory とのフェデレーションをすべてのドメインに設定した場合、各テナントには 2,500 を超えるドメイン名を追加できません。
  • リソース
    • 既定で、Microsoft Entra ID Free エディションのユーザーは、1 つのテナントに最大 50,000 個の Microsoft Entra リソースを作成できます。 検証済みドメインが少なくとも 1 つある場合は、組織の既定の Microsoft Entra サービス クォータは 300,000 個の Microsoft Entra リソースに拡張されます。
      内部管理者の引き継ぎを実行し、少なくとも 1 つの確認済みドメインを持つマネージド テナントに組織が変換された後も、セルフサービス サインアップによって作成された組織の Microsoft Entra サービス クォータは、50,000 個の Microsoft Entra リソースのままになります。 このサービス制限は、Microsoft Entra の価格ページに記載されている 500,000 個のリソースの価格レベル制限とは関係ありません。
      既定のクォータを超えるためには、Microsoft サポートに連絡する必要があります。
    • 管理者以外のユーザーは、最大 250 個の Microsoft Entra リソースを作成できます。 アクティブ リソースと復元可能な削除済みリソースの両方が、このクォータに加算されます。 30 日未満に削除された削除済み Microsoft Entra リソースのみが復元可能です。 復元できなくなった削除済み Microsoft Entra リソースは、30 日間、4 分の 1 の値でこのクォータに加算されます。
      通常の作業で、このクォータを繰り返し超過する可能性のある開発者がいる場合は、無制限の数のアプリ登録を作成できる権限を持ったカスタムロールを作成して割り当てることもできます。
    • リソースの制限は、ユーザー、グループ、アプリケーション、サービス プリンシパルなど、特定の Microsoft Entra テナント内のすべてのディレクトリ オブジェクトに適用されます。
    スキーマの拡張機能
    • 文字列型の拡張の最大文字数は 256 文字です。
    • バイナリ型の拡張は 256 バイトに制限されます。
    • 1 つの Microsoft Entra リソースに対して書き込める拡張値は、("すべて" の型と "すべて" のアプリケーションで合計) 100 個のみです。
    • 文字列型またはバイナリ型の単一値の属性を使用して拡張できるのは、User、Group、TenantDetail、Device、Application、および ServicePrincipal エンティティのみです。
    アプリケーション
    • 最大 100 人のユーザーおよびサービス プリンシパルが 1 つのアプリケーションの所有者になれます。
    • ユーザー、グループ、またはサービス プリンシパルに割り当てることのできるアプリ ロールは 1,500 までです。 この制限は、すべてのアプリ ロールのサービス プリンシパル、ユーザー、またはグループが対象です。1 つのアプリ ロールへの割り当ての数に対するものではありません。
    • ユーザーは、パスワードベースのシングル サインオンを使用して、最大 48 個のアプリに対して資格情報を構成できます。 この制限は、ユーザーが割り当てられているグループのメンバーである場合ではなく、ユーザーがアプリに直接割り当てられているときに構成された資格情報にのみ適用されます。
    • 1 つのグループでは、パスワードベースのシングル サインオンを使用して、最大 48 個のアプリに対して資格情報を構成できます。
    • 追加の制限については、サポートされているアカウントの種類別の検証の相違点に関するページをご覧ください。
    アプリケーション マニフェスト アプリケーション マニフェストには、最大で 1200 のエントリを追加できます。
    追加の制限については、サポートされているアカウントの種類別の検証の相違点に関するページをご覧ください。
    グループ
    • 管理者以外のユーザーは、Microsoft Entra 組織に最大 250 個のグループを作成できます。 組織内のグループを管理できる Microsoft Entra 管理者であれば、グループを無制限に作成することもできます (Microsoft Entra オブジェクトの上限まで)。 ユーザーにロールを割り当ててそのユーザーの制限を削除するには、ユーザー管理者やグループ管理者など、特権の低い組み込みロールを割り当ててください。
    • Microsoft Entra 組織では、最大 15,000 個の動的グループと動的管理単位を結合できます。
    • 1 つの Microsoft Entra 組織 (テナント) には、最大 500 個のロール割り当て可能なグループを作成できます。
    • 最大 100 人のユーザーが 1 つのグループの所有者になれます。
    • 任意の数の Microsoft Entra リソースが 1 つのグループのメンバーになることができます。
    • ユーザーは任意の数のグループのメンバーになることができます。 セキュリティ グループを SharePoint Online と組み合わせて使用している場合、ユーザーは合計 2,049 のセキュリティ グループに参加できます。 これには、直接および間接グループ メンバーシップが両方とも含まれます。 この制限を超えると、認証と検索の結果は予測不能になります。
    • Microsoft Entra Connect v2.0 以降、V2 エンドポイントが既定の API になりました。 Microsoft Entra Connect を使ってオンプレミスの Active Directory から Microsoft Entra ID に同期できるグループ内のメンバーの数は、250,000 ユーザーに制限されています。 詳細については、Microsoft Entra Connect 同期 V2 に関するページを参照してください。
    • グループのリストを選択すると、グループの有効期限ポリシーを最大 500 の Microsoft 365 グループに割り当てることができます。 ポリシーがすべての Microsoft 365 グループに適用される場合、制限はありません。

    現時点では、入れ子になったグループでは次のシナリオがサポートされています。
    • 1 つのグループを別のグループのメンバーとして追加することができるため、グループの入れ子を実現できます。
    • グループ メンバーシップ クレーム アプリがトークンでグループ メンバーシップ クレームを受信するように構成されている場合は、サインインしているユーザーがメンバーになっている入れ子になったグループが含まれます。
    • 条件付きアクセス (条件付きアクセス ポリシーにグループのスコープが設定されている場合)
    • セルフサービスのパスワード リセットへのアクセスの制限。
    • Microsoft Entra 参加とデバイス登録を実行できるユーザーの制限。

    次のシナリオは、入れ子になったグループではサポート "されません"。
    • アクセスとプロビジョニングの両方を対象としたアプリ ロールの割り当て。 アプリへのグループの割り当てはサポートされますが、直接割り当てられたグループ内に入れ子になったグループにはアクセスできません。
    • グループベースのライセンス (グループのすべてのメンバーにライセンスを自動的に割り当てます)。
    • Microsoft 365 グループ。
    アプリケーション プロキシ
    • アプリケーション プロキシ アプリケーションごとに 1 秒あたり最大 500 件のトランザクション。
    • Microsoft Entra 組織に対する 1 秒あたり最大 750 件のトランザクション。

      *トランザクションは、単一の HTTP 要求と一意のリソースの応答として定義されます。 クライアントは調整された場合、429 応答を受け取ることになります (要求が多すぎます)。 トランザクション メトリックは各コネクタで収集され、オブジェクト名 Microsoft Entra private network connector の下のパフォーマンス カウンターを使用して監視できます。
    アクセス パネル 割り当てられたライセンス数に関係なく、アクセス パネルに表示できる、各ユーザーのアプリケーション数に制限はありません。
    Reports いずれのレポートでも、最大 1,000 行を表示またはダウンロードできます。 それを超えるデータは切り捨てられます。
    管理単位
    • Microsoft Entra リソースは最大 30 個の管理単位のメンバーにすることができます。
    • テナント内の制限付き管理単位は最大 100 個です。
    • Microsoft Entra 組織では、最大 5,000 個の動的グループと動的管理単位を結合できます。
    Microsoft Entra のロールとアクセス許可
    • Microsoft Entra 組織には、最大 100 個の Microsoft Entra カスタム ロールを作成できます。
    • 任意のスコープで 1 つのプリンシパルに最大 150 個の Microsoft Entra カスタム ロール割り当て。
    • テナント以外のスコープ (管理単位、Microsoft Entra オブジェクトなど) で 1 つのプリンシパルに最大 100 個の Microsoft Entra 組み込みロール割り当て。 テナント スコープでの Microsoft Entra 組み込みロール割り当てに制限はありません。 詳細については、「Microsoft Entra ロールを異なるスコープで割り当てる」を参照してください。
    • グループをグループ所有者として追加することはできません。
    • ユーザーが他のユーザーのテナント情報を読み取る機能を制限するには、Microsoft Entra 組織全体のスイッチを使い、管理者以外の全ユーザーによるすべてのテナント情報へのアクセスを無効にする必要があります (これは推奨されません)。 詳細については、「メンバー ユーザーの既定のアクセス許可を制限するには」を参照してください。
    • 管理者ロールのメンバーシップの追加と失効が有効になるまでには、最大 15 分かかる場合もあれば、サインアウトしてから再度サインインすることが必要になる場合もあります。
    条件付きアクセス ポリシー 1 つの Microsoft Entra 組織 (テナント) には最大 195 個のポリシーを作成できます。
    使用条件 1 つの Microsoft Entra 組織 (テナント) には 40 件以下の条件を追加できます。
    マルチテナント組織
    • 所有者テナントを含め、最大 100 のアクティブなテナント。 所有者テナントは 100 を超える保留中のテナントを追加できますが、制限を超えると、マルチテナント組織に参加できなくなります。 この制限は、保留中のテナントがマルチテナント組織に参加する時点で適用されます。
    • この制限は、マルチテナント組織内のテナント数に固有です。 テナント間同期自体には適用されません。