| Tenants |
- Jeden użytkownik może należeć do maksymalnie 500 dzierżaw firmy Microsoft Entra jako członek lub gość.
- Utwórz maksymalnie 200 dzierżaw. Ten limit dotyczy tylko starszego środowiska tworzenia dzierżawy dodatku w centrum administracyjnym firmy Microsoft Entra.
- Limit 300 subskrypcji opartych na licencjach (takich jak subskrypcje platformy Microsoft 365) na dzierżawę.
|
| Domains |
- Można dodać nie więcej niż 5000 nazw domen zarządzanych.
- Jeśli skonfigurujesz wszystkie domeny dla federacji z lokalną usługą Active Directory, zdecydowanie zalecamy ograniczenie do 300 nazw domen w każdej dzierżawie w celu uzyskania optymalnej wydajności. Maksymalny obsługiwany limit to 2500 nazw domen.
|
| Resources |
- Domyślnie można utworzyć maksymalnie 50 000 zasobów firmy Microsoft Entra w jednej dzierżawie przez użytkowników wersji Microsoft Entra ID Free. Jeśli masz co najmniej jedną zweryfikowaną domenę, domyślny limit przydziału usługi Microsoft Entra dla twojej organizacji zostanie przedłużony do 300 000 zasobów firmy Microsoft Entra.
Limit przydziału usługi Microsoft Entra dla organizacji utworzonych przez rejestrację samoobsługową pozostaje 50 000 zasobów firmy Microsoft Entra, nawet po wykonaniu przejęcia przez administratora wewnętrznego, a organizacja jest konwertowana na dzierżawę zarządzaną z co najmniej jedną zweryfikowaną domeną. Ten limit usługi nie jest związany z limitem warstwy cenowej 500 000 zasobów na stronie cennika usługi Microsoft Entra.
Aby przejść poza domyślny limit przydziału, musisz skontaktować się z pomoc techniczna firmy Microsoft. - Użytkownik niebędący administratorem może utworzyć nie więcej niż 250 zasobów firmy Microsoft Entra. Zarówno aktywne zasoby, jak i usunięte zasoby, które są dostępne do przywrócenia, są wliczane do tego limitu przydziału. Do przywrócenia są dostępne tylko usunięte zasoby firmy Microsoft Entra, które zostały usunięte mniej niż 30 dni temu. Usunięte zasoby firmy Microsoft Entra, które nie są już dostępne do przywrócenia, są wliczane do tego limitu przydziału w wartości jednej czwartej przez 30 dni.
Jeśli masz deweloperów, którzy mogą wielokrotnie przekraczać ten limit przydziału w trakcie swoich regularnych obowiązków, możesz utworzyć i przypisać rolę niestandardową z uprawnieniami do tworzenia nieograniczonej liczby rejestracji aplikacji. - Ograniczenia zasobów dotyczą wszystkich obiektów katalogu w danej dzierżawie firmy Microsoft Entra, w tym użytkowników, grup, aplikacji i jednostek usługi.
|
| Rozszerzenia schematu |
- Rozszerzenia typu string mogą mieć maksymalnie 256 znaków.
- Rozmiar rozszerzeń typu binary jest ograniczony do 256 bajtów.
- Tylko 100 wartości rozszerzeń we wszystkich typach i wszystkich aplikacjach można zapisywać w dowolnym pojedynczym zasobie firmy Microsoft Entra.
- Jednostki User, Group, TenantDetail, Device, Application i ServcicePrincipal można rozszerzyć za pomocą jednowartościowych atrybutów typu String lub Binary.
- Tylko operator "equals" jest obsługiwany w przypadku rozszerzeń typu DateTime. Operatory zakresu, takie jak "większe niż" lub "mniejsze", nie są obsługiwane.
|
| Applications |
- Właścicielami jednej aplikacji może być maksymalnie 100 użytkowników i jednostek usługi.
- Użytkownik, grupa lub jednostka usługi mogą mieć maksymalnie 1500 przypisań ról aplikacji. Ograniczenie dotyczy przypisanej jednostki usługi, użytkownika lub grupy we wszystkich rolach aplikacji, a nie liczby przypisań pojedynczej roli aplikacji. Ten limit obejmuje przypisania ról aplikacji, w których jednostka usługi zasobów została usunięta nietrwale.
- Użytkownik może mieć poświadczenia skonfigurowane dla maksymalnie 48 aplikacji przy użyciu logowania jednokrotnego opartego na hasłach. Ten limit dotyczy tylko poświadczeń skonfigurowanych, gdy użytkownik jest bezpośrednio przypisany do aplikacji, a nie wtedy, gdy użytkownik jest członkiem przypisanej grupy.
- Grupa może mieć poświadczenia skonfigurowane dla maksymalnie 48 aplikacji przy użyciu logowania jednokrotnego opartego na hasłach.
- Zobacz dodatkowe limity w temacie Walidacja różnic według obsługiwanych typów kont.
|
| Manifest aplikacji |
Do manifestu aplikacji można dodać maksymalnie 1200 wpisów.
Zobacz dodatkowe limity w temacie Walidacja różnic według obsługiwanych typów kont. |
| Groups |
- Użytkownik niebędący administratorem może utworzyć maksymalnie 250 grup w organizacji firmy Microsoft Entra. Każdy administrator firmy Microsoft Entra, który może zarządzać grupami w organizacji, może również utworzyć nieograniczoną liczbę grup (do limitu obiektów entra firmy Microsoft). Jeśli przypiszesz użytkownikowi rolę w celu usunięcia limitu dla tego użytkownika, przypisz rolę wbudowaną, taką jak administrator użytkowników lub administrator grup.
- Organizacja Firmy Microsoft Entra może mieć maksymalnie 15 000 grup dynamicznych (w tym grup pochodzących z zasad automatycznego przypisywania uprawnień firmy Microsoft Entra) i dynamicznych jednostek administracyjnych.
- W jednej organizacji firmy Microsoft Entra (dzierżawca) można utworzyć maksymalnie 500 grup z możliwością przypisywania ról.
- Właścicielami jednej grupy może być maksymalnie 100 użytkowników.
- Istnieje limit 1010 grup na token dozwolony dla Entra Kerberos.
- Dowolna liczba zasobów firmy Microsoft Entra może być członkami jednej grupy.
- Jeśli użytkownik (lub grupa) jest członkiem ponad 2048 grup (bezpośrednich i zagnieżdżonych), dostęp może zostać zablokowany. Ten limit dotyczy zarówno członkostw w grupach bezpośrednich, jak i zagnieżdżonych. Zobacz Przypisania tożsamości użytkowników, grup i obciążeń w obszarze Dostęp warunkowy.
- Użytkownik może być członkiem dowolnej liczby grup. Następujące limity specyficzne dla usługi mają zastosowanie, gdy członkostwa w grupach są używane w uwierzytelnianiu lub autoryzacji (w tym członkostw bezpośrednich i pośrednich):
-
SharePoint Online: Gdy grupy zabezpieczeń są używane z usługą SharePoint Online, użytkownik może być częścią maksymalnie 2047 grup zabezpieczeń łącznie, w tym członkostwa bezpośredniego i pośredniego. Po przekroczeniu tego limitu uwierzytelnianie i wyniki wyszukiwania mogą stać się nieprzewidywalne. Zobacz Limity programu SharePoint.
-
Tokeny SAML: Jeśli opcjonalne oświadczenia grup są włączone, do 150 członkostw w grupach (w tym grup zagnieżdżonych) są uwzględniane w asercji SAML. Jeśli użytkownik znajduje się w ponad 150 grupach, oświadczenie grup zostanie pominięte, a zamiast tego zostanie wysłane oświadczenie nadwyżkowe. Identyfikator Entra firmy Microsoft obsługuje filtrowanie grup tylko wtedy, gdy użytkownik należy do 1000 lub mniejszej liczby grup (w tym członkostwa bezpośredniego i przechodniego). Jeśli ten limit zostanie przekroczony, filtrowanie nie zostanie zastosowane, a zamiast tego zostanie wysłane oświadczenie nadwyżkowe. Aby uzyskać wskazówki dotyczące implementacji, zobacz Konfigurowanie opcjonalnych oświadczeń i oświadczeń tokenu SAML .
-
Tokeny JWT/OIDC: Jeśli opcjonalne oświadczenia grup są włączone, do 200 członkostwa w grupach (w tym grup zagnieżdżonych) są uwzględniane w tokenach JWT. Jeśli użytkownik znajduje się w ponad 200 grupach, oświadczenie grup zostanie pominięte, a zamiast tego zostanie wysłane oświadczenie nadwyżkowe. Aby uzyskać wskazówki dotyczące implementacji, zobacz Konfigurowanie opcjonalnych oświadczeń i dokumentacja oświadczeń tokenu dostępu .
-
Zasady dostępu warunkowego: Ocena zasad obsługuje maksymalnie 4096 członkostw w grupach na użytkownika (bezpośrednie i pośrednie). Po przekroczeniu tego limitu wymuszanie zasad może zakończyć się niepowodzeniem. Zobacz Przypisania tożsamości użytkowników, grup i obciążeń w obszarze Dostęp warunkowy.
- Począwszy od programu Microsoft Entra Connect w wersji 2.0, punkt końcowy w wersji 2 jest domyślnym interfejsem API. Liczba członków w grupie, którą można zsynchronizować z lokalna usługa Active Directory do identyfikatora Entra firmy Microsoft przy użyciu programu Microsoft Entra Connect, jest ograniczona do 250 000 członków. Aby uzyskać więcej informacji, zobacz Microsoft Entra Connect Sync V2.
- Po wybraniu listy grup można przypisać zasady wygasania grupy do maksymalnie 500 grup platformy Microsoft 365. Nie ma żadnego limitu, gdy zasady są stosowane do wszystkich grup platformy Microsoft 365.
Obecnie w przypadku grup zagnieżdżonych obsługiwane są następujące scenariusze:- Jedną grupę można dodać jako członka innej grupy i można osiągnąć zagnieżdżanie grup.
- Oświadczenia członkostwa w grupie. Gdy aplikacja jest skonfigurowana do odbierania oświadczeń członkostwa w grupie w tokenie, zagnieżdżone grupy, w których jest dołączony zalogowany użytkownik.
- Dostęp warunkowy (jeśli zasady dostępu warunkowego mają zakres grupy).
- Ograniczanie dostępu do samoobsługowego resetowania hasła.
- Ograniczanie użytkowników, którzy mogą wykonywać rejestrację urządzeń i dołączanie do firmy Microsoft Entra.
Następujące scenariusze nie są obsługiwane w przypadku grup zagnieżdżonych:- Przypisanie roli aplikacji na potrzeby dostępu i aprowizacji. Przypisywanie grup do aplikacji jest obsługiwane, ale żadne grupy zagnieżdżone w ramach bezpośrednio przypisanej grupy nie będą miały dostępu.
- Licencjonowanie oparte na grupach (automatyczne przypisywanie licencji do wszystkich członków grupy).
- Grupy Microsoft 365.
|
| serwer proxy aplikacji |
- Maksymalnie 500 transakcji* na sekundę na aplikację serwer proxy aplikacji.
- Maksymalnie 750 transakcji na sekundę dla organizacji Microsoft Entra.
*Transakcja jest definiowana jako pojedyncze żądanie HTTP i odpowiedź dla unikatowego zasobu. Gdy klienci są ograniczani, otrzymują odpowiedź 429 (zbyt wiele żądań). Metryki transakcji są zbierane na każdym łączniku i można je monitorować przy użyciu liczników wydajności pod nazwą Microsoft Entra private network connectorobiektu . |
| Panel dostępu |
Nie ma limitu liczby aplikacji na użytkownika, które mogą być wyświetlane w Panel dostępu, niezależnie od liczby przypisanych licencji. |
| Reports |
W dowolnym raporcie można wyświetlić lub pobrać maksymalnie 1000 wierszy. Dodatkowe dane są obcinane. |
| Jednostki administracyjne |
- Zasób Firmy Microsoft Entra może być członkiem nie więcej niż 30 jednostek administracyjnych.
- Nie ma określonego limitu liczby jednostek administracyjnych w dzierżawie, ale w dzierżawie można mieć maksymalnie 100 ograniczonych jednostek administracyjnych zarządzania.
- Organizacja Firmy Microsoft Entra może mieć maksymalnie 15 000 grup dynamicznych (w tym grup pochodzących z zasad automatycznego przypisywania uprawnień firmy Microsoft Entra) i dynamicznych jednostek administracyjnych.
|
| Role i uprawnienia firmy Microsoft |
- W organizacji firmy Microsoft Entra można utworzyć maksymalnie 100 ról niestandardowych firmy Microsoft Entra.
- Maksymalnie 150 przypisań ról niestandardowych firmy Microsoft Entra dla pojedynczego podmiotu zabezpieczeń w dowolnym zakresie.
- Maksymalnie 100 wbudowanych przypisań ról firmy Microsoft dla pojedynczego podmiotu zabezpieczeń w zakresie innym niż dzierżawa (takich jak jednostka administracyjna lub obiekt Microsoft Entra). Nie ma żadnego limitu dla wbudowanych przypisań ról firmy Microsoft w zakresie dzierżawy. Aby uzyskać więcej informacji, zobacz Assign Microsoft Entra roles.
- Nie można dodać grupy jako właściciela grupy.
- Możliwość odczytu informacji o dzierżawie innych użytkowników może być ograniczona tylko przez przełącznik całej organizacji firmy Microsoft Entra, aby wyłączyć dostęp wszystkich użytkowników niebędących administratorami do wszystkich informacji o dzierżawie (niezalecane). Aby uzyskać więcej informacji, zobacz Aby ograniczyć uprawnienia domyślne dla użytkowników członkowskich.
- Może upłynąć do 15 minut lub może być konieczne wylogowanie się i ponowne zalogowanie się, zanim zostaną zastosowane dodatki członkostwa w roli administratora i odwołania.
|
| Zasady dostępu warunkowego |
Maksymalnie 195 zasad można utworzyć w jednej organizacji Firmy Microsoft Entra (dzierżawa). |
| Warunki użytkowania |
Do jednej organizacji firmy Microsoft Entra (dzierżawy) można dodać nie więcej niż 40 terminów. |
| Organizacje wielodostępowe |
- Maksymalnie 100 aktywnych dzierżaw, w tym dzierżawy właściciela. Dzierżawa właściciela może dodać więcej niż 100 oczekujących dzierżaw, ale nie będzie mogła dołączyć do wielodostępnej organizacji, jeśli limit zostanie przekroczony. Ten limit jest stosowany w momencie, gdy oczekująca dzierżawa dołącza do wielodostępnej organizacji.
Ten limit jest specyficzny dla liczby dzierżaw w organizacji wielodostępnej. Nie ma ona zastosowania do samej synchronizacji między dzierżawami.
|
| Strategie tożsamości agenta |
- Dzierżawa może mieć maksymalnie 250 strategii utworzonych przez platformy nienależące do firmy Microsoft. Ten limit nie dotyczy platform należących do firmy Microsoft, takich jak Foundry i Copilot Studio.
- Użytkownicy niebędący administratorami są ograniczeni do tworzenia maksymalnie 250 strategii tożsamości agenta.
Zarówno aktywne, jak i usunięte strategie przyczyniają się do tego limitu przydziału.
|
| Tożsamości agenta |
- W dzierżawie każda strategia agenta zarządzana przez platformę, która nie jest własnością firmy Microsoft, jest ograniczona do maksymalnie 250 tożsamości agentów na strategię. To ograniczenie nie dotyczy strategii zarządzanych przez platformy należące do firmy Microsoft, takich jak Foundry i Copilot Studio.
- W przypadku użytkowników niebędących administratorami tworzenie tożsamości agentów jest również ograniczone do 250 na strategię agenta.
Zarówno aktywne, jak i usunięte tożsamości agentów są liczone do tego limitu.
|
| Zaproszenia B2B |
-
Dzierżawy pracowników z płatnymi licencjami
- Dzierżawy mniejsze lub równe 30 dni: 200 zaproszeń dziennie
- Dzierżawy starsze niż 30 dni: ograniczone przez limity przydziału usługi Microsoft Entra
-
Dzierżawcy pracowników bez płatnych licencji
- Dzierżawy mniejsze lub równe 30 dni: 10 zaproszeń dziennie
- Dzierżawcy ponad 30 dni: 100 zaproszeń dziennie
|
| Zasady dostępu między dzierżawami |
|