Поделиться через


Ограничения службы Microsoft Entra

В этой статье содержатся ограничения использования и другие ограничения службы для идентификатора Microsoft Entra, части Microsoft Entra, службы. Если вам нужен полный список ограничений для службы Microsoft Azure, ознакомьтесь со статьей Подписка Azure, границы, квоты и ограничения службы.

Ниже приведены ограничения использования и другие ограничения службы для службы Microsoft Entra.

Категория Лимит
Клиенты
  • Один пользователь может принадлежать не более 500 клиентов Microsoft Entra в качестве члена или гостя.
  • Создание не более 200 клиентов.
  • Ограничение в 300 подписок на основе лицензий (например, подписок Microsoft 365) на клиент
  • Домены
  • Можно добавить не более 5000 управляемых доменных имен.
  • Если вы настраиваете все домены для федерации с помощью локальной службы Active Directory, в каждый клиент можно добавить до 2500 доменных имен.
  • Ресурсы
    • По умолчанию в одном клиенте можно создать не более 50 000 ресурсов Microsoft Entra. Если у вас есть хотя бы один проверенный домен, квота службы Microsoft Entra по умолчанию для вашей организации расширена до 300 000 ресурсов Microsoft Entra.
      Квота службы Microsoft Entra для организаций, созданных самостоятельной регистрации, остается 50 000 ресурсов Microsoft Entra, даже если вы выполняете переключение внутреннего администратора и организация преобразуется в управляемый клиент по крайней мере с одним проверенным доменом. Это ограничение службы не связано с ограничением ценовой категории 500 000 ресурсов на странице ценообразования Microsoft Entra.
      Чтобы не выйти за пределы квоты по умолчанию, необходимо обратиться в службу поддержки Майкрософт.
    • Пользователь, отличный от администратора, может создавать не более 250 ресурсов Microsoft Entra. В это число входят как активные ресурсы, так и удаленные ресурсы, доступные для восстановления. Для восстановления доступны только удаленные ресурсы Microsoft Entra, которые были удалены менее 30 дней назад. Удаленные ресурсы Microsoft Entra, которые больше не доступны для восстановления счетчика по отношению к этой квоте в течение одного квартала в течение 30 дней.
      Если у вас есть разработчики, которые предположительно будут постоянно превышать эту квоту в рамках своих обычных обязанностей, можно создать и назначить настраиваемую роль с разрешением на создание бесконечного числа регистраций приложений.
    • Ограничения ресурсов применяются ко всем объектам каталога в определенном клиенте Microsoft Entra, включая пользователей, группы, приложения и субъекты-службы.
    Расширения схемы
    • Расширения типа String не должны превышать 256 символов.
    • Расширения типа Binary не должны превышать 256 байт.
    • Только 100 значений расширения во всех типах и всех приложениях можно записать в любой один ресурс Microsoft Entra.
    • Дополнить однозначными атрибутами типов String или Binary можно только сущности User, Group, TenantDetail, Device, Application и ServicePrincipal.
    Приложения
    • Владельцами одного приложения могут быть не более 100 пользователей и субъектов-служб.
    • У пользователя, группы или субъекта-службы может быть не более 1500 назначений ролей приложений. Ограничение зависит от назначенного субъекта-службы, пользователя или группы во всех ролях приложений, а не на количестве назначений одной роли приложения. Это ограничение включает назначения ролей приложения, в которых субъект-служба ресурсов была обратимо удалена.
    • У пользователя могут быть учетные данные, настроенные максимум для 48 приложений, использующих единый вход на основе пароля. Это ограничение применяется только для учетных данных, настроенных, когда пользователь напрямую назначает приложение, а не когда пользователь является членом группы, назначенной пользователем.
    • Группа может иметь учетные данные, настроенные для не более 48 приложений с использованием единого входа на основе паролей.
    • О других ограничениях см. в разделе Различия при проверке по поддерживаемым типам учетных записей.
    Манифест приложения В манифест приложения можно добавить до 1200 записей.
    О других ограничениях см. в разделе Различия при проверке по поддерживаемым типам учетных записей.
    Группы
    • Пользователь, отличный от администратора, может создавать не более 250 групп в организации Microsoft Entra. Любой администратор Microsoft Entra, который может управлять группами в организации, также может создавать неограниченное количество групп (до ограничения объекта Microsoft Entra). Назначая пользователю роль, позволяющую снять относящееся к нему ограничение, используйте встроенную роль с меньшими привилегиями, например администратор пользователей или администратор групп.
    • Организация Microsoft Entra может содержать не более 15 000 динамических групп и динамических административных единиц.
    • В одной организации Microsoft Entra (клиент) можно создать не более 500 групп с возможностью назначения ролей.
    • Владельцами одной группы могут быть не более 100 пользователей.
    • Любое количество ресурсов Microsoft Entra может быть членом одной группы.
    • Пользователь может участником любого количества групп. Если группы безопасности используются в сочетании с SharePoint Online, пользователь может быть членом 2049 групп безопасности. Эта цифра включает прямое и косвенное членство в группах. Если это ограничение превышается, результаты поиска и аутентификации становятся непредсказуемыми.
    • Начиная с Microsoft Entra Connect версии 2.0 конечная точка версии 2 — это API по умолчанию. Количество участников в группе, которую можно синхронизировать с локальная служба Active Directory с идентификатором Microsoft Entra Id с помощью Microsoft Entra Connect, ограничено 250 000 участников. Дополнительные сведения см. в разделе Microsoft Entra Connect Sync версии 2.
    • При выборе списка групп можно назначить политику срока действия групп Microsoft 365, но их может быть не более 500. При применении политики ко всем группам Microsoft 365 ограничение не ограничено.

    Сейчас поддерживаются следующие сценарии с вложенными группами.
    • Одну группу можно добавить в качестве члена другой группы, чтобы создать вложенность.
    • Утверждения членства в группах. (когда приложение настроено для получения утверждений о членстве в группах в токене, включая вложенные группы, в которые входит вошедший пользователь).
    • Условный доступ (если политика условного доступа имеет область группы).
    • Ограниченный доступ для самостоятельного сброса пароля.
    • Ограничение того, какие пользователи могут выполнять присоединение к Microsoft Entra и регистрацию устройств.

    Следующие сценарии с вложенными группами не поддерживаются.
    • Назначение ролей приложения для доступа и подготовки. Назначение групп для приложения поддерживается, но все группы, вложенные в непосредственно назначенную группу, не будут иметь доступа.
    • Лицензирование на основе групп (автоматическое назначение лицензии всем членам группы).
    • Группы Microsoft 365.
    Прокси приложения
    • До 500 транзакций в секунду * на приложение Application Proxy.
    • Не более 750 транзакций в секунду для организации Microsoft Entra.

      * Транзакция определяется как один HTTP-запрос и ответ для уникального ресурса. При регулировании клиенты получают ответ 429 (слишком много запросов). Метрики транзакций собираются на каждом соединителе и могут отслеживаться с помощью счетчиков производительности под именем Microsoft Entra private network connectorобъекта.
    Панель доступа Число приложений, которые могут отображаться на Панели доступа для каждого пользователя, не ограничено независимо от количества назначенных лицензий.
    Отчеты В любом отчете можно просматривать и загружать не более 1000 строк. Любые дополнительные данные будут усечены.
    Административные единицы
    • Ресурс Microsoft Entra может быть членом не более 30 административных единиц.
    • Не более 100 административных единиц управления в клиенте.
    • Организация Microsoft Entra может содержать не более 15 000 динамических групп членства и динамических административных единиц.
    Роли и разрешения Microsoft Entra
    • В организации Microsoft Entra можно создать не более 100 пользовательских ролей Microsoft Entra.
    • Не более 150 назначений пользовательских ролей Microsoft Entra для одного субъекта в любой области.
    • Не более 100 встроенных назначений ролей Microsoft Entra для одного участника в области, отличной от клиента (например, административной единицы или объекта Microsoft Entra). В области клиента нет ограничений на назначения встроенных ролей Microsoft Entra. Дополнительные сведения см. в разделе "Назначение ролей Microsoft Entra" в разных областях.
    • Группу нельзя добавить в качестве владельца группы.
    • Возможность пользователя считывать сведения о клиенте других пользователей может быть ограничена только параметром Microsoft Entra для всей организации, чтобы отключить доступ всех пользователей, не являющихся администраторами, ко всем сведениям о клиенте (не рекомендуется). См. раздел Ограничение разрешений по умолчанию для пользователей-участников.
    • Прежде чем добавление или отзыв роли администратора вступит в силу, может пройти до 15 минут либо вам может потребоваться выйти и снова войти в систему.
    Политики условного доступа В одной организации Microsoft Entra (клиент) можно создать не более 195 политик.
    Условия использования Вы можете добавить не более 40 терминов в одну организацию Microsoft Entra (клиент).
    Мультитенантные организации
    • Не более 100 активных клиентов, включая арендатор владельца. Клиент владельца может добавить более 100 ожидающих клиентов, но они не смогут присоединиться к мультитенантной организации, если ограничение превышено. Это ограничение применяется в то время, когда ожидающий клиент присоединяется к мультитенантной организации.
    • Это ограничение зависит от количества клиентов в мультитенантной организации. Он не применяется к самой синхронизации между клиентами.