Azure AD-tjänstens begränsningar

Den här artikeln innehåller användningsbegränsningar och andra tjänstbegränsningar för Azure Active Directory (Azure AD), en del av Microsoft Entra, tjänsten. Om du letar efter en fullständig uppsättning tjänstbegränsningar för Microsoft Azure kan du läsa Azure-prenumerationer och tjänstbegränsningar, kvoter och begränsningar.

Här är användningsbegränsningarna och andra tjänstbegränsningar för Azure AD-tjänsten.

Kategori Gräns
Klientorganisationer
  • En enskild användare kan tillhöra högst 500 Azure AD klientorganisationer som en medlem eller en gäst.
  • En enskild användare kan skapa högst 200 kataloger.
  • Domains
  • Du kan inte lägga till fler än 5 000 hanterade domännamn.
  • Om du konfigurerar alla domäner för federation med lokal Active Directory kan du inte lägga till fler än 2 500 domännamn i varje klientorganisation.
  • Resurser
    • Som standard kan högst 50 000 Azure AD resurser skapas i en enda klientorganisation av användare av Azure Active Directory Free-utgåvan. Om du har minst en verifierad domän utökas standardkvoten Azure AD tjänst för din organisation till 300 000 Azure AD resurser.
      Kvoten för Azure AD-tjänsten för organisationer som skapats genom självbetjäningsregistrering förblir 50 000 Azure AD resurser, även efter att du har gjort ett internt administratörsövertagande och organisationen konverteras till en hanterad klientorganisation med minst en verifierad domän. Den här tjänstgränsen är inte relaterad till prisnivågränsen på 500 000 resurser på sidan Azure AD prissättning.
      Om du vill överskrida standardkvoten måste du kontakta Microsoft Support.
    • En icke-administratörsanvändare kan inte skapa fler än 250 Azure AD resurser. Både aktiva resurser och borttagna resurser som är tillgängliga för återställning räknas mot den här kvoten. Endast borttagna Azure AD resurser som togs bort för mindre än 30 dagar sedan kan återställas. Borttagna Azure AD resurser som inte längre är tillgängliga för återställning räknas mot den här kvoten till ett värde av en fjärdedel i 30 dagar.
      Om du har utvecklare som sannolikt kommer att överskrida den här kvoten upprepade gånger under sina vanliga uppgifter kan du skapa och tilldela en anpassad roll med behörighet att skapa ett obegränsat antal appregistreringar.
    • Resursbegränsningar gäller för alla katalogobjekt i en viss Azure AD klientorganisation, inklusive användare, grupper, program och tjänstens huvudnamn.
    Schemautökningar
    • Tillägg av strängtyp får maximalt innehålla 256 tecken.
    • Tillägg av binär typ är begränsade till 256 byte.
    • Endast 100 tilläggsvärden för alla typer och alla program kan skrivas till en enda Azure AD resurs.
    • Endast entiteter av typen User, Group, TenantDetail, Device, Application och ServicePrincipal kan utökas med strängtypen eller enkelvärdesattribut av den binära typen.
    Program
    • Som mest kan 100 användare och tjänsthuvudnamn vara ägare till ett program.
    • En användare, grupp eller tjänstens huvudnamn kan ha högst 1 500 approlltilldelningar. Begränsningen gäller tjänstens huvudnamn, användare eller grupp för alla approller och inte antalet tilldelningar för en och samma approll.
    • En app som konfigurerats för lösenordsbaserad enkel inloggning kan ha högst 48 grupper tilldelade med konfigurerade autentiseringsuppgifter.
    • En användare kan ha autentiseringsuppgifter konfigurerade för högst 48 appar med lösenordsbaserad enkel inloggning. Den här gränsen gäller endast för autentiseringsuppgifter som konfigureras när användaren tilldelas appen direkt, inte när användaren är medlem i en grupp som har tilldelats.
    • Se ytterligare gränser i Verifieringsskillnader efter kontotyper som stöds.
    Programmanifest Högst 1 200 poster kan läggas till i programmanifestet.
    Se ytterligare gränser i Verifieringsskillnader efter kontotyper som stöds.
    Grupper
    • En icke-administratörsanvändare kan skapa högst 250 grupper i en Azure AD organisation. Alla Azure AD administratörer som kan hantera grupper i organisationen kan också skapa ett obegränsat antal grupper (upp till gränsen för Azure AD objekt). Om du tilldelar en roll till en användare för att ta bort gränsen för den användaren tilldelar du en mindre privilegierad, inbyggd roll som användaradministratör eller gruppadministratör.
    • En Azure AD organisation kan ha högst 5 000 dynamiska grupper och dynamiska administrativa enheter tillsammans.
    • Högst 500 rolltilldelningsbara grupper kan skapas i en enda Azure AD organisation (klientorganisation).
    • Som mest kan 100 användare vara ägare av en enda grupp.
    • Valfritt antal Azure AD resurser kan vara medlemmar i en enda grupp.
    • En användare kan tillhöra ett valfritt antal grupper. När säkerhetsgrupper används i kombination med SharePoint Online kan en användare vara en del av totalt 2 049 säkerhetsgrupper. Detta omfattar både direkta och indirekta gruppmedlemskap. När den här gränsen överskrids blir autentisering och sökresultat oförutsägbara.
    • Som standard är antalet medlemmar i en grupp som du kan synkronisera från din lokal Active Directory till Azure Active Directory med hjälp av Azure AD Connect begränsat till 50 000 medlemmar. Om du behöver synkronisera ett gruppmedlemskap som överskrider den här gränsen måste du registrera slutpunkts-API:et Azure AD Connect Sync V2.
    • När du väljer en lista över grupper kan du tilldela en grupprincip till högst 500 Microsoft 365-grupper. Det finns ingen gräns när principen tillämpas på alla Microsoft 365-grupper.

    För närvarande stöds följande scenarier med kapslade grupper:
    • En grupp kan läggas till som medlem i en annan grupp och du kan uppnå gruppkapsling.
    • Anspråk på gruppmedlemskap. När en app har konfigurerats för att ta emot gruppmedlemskapsanspråk i token inkluderas kapslade grupper där den inloggade användaren är medlem.
    • Villkorlig åtkomst (när en princip för villkorlig åtkomst har ett gruppomfång).
    • Begränsa åtkomsten till lösenordsåterställning med självbetjäning.
    • Begränsa vilka användare som kan göra Azure AD Join och enhetsregistrering.

    Följande scenarier stöds inte med kapslade grupper:
    • Approlltilldelning för både åtkomst och etablering. Det finns stöd för att tilldela grupper till en app, men alla grupper som är kapslade i den direkt tilldelade gruppen saknar åtkomst.
    • Gruppbaserad licensiering (tilldela automatiskt en licens till alla medlemmar i en grupp).
    • Microsoft 365-grupper.
    Programproxy
    • Högst 500 transaktioner* per sekund per Programproxy program.
    • Högst 750 transaktioner per sekund för Azure AD organisation.

      *En transaktion definieras som en enskild HTTP-begäran och ett svar för en unik resurs. När klienter begränsas får de 429 svar (för många begäranden).
    Åtkomstpanel Det finns ingen gräns för antalet program per användare som kan visas i Åtkomstpanelen, oavsett antalet tilldelade licenser.
    Rapporter Högst 1 000 rader kan visas eller hämtas i rapporter. Eventuella ytterligare data trunkeras.
    Administrativa enheter
    • En Azure AD resurs kan vara medlem i högst 30 administrativa enheter.
    • En Azure AD organisation kan ha högst 5 000 dynamiska grupper och dynamiska administrativa enheter tillsammans.
    Roller och behörigheter för Azure AD
    • Högst 100 Azure AD anpassade roller kan skapas i en Azure AD organisation.
    • Högst 150 Azure AD anpassade rolltilldelningar för ett enskilt huvudkonto i alla omfång.
    • Högst 100 Azure AD inbyggda rolltilldelningar för ett enskilt huvudkonto i ett annat omfång (till exempel en administrativ enhet eller Azure AD objekt). Det finns ingen gräns för Azure AD inbyggda rolltilldelningar i klientomfånget. Mer information finns i Tilldela Azure AD roller i olika omfång.
    • Det går inte att lägga till en grupp som gruppägare.
    • En användares möjlighet att läsa andra användares klientinformation kan endast begränsas av Azure AD organisationsomfattande växel för att inaktivera alla icke-administratörsanvändares åtkomst till all klientinformation (rekommenderas inte). Mer information finns i Begränsa standardbehörigheterna för medlemsanvändare.
    • Det kan ta upp till 15 minuter eller så kan du behöva logga ut och logga in igen innan tillägg och återkallningar av administratörsrollen börjar gälla.
    Villkorliga åtkomstprinciper Högst 195 principer kan skapas i en enda Azure AD organisation (klientorganisation).

    Nästa steg