Den här artikeln innehåller användningsbegränsningar och andra tjänstbegränsningar för Azure Active Directory (Azure AD), en del av Microsoft Entra, tjänsten. Om du letar efter en fullständig uppsättning microsoft Azure-tjänstgränser kan du läsa Azure-prenumerations- och tjänstgränser, kvoter och begränsningar.
Här är användningsbegränsningarna och andra tjänstbegränsningar för Azure AD-tjänsten.
Kategori
Gräns
Klientorganisationer
En enskild användare kan tillhöra högst 500 Azure AD klienter som medlem eller gäst.
En enskild användare kan skapa högst 200 kataloger.
Domains
Du kan inte lägga till fler än 5 000 hanterade domännamn.
Om du konfigurerar alla dina domäner för federation med lokal Active Directory kan du inte lägga till fler än 2 500 domännamn i varje klientorganisation.
Resurser
Som standard kan högst 50 000 Azure AD resurser skapas i en enda klientorganisation av användare av Azure Active Directory Free edition. Om du har minst en verifierad domän utökas standardkvoten Azure AD tjänst för din organisation till 300 000 Azure AD resurser. Den Azure AD tjänstkvoten för organisationer som skapats genom registrering via självbetjäning förblir 50 000 Azure AD resurser, även efter att du har gjort ett internt administratörsövertagande och organisationen konverteras till en hanterad klientorganisation med minst en verifierad domän. Den här tjänstgränsen är inte relaterad till prisnivågränsen på 500 000 resurser på Azure AD prissidan. Om du vill gå längre än standardkvoten måste du kontakta Microsoft Support.
En icke-administratörsanvändare kan inte skapa fler än 250 Azure AD resurser. Både aktiva resurser och borttagna resurser som är tillgängliga för återställning räknas mot den här kvoten. Endast borttagna Azure AD resurser som togs bort för mindre än 30 dagar sedan är tillgängliga för återställning. Borttagna Azure AD resurser som inte längre är tillgängliga för att återställa antalet mot den här kvoten till ett värde av en fjärdedel i 30 dagar. Om du har utvecklare som sannolikt upprepade gånger överskrider den här kvoten under sina regelbundna uppgifter kan du skapa och tilldela en anpassad roll med behörighet att skapa ett obegränsat antal appregistreringar.
Resursbegränsningar gäller för alla katalogobjekt i en viss Azure AD klientorganisation, inklusive användare, grupper, program och tjänstens huvudnamn.
Schemautökningar
Tillägg av strängtyp får maximalt innehålla 256 tecken.
Tillägg av binär typ är begränsade till 256 byte.
Endast 100 tilläggsvärden, över alla typer och alla program, kan skrivas till valfri enskild Azure AD resurs.
Endast entiteter av typen User, Group, TenantDetail, Device, Application och ServicePrincipal kan utökas med strängtypen eller enkelvärdesattribut av den binära typen.
Program
Som mest kan 100 användare och tjänsthuvudnamn vara ägare till ett program.
En användare, grupp eller tjänstens huvudnamn kan ha högst 1 500 approlltilldelningar. Begränsningen gäller tjänstens huvudnamn, användare eller grupp för alla approller och inte antalet tilldelningar för en och samma approll.
En app som konfigurerats för lösenordsbaserad enkel inloggning kan ha högst 48 grupper tilldelade med konfigurerade autentiseringsuppgifter.
En användare kan ha autentiseringsuppgifter konfigurerade för högst 48 appar med lösenordsbaserad enkel inloggning. Den här gränsen gäller endast för autentiseringsuppgifter som konfigurerats när användaren tilldelas appen direkt, inte när användaren är medlem i en grupp som har tilldelats.
En icke-administratörsanvändare kan skapa högst 250 grupper i en Azure AD organisation. Alla Azure AD administratörer som kan hantera grupper i organisationen kan också skapa ett obegränsat antal grupper (upp till Azure AD objektgräns). Om du tilldelar en roll till en användare för att ta bort gränsen för den användaren tilldelar du en mindre privilegierad, inbyggd roll som användaradministratör eller gruppadministratör.
En Azure AD organisation kan ha högst 5 000 dynamiska grupper och dynamiska administrativa enheter tillsammans.
Som mest kan 100 användare vara ägare av en enda grupp.
Valfritt antal Azure AD resurser kan vara medlemmar i en enda grupp.
En användare kan tillhöra ett valfritt antal grupper. När säkerhetsgrupper används i kombination med SharePoint Online kan en användare vara en del av totalt 2 049 säkerhetsgrupper. Detta omfattar både direkta och indirekta gruppmedlemskap. När den här gränsen överskrids blir autentisering och sökresultat oförutsägbara.
Som standard är antalet medlemmar i en grupp som du kan synkronisera från din lokal Active Directory till Azure Active Directory med hjälp av Azure AD Connect begränsat till 50 000 medlemmar. Om du behöver synkronisera ett gruppmedlemskap som överskrider den här gränsen måste du registrera Azure AD Connect Sync V2-slutpunkts-API:et.
När du väljer en lista över grupper kan du tilldela en grupprincip till högst 500 Microsoft 365-grupper. Det finns ingen gräns när principen tillämpas på alla Microsoft 365-grupper.
För närvarande stöds följande scenarier med kapslade grupper:
En grupp kan läggas till som medlem i en annan grupp och du kan uppnå gruppkapsling.
Anspråk på gruppmedlemskap. När en app har konfigurerats för att ta emot anspråk på gruppmedlemskap i token inkluderas kapslade grupper där den inloggade användaren är medlem.
Villkorlig åtkomst (när en princip för villkorlig åtkomst har ett gruppomfång).
Begränsa åtkomsten till självbetjäning av lösenordsåterställning.
Begränsa vilka användare som kan göra Azure AD Join och enhetsregistrering.
Följande scenarier stöds inte med kapslade grupper:
Approlltilldelning för både åtkomst och etablering. Det finns stöd för att tilldela grupper till en app, men alla grupper som är kapslade i den direkt tilldelade gruppen saknar åtkomst.
Gruppbaserad licensiering (tilldela en licens automatiskt till alla medlemmar i en grupp).
Microsoft 365-grupper.
Programproxy
Högst 500 transaktioner* per sekund per Programproxy program.
Högst 750 transaktioner per sekund för Azure AD organisation.
*En transaktion definieras som en enda HTTP-begäran och ett svar för en unik resurs. När klienter begränsas får de 429 svar (för många begäranden).
Åtkomstpanel
Det finns ingen gräns för antalet program per användare som kan visas i Åtkomstpanelen, oavsett antalet tilldelade licenser.
Rapporter
Högst 1 000 rader kan visas eller hämtas i rapporter. Eventuella ytterligare data trunkeras.
Administrativa enheter
En Azure AD resurs kan vara medlem i högst 30 administrativa enheter.
En Azure AD organisation kan ha högst 5 000 dynamiska grupper och dynamiska administrativa enheter tillsammans.
Högst 150 Azure AD anpassade rolltilldelningar för ett enskilt huvudnamn i alla omfång.
Högst 100 Azure AD inbyggda rolltilldelningar för ett enskilt huvudnamn i omfånget utanför klientorganisationen (till exempel en administrativ enhet eller Azure AD objekt). Det finns ingen gräns för Azure AD inbyggda rolltilldelningar i klientomfånget. Mer information finns i Tilldela Azure AD roller i olika omfång.
Det går inte att lägga till en grupp som gruppägare.
En användares möjlighet att läsa andra användares klientinformation kan endast begränsas av Azure AD organisationsomfattande växel för att inaktivera alla icke-administratörsanvändares åtkomst till all klientinformation (rekommenderas inte). Mer information finns i Begränsa standardbehörigheterna för medlemsanvändare.
Det kan ta upp till 15 minuter eller så kan du behöva logga ut och logga in igen innan tillägg och återkallanden av administratörsrollen börjar gälla.
Villkorliga åtkomstprinciper
Högst 195 principer kan skapas i en enda Azure AD organisation (klientorganisation).