Dienst- und andere Einschränkungen für Azure AD

Dieser Artikel beschreibt die Nutzungsbeschränkungen und andere Diensteinschränkungen für den Azure Active Directory-Dienst. Einen vollständigen Überblick über die Microsoft Azure-Diensteinschränkungen finden Sie unter Einschränkungen für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.

Nachstehend finden Sie die Verwendungs- und andere Diensteinschränkungen für den Azure Active Directory-Dienst (Azure AD).

Category Begrenzung
Mandanten Ein einzelner Benutzer kann als Mitglied oder Gast bis zu 500 Azure AD-Mandanten angehören.
Ein einzelner Benutzer kann maximal 200 Verzeichnisse erstellen.
Domänen Sie können nicht mehr als 5.000 verwaltete Domänennamen hinzufügen. Wenn Sie alle Ihre Domänen für den Verbund mit der lokalen Active Directory-Instanz einrichten möchten, können Sie in jedem Mandanten maximal 2.500 Domänennamen hinzufügen.
Ressourcen
  • Bei der kostenlosen Edition von Azure Active Directory können Benutzer standardmäßig in einem einzelnen Mandanten maximal 50.000 Azure AD-Ressourcen erstellen. Wenn Sie mindestens eine verifizierte Domäne haben, wird das Standardkontingent für den Azure AD-Dienst für Ihre Organisation auf 300.000 Azure AD-Ressourcen erweitert. Das Kontingent für den Azure AD-Dienst für durch die Self-Service-Registrierung erstellte Organisationen beträgt weiterhin 50.000 Azure AD-Ressourcen, auch wenn eine interne Administratorübernahme stattgefunden hat. Die Organisation wird in einen verwalteten Mandanten mit mindestens einer überprüften Domäne konvertiert. Dieses Dienstlimit steht nicht im Zusammenhang mit dem Tariflimit von 500.000 Ressourcen auf der Azure AD-Preisseite. Um das Standardkontingent zu überschreiten, müssen Sie sich an den Microsoft-Support wenden.
  • Ein Benutzer ohne Administratorrechte kann maximal 250 Azure AD-Ressourcen erstellen. Zu diesem Kontingent zählen sowohl aktive Ressourcen als auch gelöschte Ressourcen, die zum Wiederherstellen verfügbar sind. Nur gelöschte Azure AD-Ressourcen, die vor weniger als 30 Tagen gelöscht wurden, stehen für die Wiederherstellung bereit. Gelöschte Azure AD-Ressourcen, die nicht mehr für die Wiederherstellung verfügbar sind, zählen für 30 Tage mit einem Viertelwert zu diesem Kontingent. Wenn Sie Entwickler haben, die dieses Kontingent wahrscheinlich wiederholt im Rahmen ihrer regulären Aufgaben überschreiten, können Sie eine benutzerdefinierte Rolle erstellen und zuweisen, die die Berechtigung hat, eine unbegrenzte Anzahl von App-Registrierungen zu erstellen.
Schemaerweiterungen
  • Erweiterungen des Typs „String“ sind auf maximal 256 Zeichen begrenzt.
  • Erweiterungen des Typs „Binary“ sind auf 256 Byte beschränkt.
  • Es können maximal 100 Erweiterungswerte (für alle Typen und alle Anwendungen) in jede einzelne Azure AD-Ressource geschrieben werden.
  • Nur die Entitäten „User“, „Group“, „TenantDetail“, „Device“, „Application“ und „ServicePrincipal“ mit dem Typ „String“ oder „Binary“ können mit Einzelwertattributen erweitert werden.
Anwendungen
  • Maximal 100 Benutzer können Besitzer einer einzelnen Anwendung sein.
  • Für einen Benutzer, eine Gruppe oder einen Dienstprinzipal können maximal 1.500 App-Rollenzuweisungen festgelegt werden. Die Einschränkung gilt für den Dienstprinzipal, den Benutzer oder die Gruppe über alle App-Rollen hinweg und nicht für eine Begrenzung der Anzahl von Zuweisungen für eine einzelne App-Rolle.
  • Apps mit kennwortbasiertem einmaligem Anmelden (Single Sign-On, SSO) sind auf 48 Benutzer beschränkt. Dies bedeutet, dass pro App eine Beschränkung auf 48 Schlüssel für Benutzername-Kennwort-Paare gilt. Wenn Sie weitere Benutzer hinzufügen möchten, lesen Sie die Anweisungen zur Problembehandlung unter Behandeln von Problemen beim kennwortbasierten einmaligen Anmelden in Azure AD.
  • Ein Benutzer kann maximal nur 48 Apps verwenden, für die Benutzername und Kennwortanmeldeinformationen konfiguriert sind.
Anwendungsmanifest Im Anwendungsmanifest können maximal 1200 Einträge hinzugefügt werden.
Gruppen
  • Ein Benutzer ohne Administratorrechte kann in einer Azure AD-Organisation maximal 250 Gruppen erstellen. Alle Azure AD-Administratoren, die Gruppen in der Organisation verwalten können, können auch eine unbegrenzte Anzahl von Gruppen erstellen (bis zum Grenzwert für Azure AD-Objekte). Wenn Sie eine Rolle zuweisen, um den Grenzwert für einen Benutzer zu entfernen, weisen Sie ihm eine integrierte Rolle mit weniger Berechtigungen zu, etwa die Rolle „Benutzeradministrator“ oder „Gruppenadministrator“.
  • Eine Azure AD-Organisation kann maximal 5.000 dynamische Gruppen enthalten.
  • In einer einzigen Azure AD-Organisation (Mandant) können maximal 400 Gruppen erstellt werden, denen Rollen zugewiesen werden können.
  • Maximal 100 Benutzer können Besitzer einer einzelnen Gruppe sein.
  • Eine beliebige Anzahl von Azure AD-Ressourcen kann einer einzelnen Gruppe angehören.
  • Ein Benutzer kann ein Mitglied einer beliebigen Anzahl von Gruppen sein. Hinweis: Wenn Sie Sicherheitsgruppen in Kombination mit SharePoint Online verwenden, können einzelne Benutzer*innen Mitglied von insgesamt 2.049 Sicherheitsgruppen sein (dies gilt transitiv, also nicht nur für direkte Gruppenmitgliedschaften, sondern auch für indirekte). Wenn dieser Grenzwert überschritten wird, werden Authentifizierungs- und Suchergebnisse unvorhersehbar.
  • Die Anzahl von Mitgliedern einer Gruppe, die Sie über Ihre lokale Active Directory-Instanz mit Azure Active Directory synchronisieren können, ist bei Verwendung von Azure AD Connect standardmäßig auf 50.000 beschränkt. Wenn Sie eine Gruppenmitgliedschaft synchronisieren müssen, die diesen Grenzwert überschreitet, müssen Sie die Synchronisierungsendpunkt-API V2 für Azure AD Connect integrieren.
  • Geschachtelte Gruppen in Azure AD werden nicht in allen Szenarien unterstützt.
  • Beim Auswählen einer Liste von Gruppen kann die Gruppenablaufrichtlinie maximal 500 Microsoft 365-Gruppen zugewiesen werden. Wird die Richtlinie auf alle Microsoft 365-Gruppen angewendet, gibt es keine Beschränkung.

Zu diesem Zeitpunkt werden folgende Szenarien bei geschachtelten Gruppen unterstützt:
  • Eine Gruppe kann einer anderen Gruppe als Mitglied hinzugefügt werden, und Sie können eine Gruppenverschachtelung erreichen.
  • Gruppenmitgliedschaftsansprüche (Wenn eine App so konfiguriert wurde, dass sie Gruppenmitgliedschaftsansprüche im Token empfängt, werden geschachtelte Gruppen einbezogen, deren Mitglied der angemeldete Benutzer ist.)
  • Bedingter Zugriff (wenn für eine Richtlinie für bedingten Zugriff ein Gruppenbereich gilt)
  • Einschränken des Zugriffs auf Self-Service-Kennwortzurücksetzung
  • Einschränken, welche Benutzer Azure AD beitreten und eine Geräteregistrierung durchführen dürfen

Die folgenden Szenarien unterstützen KEINE geschachtelten Gruppen:
  • App-Rollenzuweisung (das Zuweisen von Gruppen zu einer App wird unterstützt, aber Gruppen, die in der direkt zugewiesenen Gruppe geschachtelt sind, haben keinen Zugriff) – sowohl für den Zugriff als auch für die Bereitstellung
  • Gruppenbasierte Lizenzierung (automatisches Zuweisen einer Lizenz zu allen Mitgliedern einer Gruppe)
  • Microsoft 365-Gruppen
Anwendungsproxy
  • Maximal 500 Transaktionen pro Sekunde pro App-Proxy-Anwendung
  • Maximal 750 Transaktionen pro Sekunde für die Azure AD-Organisation

Eine Transaktion wird als einzelne HTTP-Anforderung und -Antwort für eine eindeutige Ressource definiert. Bei einer Drosselung erhalten Clients die Antwort 429 (zu viele Anforderungen).
Anpassung des Zugriffsbereichs Es gibt keine Beschränkung für die Anzahl der Anwendungen, die im Zugriffsbereich pro Benutzer unabhängig von den zugewiesenen Lizenzen angezeigt werden können.
Berichte In einem Bericht können maximal 1.000 Zeilen angezeigt oder heruntergeladen werden. Weitere Daten werden abgeschnitten.
Verwaltungseinheiten Eine Azure AD-Ressource kann zu höchstens 30 Verwaltungseinheiten gehören.
Azure AD-Rollen und -Berechtigungen
  • In einer Azure AD-Organisation können maximal 30 benutzerdefinierte Azure AD-Rollen erstellt werden.
  • Maximal 100 benutzerdefinierte Azure AD-Rollenzuweisungen für einen einzelnen Prinzipal im Mandantenbereich.
  • Maximal 100 integrierte Azure AD-Rollenzuweisungen für einen einzelnen Prinzipal im Nichtmandantenbereich (z. B. Verwaltungseinheit oder Azure AD-Objekt). Im Mandantenbereich können beliebig viele integrierte Azure AD-Rollenzuweisungen verwendet werden.
  • Eine Gruppe kann nicht als Gruppenbesitzer hinzugefügt werden.
  • Die Fähigkeit von Benutzern, Mandanteninformationen anderer Benutzer lesen zu können, kann nur durch den Azure AD-organisationsweiten Switch eingeschränkt werden, um den Zugriff für alle Nicht-Administratorbenutzer auf alle Mandanteninformationen zu deaktivieren (nicht empfohlen). Weitere Informationen finden Sie unter Einschränken der Standardberechtigungen für Mitgliedsbenutzer.
  • Es kann bis zu 15 Minuten für Abmelden/Anmelden dauern, bevor Ergänzungen und Widerrufe für eine Mitgliedschaft in einer Administratorrolle wirksam werden.

Nächste Schritte