Restricciones y límites del servicio Azure ADAzure AD service limits and restrictions

Este artículo contiene las restricciones de uso y otros límites de servicio para el servicio Azure Active Directory (Azure AD).This article contains the usage constraints and other service limits for the Azure Active Directory (Azure AD) service. Si está buscando el conjunto completo de límites del servicio de Microsoft Azure, consulte Límites, cuotas y restricciones de suscripción y servicios de Microsoft Azure.If you’re looking for the full set of Microsoft Azure service limits, see Azure Subscription and Service Limits, Quotas, and Constraints.

Estas son las restricciones de uso y otros límites de servicio para el servicio Azure Active Directory (Azure AD).Here are the usage constraints and other service limits for the Azure Active Directory (Azure AD) service.

CategoryCategory LímiteLimit
InquilinosTenants Un usuario único puede pertenecer a un máximo de 500 inquilinos de Azure AD como miembro o invitado.A single user can belong to a maximum of 500 Azure AD tenants as a member or a guest.
Un usuario único puede crear un máximo de 200 directorios.A single user can create a maximum of 200 directories.
DominiosDomains No es posible agregar más de 5000 nombres de dominio administrados.You can add no more than 5000 managed domain names. Si configura todos los dominios para la federación de Active Directory local, no puede agregar más de 2500 nombres de dominio en cada inquilino.If you set up all of your domains for federation with on-premises Active Directory, you can add no more than 2500 domain names in each tenant.
RecursosResources
  • De forma predeterminada, los usuarios de la edición Gratis de Azure Active Directory pueden crear un máximo de 50 000 recursos de Azure AD en un solo inquilino.A maximum of 50,000 Azure AD resources can be created in a single tenant by users of the Free edition of Azure Active Directory by default. Si tiene al menos un dominio comprobado, la cuota de servicio predeterminada de Azure AD se amplía a 300 000 recursos de Azure AD.If you have at least one verified domain, the default Azure AD service quota for your organization is extended to 300,000 Azure AD resources. La cuota de servicio de Azure AD para las organizaciones creadas mediante el registro en modalidad de autoservicio sigue siendo de 50 000 recursos de Azure AD, incluso después de que se haya tomado el control de la administración interna y la organización se haya convertido en un inquilino administrado con al menos un dominio verificado.Azure AD service quota for organizations created by self-service sign-up remains 50,000 Azure AD resources even after you performed an internal admin takeover and the organization is converted to a managed tenant with at least one verified domain. Este límite de servicio no está relacionado con el límite del plan de tarifa de 500 000 recursos de la página de precios de Azure AD.This service limit is unrelated to the pricing tier limit of 500,000 resources on the Azure AD pricing page. Para superar la cuota predeterminada, debe ponerse en contacto con el servicio de soporte técnico de Microsoft.To go beyond the default quota, you must contact Microsoft Support.
  • Un usuario que no es administrador puede crear hasta 250 recursos de Azure AD.A non-admin user can create no more than 250 Azure AD resources. Tanto los recursos activos como los recursos eliminados que están disponibles para restaurar se contabilizan para esta cuota.Both active resources and deleted resources that are available to restore count toward this quota. Solo están disponibles para restaurar los recursos de Azure AD que se han eliminado hace menos de 30 días.Only deleted Azure AD resources that were deleted fewer than 30 days ago are available to restore. Los recursos de Azure AD eliminados que ya no están disponibles para restaurar se contabilizan para esta cuota en un valor de un cuarto durante 30 días.Deleted Azure AD resources that are no longer available to restore count toward this quota at a value of one-quarter for 30 days. Si tiene desarrolladores que probablemente superen repetidamente esta cuota en el transcurso de sus tareas normales, puede crear y asignar un rol personalizado con permiso para crear un número ilimitado de registros de aplicaciones.If you have developers who are likely to repeatedly exceed this quota in the course of their regular duties, you can create and assign a custom role with permission to create a limitless number of app registrations.
Extensiones de esquemaSchema extensions
  • Las extensiones de tipo String pueden tener un máximo de 256 caracteres.String-type extensions can have a maximum of 256 characters.
  • Las extensiones de tipo Binary están limitadas a 256 bytes.Binary-type extensions are limited to 256 bytes.
  • Solo 100 valores de extensión, entre todos los tipos y todas las aplicaciones, son los únicos que se pueden escribir en cualquier recurso de Azure AD único.Only 100 extension values, across all types and all applications, can be written to any single Azure AD resource.
  • Las entidades User, Group, TenantDetail, Device, Application y ServicePrincipal son las únicas que se pueden ampliar con atributos de valor único de tipo String o de tipo Binary.Only User, Group, TenantDetail, Device, Application, and ServicePrincipal entities can be extended with string-type or binary-type single-valued attributes.
  • Las extensiones de esquema solo están disponibles en la versión preliminar de la versión 1.21 de Graph API.Schema extensions are available only in the Graph API version 1.21 preview. La aplicación debe tener acceso de escritura para registrar una extensión.The application must be granted write access to register an extension.
APLICACIONESApplications
  • Un máximo de 100 usuarios pueden ser propietarios de una sola aplicación.A maximum of 100 users can be owners of a single application.
  • Un usuario, grupo o entidad de servicio puede tener como máximo 1500 asignaciones de roles de aplicación.A user, group, or service principal can have a maximum of 1,500 app role assignments.
  • La aplicación de inicio de sesión único (SSO) con contraseña tiene un límite de 48 usuarios. Esto significa que hay un límite de 48 claves para los pares de nombre de usuario y contraseña por cada aplicación.Password-based single sign-on (SSO) app has a limit of 48 users, which means that there is a limit of 48 keys for username/password pairs per app. Si quiere agregar usuarios adicionales, consulte las instrucciones de solución de problemas en Solución de problemas de inicio de sesión único basado en contraseña en Azure AD.If you want to add additional users, see the troubleshooting instructions in Troubleshoot password-based single sign-on in Azure AD.
  • Un usuario solo puede tener un máximo de 48 aplicaciones en las que tenga configuradas credenciales de nombre de usuario y contraseña.A user can only have a maximum of 48 apps where they have username and password credentials configured.
Manifiesto de aplicaciónApplication Manifest Se puede agregar un máximo de 1200 entradas en el manifiesto de aplicación.A maximum of 1200 entries can be added in the Application Manifest.
GruposGroups
  • Un usuario no administrador puede crear un máximo de 250 grupos en una organización de Azure AD.A non-admin user can create a maximum of 250 groups in an Azure AD organization. Cualquier administrador de Azure AD que pueda administrar grupos en la organización también puede crear un número ilimitado de grupos (hasta el límite de objetos de Azure AD).Any Azure AD admin who can manage groups in the organization can also create unlimited number of groups (up to the Azure AD object limit). Si asigna un rol para quitar el límite de un usuario, asígnelos a un rol integrado con menos privilegios, como Administrador de usuarios o Administrador de grupos.If you assign a role to remove the limit for a user, assign them to a less privileged built-in role such as User Administrator or Groups Administrator.
  • Una organización de Azure AD puede tener un máximo de 5000 grupos dinámicos.An Azure AD organization can have a maximum of 5000 dynamic groups.
  • Un máximo de 100 usuarios pueden ser propietarios de un solo grupo.A maximum of 100 users can be owners of a single group.
  • Cualquier número de recursos de Azure AD puede ser miembro de un solo grupo.Any number of Azure AD resources can be members of a single group.
  • Un usuario puede ser un miembro de cualquier número de grupos.A user can be a member of any number of groups.
  • De manera predeterminada, el número de miembros de un grupo que se pueden sincronizar entre la versión local de Active Directory y Azure Active Directory mediante Azure AD Connect se limita a 50 000 miembros.By default, the number of members in a group that you can synchronize from your on-premises Active Directory to Azure Active Directory by using Azure AD Connect is limited to 50,000 members. Si necesita sincronizar la pertenencia a un grupo que ha superado este límite, debe incorporar la API del punto de conexión de Azure AD Connect Sync V2.If you need to synch a group membership that's over this limit, you must onboard the Azure AD Connect Sync V2 endpoint API.
  • Los grupos anidados de Azure AD no se admiten en todos los escenarios.Nested Groups in Azure AD are not supported within all scenarios
  • La directiva de expiración de grupos se puede asignar a un máximo de 500 grupos de Microsoft 365 cuando se seleccione una lista de grupos.Group expiration policy can be assigned to a maximum of 500 Microsoft 365 groups, when selecting a list of groups. No hay ningún límite cuando la directiva se aplica a todos los grupos de Microsoft 365.There is no limit when the policy is applied to all Microsoft 365 groups.

En este momento, los siguientes son los escenarios admitidos con los grupos anidados.At this time the following are the supported scenarios with nested groups.
  • Se puede agregar un grupo como miembro de otro grupo, y se puede lograr el anidamiento de grupos.One group can be added as a member of another group and you can achieve group nesting.
  • Notificaciones de pertenencia a grupos (cuando una aplicación está configurada para recibir notificaciones de pertenencia a grupos en el token, se incluyen los grupos anidados en los que usuario que ha iniciado sesión es miembro)Group membership claims (when an app is configured to receive group membership claims in the token, nested groups in which the signed-in user is a member are included)
  • Acceso condicional (cuando una directiva de acceso condicional tiene un ámbito de grupo)Conditional access (when a conditional access policy has a group scope)
  • Restricción del acceso al restablecimiento de contraseña de autoservicioRestricting access to self-serve password reset
  • Restricción de los usuarios que pueden realizar la unión y el registro de dispositivos de Azure ADRestricting which users can do Azure AD Join and device registration

Los siguientes escenarios NO se admiten para grupos anidados:The following scenarios DO NOT supported nested groups:
  • Asignación de roles de aplicación (se admite la asignación de grupos a una aplicación, pero los grupos anidados dentro del grupo asignado directamente no tendrán acceso), tanto para el acceso como para el aprovisionamientoApp role assignment (assigning groups to an app is supported, but groups nested within the directly assigned group will not have access), both for access and for provisioning
  • Licencias basadas en grupos (al asignar una licencia automáticamente a todos los miembros de un grupo)Group-based licensing (assigning a license automatically to all members of a group)
  • Microsoft 365 Groups.Microsoft 365 Groups.
Proxy de aplicaciónApplication Proxy
  • Un máximo de 500 transacciones por segundo por aplicación de proxy de aplicacionesA maximum of 500 transactions per second per App Proxy application
  • Un máximo de 750 transacciones por segundo para la organización de Azure ADA maximum of 750 transactions per second for the Azure AD organization

Una transacción se define como una única solicitud y respuesta http para un único recurso.A transaction is defined as a single http request and response for a unique resource. Cuando se limitan, los clientes recibirán una respuesta 429 (demasiadas solicitudes).When throttled, clients will receive a 429 response (too many requests).
Panel de accesoAccess Panel No hay límite en el número de aplicaciones que se pueden ver en el Panel de acceso por usuario, independientemente de las licencias que se hayan asignado.There's no limit to the number of applications that can be seen in the Access Panel per user regardless of assigned licenses.
InformesReports Se puede ver o descargar en cualquier informe un máximo de 1.000 filas.A maximum of 1,000 rows can be viewed or downloaded in any report. Los datos adicionales se truncan.Any additional data is truncated.
Unidades administrativasAdministrative units Un recurso de Azure AD puede ser un miembro de como máximo 30 unidades administrativas.An Azure AD resource can be a member of no more than 30 administrative units.
Roles y permisos de Azure ADAzure AD roles and permissions
  • En una organización de Azure AD se puede crear un máximo de 30 roles personalizados de Azure AD.A maximum of 30 Azure AD custom roles can be created in an Azure AD organization.
  • No se puede agregar un grupo como propietario del grupo.A group can't be added as a group owner.
  • La capacidad de un usuario para leer la información del inquilino de otros usuarios solo puede restringirse mediante el modificador de Azure AD para toda la organización para deshabilitar el acceso de todos los usuarios no administradores a toda la información del inquilino (no es recomendable).A user's ability to read other users' tenant information can be restricted only by the Azure AD organization-wide switch to disable all non-admin users' access to all tenant information (not recommended). Para más información, consulte Restricción de los permisos predeterminados de los usuarios miembros.For more information, see To restrict the default permissions for member users.
  • Pueden pasar hasta 15 minutos o el cierre o inicio de sesión antes de que surtan efecto las adiciones y revocaciones de los miembros del rol de administrador.It may take up to 15 minutes or signing out/signing in before admin role membership additions and revocations take effect.

Pasos siguientesNext steps