Estas son las restricciones de uso y otros límites de servicio para el servicio Azure Active Directory (Azure AD).
Category
Límite
Inquilinos
Un usuario único puede pertenecer a un máximo de 500 inquilinos de Azure AD como miembro o invitado. Un usuario único puede crear un máximo de 200 directorios.
Dominios
No es posible agregar más de 5000 nombres de dominio administrados. Si configura todos los dominios para la federación de Active Directory local, no puede agregar más de 2500 nombres de dominio en cada inquilino.
Recursos
De forma predeterminada, los usuarios de la edición Gratis de Azure Active Directory pueden crear un máximo de 50 000 recursos de Azure AD en un solo inquilino. Si tiene al menos un dominio comprobado, la cuota de servicio predeterminada de Azure AD se amplía a 300 000 recursos de Azure AD. La cuota de servicio de Azure AD para las organizaciones creadas mediante el registro en modalidad de autoservicio sigue siendo de 50 000 recursos de Azure AD, incluso después de que se haya tomado el control de la administración interna y la organización se haya convertido en un inquilino administrado con al menos un dominio verificado. Este límite de servicio no está relacionado con el límite del plan de tarifa de 500 000 recursos de la página de precios de Azure AD. Para superar la cuota predeterminada, debe ponerse en contacto con el servicio de soporte técnico de Microsoft.
Un usuario que no es administrador puede crear hasta 250 recursos de Azure AD. Tanto los recursos activos como los recursos eliminados que están disponibles para restaurar se contabilizan para esta cuota. Solo están disponibles para restaurar los recursos de Azure AD que se han eliminado hace menos de 30 días. Los recursos de Azure AD eliminados que ya no están disponibles para restaurar se contabilizan para esta cuota en un valor de un cuarto durante 30 días. Si tiene desarrolladores que probablemente superen repetidamente esta cuota en el transcurso de sus tareas normales, puede crear y asignar un rol personalizado con permiso para crear un número ilimitado de registros de aplicaciones.
Extensiones de esquema
Las extensiones de tipo String pueden tener un máximo de 256 caracteres.
Las extensiones de tipo Binary están limitadas a 256 bytes.
Solo 100 valores de extensión, entre todos los tipos y todas las aplicaciones, son los únicos que se pueden escribir en cualquier recurso de Azure AD único.
Las entidades User, Group, TenantDetail, Device, Application y ServicePrincipal son las únicas que se pueden ampliar con atributos de valor único de tipo String o de tipo Binary.
APLICACIONES
Un máximo de 100 usuarios pueden ser propietarios de una sola aplicación.
Un usuario, grupo o entidad de servicio puede tener como máximo 1500 asignaciones de roles de aplicación. La limitación está en la entidad de servicio, el usuario o el grupo en todos los roles de aplicación, y no en un límite sobre el número de asignaciones en un único rol de aplicación.
La aplicación de inicio de sesión único (SSO) con contraseña tiene un límite de 48 usuarios. Esto significa que hay un límite de 48 claves para los pares de nombre de usuario y contraseña por cada aplicación. Si quiere agregar usuarios adicionales, consulte las instrucciones de solución de problemas en Solución de problemas de inicio de sesión único basado en contraseña en Azure AD.
Un usuario solo puede tener un máximo de 48 aplicaciones en las que tenga configuradas credenciales de nombre de usuario y contraseña.
Manifiesto de aplicación
Se puede agregar un máximo de 1200 entradas en el manifiesto de aplicación.
Grupos
Un usuario no administrador puede crear un máximo de 250 grupos en una organización de Azure AD. Cualquier administrador de Azure AD que pueda administrar grupos en la organización también puede crear un número ilimitado de grupos (hasta el límite de objetos de Azure AD). Si asigna un rol para quitar el límite de un usuario, asígnelos a un rol integrado con menos privilegios, como Administrador de usuarios o Administrador de grupos.
Una organización de Azure AD puede tener un máximo de 5000 grupos dinámicos.
Se puede crear un máximo de 400 grupos a los que se puedan asignar roles en una sola organización de Azure AD (inquilino).
Un máximo de 100 usuarios pueden ser propietarios de un solo grupo.
Cualquier número de recursos de Azure AD puede ser miembro de un solo grupo.
Un usuario puede ser un miembro de cualquier número de grupos. Al usar grupos de seguridad en combinación con SharePoint Online, un usuario puede formar parte de 2049 grupos de seguridad en total (no solo pertenencias directas a grupos, sino también pertenencia indirecta a grupos). Al superar este límite, los resultados de la autenticación y la búsqueda se vuelven impredecibles.
De manera predeterminada, el número de miembros de un grupo que se pueden sincronizar entre la versión local de Active Directory y Azure Active Directory mediante Azure AD Connect se limita a 50 000 miembros. Si necesita sincronizar la pertenencia a un grupo que ha superado este límite, debe incorporar la API del punto de conexión de Azure AD Connect Sync V2.
Los grupos anidados de Azure AD no se admiten en todos los escenarios.
La directiva de expiración de grupos se puede asignar a un máximo de 500 grupos de Microsoft 365 cuando se seleccione una lista de grupos. No hay ningún límite cuando la directiva se aplica a todos los grupos de Microsoft 365.
En este momento, los siguientes son los escenarios admitidos con los grupos anidados.
Se puede agregar un grupo como miembro de otro grupo, y se puede lograr el anidamiento de grupos.
Notificaciones de pertenencia a grupos (cuando una aplicación está configurada para recibir notificaciones de pertenencia a grupos en el token, se incluyen los grupos anidados en los que usuario que ha iniciado sesión es miembro)
Acceso condicional (cuando una directiva de acceso condicional tiene un ámbito de grupo)
Restricción del acceso al restablecimiento de contraseña de autoservicio
Restricción de los usuarios que pueden realizar la unión y el registro de dispositivos de Azure AD
En los siguientes escenarios NO se admiten los grupos anidados:
Asignación de roles de aplicación, tanto para el acceso como para el aprovisionamiento. Se admite la asignación de grupos a una aplicación, pero los grupos anidados dentro del grupo asignado directamente no tendrán acceso.
Licencias basadas en grupos (al asignar una licencia automáticamente a todos los miembros de un grupo)
Microsoft 365 Groups.
Proxy de aplicación
Un máximo de 500 transacciones por segundo por aplicación de proxy de aplicaciones
Un máximo de 750 transacciones por segundo para la organización de Azure AD
Una transacción se define como una única solicitud y respuesta http para un único recurso. Cuando se limitan, los clientes recibirán una respuesta 429 (demasiadas solicitudes).
Panel de acceso
No hay límite en el número de aplicaciones que se pueden ver en el Panel de acceso por usuario, independientemente de las licencias que se hayan asignado.
Informes
Se puede ver o descargar en cualquier informe un máximo de 1.000 filas. Los datos adicionales se truncan.
Unidades administrativas
Un recurso de Azure AD puede ser un miembro de como máximo 30 unidades administrativas.
Un máximo de 100 asignaciones de roles personalizadas de Azure AD para una sola entidad de seguridad en el ámbito del inquilino.
Un máximo de 100 asignaciones de roles integradas de Azure AD para una sola entidad de seguridad en el ámbito no de inquilino (como unidad administrativa u objeto de Azure AD). No hay ningún límite para las asignaciones de roles integradas de Azure AD en el ámbito del inquilino.
La capacidad de un usuario para leer la información del inquilino de otros usuarios solo puede restringirse mediante el modificador de Azure AD para toda la organización para deshabilitar el acceso de todos los usuarios no administradores a toda la información del inquilino (no es recomendable). Para más información, consulte Restricción de los permisos predeterminados de los usuarios miembros.
Pueden pasar hasta 15 minutos o el cierre o inicio de sesión antes de que surtan efecto las adiciones y revocaciones de los miembros del rol de administrador.