Restrizioni e limiti del servizio Azure AD

Questo articolo descrive i vincoli di utilizzo e altri limiti del servizio per il servizio Azure Active Directory (Azure AD). Se si sta cercando il set completo dei limiti del servizio Microsoft Azure, vedere Sottoscrizione di Azure e limiti, quote e vincoli dei servizi.

Ecco i vincoli di utilizzo e altri limiti di servizio per il servizio Azure AD.

Category Limite
Tenant
  • Un utente singolo può appartenere a un massimo di 500 tenant di Azure AD come membro o guest.
  • Un singolo utente può creare un massimo di 200 directory.
  • Domini
  • È possibile aggiungere non più di 5.000 nomi di dominio gestiti.
  • Se si configurano tutti i domini per la federazione con Active Directory locale, è possibile aggiungere non più di 2.500 nomi di dominio in ogni tenant.
  • Risorse
    • Per impostazione predefinita, è possibile creare un massimo di 50.000 risorse Azure AD in un singolo tenant dagli utenti dell'edizione Azure Active Directory Free. Se si ha almeno un dominio verificato, la quota predefinita del servizio Azure AD per l'organizzazione viene estesa a 300.000 risorse di Azure AD.
      La quota del servizio Azure AD per le organizzazioni create dall'iscrizione self-service rimane 50.000 risorse Azure AD, anche dopo aver eseguito un'acquisizione di amministrazione interna e l'organizzazione viene convertita in un tenant gestito con almeno un dominio verificato. Questo limite del servizio non è correlato al limite del piano tariffario di 500.000 risorse indicato nella pagina dei prezzi di Azure AD.
      Per superare la quota predefinita, è necessario contattare supporto tecnico Microsoft.
    • Un utente non amministratore può creare al massimo 250 risorse di Azure AD. In questa quota vengono conteggiate sia le risorse attive che quelle eliminate disponibili per il ripristino. Solo le risorse di Azure AD eliminate da meno di 30 giorni sono disponibili per il ripristino. Le risorse di Azure AD che non sono più disponibili per il ripristino vengono conteggiate in questa quota al valore di un quarto per 30 giorni.
      Se è probabile che alcuni sviluppatori superino ripetutamente questa quota nel corso delle loro normali mansioni, è possibile creare e assegnare un ruolo personalizzato con l'autorizzazione per creare un numero illimitato di registrazioni di app.
    Estensioni dello schema
    • Le estensioni di tipo stringa possono contenere un massimo di 256 caratteri.
    • Le estensioni di tipo binario sono limitate a 256 byte.
    • In una singola risorsa di Azure AD è possibile scrivere solo 100 valori di estensione, tra tutti i tipi e tutte le applicazioni.
    • Solo le entità User, Group, TenantDetail, Device, Application e ServicePrincipal possono essere estese con gli attributi a valore singolo di tipo stringa o di tipo binario.
    Applicazioni
    • Un massimo di 100 utenti e entità servizio può essere proprietari di una singola applicazione.
    • Un utente, un gruppo o un'entità servizio può avere un massimo di 1.500 assegnazioni di ruolo dell'app. La limitazione riguarda l'entità servizio, l'utente o il gruppo in tutti i ruoli dell'app e non sul numero di assegnazioni in un singolo ruolo dell'app.
    • Un'app configurata per l'accesso Single Sign-On basato su password può avere un massimo di 48 gruppi assegnati con le credenziali configurate.
    • Un utente può avere credenziali configurate per un massimo di 48 app usando l'accesso Single Sign-On basato su password. Questo limite si applica solo alle credenziali configurate quando all'utente viene assegnata direttamente l'app, non quando l'utente è membro di un gruppo assegnato.
    • Vedere limiti aggiuntivi nelle differenze di convalida in base ai tipi di account supportati.
    Manifesto dell'applicazione È possibile aggiungere al manifesto dell'applicazione un massimo di 1.200 voci.
    Vedere limiti aggiuntivi nelle differenze di convalida in base ai tipi di account supportati.
    Gruppi
    • Un utente non amministratore può creare un massimo di 250 gruppi in un'organizzazione di Azure AD. Qualsiasi amministratore Azure AD che può gestire i gruppi nell'organizzazione può anche creare un numero illimitato di gruppi (fino al limite di oggetti Azure AD). Se si assegna un ruolo a un utente per rimuovere il limite per tale utente, assegnare un ruolo predefinito meno privilegiato, ad esempio Amministratore utenti o Amministratore gruppi.
    • Un'organizzazione Azure AD può avere un massimo di 5.000 gruppi dinamici e unità amministrative dinamiche combinate.
    • È possibile creare un massimo di 500 gruppi assegnabili a ruoli in un'unica organizzazione Azure AD (tenant).
    • Al massimo 100 utenti possono essere proprietari di un singolo gruppo.
    • Un singolo gruppo può includere come membri un numero qualsiasi di risorse di Azure AD.
    • Un utente può essere un membro di un numero qualsiasi di gruppi. Quando i gruppi di sicurezza vengono usati in combinazione con SharePoint Online, un utente può far parte di 2.049 gruppi di sicurezza in totale. Sono incluse sia le appartenenze dirette che indirette ai gruppi. Quando questo limite viene superato, l'autenticazione e i risultati della ricerca diventano imprevedibili.
    • Per impostazione predefinita, il numero di membri in un gruppo che è possibile sincronizzare tra l'istanza locale di Active Directory e Azure Active Directory usando Azure AD Connect è limitato a 50.000. Se è necessario sincronizzare l'appartenenza a un gruppo che supera questo limite, è necessario eseguire l'onboarding dell'API endpoint Azure AD Connessione Sync V2.
    • I gruppi annidati in Azure AD non sono supportati in tutti gli scenari.
    • Quando si seleziona un elenco di gruppi, è possibile assegnare criteri di scadenza dei gruppi a un massimo di 500 Microsoft 365 gruppi. Non esiste alcun limite quando i criteri vengono applicati a tutti i gruppi di Microsoft 365.

    Al momento, gli scenari seguenti sono supportati con i gruppi annidati:
    • Un gruppo può essere aggiunto come membro di un altro gruppo ed è possibile ottenere l'annidamento dei gruppi.
    • Attestazioni di appartenenza al gruppo. Quando un'app è configurata per ricevere attestazioni di appartenenza al gruppo nel token, vengono inclusi i gruppi annidati in cui l'utente connesso è un membro.
    • Accesso condizionale (quando un criterio di accesso condizionale ha un ambito di gruppo).
    • Limitazione dell'accesso alla reimpostazione della password self-service.
    • Limitazione delle operazioni che gli utenti possono eseguire Azure AD Registrazione di join e dispositivo.

    Gli scenari seguenti non sono supportati con i gruppi annidati:
    • Assegnazione di ruolo dell'app, sia per l'accesso che per il provisioning. L'assegnazione di gruppi a un'app è supportata, ma tutti i gruppi annidati all'interno del gruppo assegnato direttamente non avranno accesso.
    • Licenze basate su gruppo (assegnazione automatica di una licenza a tutti i membri di un gruppo).
    • Gruppi di Microsoft 365.
    Proxy dell'applicazione
    • Un massimo di 500 transazioni* al secondo per Application Proxy'applicazione.
    • Un massimo di 750 transazioni al secondo per l'organizzazione Azure AD.

      *Una transazione viene definita come una singola richiesta HTTP e una risposta per una risorsa univoca. Quando i client sono limitati, riceveranno una risposta 429 (troppe richieste).
    Pannello di accesso Non esiste alcun limite al numero di applicazioni per utente che possono essere visualizzate nel Pannello di accesso, indipendentemente dal numero di licenze assegnate.
    Report È possibile visualizzare o scaricare in qualsiasi report un massimo di 1000 righe. Eventuali dati aggiuntivi vengono troncati.
    Unità amministrative
    • Una risorsa di Azure AD può appartenere a un massimo di 30 unità amministrative.
    • Un'organizzazione Azure AD può avere un massimo di 5.000 gruppi dinamici e unità amministrative dinamiche combinate.
    Ruoli e autorizzazioni di Azure AD
    • In un'organizzazione di Azure AD è possibile creare un massimo di 30 ruoli personalizzati di Azure AD.
    • Un massimo di 150 Azure AD assegnazioni di ruolo personalizzate per una singola entità in qualsiasi ambito.
    • Un massimo di 100 Azure AD assegnazioni di ruolo predefinite per una singola entità nell'ambito non tenant, ad esempio un'unità amministrativa o un oggetto Azure AD. Non è previsto alcun limite per Azure AD assegnazioni di ruolo predefinite nell'ambito del tenant.
    • Non è possibile aggiungere un gruppo come proprietario del gruppo.
    • La possibilità per gli utenti di leggere le informazioni del tenant di altri utenti può essere limitata solo dall'opzione a livello di organizzazione di Azure AD per disabilitare l'accesso di tutti gli utenti non amministratori alle informazioni di tutti i tenant (scelta non consigliata). Per altre informazioni, vedere Per limitare le autorizzazioni predefinite per gli utenti membro.
    • Potrebbero essere necessari fino a 15 minuti oppure potrebbe essere necessario disconnettersi e accedere di nuovo prima che le aggiunte e le revoche di ruoli di amministratore abbiano effetto.

    Passaggi successivi