Azure AD サービスの制限と制約

この記事では、Azure Active Directory (Azure AD) サービスの使用上の制約およびその他のサービスの制限を説明します。 Microsoft Azure サービスの制限すべてをご覧になりたい場合は、「 Azure サブスクリプションとサービスの制限、クォータ、および制約」を参照してください。

ここでは、Azure Active Directory (Azure AD) サービスの使用上の制約およびその他のサービスの制限を説明します。

カテゴリ 制限
テナント 1 人のユーザーは、最大 500 の Azure AD テナントにメンバーまたはゲストとして属することができます。
1 人のユーザーは、最大で 200 個のディレクトリを作成できます。
ドメイン 追加できるマネージド ドメイン名は 5,000 個以下です。 オンプレミス Active Directory とのフェデレーションをすべてのドメインに設定した場合、各テナントには 2,500 を超えるドメイン名を追加できません。
リソース
  • Azure Active Directory の Free エディションのユーザーは、既定で 1 つのテナントに最大 50,000 個の Azure AD リソースを作成できます。 検証済みドメインが少なくとも 1 つある場合は、組織の既定の Azure AD サービス クォータは 300,000 個の Azure AD リソースに拡張されます。 内部管理者の引き継ぎを実行し、少なくとも 1 つの確認済みドメインを持つマネージド テナントに組織が変換された後も、セルフサービス サインアップによって作成された組織の Azure AD サービス クォータは、50,000 個の Azure AD リソースのままになります。 このサービス制限は、Azure AD の価格ページに記載されている 500,000 リソースの価格レベル制限とは関係ありません。 既定のクォータを超えるためには、Microsoft サポートに連絡する必要があります。
  • 管理者以外のユーザーは、最大 250 個の Azure AD リソースを作成できます。 アクティブ リソースと復元可能な削除済みリソースの両方が、このクォータに加算されます。 30 日未満に削除された削除済み Azure AD リソースのみが復元可能です。 復元できなくなった削除済み Azure AD リソースは、30 日間、 4 分の 1 の値でこのクォータに加算されます。 通常の作業で、このクォータを繰り返し超過する可能性のある開発者がいる場合は、無制限の数のアプリ登録を作成できる権限を持ったカスタムロールを作成して割り当てることもできます。
スキーマの拡張機能
  • 文字列型の拡張の最大文字数は 256 文字です。
  • バイナリ型の拡張は 256 バイトに制限されます。
  • 1 つの Azure AD リソースに対して書き込める拡張値は、(すべて の型と すべて のアプリケーションで合計) 100 個のみです。
  • 文字列型またはバイナリ型の単一値の属性を使用して拡張できるのは、User、Group、TenantDetail、Device、Application、および ServicePrincipal エンティティのみです。
アプリケーション
  • 最大 100 人のユーザーが 1 つのアプリケーションの所有者になれます。
  • ユーザー、グループ、またはサービス プリンシパルに割り当てることのできるアプリ ロールは 1,500 までです。 この制限は、すべてのアプリ ロールのサービス プリンシパル、ユーザー、またはグループが対象です。1 つのアプリ ロールへの割り当ての数に対する制限ではありません。
  • パスワードベースのシングル サインオン (SSO) アプリには 48 ユーザーという制限があり、当然、アプリあたりのユーザー名とパスワードのペアについても 48 キーの制限があります。 それ以上のユーザーを追加したい場合は、「Azure AD でのパスワードベースのシングル サインオンのトラブルシューティング」のトラブルシューティング手順を参照してください。
  • ユーザー名とパスワードの資格情報を構成して所有できるアプリは、1 ユーザーにつき 48 個までです。
アプリケーション マニフェスト アプリケーション マニフェストには、最大で 1200 のエントリを追加できます。
グループ
  • 管理者以外のユーザーは、Azure AD 組織に最大 250 個のグループを作成できます。 組織内のグループを管理できる Azure AD 管理者であれば、グループを無制限に作成することもできます (Azure AD オブジェクトの上限まで)。 ユーザーの制限を削除するためのロールを割り当てる場合は、ユーザー管理者やグループ管理者など、特権の低い組み込みロールに割り当ててください。
  • Azure AD 組織には、最大 5000 個の動的グループを含めることができます。
  • 1 つの Azure AD 組織 (テナント) には、最大 400 個のロール割り当て可能なグループを作成できます。
  • 最大 100 人のユーザーが 1 つのグループの所有者になれます。
  • 任意の数の Azure AD リソースが 1 つのグループのメンバーになることができます。
  • ユーザーは任意の数のグループのメンバーになることができます。 注: セキュリティ グループを SharePoint Online と組み合わせて使用する場合、ユーザーは合計で 2049 のセキュリティ グループの一部に (グループの直接のメンバーではなくグループの間接的なメンバーなど、推移的に) なる可能性があります。 この制限を超える場合、認証と検索結果は予測不能になります。
  • 既定では、Azure AD Connect を使用してオンプレミスの Active Directory から Azure Active Directory に同期できるグループ内のメンバーの数は、50,000 ユーザーに制限されています。 この制限を超えるグループ メンバーを同期する必要がある場合、Azure AD Connect 同期 V2 エンドポイント API をオンボードしなければなりません。
  • Azure AD の入れ子になったグループは、すべてのシナリオにおいてサポートされていません
  • 一連のグループを選択する場合、グループの有効期限ポリシーを割り当てることができる Microsoft 365 グループは最大 500 個です。 ポリシーがすべての Microsoft 365 グループに適用される場合、制限はありません。

現時点で、入れ子になったグループでサポートされるシナリオを次に示します。
  • 1 つのグループを別のグループのメンバーとして追加することができるため、グループの入れ子を実現できます。
  • グループ メンバーシップ クレーム (アプリがトークンでグループ メンバーシップ クレームを受信するように構成されている場合は、サインインしているユーザーがメンバーになっている入れ子になったグループが含まれます)
  • 条件付きアクセス (条件付きアクセス ポリシーにグループのスコープが設定されている場合)
  • セルフサービスのパスワード リセットへのアクセスの制限
  • Azure AD Join とデバイス登録を実行できるユーザーの制限

次のシナリオでは、入れ子になったグループはサポートされません。
  • アプリ ロールの割り当て (アプリへのグループの割り当てはサポートされていますが、直接割り当てられたグループ内で入れ子になっているグループにはアクセス権はありません)。アクセス権とプロビジョニングの両方
  • グループベースのライセンス (グループのすべてのメンバーにライセンスを自動的に割り当てます)
  • Microsoft 365 グループ。
アプリケーション プロキシ
  • アプリケーション プロキシ アプリケーションごとに 1 秒あたり最大 500 件のトランザクション
  • Azure AD 組織に対する 1 秒あたり最大 750 件のトランザクション

トランザクションは、単一の http 要求と一意のリソースの応答として定義されます。 スロットルが行われた場合、クライアントでは 429 応答 (要求が多すぎます) を受信します。
アクセス パネル 割り当てられたライセンスに関係なく、各ユーザーのアクセス パネルに表示できるアプリケーション数に制限はありません。
Reports いずれのレポートでも、最大 1,000 行を表示またはダウンロードできます。 それを超えるデータは切り捨てられます。
管理単位 Azure AD リソースは最大 30 個の管理単位のメンバーにすることができます。
Azure AD ロールとアクセス許可
  • Azure AD 組織ごとに、最大 30 個の Azure AD カスタム ロールを作成できます。
  • テナント スコープで 1 つのプリンシパルに最大 100 個の Azure AD カスタム ロール割り当て。
  • テナント以外のスコープ (管理単位、Azure AD オブジェクトなど) で 1 つのプリンシパルに最大 100 個の Azure AD 組み込みロール割り当て。 テナント スコープでの Azure AD 組み込みロール割り当てに制限はありません。
  • グループをグループ所有者として追加することはできません。
  • ユーザーが他のユーザーのテナント情報を読み取ることができる権限は、管理者以外の全ユーザーがすべてのテナント情報にアクセスできないようにする、Azure AD 組織全体のスイッチでのみ制限できます (これは推奨されません)。 詳細については、「メンバー ユーザーの既定のアクセス許可を制限するには」を参照してください。
  • 管理者ロールのメンバーシップの追加や失効が有効になるには、最大 15 分またはサインアウト/サインインが必要になることがあります。

次のステップ