Azure AD サービスの制限と制約Azure AD service limits and restrictions

この記事では、Azure Active Directory (Azure AD) サービスの使用上の制約およびその他のサービスの制限を説明します。This article contains the usage constraints and other service limits for the Azure Active Directory (Azure AD) service. Microsoft Azure サービスの制限すべてをご覧になりたい場合は、「 Azure サブスクリプションとサービスの制限、クォータ、および制約」を参照してください。If you’re looking for the full set of Microsoft Azure service limits, see Azure Subscription and Service Limits, Quotas, and Constraints.

ここでは、Azure Active Directory (Azure AD) サービスの使用上の制約およびその他のサービスの制限を説明します。Here are the usage constraints and other service limits for the Azure Active Directory (Azure AD) service.

CategoryCategory 制限Limits
ディレクトリDirectories 1 人のユーザーは、最大で 500 の Azure AD ディレクトリにゲストまたはメンバーとして属することができます。A single user can belong to a maximum of 500 Azure AD directories as a member or a guest.
1 人のユーザーは、最大で 20 個のディレクトリを作成できます。A single user can create a maximum of 20 directories.
ドメインDomains 追加できるマネージド ドメイン名は 900 個以下です。You can add no more than 900 managed domain names. オンプレミス Active Directory とのフェデレーションをすべてのドメインに設定する場合、各ディレクトリに追加できるドメイン名は 450 個以下です。If you set up all of your domains for federation with on-premises Active Directory, you can add no more than 450 domain names in each directory.
  • Azure Active Directory の Free エディションのユーザーは、既定で 1 つのディレクトリに最大 50,000 個の Azure AD リソースを作成できます。A maximum of 50,000 Azure AD resources can be created in a single directory by users of the Free edition of Azure Active Directory by default. 検証済みドメインが少なくとも 1 つあれば、Azure AD でのディレクトリ サービスの既定のクォータは、300,000 個の Azure AD リソースに拡張されます。If you have at least one verified domain, the default directory service quota in Azure AD is extended to 300,000 Azure AD resources.
  • 管理者以外のユーザーは、最大 250 個の Azure AD リソースを作成できます。A non-admin user can create no more than 250 Azure AD resources. アクティブ リソースと復元可能な削除済みリソースの両方が、このクォータに加算されます。Both active resources and deleted resources that are available to restore count toward this quota. 30 日未満に削除された削除済み Azure AD リソースのみが復元可能です。Only deleted Azure AD resources that were deleted fewer than 30 days ago are available to restore. 復元できなくなった削除済み Azure AD リソースは、30 日間、 4 分の 1 の値でこのクォータに加算されます。Deleted Azure AD resources that are no longer available to restore count toward this quota at a value of one-quarter for 30 days. 通常の作業で、このクォータを繰り返し超過する可能性のある開発者がいる場合は、無制限の数のアプリ登録を作成できる権限を持ったカスタムロールを作成して割り当てることもできます。If you have developers who are likely to repeatedly exceed this quota in the course of their regular duties, you can create and assign a custom role with permission to create a limitless number of app registrations.
スキーマの拡張機能Schema extensions
  • 文字列型の拡張の最大文字数は 256 文字です。String-type extensions can have a maximum of 256 characters.
  • バイナリ型の拡張は 256 バイトに制限されます。Binary-type extensions are limited to 256 bytes.
  • 1 つの Azure AD リソースに対して書き込める拡張値は、(すべての型とすべてのアプリケーションで合計) 100 個のみです。Only 100 extension values, across all types and all applications, can be written to any single Azure AD resource.
  • 文字列型またはバイナリ型の単一値の属性を使用して拡張できるのは、User、Group、TenantDetail、Device、Application、および ServicePrincipal エンティティのみです。Only User, Group, TenantDetail, Device, Application, and ServicePrincipal entities can be extended with string-type or binary-type single-valued attributes.
  • スキーマ拡張は、Graph API バージョン 1.21 プレビューでのみ使用できます。Schema extensions are available only in the Graph API version 1.21 preview. 拡張を登録するには、アプリケーションに書き込みアクセス権を付与する必要があります。The application must be granted write access to register an extension.
[アプリケーション]Applications 最大 100 人のユーザーが 1 つのアプリケーションの所有者になれます。A maximum of 100 users can be owners of a single application.
アプリケーション マニフェストApplication Manifest アプリケーション マニフェストには、最大で 1200 のエントリを追加できます。A maximum of 1200 entries can be added in the Application Manifest.
  • 最大 100 人のユーザーが 1 つのグループの所有者になれます。A maximum of 100 users can be owners of a single group.
  • 任意の数の Azure AD リソースが 1 つのグループのメンバーになることができます。Any number of Azure AD resources can be members of a single group.
  • ユーザーは任意の数のグループのメンバーになることができます。A user can be a member of any number of groups.
  • Azure AD Connect を使用してオンプレミスの Active Directory から Azure Active Directory に同期できるグループ内のメンバーの数は、50,000 ユーザーに制限されています。The number of members in a group that you can synchronize from your on-premises Active Directory to Azure Active Directory by using Azure AD Connect is limited to 50,000 members.
アプリケーション プロキシApplication Proxy
  • アプリケーション プロキシ アプリケーションごとに 1 秒あたり最大 500 件のトランザクションA maximum of 500 transactions per second per App Proxy application
  • テナントでの 1 秒あたり最大 750 件のトランザクションA maximum of 750 transactions per second for the tenant

トランザクションは、単一の http 要求と一意のリソースの応答として定義されます。A transaction is defined as a single http request and response for a unique resource. スロットルが行われた場合、クライアントでは 429 応答 (要求が多すぎます) を受信します。When throttled, clients will receive a 429 response (too many requests).
アクセス パネルAccess Panel
  • 各ユーザーのアクセス パネルに表示できるアプリケーション数に制限はありません。There's no limit to the number of applications that can be seen in the Access Panel per user. これは、Azure AD Premium または Enterprise Mobility Suite のライセンスが割り当てられているユーザーに適用されます。This applies to users assigned licenses for Azure AD Premium or the Enterprise Mobility Suite.
  • 最大で 10 個のアプリ タイルを各ユーザーのアクセス パネルに表示できます。A maximum of 10 app tiles can be seen in the Access Panel for each user. この制限は、Azure AD Free ライセンス プランのライセンスが割り当てられているユーザーに適用されます。This limit applies to users who are assigned licenses for Azure AD Free license plan. アプリ タイルの例として、Box、Salesforce、Dropbox が挙げられます。Examples of app tiles include Box, Salesforce, or Dropbox. この制限は、管理者アカウントには適用されません。This limit doesn't apply to administrator accounts.
ReportsReports いずれのレポートでも、最大 1,000 行を表示またはダウンロードできます。A maximum of 1,000 rows can be viewed or downloaded in any report. それを超えるデータは切り捨てられます。Any additional data is truncated.
管理単位Administrative units Azure AD リソースは最大 30 個の管理単位のメンバーにすることができます。An Azure AD resource can be a member of no more than 30 administrative units.
管理者ロールとアクセス許可Admin roles and permissions
  • グループを所有者として追加することはできません。A group cannot be added as an owner.
  • グループをロールに割り当てることはできません。A group cannot be assigned to a role.
  • 管理者以外のすべてのユーザーのすべてのディレクトリ情報へのアクセスを無効にするために、他のユーザーのディレクトリ情報を読み取るユーザーの能力をテナント全体のスイッチの外部に制限することはできません (お勧めできません)。Users’ ability to read other users’ directory information cannot be restricted outside of the tenant-wide switch to disable all non-admin users’ access to all directory information (not recommended). 既定のアクセス許可の詳細については、ここを参照してください。More information on default permissions here.
  • 管理者ロールのメンバーシップの追加や失効が有効になるには、最大 15 分またはサインアウト/サインインが必要になることがあります。It may take up to 15 minutes or signing out/signing in before admin role membership additions and revocations take effect.

次のステップNext steps