Dit artikel bevat de gebruiksbeperkingen en andere servicelimieten voor de service Azure Active Directory (Azure AD). Als u op zoek bent naar de volledige set Microsoft Azure servicelimieten, zie Azure Subscription and Service Limits, Quotas, and Constraints (Limieten,quota's en beperkingen voor Azure-abonnementen en -service).
Hier vindt u de beperkingen voor gebruik en andere servicelimieten voor de Azure Active Directory-service (Azure AD).
Categorie
Limiet
Tenants
Eén gebruiker kan tot maximaal 500 Azure AD-tenants behoren als lid of gast. Eén gebruiker kan maximaal 200 directory's maken.
Domeinen
U kunt niet meer dan 5000 beheerde domeinnamen toevoegen. Als u al uw domeinen voor federatie met on-premises Active Directory, kunt u niet meer dan 2500 domeinnamen toevoegen in elke tenant.
Resources
Gebruikers van de gratis versie van Azure Active Directory kunnen standaard maximaal 50.000 Azure AD-resources maken in één tenant. Als u ten minste één geverifieerd domein hebt, wordt het standaard Azure AD-servicequotum voor uw organisatie uitgebreid naar 300.000 Azure AD-resources. Azure AD-servicequota voor organisaties die door selfservice-registratie zijn gemaakt, blijven 50.000 Azure AD-resources, zelfs nadat u een interne beheerdersovername hebt uitgevoerd en de organisatie is omgezet naar een beheerde tenant met minstens één geverifieerd domein. Deze servicelimiet is niet gerelateerd aan de limiet van 500.000 resources voor de prijscategorie op de Azure AD-pagina met prijzen. Als u het standaardquotum wilt overschrijden, moet u contact opnemen met Microsoft Ondersteuning.
Niet-beheerders mogen maximaal 250 Azure AD-resources maken. Zowel actieve resources als verwijderde resources die nog kunnen worden hersteld, tellen mee voor dit quotum. Alleen verwijderde Azure AD-resources die minder dan 30 dagen geleden zijn verwijderd, kunnen nog worden hersteld. Verwijderde Azure AD-resources die niet meer kunnen worden hersteld, tellen 30 dagen lang voor een kwart van de oorspronkelijke waarde mee voor het quotum. Als u ontwikkelaars hebt die dit quotum waarschijnlijk herhaaldelijk overschrijden in de loop van hun normale taken, kunt u een aangepaste rol maken en toewijzen met machtiging voor het maken van een onbeperkt aantal app-registraties.
Schema-uitbreidingen
Uitbreidingen van het type 'tekenreeks' mogen uit maximaal 256 tekens bestaan.
Uitbreidingen van het type 'binair' mogen uit maximaal 256 bytes bestaan.
Voor alle typen en alle toepassingen samen mogen er slechts 100 uitbreidingswaarden naar één Azure AD-resource worden geschreven.
Alleen de entiteiten User, Group, TenantDetail, Device, Application en ServicePrincipal mogen worden uitgebreid met kenmerken met één waarde van het type 'tekenreeks' of 'binair'.
Toepassingen
Maximaal 100 gebruikers mogen eigenaar zijn van één toepassing.
Een gebruiker, groep of service-principal kan maximaal 1500 app-roltoewijzingen hebben. De beperking geldt voor de service-principal, gebruiker of groep voor alle app-rollen en niet voor een limiet voor het aantal toewijzingen voor één app-rol.
Een app voor eenmalige aanmelding op basis van een wachtwoord heeft een limiet van 48 gebruikers, wat betekent dat er een limiet van 48 sleutels geldt voor paren met gebruikersnaam en wachtwoord per app. Als u extra gebruikers wilt toevoegen, raadpleegt u de instructies voor het oplossen van problemen in Problemen oplossen bij eenmalige aanmelding op basis van wachtwoorden in Azure AD.
Een gebruiker kan maximaal 48 apps hebben waarop de referenties voor gebruikersnaam en wachtwoord zijn geconfigureerd.
Manifest van de toepassing
In het toepassingsmanifest kunnen maximaal 1200 vermeldingen worden toegevoegd.
Groepen
Een gebruiker die geen beheerder is, kan maximaal 250 groepen maken in een Azure AD-organisatie. Elke Azure AD-beheerder die groepen kan beheren in de organisatie kan ook een onbeperkt aantal groepen maken (tot de objectlimiet van Azure AD). Als u een rol toewijst om de limiet voor een gebruiker te verwijderen, wijst u deze toe aan een ingebouwde rol met minder rechten, zoals Gebruikersbeheerder of Groepsbeheerder.
Een Azure AD-organisatie kan maximaal 5000 dynamische groepen hebben.
Er kunnen maximaal 400 rol toewijsbare groepen worden gemaakt in één Azure AD-organisatie (tenant).
Maximaal 100 gebruikers mogen eigenaar zijn van één groep.
Een willekeurig aantal Azure AD-resources kan lid zijn van één groep.
Een gebruiker kan lid zijn van een willekeurig aantal groepen. Wanneer u beveiligingsgroepen gebruikt in combinatie met SharePoint Online, kan een gebruiker in totaal deel uitmaken van 2049-beveiligingsgroepen (niet alleen directe groepslidmaatschap, maar ook indirect groepslidmaatschap). Wanneer deze limiet wordt overschreden, worden verificatie- en zoekresultaten onvoorspelbaar.
Standaard is het aantal leden in een groep dat u met behulp van Azure AD Connect vanaf uw on-premises Active Directory naar Azure Active Directory kunt synchroniseren beperkt tot 50.000. Als u een groter aantal groepsleden dan dat wilt synchroniseren, moet u de Azure AD Connect Sync V2-eindpunt-API onboarden.
Geneste groepen in Azure AD worden niet in alle scenario's ondersteund
Verloopbeleid voor groepen kan worden toegewezen aan maximaal 500 Microsoft 365 groepen, wanneer u een lijst met groepen selecteert. Er is geen limiet wanneer het beleid wordt toegepast op alle Microsoft 365 groepen.
Op dit moment worden de volgende scenario's met geneste groepen ondersteund.
Een groep kan worden toegevoegd als lid van een andere groep om een geneste groep te maken.
Groepslidmaatschapsclaims (wanneer een app is geconfigureerd om groepslidmaatschapsclaims in het token te ontvangen, worden geneste groepen waarvan de aangemelde gebruiker lid is, opgenomen)
Voorwaardelijke toegang (wanneer een beleid voor voorwaardelijke toegang een groepsbereik heeft)
Beperken van toegang tot het zelf opnieuw instellen van wachtwoorden
Beperken welke gebruikers Azure AD Join en apparaatregistratie kunnen uitvoeren
De volgende scenario's bieden GEEN ondersteuning voor geneste groepen:
App-roltoewijzing, zowel voor toegang als voor inrichting. Het toewijzen van groepen aan een app wordt ondersteund, maar alle groepen die zijn genest binnen de rechtstreeks toegewezen groep hebben geen toegang.
Op groepen gebaseerde licenties (automatisch een licentie toewijzen aan alle leden van een groep)
Microsoft 365-groepen.
Toepassingsproxy
Maximaal 500 transacties per seconde per app-proxytoepassing
Maximaal 750 transacties per seconde voor de Azure AD-organisatie
Een transactie wordt gedefinieerd als één HTTP-aanvraag en -antwoord voor een unieke resource. Wanneer beperkt, ontvangen clients een 429-respons (te veel aanvragen).
Toegangsvenster
Er is geen limiet voor het aantal toepassingen dat per gebruiker kan worden weergegeven in het toegangsvenster, ongeacht de toegewezen licenties.
Rapporten
Er kunnen maximaal 1000 rijen worden bekeken of gedownload in elk rapport. Aanvullende gegevens worden afgekapt.
Beheereenheden
Een Azure AD-resources kan lid zijn van maximaal 30 beheereenheden.
Maximaal 100 aangepaste Azure AD-roltoewijzingen voor één principal op tenantbereik.
Maximaal 100 ingebouwde Azure AD-roltoewijzingen voor één principal binnen een niet-tenantbereik (zoals een beheereenheid of Een Azure AD-object). Er is geen limiet voor ingebouwde Azure AD-roltoewijzingen op tenantbereik.
Een groep kan niet worden toegevoegd als groepseigenaar.
De mogelijkheid van gebruikers om tenantgegevens van andere gebruikers te lezen kan niet worden beperkt, behalve door in de hele Azure AD-organisatie de toegang van alle gebruikers die geen beheerder zijn tot alle tenantgegevens uit te schakelen (niet aanbevolen). Zie De standaardmachtigingen voor lidgebruikers beperken voor meer informatie.
Het kan 15 minuten duren of het kan nodig zijn af en weer aan te melden voordat toevoegingen of intrekkingen van beheerdersrollidmaatschappen van kracht worden.
