Ограничения службы Microsoft Entra

  • Статья

В этой статье содержатся ограничения использования и другие ограничения службы для идентификатора Microsoft Entra, части Microsoft Entra, службы. Если вам нужен полный список ограничений для службы Microsoft Azure, ознакомьтесь со статьей Подписка Azure, границы, квоты и ограничения службы.

Ниже приведены ограничения использования и другие ограничения службы для службы Microsoft Entra.

Категория Лимит
Клиенты
  • Один пользователь может принадлежать не более 500 клиентов Microsoft Entra в качестве члена или гостя.
  • Один пользователь может создать до 200 каталогов.
  • Ограничение в 300 подписок на основе лицензий (например, подписок Microsoft 365) на клиент
    		•
    Домены
  • Можно добавить не более 5000 управляемых доменных имен.
  • Если вы настраиваете все домены для федерации с помощью локальной службы Active Directory, в каждый клиент можно добавить до 2500 доменных имен.
    		•
    Ресурсы
    • По умолчанию в одном клиенте можно создать не более 50 000 ресурсов Microsoft Entra. Если у вас есть хотя бы один проверенный домен, квота службы Microsoft Entra по умолчанию для вашей организации расширена до 300 000 ресурсов Microsoft Entra.
      Квота службы Microsoft Entra для организаций, созданных самостоятельной регистрации, остается 50 000 ресурсов Microsoft Entra, даже если вы выполняете переключение внутреннего администратора и организация преобразуется в управляемый клиент по крайней мере с одним проверенным доменом. Это ограничение службы не связано с ограничением ценовой категории 500 000 ресурсов на странице ценообразования Microsoft Entra.
      Чтобы не выйти за пределы квоты по умолчанию, необходимо обратиться в службу поддержки Майкрософт.
    • Пользователь, отличный от администратора, может создавать не более 250 ресурсов Microsoft Entra. В это число входят как активные ресурсы, так и удаленные ресурсы, доступные для восстановления. Для восстановления доступны только удаленные ресурсы Microsoft Entra, которые были удалены менее 30 дней назад. Удаленные ресурсы Microsoft Entra, которые больше не доступны для восстановления счетчика по отношению к этой квоте в течение одного квартала в течение 30 дней.
      Если у вас есть разработчики, которые предположительно будут постоянно превышать эту квоту в рамках своих обычных обязанностей, можно создать и назначить настраиваемую роль с разрешением на создание бесконечного числа регистраций приложений.
    • Ограничения ресурсов применяются ко всем объектам каталога в определенном клиенте Microsoft Entra, включая пользователей, группы, приложения и субъекты-службы.
    Расширения схемы
    • Расширения типа String не должны превышать 256 символов.
    • Расширения типа Binary не должны превышать 256 байт.
    • Только 100 значений расширения во всех типах и всех приложениях можно записать в любой один ресурс Microsoft Entra.
    • Дополнить однозначными атрибутами типов String или Binary можно только сущности User, Group, TenantDetail, Device, Application и ServicePrincipal.
    Приложения
    • Владельцами одного приложения могут быть не более 100 пользователей и субъектов-служб.
    • У пользователя, группы или субъекта-службы может быть не более 1500 назначений ролей приложений. Ограничение относится к субъекту-службе, пользователю или группе во всех ролях приложения, а не к числу назначений для одной роли приложения.
    • У пользователя могут быть учетные данные, настроенные максимум для 48 приложений, использующих единый вход на основе пароля. Это ограничение применяется только для учетных данных, настроенных, когда пользователь напрямую назначает приложение, а не когда пользователь является членом группы, назначенной пользователем.
    • Группа может иметь учетные данные, настроенные для не более 48 приложений с использованием единого входа на основе паролей.
    • О других ограничениях см. в разделе Различия при проверке по поддерживаемым типам учетных записей.
    Манифест приложения В манифест приложения можно добавить до 1200 записей.
    О других ограничениях см. в разделе Различия при проверке по поддерживаемым типам учетных записей.
    Группы
    • Пользователь, отличный от администратора, может создавать не более 250 групп в организации Microsoft Entra. Любой администратор Microsoft Entra, который может управлять группами в организации, также может создавать неограниченное количество групп (до ограничения объекта Microsoft Entra). Назначая пользователю роль, позволяющую снять относящееся к нему ограничение, используйте встроенную роль с меньшими привилегиями, например администратор пользователей или администратор групп.
    • Организация Microsoft Entra может содержать не более 5000 динамических групп и динамических административных единиц.
    • В одной организации Microsoft Entra (клиент) можно создать не более 500 групп с возможностью назначения ролей.
    • Владельцами одной группы могут быть не более 100 пользователей.
    • Любое количество ресурсов Microsoft Entra может быть членом одной группы.
    • Пользователь может участником любого количества групп. Если группы безопасности используются в сочетании с SharePoint Online, пользователь может быть членом 2049 групп безопасности. Эта цифра включает прямое и косвенное членство в группах. Если это ограничение превышается, результаты поиска и аутентификации становятся непредсказуемыми.
    • Начиная с Microsoft Entra Подключение версии 2.0 конечная точка версии 2 — это API по умолчанию. Количество участников группы, которые можно синхронизировать с локальная служба Active Directory с идентификатором Microsoft Entra с помощью Microsoft Entra Подключение, ограничено 250 000 участников. Дополнительные сведения см. в разделе Microsoft Entra Подключение Sync версии 2.
    • При выборе списка групп можно назначить политику срока действия групп Microsoft 365, но их может быть не более 500. Если политика применяется ко всем группам Microsoft 365, ограничений нет.

    Сейчас поддерживаются следующие сценарии с вложенными группами.
    • Одну группу можно добавить в качестве члена другой группы, чтобы создать вложенность.
    • Утверждения членства в группах. (когда приложение настроено для получения утверждений о членстве в группах в токене, включая вложенные группы, в которые входит вошедший пользователь).
    • Условный доступ (если политика условного доступа имеет группу область).
    • Ограниченный доступ для самостоятельного сброса пароля.
    • Ограничение того, какие пользователи могут выполнять присоединение к Microsoft Entra и регистрацию устройств.

    Следующие сценарии с вложенными группами не поддерживаются.
    • Назначение ролей приложения для доступа и подготовки. Назначение групп для приложения поддерживается, но все группы, вложенные в непосредственно назначенную группу, не будут иметь доступа.
    • Лицензирование на основе групп (автоматическое назначение лицензии всем членам группы).
    • Группы Microsoft 365.
    Прокси приложения
    • До 500 транзакций в секунду * на приложение Application Proxy.
    • Не более 750 транзакций в секунду для организации Microsoft Entra.

      * Транзакция определяется как один HTTP-запрос и ответ для уникального ресурса. Клиенты, для которых включено регулирование, получат ответ 429 (слишком много запросов). Метрики транзакций собираются на каждом соединителе и могут отслеживаться с помощью счетчиков производительности под именем Microsoft Entra private network connectorобъекта.
    Панель доступа Число приложений, которые могут отображаться на Панели доступа для каждого пользователя, не ограничено независимо от количества назначенных лицензий.
    Отчеты В любом отчете можно просматривать и загружать не более 1000 строк. Любые дополнительные данные будут усечены.
    Административные единицы
    • Ресурс Microsoft Entra может быть членом не более 30 административных единиц.
    • Не более 100 административных единиц управления в клиенте.
    • Организация Microsoft Entra может содержать не более 5000 динамических групп и динамических административных единиц.
    Роли и разрешения Microsoft Entra
    • В организации Microsoft Entra можно создать не более 100 пользовательских ролей Microsoft Entra.
    • Не более 150 назначений пользовательских ролей Microsoft Entra для одного субъекта на любом область.
    • Не более 100 встроенных назначений ролей Microsoft Entra для одного участника в область не клиента (например, административной единицы или объекта Microsoft Entra). В область клиента нет ограничений на встроенные назначения ролей Microsoft Entra. Дополнительные сведения см. в разделе "Назначение ролей Microsoft Entra" в разных область.
    • Группу нельзя добавить в качестве владельца группы.
    • Возможность пользователя считывать сведения о клиенте других пользователей может быть ограничена только параметром Microsoft Entra для всей организации, чтобы отключить доступ всех пользователей, не являющихся администраторами, ко всем сведениям о клиенте (не рекомендуется). См. раздел Ограничение разрешений по умолчанию для пользователей-участников.
    • Прежде чем добавление или отзыв роли администратора вступит в силу, может пройти до 15 минут либо вам может потребоваться выйти и снова войти в систему.
    Политики условного доступа В одной организации Microsoft Entra (клиент) можно создать не более 195 политик.
    Условия использования Вы можете добавить не более 40 терминов в одну организацию Microsoft Entra (клиент).
    Мультитенантные организации
    • Не более пяти активных клиентов, включая арендатор владельца. Клиент владельца может добавить более пяти ожидающих клиентов, но они не смогут присоединиться к мультитенантной организации, если ограничение превышено. Это ограничение применяется в то время, когда ожидающий клиент присоединяется к мультитенантной организации.
      • Это ограничение зависит от количества клиентов в мультитенантной организации. Он не применяется к самой синхронизации между клиентами.
    • Не более 100 000 внутренних пользователей на активный клиент. Это ограничение применяется в то время, когда ожидающий клиент присоединяется к мультитенантной организации.

    Связанный контент