閱讀英文

共用方式為

Microsoft Entra 服务限制和限制

本文包含Microsoft Entra ID(Microsoft Entra 服务一部分)的使用约束和其他服务限制。 如果要查找完整的 Azure 服务限制集,请参阅 Azure 订阅和服务限制、配额和约束

下面是 Microsoft Entra 服务的使用约束和其他服务限制。

类别 限度
租户
  • 单个用户最多可以是 500 个 Microsoft Entra 租户的成员或来宾。
  • 最多创建 200 个租户。
  • 每个租户上限为 300 个基于许可证的订阅(例如 Microsoft 365 订阅)
  • 域名
  • 最多可以添加 5,000 个托管域名。
  • 如果将所有域设置为与本地 Active Directory 联合,则最多可在每个租户中添加 2,500 个域名。
  • 资源
    • 默认情况下,Microsoft Entra ID 免费版的用户最多可以在单个租户中创建 50,000 个 Microsoft Entra 资源。 如有至少一个经过验证的域,则组织的默认 Microsoft Entra 服务配额会扩展到 300,000 个 Microsoft Entra 资源。
      即使在您执行了内部管理员接管,并将组织转换为拥有至少一个已验证域的托管租户之后,通过用户自助注册创建的 Microsoft Entra 服务配额仍保持为 50,000 个 Microsoft Entra 资源。 此服务上限与 Microsoft Entra 定价页上 500,000 个资源的定价层上限无关。
      若要超过默认配额,必须联系 Microsoft 支持部门。
    • 非管理员用户最多可以创建 250 个 Microsoft Entra 资源。 活动资源和可还原的已删除资源都会计入此配额。 只能还原在 30 天内删除的 Microsoft Entra 资源。 不可还原的已删除 Microsoft Entra 资源在 30 天内按四分之一的值计入此配额。
      如果开发人员在其日常工作期间可能会反复超过此配额,你可以创建并分配一个自定义角色,并为此角色授予创建无限个应用注册的权限。
    • 资源限制适用于给定 Microsoft Entra 租户中的所有目录对象,包括用户、组、应用程序和服务主体。
    架构扩展
    • String 类型扩展最多只能有 256 个字符。
    • Binary 类型扩展限制在 256 字节以内。
    • 只能将 100 个扩展值(包括所有类型和所有应用程序)写入任何单一 Microsoft Entra 资源中。
    • 仅“用户”、“组”、“TenantDetail”、“设备”、“应用程序”和“ServicePrincipal”实体可以用字符串类型或二进制文件类型单一值属性进行扩展。
    应用程序
    • 最多有 100 个用户和服务主体可以是单一应用程序的所有者。
    • 用户、组或服务主体最多可以有 1,500 个应用角色分配。 限制针对所有应用角色的分配服务主体、用户或组,而不是单个应用角色的分配数。 此限制包括已软删除资源服务主体的应用角色分配。
    • 使用基于密码的单一登录,用户最多可以为 48 个应用配置凭据。 此限制仅适用于直接为用户分配应用时配置的凭据,而不适用于用户是分配的组的成员时配置的凭据。
    • 使用基于密码的单一登录,一个组最多可以为 48 个应用配置凭据。
    • 请参阅 受支持帐户类型的验证差异中的其他限制。
    应用程序清单 最多可在应用程序清单中添加 1,200 个条目。
    请参阅 受支持帐户类型的验证差异中的其他限制。
    群组
    • 一个非管理员用户最多可在 Microsoft Entra 组织中创建 250 个组。 任何可以管理组织中的组的 Microsoft Entra 管理员可以创建无限数量的组(最多可达 Microsoft Entra 对象上限)。 如果为用户指定角色来删除该用户的限制,请分配权限较低的内置角色,如“用户管理员”或“组管理员”。
    • Microsoft Entra 组织最多可以有 15,000 个动态组(包括源自 Microsoft Entra 权利管理自动分配策略的组)和动态管理单元组合在一起。
    • 在单个 Microsoft Entra 组织(租户)中最多可以创建 500 个可分配角色的组
    • 最多有 100 位用户可以是单一组的所有者。
    • Entra Kerberos允许每个令牌限制 1010 个组。
    • 任意数量的 Microsoft Entra 资源都可以是单个组的成员。
    • 一个用户可以是任意数量的组的成员。 当安全组与 SharePoint Online 结合使用时,用户可以是总共 2,047 个安全组的一部分。 这包括直接和间接的组成员身份。 超过此限制时,身份验证和搜索结果会变得不可预知。
    • 从 Microsoft Entra Connect v2.0 开始,V2 终结点是默认 API。 可以使用 Microsoft Entra Connect 将组中可以同步到 Microsoft Entra ID 的成员数限制为 250,000 个成员。 有关详细信息,请参阅 Microsoft Entra Connect Sync V2
    • 选择组列表时,可为最多 500 个 Microsoft 365 组分配组过期策略。 当策略应用于所有Microsoft 365 个组时没有限制。

    目前,嵌套组支持以下场景:
    • 可以将一个组添加为另一个组的成员,并且可以实现组嵌套。
    • 组成员身份声明。 当将应用配置为接收令牌中的组成员身份声明时,将包括登录用户所属的嵌套组。
    • 条件访问(条件访问策略具有组范围时)。
    • 限制访问自助式密码重置。
    • 限制哪些用户可以进行 Microsoft Entra 加入和设备注册。

    以下方案不支持嵌套组
    • 用于访问和预配的应用角色分配。 支持向应用分配组,但嵌套于直接分配组中的任何组将无法访问。
    • 基于组的许可(将许可证自动分配给组的所有成员)。
    • Microsoft 365 组。
    应用程序代理
    • 每个应用程序代理应用程序每秒最多可处理 500 个事务。
    • Microsoft Entra 组织的事务处理能力上限为每秒 750 次。

      *一个事务定义为对某个唯一资源的单一 HTTP 请求和响应。 当客户端受到限制时,它们会收到 429 个响应(请求过多)。 事务指标是在每个连接器上收集的,可以使用对象名称“Microsoft Entra private network connector”下的性能计数器进行监视。
    访问面板 无论分配了多少个许可证,在访问面板中可以针对每个用户显示的应用程序数量都没有限制。
    报告 在报告中最多可查看或下载 1,000 行。 将截断任何其他数据。
    管理单元
    • Microsoft Entra 资源最多可以是 30 个管理单位的成员。
    • 一个租户中最多有 100 个受限的管理单元。
    • Microsoft Entra 组织最多可以有 15,000 个动态组(包括源自 Microsoft Entra 权利管理自动分配策略的组)和动态管理单元组合在一起。
    Microsoft Entra 角色和权限
    • 在 Microsoft Entra 组织中最多可以创建 100 个 Microsoft Entra 自定义角色
    • 在任何范围内,单个主体最多可以分配 150 个 Microsoft Entra 自定义角色。
    • 非租户范围(例如管理单元或 Microsoft Entra 对象)内单个主体的 Microsoft Entra 内置角色分配最多为 100 个。 租户范围内Microsoft Entra 内置角色分配没有限制。 有关详细信息,请参阅分配 Microsoft Entra 角色
    • 无法将某个群组添加为群组所有者
    • 用户读取其他用户租户信息的能力只能通过以下方式限制:使用 Microsoft Entra 组织范围内的开关禁用所有非管理员用户对所有租户信息的访问(不推荐使用)。 有关详细信息,请参阅限制成员用户的默认权限
    • 在管理员角色成员身份添加和撤销生效之前,最多可能需要 15 分钟或你可能需要注销再登录。
    条件访问策略 在单个 Microsoft Entra 组织(租户)中最多可以创建 195 个策略。
    使用条款 最多可以添加 40 个条目到单个 Microsoft Entra 组织(租户)。
    多租户组织
    • 最多 100 个活动租户,包括所有者租户。 所有者租户可以添加 100 多个挂起的租户,但如果超出限制,他们将无法加入多租户组织。 此限制在待定租户加入多租户组织时实施。
    • 此限制特定于多租户组织中的租户数。 它本身不适用于跨租户同步。