Microsoft Entra 服务限制和限制

發行項
2025/05/23

本文包含Microsoft Entra ID（Microsoft Entra 服务一部分）的使用约束和其他服务限制。如果要查找完整的 Azure 服务限制集，请参阅 Azure 订阅和服务限制、配额和约束。

下面是 Microsoft Entra 服务的使用约束和其他服务限制。

类别	限度
租户	单个用户最多可以是 500 个 Microsoft Entra 租户的成员或来宾。最多创建 200 个租户。每个租户上限为 300 个基于许可证的订阅（例如 Microsoft 365 订阅）
域名	最多可以添加 5,000 个托管域名。如果将所有域设置为与本地 Active Directory 联合，则最多可在每个租户中添加 2,500 个域名。
资源	默认情况下，Microsoft Entra ID 免费版的用户最多可以在单个租户中创建 50,000 个 Microsoft Entra 资源。如有至少一个经过验证的域，则组织的默认 Microsoft Entra 服务配额会扩展到 300,000 个 Microsoft Entra 资源。即使在您执行了内部管理员接管，并将组织转换为拥有至少一个已验证域的托管租户之后，通过用户自助注册创建的 Microsoft Entra 服务配额仍保持为 50,000 个 Microsoft Entra 资源。此服务上限与 Microsoft Entra 定价页上 500,000 个资源的定价层上限无关。若要超过默认配额，必须联系 Microsoft 支持部门。非管理员用户最多可以创建 250 个 Microsoft Entra 资源。活动资源和可还原的已删除资源都会计入此配额。只能还原在 30 天内删除的 Microsoft Entra 资源。不可还原的已删除 Microsoft Entra 资源在 30 天内按四分之一的值计入此配额。如果开发人员在其日常工作期间可能会反复超过此配额，你可以创建并分配一个自定义角色，并为此角色授予创建无限个应用注册的权限。资源限制适用于给定 Microsoft Entra 租户中的所有目录对象，包括用户、组、应用程序和服务主体。
架构扩展	String 类型扩展最多只能有 256 个字符。 Binary 类型扩展限制在 256 字节以内。只能将 100 个扩展值（包括所有类型和所有应用程序）写入任何单一 Microsoft Entra 资源中。仅“用户”、“组”、“TenantDetail”、“设备”、“应用程序”和“ServicePrincipal”实体可以用字符串类型或二进制文件类型单一值属性进行扩展。
应用程序	最多有 100 个用户和服务主体可以是单一应用程序的所有者。用户、组或服务主体最多可以有 1,500 个应用角色分配。限制针对所有应用角色的分配服务主体、用户或组，而不是单个应用角色的分配数。此限制包括已软删除资源服务主体的应用角色分配。使用基于密码的单一登录，用户最多可以为 48 个应用配置凭据。此限制仅适用于直接为用户分配应用时配置的凭据，而不适用于用户是分配的组的成员时配置的凭据。使用基于密码的单一登录，一个组最多可以为 48 个应用配置凭据。请参阅受支持帐户类型的验证差异中的其他限制。
应用程序清单	最多可在应用程序清单中添加 1,200 个条目。请参阅受支持帐户类型的验证差异中的其他限制。
群组	一个非管理员用户最多可在 Microsoft Entra 组织中创建 250 个组。任何可以管理组织中的组的 Microsoft Entra 管理员可以创建无限数量的组（最多可达 Microsoft Entra 对象上限）。如果为用户指定角色来删除该用户的限制，请分配权限较低的内置角色，如“用户管理员”或“组管理员”。 Microsoft Entra 组织最多可以有 15,000 个动态组（包括源自 Microsoft Entra 权利管理自动分配策略的组）和动态管理单元组合在一起。在单个 Microsoft Entra 组织（租户）中最多可以创建 500 个可分配角色的组。最多有 100 位用户可以是单一组的所有者。 Entra Kerberos允许每个令牌限制 1010 个组。任意数量的 Microsoft Entra 资源都可以是单个组的成员。一个用户可以是任意数量的组的成员。当安全组与 SharePoint Online 结合使用时，用户可以是总共 2,047 个安全组的一部分。这包括直接和间接的组成员身份。超过此限制时，身份验证和搜索结果会变得不可预知。从 Microsoft Entra Connect v2.0 开始，V2 终结点是默认 API。可以使用 Microsoft Entra Connect 将组中可以同步到 Microsoft Entra ID 的成员数限制为 250,000 个成员。有关详细信息，请参阅 Microsoft Entra Connect Sync V2。选择组列表时，可为最多 500 个 Microsoft 365 组分配组过期策略。当策略应用于所有Microsoft 365 个组时没有限制。目前，嵌套组支持以下场景：可以将一个组添加为另一个组的成员，并且可以实现组嵌套。组成员身份声明。当将应用配置为接收令牌中的组成员身份声明时，将包括登录用户所属的嵌套组。条件访问（条件访问策略具有组范围时）。限制访问自助式密码重置。限制哪些用户可以进行 Microsoft Entra 加入和设备注册。以下方案不支持嵌套组：用于访问和预配的应用角色分配。支持向应用分配组，但嵌套于直接分配组中的任何组将无法访问。基于组的许可（将许可证自动分配给组的所有成员）。 Microsoft 365 组。
应用程序代理	每个应用程序代理应用程序每秒最多可处理 500 个事务。 Microsoft Entra 组织的事务处理能力上限为每秒 750 次。 *一个事务定义为对某个唯一资源的单一 HTTP 请求和响应。当客户端受到限制时，它们会收到 429 个响应（请求过多）。事务指标是在每个连接器上收集的，可以使用对象名称“`Microsoft Entra private network connector`”下的性能计数器进行监视。
访问面板	无论分配了多少个许可证，在访问面板中可以针对每个用户显示的应用程序数量都没有限制。
报告	在报告中最多可查看或下载 1,000 行。将截断任何其他数据。
管理单元	Microsoft Entra 资源最多可以是 30 个管理单位的成员。一个租户中最多有 100 个受限的管理单元。 Microsoft Entra 组织最多可以有 15,000 个动态组（包括源自 Microsoft Entra 权利管理自动分配策略的组）和动态管理单元组合在一起。
Microsoft Entra 角色和权限	在 Microsoft Entra 组织中最多可以创建 100 个 Microsoft Entra 自定义角色。在任何范围内，单个主体最多可以分配 150 个 Microsoft Entra 自定义角色。非租户范围（例如管理单元或 Microsoft Entra 对象）内单个主体的 Microsoft Entra 内置角色分配最多为 100 个。租户范围内Microsoft Entra 内置角色分配没有限制。有关详细信息，请参阅分配 Microsoft Entra 角色。无法将某个群组添加为群组所有者。用户读取其他用户租户信息的能力只能通过以下方式限制：使用 Microsoft Entra 组织范围内的开关禁用所有非管理员用户对所有租户信息的访问（不推荐使用）。有关详细信息，请参阅限制成员用户的默认权限。在管理员角色成员身份添加和撤销生效之前，最多可能需要 15 分钟或你可能需要注销再登录。
条件访问策略	在单个 Microsoft Entra 组织（租户）中最多可以创建 195 个策略。
使用条款	最多可以添加 40 个条目到单个 Microsoft Entra 组织（租户）。
多租户组织	最多 100 个活动租户，包括所有者租户。所有者租户可以添加 100 多个挂起的租户，但如果超出限制，他们将无法加入多租户组织。此限制在待定租户加入多租户组织时实施。此限制特定于多租户组织中的租户数。它本身不适用于跨租户同步。