Límites y restricciones del servicio Microsoft Entra

Este artículo contiene las restricciones de uso y otros límites de servicio para el servicio Microsoft Entra ID, parte de Microsoft Entra. Si está buscando el conjunto completo de límites del servicio de Microsoft Azure, consulte Límites, cuotas y restricciones de suscripción y servicios de Microsoft Azure.

Aquí se indican las restricciones de uso y otros límites para el servicio Microsoft Entra.

Categoría Límite
Inquilinos
  • Un usuario único puede pertenecer a un máximo de 500 inquilinos de Microsoft Entra como miembro o invitado.
  • Cree un máximo de 200 inquilinos.
  • Límite de 300 suscripciones basadas en licencias (como suscripciones de Microsoft 365) por inquilino
  • Dominios
  • No es posible agregar más de 5000 nombres de dominio administrados.
  • Si configura todos los dominios para la federación de Active Directory local, no puede agregar más de 2500 nombres de dominio en cada inquilino.
  • Recursos
    • De forma predeterminada, los usuarios de la edición gratuita de Microsoft Entra ID pueden crear un máximo de 50 000 recursos de Microsoft Entra en un solo inquilino. Si tiene al menos un dominio verificado, la cuota de servicio predeterminada de Microsoft Entra para su organización se amplía a 300 000 recursos de Microsoft Entra.
      La cuota de servicio de Microsoft Entra para organizaciones creadas mediante el registro de autoservicio sigue siendo 50 000 recursos de Microsoft Entra, incluso después de que haya realizado una toma de control interna del administrador y la organización se convierta en un inquilino administrado con al menos un dominio verificado. Este límite de servicio no está relacionado con el límite del nivel de precios de 500 000 recursos en la página de precios de Microsoft Entra.
      Para superar la cuota predeterminada, debe ponerse en contacto con el servicio de soporte técnico de Microsoft.
    • Un usuario que no sea administrador no puede crear más de 250 recursos de Microsoft Entra. Tanto los recursos activos como los recursos eliminados que están disponibles para restaurar se contabilizan para esta cuota. Solo los recursos eliminados de Microsoft Entra que se eliminaran hace menos de 30 días están disponibles para restaurar. Los recursos eliminados de Microsoft Entra que ya no están disponibles para restaurar cuentan para esta cuota a un valor de un cuarto durante 30 días.
      Si tiene desarrolladores que probablemente superen repetidamente esta cuota en el transcurso de sus tareas normales, puede crear y asignar un rol personalizado con permiso para crear un número ilimitado de registros de aplicaciones.
    • Las limitaciones de recursos se aplican a todos los objetos de directorio de un inquilino de Microsoft Entra determinado, incluidos usuarios, grupos, aplicaciones y entidades de servicio.
    Extensiones de esquema
    • Las extensiones de tipo String pueden tener un máximo de 256 caracteres.
    • Las extensiones de tipo Binary están limitadas a 256 bytes.
    • Solo se pueden escribir 100 valores de extensión, entre todos los tipos y todas las aplicaciones, en cualquier recurso de Microsoft Entra único.
    • Las entidades User, Group, TenantDetail, Device, Application y ServicePrincipal son las únicas que se pueden ampliar con atributos de valor único de tipo String o de tipo Binary.
    APLICACIONES
    • Un máximo de 100 usuarios y entidades de servicio pueden ser propietarios de una sola aplicación.
    • Un usuario, grupo o entidad de servicio puede tener como máximo 1500 asignaciones de roles de aplicación. La limitación está en la entidad de servicio, el usuario o el grupo asignados en todos los roles de aplicación y no en el número de asignaciones de un solo rol de aplicación. Este límite incluye asignaciones de roles de aplicación en las que la entidad de servicio de recursos se ha eliminado temporalmente.
    • Un usuario puede tener las credenciales configuradas para un máximo de 48 aplicaciones mediante el inicio de sesión único basado en contraseña. Este límite solo se aplica a las credenciales configuradas cuando al usuario se le asigna directamente la aplicación, no cuando el este es miembro de un grupo que se asigna.
    • Un grupo puede tener las credenciales configuradas para un máximo de 48 aplicaciones mediante el inicio de sesión único basado en contraseña.
    • Vea los límites adicionales en Diferencias de validación por tipos de cuenta compatibles.
    Manifiesto de aplicación Se puede agregar un máximo de 1200 entradas al manifiesto de la aplicación.
    Vea los límites adicionales en Diferencias de validación por tipos de cuenta compatibles.
    Grupos
    • Un usuario que no sea administrador puede crear un máximo de 250 grupos en una organización de Microsoft Entra. Cualquier administrador de Microsoft Entra que pueda administrar grupos en la organización también puede crear un número ilimitado de grupos (hasta el límite de objetos de Microsoft Entra). Si asigna un rol a un usuario para quitar el límite de ese usuario, asigne un rol integrado con menos privilegios, como Administrador de usuarios o Administrador de grupos.
    • Una organización de Microsoft Entra puede tener un máximo de 15 000 grupos dinámicos y unidades administrativas dinámicas combinados.
    • Se puede crear un máximo de 500 grupos a los que se pueden asignar roles en una sola organización de Microsoft Entra (inquilino).
    • Un máximo de 100 usuarios pueden ser propietarios de un solo grupo.
    • Cualquier cantidad de recursos de Microsoft Entra puede ser miembros de un solo grupo.
    • Un usuario puede ser un miembro de cualquier número de grupos. Cuando se usan grupos de seguridad en combinación con SharePoint Online, un usuario puede formar parte de 2049 grupos de seguridad en total. Esto incluye pertenencias a grupos directos e indirectos. Cuando se supera este límite, los resultados de autenticación y búsqueda se vuelven impredecibles.
    • A partir de Microsoft Entra Connect v2.0, el punto de conexión V2 es la API predeterminada. El número de miembros de un grupo que se pueden sincronizar entre la versión local de Active Directory y Microsoft Entra ID mediante Microsoft Entra Connect se limita a 250 000 miembros. Para obtener más información, consulta Microsoft Entra Connect Sync V2.
    • Al seleccionar una lista de grupos, puedes asignar una directiva de expiración de grupo a un máximo de 500 grupos de Microsoft 365. No hay ningún límite cuando la directiva se aplica a todos los grupos de Microsoft 365.

    En este momento, los siguientes escenarios son compatibles con grupos anidados:
    • Se puede agregar un grupo como miembro de otro grupo, y se puede lograr el anidamiento de grupos.
    • Notificaciones de pertenencia a grupos. Cuando una aplicación está configurada para recibir notificaciones de pertenencia a grupos en el token, se incluyen los grupos anidados de los que el usuario que ha iniciado sesión es miembro.
    • Acceso condicional (cuando una directiva de acceso condicional tiene un ámbito de grupo).
    • Restricción del acceso al restablecimiento de contraseña de autoservicio.
    • Restricción de los usuarios que pueden realizar la unión y el registro de dispositivos de Microsoft Entra.

    Los siguientes escenarios no son compatibles con grupos anidados:
    • Asignación de roles de aplicación, tanto para el acceso como para el aprovisionamiento. Se admite la asignación de grupos a una aplicación, pero los grupos anidados dentro del grupo asignado directamente no tendrán acceso.
    • Licencias basadas en grupos (al asignar una licencia automáticamente a todos los miembros de un grupo).
    • Microsoft 365 Groups.
    Proxy de aplicación
    • Un máximo de 500 transacciones* por segundo por aplicación de Application Proxy.
    • Un máximo de 750 transacciones por segundo para la organización de Microsoft Entra.

      Una transacción se define como una única solicitud y respuesta HTTP para un único recurso. Cuando los clientes lleguen al límite, reciben una respuesta 429 (demasiadas solicitudes). Las métricas de transacción se recopilan en cada conector y se pueden supervisar mediante contadores de rendimiento en el nombre del objeto Microsoft Entra private network connector.
    Panel de acceso No hay ningún límite en el número de aplicaciones por usuario que se pueden mostrar en el Panel de acceso, independientemente del número de licencias asignadas.
    Informes Se puede ver o descargar en cualquier informe un máximo de 1000 filas. Los datos adicionales se truncan.
    Unidades administrativas
    • Un recurso de Microsoft Entra puede ser un miembro de como máximo 30 unidades administrativas.
    • Un máximo de 100 unidades administrativas de administración restringida en un inquilino.
    • Una organización de Microsoft Entra puede tener un máximo de 15 000 grupos de pertenencia dinámica y unidades administrativas dinámicas combinados.
    Roles y permisos de Microsoft Entra
    • Se puede crear un máximo de 100 roles personalizados de Microsoft Entra en una organización de Microsoft Entra.
    • Un máximo de 150 asignaciones de roles personalizadas de Microsoft Entra para una sola entidad de seguridad en cualquier ámbito.
    • Un máximo de 100 asignaciones de roles integradas de Microsoft Entra para una sola entidad de seguridad en el ámbito de no inquilino (como una unidad administrativa o un objeto de Microsoft Entra). No hay límite para las asignaciones de roles integradas de Microsoft Entra en el ámbito del inquilino. Para obtener más información, consulta Asignación de roles de Microsoft Entra en distintos ámbitos.
    • No se puede agregar un grupo como propietario del grupo.
    • La capacidad de un usuario para leer la información del inquilino de otros usuarios solo puede restringirse mediante el modificador de Microsoft Entra para toda la organización para deshabilitar el acceso de todos los usuarios no administradores a toda la información del inquilino (no recomendado). Para obtener más información, consulta Restricción de los permisos predeterminados de los usuarios miembros.
    • Puede tardar hasta 15 minutos o es posible que tengas que cerrar sesión e iniciar sesión de nuevo para que las adiciones y revocaciones de pertenencia a roles de administrador surtan efecto.
    Directivas de acceso condicional Se puede crear un máximo de 195 directivas en una sola organización de Microsoft Entra (inquilino).
    Condiciones de uso No puede agregar más de 40 términos a una sola organización de Microsoft Entra (inquilino).
    Organizaciones multiinquilino
    • Un máximo de 100 inquilinos activos, incluido el inquilino propietario. El inquilino propietario puede agregar más de 100 inquilinos pendientes, pero no podrán unirse a la organización multiinquilino si se supera el límite. Este límite se aplica en el momento en el que un inquilino pendiente se une a una organización multiinquilino.
    • Este límite es específico del número de inquilinos de una organización multiinquilino. No se aplica a la sincronización entre inquilinos por sí misma.