Limiti e restrizioni del servizio Microsoft Entra

Questo articolo contiene i vincoli di utilizzo e altri limiti di servizio per il servizio Microsoft Entra ID, parte di Microsoft Entra. Se si sta cercando il set completo dei limiti del servizio Microsoft Azure, vedere Sottoscrizione di Azure e limiti, quote e vincoli dei servizi.

Ecco i vincoli di utilizzo e altri limiti di servizio per il servizio Microsoft Entra.

Categoria Limite
Tenant
  • Un singolo utente può appartenere a un massimo di 500 tenant di Microsoft Entra come membro o guest.
  • Creare un massimo di 200 tenant.
  • Limite di 300 sottoscrizioni basate su licenza (ad esempio sottoscrizioni di Microsoft 365) per tenant
  • Domini
  • È possibile aggiungere non più di 5.000 nomi di dominio gestito.
  • Se si configurano tutti i domini per la federazione con l'istanza locale di Active Directory, è possibile aggiungere un massimo di 2.500 nomi di dominio in ogni tenant.
  • Risorse
    • Per impostazione predefinita, è possibile creare un massimo di 50.000 risorse di Microsoft Entra in un singolo tenant dagli utenti dell'edizione Microsoft Entra ID Free. Se si dispone di almeno un dominio verificato, la quota predefinita del servizio Microsoft Entra per l'organizzazione viene estesa a 300.000 risorse di Microsoft Entra.
      La quota del servizio Microsoft Entra per le organizzazioni create dall'iscrizione self-service rimane 50.000 risorse di Microsoft Entra, anche dopo aver eseguito un'acquisizione di amministratore interna e l'organizzazione viene convertita in un tenant gestito con almeno un dominio verificato. Questo limite di servizio non è correlato al limite del piano tariffario di 500.000 risorse nella pagina dei prezzi di Microsoft Entra.
      Per superare la quota predefinita, è necessario contattare supporto tecnico Microsoft.
    • Un utente non amministratore può creare non più di 250 risorse di Microsoft Entra. In questa quota vengono conteggiate sia le risorse attive che quelle eliminate disponibili per il ripristino. Solo le risorse di Microsoft Entra eliminate da meno di 30 giorni sono disponibili per il ripristino. Le risorse di Microsoft Entra che non sono più disponibili per il ripristino vengono conteggiate in questa quota al valore di un quarto per 30 giorni.
      Se è probabile che alcuni sviluppatori superino ripetutamente questa quota nel corso delle loro normali mansioni, è possibile creare e assegnare un ruolo personalizzato con l'autorizzazione per creare un numero illimitato di registrazioni di app.
    • Le limitazioni delle risorse si applicano a tutti gli oggetti directory in un determinato tenant di Microsoft Entra, inclusi utenti, gruppi, applicazioni ed entità servizio.
    Estensioni dello schema
    • Le estensioni di tipo stringa possono contenere un massimo di 256 caratteri.
    • Le estensioni di tipo binario sono limitate a 256 byte.
    • In una singola risorsa di Microsoft Entra è possibile scrivere solo 100 valori di estensione, tra tutti i tipi e tutte le applicazioni.
    • Solo le entità User, Group, TenantDetail, Device, Application e ServicePrincipal possono essere estese con gli attributi a valore singolo di tipo stringa o di tipo binario.
    Applicazioni
    • Al massimo 100 utenti ed entità servizio possono essere proprietari di una singola applicazione.
    • Un utente, un gruppo o un'entità servizio può avere un massimo di 1.500 assegnazioni di ruolo app. La limitazione riguarda l'entità servizio, l'utente o il gruppo assegnati in tutti i ruoli dell'app e non sul numero di assegnazioni di un singolo ruolo dell'app. Questo limite include le assegnazioni di ruolo dell'app in cui l'entità servizio risorse è stata eliminata soft-delete.
    • Un utente può avere credenziali configurate per un massimo di 48 app usando l'accesso Single Sign-On basato su password. Questo limite si applica solo per le credenziali configurate quando all'utente viene assegnata direttamente l'app, non quando l'utente è membro di un gruppo assegnato.
    • Un gruppo può avere credenziali configurate per un massimo di 48 app usando l'accesso Single Sign-On basato su password.
    • Altri limiti sono disponibili in Differenze di convalida in base ai tipi di account supportati.
    Manifesto dell'applicazione È possibile aggiungere al manifesto dell'applicazione un massimo di 1.200 voci.
    Altri limiti sono disponibili in Differenze di convalida in base ai tipi di account supportati.
    Gruppi
    • Un utente non amministratore può creare un massimo di 250 gruppi in un'organizzazione Di Microsoft Entra. Qualsiasi amministratore di Microsoft Entra che può gestire i gruppi nell'organizzazione può anche creare un numero illimitato di gruppi (fino al limite di oggetti Microsoft Entra). Se si assegna un ruolo a un utente per rimuovere il limite per tale utente, assegnare un ruolo predefinito con privilegi minori, ad esempio Amministratore utenti o Amministratore gruppi.
    • Un'organizzazione Microsoft Entra può avere un massimo di 15.000 gruppi dinamici e unità amministrative dinamiche combinate.
    • È possibile creare un massimo di 500 gruppi assegnabili a ruoli in un'unica organizzazione Microsoft Entra (tenant).
    • Al massimo 100 utenti possono essere proprietari di un singolo gruppo.
    • Qualsiasi numero di risorse di Microsoft Entra può essere membro di un singolo gruppo.
    • Un utente può essere un membro di un numero qualsiasi di gruppi. Quando i gruppi di sicurezza vengono usati in combinazione con SharePoint Online, un utente può far parte di 2.049 gruppi di sicurezza in totale. Sono incluse le appartenenze a gruppi diretti e indiretti. Quando questo limite viene superato, l'autenticazione e i risultati della ricerca diventano imprevedibili.
    • A partire da Microsoft Entra Connect v2.0, l'endpoint V2 è l'API predefinita. Il numero di membri di un gruppo che è possibile sincronizzare da Active Directory locale a Microsoft Entra ID con Microsoft Entra Connect è limitato a 250.000 membri. Per altre informazioni, vedere Sincronizzazione di Microsoft Entra Connect V2.
    • Quando si seleziona un elenco di gruppi, è possibile assegnare un criterio di scadenza di gruppo a un massimo di 500 gruppi di Microsoft 365. Non esiste alcun limite quando il criterio viene applicato a tutti i gruppi di Microsoft 365.

    A questo punto, gli scenari seguenti sono supportati con i gruppi annidati:
    • Un gruppo può essere aggiunto come membro di un altro gruppo ed è possibile realizzare un annidamento.
    • Attestazioni di appartenenza al gruppo. Quando un'app è configurata per ricevere attestazioni di appartenenza a gruppo nel token, vengono inclusi i gruppi annidati di cui l'utente connesso è membro.
    • Accesso condizionale (quando un criterio di accesso condizionale ha ambito di gruppo).
    • Limitazione dell'accesso alla reimpostazione della password self-service.
    • Limitazione di quali utenti possono eseguire l'aggiunta a Microsoft Entra e la registrazione del dispositivo.

    Gli scenari seguenti non sono supportati con i gruppi annidati:
    • Assegnazione di ruolo app, sia per l'accesso che per il provisioning. L'assegnazione di gruppi a un'app è supportata, ma eventuali gruppi annidati all'interno del gruppo direttamente assegnato non avranno accesso.
    • Licenze basate sui gruppi (assegnazione automatica di una licenza a tutti i membri di un gruppo).
    • Gruppi di Microsoft 365.
    Proxy dell'applicazione
    • Un massimo di 500 transazioni* al secondo per applicazione proxy di applicazione.
    • Un massimo di 750 transazioni al secondo per l'organizzazione Microsoft Entra.

      *Una transazione viene definita come una singola richiesta e risposta HTTP per una risorsa univoca. Quando i client sono limitati, riceveranno una risposta 429 (troppe richieste). Le metriche delle transazioni vengono raccolte in ogni connettore e possono essere monitorate usando contatori delle prestazioni sotto il nome dell'oggetto Microsoft Entra private network connector.
    Pannello di accesso Non è previsto alcun limite al numero di applicazioni per utente che possono essere visualizzate nel pannello di accesso, indipendentemente dal numero di licenze assegnate.
    Report È possibile visualizzare o scaricare in qualsiasi report un massimo di 1000 righe. Eventuali dati aggiuntivi vengono troncati.
    Unità amministrative
    • Una risorsa di Microsoft Entra può appartenere a un massimo di 30 unità amministrative.
    • Un massimo di 100 unità amministrative di gestione con restrizioni in un tenant.
    • Un'organizzazione Microsoft Entra può avere un massimo di 15.000 gruppi di appartenenza dinamica e unità amministrative dinamiche combinate.
    Ruoli e autorizzazioni di Microsoft Entra
    • È possibile creare un massimo di 100 ruoli personalizzati di Microsoft Entra in un'organizzazione Di Microsoft Entra.
    • Un massimo di 150 assegnazioni di ruolo personalizzate di Microsoft Entra per un'unica entità in qualsiasi ambito.
    • Un massimo di 100 assegnazioni di ruolo predefinite di Microsoft Entra per una singola entità nell'ambito non tenant, ad esempio un'unità amministrativa o un oggetto Microsoft Entra. Non esiste alcun limite alle assegnazioni di ruolo predefinite di Microsoft Entra nell'ambito del tenant. Per altre informazioni, vedere Assegnare ruoli di Microsoft Entra in ambiti diversi.
    • Non è possibile aggiungere un gruppo come proprietario del gruppo.
    • La possibilità per gli utenti di leggere le informazioni del tenant di altri utenti può essere limitata solo dall'opzione a livello di organizzazione di Microsoft Entra per disabilitare l'accesso di tutti gli utenti non amministratori alle informazioni di tutti i tenant (scelta non consigliata). Per altre informazioni, vedere Per limitare le autorizzazioni predefinite per gli utenti membro.
    • Potrebbero essere necessari fino a 15 minuti oppure potrebbe essere necessario disconnettersi e accedere di nuovo prima che le aggiunte e le revoche di ruoli di amministratore abbiano effetto.
    Criteri di accesso condizionale È possibile creare un massimo di 195 criteri in un'unica organizzazione Microsoft Entra (tenant).
    Condizioni per l'utilizzo È possibile aggiungere non più di 40 termini a una singola organizzazione Microsoft Entra (tenant).
    Organizzazioni multi-tenant
    • Un massimo di 100 tenant attivi, incluso il tenant proprietario. Il tenant proprietario può aggiungere più di 100 tenant in sospeso, ma non sarà in grado di partecipare all'organizzazione multi-tenant se viene superato il limite. Questo limite viene applicato al momento in cui un tenant in sospeso viene aggiunto a un'organizzazione multi-tenant.
    • Questo limite è specifico per il numero di tenant in un'organizzazione multi-tenant. Ciò non si applica alla sincronizzazione tra tenant da sola.