次の方法で共有

Microsoft Entra サービスの制限と制約

この記事では、Microsoft Entra の一部である Microsoft Entra ID サービスの使用上の制約およびその他のサービスの制限を説明します。 Microsoft Azure サービスの制限すべてをご覧になりたい場合は、「 Azure サブスクリプションとサービスの制限、クォータ、および制約」を参照してください。

Microsoft Entra サービスの使用上の制約とその他のサービスの制限を次に示します。

Category Limit
Tenants
  • 1 人のユーザーは、最大 500 の Microsoft Entra テナントにメンバーまたはゲストとして属することができます。
  • 最大 200 個のテナントを作成します。
  • テナントあたり 300 ライセンス ベースのサブスクリプション (Microsoft 365 サブスクリプションなど) の制限。
Domains
  • 追加できるマネージド ドメイン名は 5,000 個以下です。
  • オンプレミスの Active Directory とのフェデレーションをすべてのドメインに設定した場合、各テナントには 2,500 を超えるドメイン名を追加できません。
Resources
  • 既定で、Microsoft Entra ID Free エディションのユーザーは、1 つのテナントに最大 50,000 個の Microsoft Entra リソースを作成できます。 検証済みドメインが少なくとも 1 つある場合は、組織の既定の Microsoft Entra サービス クォータは 300,000 個の Microsoft Entra リソースに拡張されます。
    内部管理者の引き継ぎを実行し、少なくとも 1 つの確認済みドメインを持つマネージド テナントに組織が変換された後も、セルフサービス サインアップによって作成された組織の Microsoft Entra サービス クォータは、50,000 個の Microsoft Entra リソースのままになります。 このサービス制限は、Microsoft Entra の価格ページに記載されている 500,000 個のリソースの価格レベル制限とは関係ありません。
    既定のクォータを超えるためには、Microsoft サポートに連絡する必要があります。
  • 管理者以外のユーザーは、最大 250 個の Microsoft Entra リソースを作成できます。 アクティブ リソースと復元可能な削除済みリソースの両方が、このクォータに加算されます。 30 日未満に削除された削除済み Microsoft Entra リソースのみが復元可能です。 復元できなくなった削除済み Microsoft Entra リソースは、30 日間、4 分の 1 の値でこのクォータに加算されます。
    通常の作業で、このクォータを繰り返し超過する可能性のある開発者がいる場合は、無制限の数のアプリ登録を作成できる権限を持ったカスタムロールを作成して割り当てることもできます。
  • リソースの制限は、ユーザー、グループ、アプリケーション、サービス プリンシパルなど、特定の Microsoft Entra テナント内のすべてのディレクトリ オブジェクトに適用されます。
スキーマ拡張機能
  • 文字列型の拡張の最大文字数は 256 文字です。
  • バイナリ型の拡張は 256 バイトに制限されます。
  • 1 つの Microsoft Entra リソースに対して書き込める拡張値は、("すべて" の型と "すべて" のアプリケーションで合計) 100 個のみです。
  • 文字列型またはバイナリ型の単一値の属性を使用して拡張できるのは、User、Group、TenantDetail、Device、Application、および ServicePrincipal エンティティのみです。
  • DateTime 型の拡張機能では、"equals" 演算子のみがサポートされています。 "より大きい" や "より小さい" などの範囲演算子はサポートされていません。
Applications
  • 最大 100 人のユーザーおよびサービス プリンシパルが 1 つのアプリケーションの所有者になれます。
  • ユーザー、グループ、またはサービス プリンシパルに割り当てることのできるアプリ ロールは 1,500 までです。 この制限は、すべてのアプリ ロールにわたる割り当て済みサービス プリンシパル、ユーザー、グループが対象です。1 つのアプリ ロールの割り当ての数に対するものではありません。 この制限には、リソース サービス プリンシパルが論理的に削除されたアプリ ロールの割り当てが含まれます。
  • ユーザーは、パスワードベースのシングル サインオンを使用して、最大 48 個のアプリに対して資格情報を構成できます。 この制限は、ユーザーが割り当てられているグループのメンバーである場合ではなく、ユーザーがアプリに直接割り当てられているときに構成された資格情報にのみ適用されます。
  • 1 つのグループでは、パスワードベースのシングル サインオンを使用して、最大 48 個のアプリに対して資格情報を構成できます。
  • 追加の制限については、サポートされているアカウントの種類別の検証の相違点に関するページをご覧ください。
アプリケーション マニフェスト アプリケーション マニフェストには、最大で 1200 のエントリを追加できます。
追加の制限については、サポートされているアカウントの種類別の検証の相違点に関するページをご覧ください。
Groups
  • 管理者以外のユーザーは、Microsoft Entra 組織に最大 250 個のグループを作成できます。 組織内のグループを管理できる Microsoft Entra 管理者であれば、グループを無制限に作成することもできます (Microsoft Entra オブジェクトの上限まで)。 ユーザーにロールを割り当ててそのユーザーの制限を削除するには、ユーザー管理者やグループ管理者など、特権の低い組み込みロールを割り当ててください。
  • Microsoft Entra 組織は、最大 15,000 個の動的グループ (Microsoft Entra エンタイトルメント管理の自動割り当てポリシーからのグループを含む) と動的管理単位を組み合わせることができます。
  • 1 つの Microsoft Entra 組織 (テナント) には、最大 500 個のロール割り当て可能なグループを作成できます。
  • 最大 100 人のユーザーが 1 つのグループの所有者になれます。
  • Entra Kerberosでは、トークンあたり 1010 グループの制限があります。
  • 任意の数の Microsoft Entra リソースが 1 つのグループのメンバーになることができます。
  • ユーザー (またはグループ) が 2,048 を超えるグループ (直接および入れ子) のメンバーである場合、アクセスがブロックされる可能性があります。 この制限は、直接グループ メンバーシップと入れ子になったグループ メンバーシップの両方に適用されます。 条件付きアクセスのユーザー、グループ、およびワークロード ID の割り当てを参照してください。
  • ユーザーは任意の数のグループのメンバーになることができます。 認証または承認でグループ メンバーシップを使用する場合 (直接メンバーシップと間接メンバーシップを含む) には、次のサービス固有の制限が適用されます。
    • SharePoint Online: SharePoint Online でセキュリティ グループを使用する場合、ユーザーは、直接メンバーシップと間接メンバーシップを含め、合計で最大 2,047 のセキュリティ グループの一部にすることができます。 この制限を超えると、認証と検索結果が予測不能になる可能性があります。 SharePoint の制限を参照してください。
    • SAML トークン: オプションのグループ要求が有効になっている場合、最大 150 個のグループ メンバーシップ (入れ子になったグループを含む) が SAML アサーションに含まれます。 ユーザーが 150 を超えるグループに含まれている場合、グループ要求は省略され、代わりに超過分要求が送信されます。 実装ガイダンスについては、 オプションの要求の構成SAML トークン要求のリファレンスを参照 してください。
    • JWT/OIDC トークン: オプションのグループ要求が有効になっている場合、JWT トークンには最大 200 個のグループ メンバーシップ (入れ子になったグループを含む) が含まれます。 ユーザーが 200 を超えるグループに含まれている場合、グループ要求は省略され、代わりに超過分要求が送信されます。 実装ガイダンスについては、 オプションの要求の構成アクセス トークン要求のリファレンスを参照 してください。
    • 条件付きアクセス ポリシー: ポリシー評価では、ユーザーあたり最大 4,096 個のグループ メンバーシップ (直接および間接) がサポートされます。 この制限を超えると、ポリシーの適用が失敗する可能性があります。 条件付きアクセスのユーザー、グループ、およびワークロード ID の割り当てを参照してください。
  • Microsoft Entra Connect v2.0 以降、V2 エンドポイントが既定の API になりました。 Microsoft Entra Connect を使ってオンプレミスの Active Directory から Microsoft Entra ID に同期できるグループ内のメンバーの数は、250,000 ユーザーに制限されています。 詳細については、Microsoft Entra Connect 同期 V2 に関するページを参照してください。
  • グループのリストを選択すると、グループの有効期限ポリシーを最大 500 の Microsoft 365 グループに割り当てることができます。 ポリシーがすべての Microsoft 365 グループに適用される場合、制限はありません。

現時点では、入れ子になったグループでは次のシナリオがサポートされています。
  • 1 つのグループを別のグループのメンバーとして追加することができるため、グループの入れ子を実現できます。
  • グループ メンバーシップ クレーム アプリがトークンでグループ メンバーシップ クレームを受信するように構成されている場合は、サインインしているユーザーがメンバーになっている入れ子になったグループが含まれます。
  • 条件付きアクセス (条件付きアクセス ポリシーにグループのスコープが設定されている場合)
  • セルフサービスのパスワード リセットへのアクセスの制限。
  • Microsoft Entra 参加とデバイス登録を実行できるユーザーの制限。

次のシナリオは、入れ子になったグループではサポート "されません"。
  • アクセスとプロビジョニングの両方を対象としたアプリ ロールの割り当て。 アプリへのグループの割り当てはサポートされますが、直接割り当てられたグループ内に入れ子になったグループにはアクセスできません。
  • グループベースのライセンス (グループのすべてのメンバーにライセンスを自動的に割り当てます)。
  • Microsoft 365 グループ。
アプリケーション プロキシ
  • アプリケーション プロキシ アプリケーションごとに 1 秒あたり最大 500 件のトランザクション。
  • Microsoft Entra 組織に対する 1 秒あたり最大 750 件のトランザクション。

*トランザクションは、単一の HTTP 要求と一意のリソースの応答として定義されます。 クライアントは調整された場合、429 応答を受け取ることになります (要求が多すぎます)。 トランザクション メトリックは各コネクタで収集され、オブジェクト名 Microsoft Entra private network connector の下のパフォーマンス カウンターを使用して監視できます。
アクセス パネル 割り当てられたライセンス数に関係なく、アクセス パネルに表示できる、各ユーザーのアプリケーション数に制限はありません。
Reports いずれのレポートでも、最大 1,000 行を表示またはダウンロードできます。 それを超えるデータは切り捨てられます。
管理単位
  • Microsoft Entra リソースは最大 30 個の管理単位のメンバーにすることができます。
  • テナント内の管理単位の数には特定の制限はありませんが、テナント内の制限付き管理単位は最大 100 個までです。
  • Microsoft Entra 組織は、最大 15,000 個の動的グループ (Microsoft Entra エンタイトルメント管理の自動割り当てポリシーからのグループを含む) と動的管理単位を組み合わせることができます。
Microsoft Entra のロールとアクセス許可
  • Microsoft Entra 組織には、最大 100 個の Microsoft Entra カスタム ロールを作成できます。
  • 任意のスコープで 1 つのプリンシパルに最大 150 個の Microsoft Entra カスタム ロール割り当て。
  • テナント以外のスコープ (管理単位、Microsoft Entra オブジェクトなど) で 1 つのプリンシパルに最大 100 個の Microsoft Entra 組み込みロール割り当て。 テナント スコープでの Microsoft Entra 組み込みロール割り当てに制限はありません。 詳細については、「Microsoft Entra ロール割り当てる」を参照してください。
  • グループをグループ所有者として追加することはできません。
  • ユーザーが他のユーザーのテナント情報を読み取る機能を制限するには、Microsoft Entra 組織全体のスイッチを使い、管理者以外の全ユーザーによるすべてのテナント情報へのアクセスを無効にする必要があります (これは推奨されません)。 詳細については、「メンバー ユーザーの既定のアクセス許可を制限するには」を参照してください。
  • 管理者ロールのメンバーシップの追加と失効が有効になるまでには、最大 15 分かかる場合もあれば、サインアウトしてから再度サインインすることが必要になる場合もあります。
条件付きアクセス ポリシー 1 つの Microsoft Entra 組織 (テナント) には最大 195 個のポリシーを作成できます。
使用条件 1 つの Microsoft Entra 組織 (テナント) には 40 件以下の条件を追加できます。
マルチテナント組織
  • 所有者テナントを含め、最大 100 のアクティブなテナント。 所有者テナントは 100 を超える保留中のテナントを追加できますが、制限を超えると、マルチテナント組織に参加できなくなります。 この制限は、保留中のテナントがマルチテナント組織に参加する時点で適用されます。
    • この制限は、マルチテナント組織内のテナント数に固有です。 テナント間同期自体には適用されません。

関連コンテンツ