| Tenants |
- Um usuário pode pertencer a no máximo 500 locatários do Microsoft Entra como um membro ou convidado.
- Crie um máximo de 200 locatários.
- Limite de 300 assinaturas baseadas em licença (como assinaturas do Microsoft 365) por locatário.
|
| Domains |
- É possível adicionar, no máximo, cinco mil nomes de domínios gerenciados.
- Se você configurar todos os domínios para a federação com o Active Directory local, poderá adicionar, no máximo, 2.500 nomes de domínio em cada locatário.
|
| Resources |
- Por padrão, um máximo de 50.000 recursos do Microsoft Entra podem ser criados em um único locatário por usuários da edição Gratuita do Microsoft Entra ID. Caso tenha pelo menos um domínio verificado, a cota padrão de serviço do Microsoft Entra para sua organização será estendida para 300.000 recursos do Microsoft Entra.
A cota de serviço do Microsoft Entra para organizações criadas por inscrição de autoatendimento permanece em 50 mil recursos do Microsoft Entra, mesmo depois de executar uma aquisição de administrador interno e a organização ter sido convertida em um locatário gerenciado com pelo menos um domínio verificado. Esse limite de serviço não está relacionado ao limite da camada de preços de 500.000 recursos na página de preços do Microsoft Entra.
Para ir além da cota padrão, você precisa entrar em contato com Suporte da Microsoft. - Um usuário não administrador não pode criar mais do que 250 recursos do Microsoft Entra. Os recursos ativos e excluídos que estão disponíveis para restauração são contabilizados nessa cota. Somente os recursos excluídos do Microsoft Entra que foram excluídos há menos de 30 dias estão disponíveis para restauração. Os recursos excluídos do Microsoft Entra que não estão mais disponíveis para restauração contam para essa cota no valor de um quarto por 30 dias.
Se você tiver desenvolvedores que provavelmente excederão repetidamente essa cota no decorrer das suas tarefas cotidianas, poderá criar e atribuir uma função personalizada com permissão para criar um número ilimitado de registros de aplicativo. - As limitações de recurso se aplicam a todos os objetos de diretório em um determinado locatário do Microsoft Entra, incluindo usuários, grupos, aplicativos e entidades de serviço.
|
| Extensões de esquema |
- As extensões do tipo cadeia de caracteres podem ter no máximo 256 caracteres.
- As extensões do tipo binário são limitadas a 256 bytes.
- Apenas 100 valores de extensão, entre todos os tipos e todos os aplicativos, podem ser gravados em um recurso do Microsoft Entra.
- Somente as entidades Grupo, TenantDetail, Dispositivo, Aplicativo e ServicePrincipal podem ser estendidas com atributos de valor único do tipo cadeia de caracteres ou binário.
- Somente o operador "equals" tem suporte para extensões do tipo DateTime. Não há suporte para operadores de intervalo como "maior que" ou "menor que".
|
| Applications |
- No máximo 100 usuários e entidades de serviço podem ser proprietários de um único aplicativo.
- Um usuário, um grupo ou uma entidade de serviço pode ter no máximo 1.500 atribuições de função de aplicativo. A limitação está na entidade de serviço atribuída, usuário ou grupo em todas as funções de aplicativo e não no número de atribuições de uma única função de aplicativo. Esse limite inclui atribuições de função de aplicativo em que a entidade de serviço de recurso foi excluída suavemente.
- Um usuário pode ter credenciais configuradas para um máximo de 48 aplicativos usando o logon único baseado em senha. Esse limite só se aplica a credenciais configuradas quando o usuário é diretamente atribuído o aplicativo, e não quando o usuário é membro de um grupo que é atribuído.
- Um grupo pode ter credenciais configuradas para um máximo de 48 aplicativos usando o logon único baseado em senha.
- Consulte os limites adicionais em Diferenças de validação de tipos de conta com suporte.
|
| Manifesto do aplicativo |
No máximo 1.200 entradas podem ser adicionadas no manifesto do aplicativo.
Consulte os limites adicionais em Diferenças de validação de tipos de conta com suporte. |
| Groups |
- Um usuário não administrador pode criar um máximo de 250 grupos em uma organização Microsoft Entra. Qualquer administrador do Microsoft Entra que possa gerenciar grupos na organização também pode criar um número ilimitado de grupos (até o limite de objetos do Microsoft Entra). Se você atribuir uma função a um usuário para remover o limite desse usuário, atribua uma função interna menos privilegiada, como Administrador de Usuário ou Administrador de Grupos.
- Uma organização do Microsoft Entra pode ter no máximo 15.000 grupos dinâmicos (incluindo aqueles provenientes de políticas de atribuição automática de direitos do Microsoft Entra) e unidades administrativas dinâmicas combinadas.
- Um máximo de 500 grupos atribuíveis a funções pode ser criado em uma única organização (locatário) do Microsoft Entra.
- Um máximo de 100 usuários podem ser proprietários de um único grupo.
- Há um limite de 1010 grupos por token permitido para Entra Kerberos.
- Qualquer número de recursos do Microsoft Entra pode ser membro de um único grupo.
- Se um usuário (ou grupo) for membro de mais de 2.048 grupos (diretos e aninhados), o acesso poderá ser bloqueado. Esse limite se aplica a associações de grupo diretas e aninhadas. Consulte as atribuições de usuários, grupos e identidades de carga de trabalho no Acesso Condicional.
- Um usuário pode ser um membro de qualquer número de grupos. Os seguintes limites específicos do serviço se aplicam quando associações de grupo são usadas em autenticação ou autorização (incluindo associações diretas e indiretas):
-
SharePoint Online: Quando grupos de segurança são usados com o SharePoint Online, um usuário pode fazer parte de até 2.047 grupos de segurança no total, incluindo associação direta e indireta. Quando esse limite é excedido, os resultados de autenticação e pesquisa podem se tornar imprevisíveis. Consulte os limites do SharePoint.
-
Tokens SAML: Se as declarações de grupos opcionais estiverem habilitadas, até 150 associações de grupo (incluindo grupos aninhados) serão incluídas em declarações SAML. Se um usuário estiver em mais de 150 grupos, a declaração de grupos será omitida e uma declaração excedente será enviada. A ID do Microsoft Entra dá suporte à filtragem de grupo somente se um usuário pertencer a 1.000 ou menos grupos (incluindo associações diretas e transitivas). Se esse limite for excedido, a filtragem não será aplicada e uma declaração excedente será enviada. Consulte Configurar declarações opcionais e a referência de declarações de token SAML para obter diretrizes de implementação.
-
Tokens JWT/OIDC: Se as declarações de grupos opcionais estiverem habilitadas, até 200 associações de grupo (incluindo grupos aninhados) serão incluídas em tokens JWT. Se um usuário estiver em mais de 200 grupos, a declaração de grupos será omitida e uma declaração excedente será enviada. Consulte Configurar declarações opcionais e a referência de declarações de token do Access para obter diretrizes de implementação.
-
Políticas de acesso condicional: A avaliação de política dá suporte a até 4.096 associações de grupo por usuário (diretas e indiretas). Quando esse limite é excedido, a imposição da política pode falhar. Consulte as atribuições de usuários, grupos e identidades de carga de trabalho no Acesso Condicional.
- A partir do Microsoft Entra Connect v2.0, o ponto de extremidade V2 se torna a API padrão. O número de membros em um grupo que podem ser sincronizados do Active Directory local para o Microsoft Entra ID usando o Microsoft Entra Connect é limitado a 250 mil membros. Para obter mais informações, confira Microsoft Entra Connect Sync v2.
- Quando você seleciona uma lista de grupos, uma política de expiração de grupo pode ser atribuída a, no máximo, 500 grupos do Microsoft 365. Não há limite quando a política é aplicada a todos os grupos do Microsoft 365.
Neste momento, os cenários a seguir são compatíveis com os grupos aninhados:- Um grupo pode ser adicionado como membro de outro grupo e você pode obter aninhamento de grupo.
- Declarações de associação de grupo. Quando um aplicativo é configurado para receber declarações de associação de grupo no token, os grupos aninhados nos quais o usuário conectado é um membro são incluídos.
- Acesso Condicional (quando uma política de Acesso Condicional tem um escopo de grupo).
- Restringir o acesso à redefinição de senha de autoatendimento.
- Restringir quais usuários podem fazer o ingresso no Microsoft Entra e o registro do dispositivo.
Os cenários a seguir não são compatíveis com os grupos aninhados:- Atribuição de função de aplicativo para acesso e provisionamento. Há suporte para a atribuição de grupos a um aplicativo, mas os grupos aninhados dentro do grupo atribuído diretamente não terão acesso.
- Licenciamento baseado em grupo (atribuir uma licença automaticamente a todos os membros de um grupo).
- Grupos do Microsoft 365.
|
| Proxy de Aplicativo |
- No máximo 500 transações* por segundo por aplicativo do Proxy de Aplicativo.
- No máximo 750 transações por segundo para a organização do Microsoft Entra.
* Uma transação é definida como uma única solicitação HTTP e resposta para um recurso exclusivo. Quando os clientes são limitados, eles recebem uma resposta 429 (muitas solicitações). As métricas de transação são coletadas em cada conector e podem ser monitoradas usando contadores de desempenho sob o nome de objeto Microsoft Entra private network connector. |
| Painel de Acesso |
Não há nenhum limite para o número de aplicativos por usuário que podem ser exibidos no Painel de Acesso, independentemente do número de licenças atribuídas. |
| Reports |
Um máximo de 1.000 linhas podem ser exibidas ou baixadas em qualquer relatório. Todos os dados adicionais serão truncados. |
| Unidades administrativas |
- Um recurso do Microsoft Entra pode ser um membro de até 30 unidades administrativas.
- Não há um limite específico para o número de unidades administrativas em um locatário, mas você só pode ter um máximo de 100 unidades administrativas de gerenciamento restrito em um locatário.
- Uma organização do Microsoft Entra pode ter no máximo 15.000 grupos dinâmicos (incluindo aqueles provenientes de políticas de atribuição automática de direitos do Microsoft Entra) e unidades administrativas dinâmicas combinadas.
|
| Funções e permissões do Microsoft Entra |
- No máximo 100 funções personalizadas do Microsoft Entra podem ser criadas em uma organização Microsoft Entra.
- Um máximo de 150 atribuições de funções personalizadas do Microsoft Entra para uma única entidade em qualquer escopo.
- Um máximo de 100 atribuições de funções internas do Microsoft Entra para uma única entidade em um escopo que não seja de locatário (como uma unidade administrativa ou objeto do Microsoft Entra). Não há limite para atribuições de funções internas do Microsoft Entra no escopo do locatário. Para obter mais informações, consulte Atribuir funções do Microsoft Entra.
- Um grupo não pode ser adicionado como um proprietário de grupo.
- A capacidade dos usuários de ler informações de locatário de outros usuários pode ser restrita apenas por um comutador de toda a organização do Microsoft Entra para desabilitar o acesso de todos os usuários não administradores a todas as informações de locatário (não recomendado). Para obter mais informações, confira Restringir as permissões padrão para usuários membros.
- Pode levar até 15 minutos ou talvez você tenha que sair e entrar novamente antes que as adições e revogações da função de administrador entrem em vigor.
|
| Políticas de Acesso Condicional |
No máximo, 195 políticas podem ser criadas em uma organização (locatário) do Microsoft Entra. |
| Termos de uso |
Não é possível adicionar mais de 40 termos e condições a uma única organização (locatário) do Microsoft Entra. |
| Organizações multiusuárias |
- Um máximo de 100 locatários ativos, incluindo o inquilino proprietário. O locatário proprietário pode adicionar mais de 100 locatários pendentes, mas não poderá ingressar na organização multilocatário se o limite for excedido. Esse limite é aplicado no momento em que um locatário pendente ingressa em uma organização multilocatário.
Esse limite é específico para o número de locatários em uma organização multilocatário. Não se aplica à sincronização entre locatários por si só.
|