| Tenants |
- Un utilisateur unique peut appartenir à un maximum de 500 tenants Microsoft Entra en tant que membre ou invité.
- Créez au plus 200 locataires. Cette limite s’applique uniquement à l’expérience de création de locataire de module complémentaire héritée dans le Centre d’administration Microsoft Entra.
- Limite de 300 abonnements basés sur une licence (par exemple, abonnements Microsoft 365) par locataire.
|
| Domains |
- Vous ne pouvez pas ajouter plus de 5 000 noms de domaines managés.
- Si vous configurez tous vos domaines pour la fédération avec Active Directory local, nous vous recommandons vivement de limiter 300 noms de domaine dans chaque locataire pour des performances optimales. La limite maximale prise en charge est de 2 500 noms de domaine.
|
| Resources |
- Les locataires nouvellement créés ont une limite de quota temporaire de 600 objets d’annuaire au cours des deux premiers jours après la création du locataire. Cette restriction est appliquée automatiquement et ne nécessite pas d’action de l’administrateur client. Après la période de deux jours, le quota est automatiquement restauré sur la valeur par défaut standard : 50 000 objets pour les locataires sans domaine vérifié, ou 300 000 objets pour les locataires avec un domaine vérifié. L’ajout d’un domaine vérifié pendant la période initiale de deux jours n’augmente pas immédiatement le quota ; elle détermine le niveau de quota qui s’applique après la fin de la période. Les locataires existants ne sont pas affectés par cette restriction temporaire.
- Par défaut, l’édition gratuite de Microsoft Entra ID permet aux utilisateurs de créer 50 000 ressources Microsoft Entra au maximum dans un même tenant. Si vous avez au moins un domaine vérifié, le quota de service Microsoft Entra par défaut de votre organisation est étendu à 300 000 ressources Microsoft Entra.
Le quota du service Microsoft Entra des organisations créées par inscription en libre-service reste à 50 000 ressources Microsoft Entra même après que vous avez effectué une prise de contrôle de l’administration interne et que l’organisation est convertie en tenant managé avec au moins un domaine vérifié. Cette limite de service n’est pas liée à la limite de niveau tarifaire de 500 000 ressources mentionnée dans la page de tarification Microsoft Entra.
Pour aller au-delà du quota par défaut, vous devez contacter le Support Microsoft. - Un utilisateur non-administrateur peut créer jusqu’à 250 ressources Microsoft Entra. Les ressources actives et les ressources supprimées qui peuvent être restaurées sont comptabilisées dans ce quota. Seules les ressources Microsoft Entra supprimées il y a moins de 30 jours peuvent être restaurées. Les ressources Microsoft Entra supprimées qui ne peuvent plus être restaurées comptent pour un quart dans ce quota pendant 30 jours.
Si vos développeurs sont susceptibles de dépasser régulièrement ce quota dans le cadre de leurs tâches habituelles, vous pouvez créer et attribuer un rôle personnalisé avec l’autorisation de créer un nombre illimité d’inscriptions d’applications. - Les limitations de ressources s’appliquent à tous les objets d’annuaire d’un tenant Microsoft Entra donné, dont les utilisateurs, les groupes, les applications et les principaux de service.
|
| Extensions de schéma |
- Les extensions de type chaîne peuvent avoir jusqu’à 256 caractères.
- Les extensions de type binaire sont limitées à 256 octets.
- Seules 100 valeurs d’extension (de tous les types et de toutes les applications) peuvent être écrites dans une ressource Microsoft Entra unique.
- Actuellement, seules les entités User, Group, TenantDetail, Device, Application et ServicePrincipal peuvent être étendues avec des attributs à valeur unique de type binaire ou chaîne.
- Seul l’opérateur « equals » est pris en charge pour les extensions de type DateTime. Les opérateurs de plage tels que « supérieur à » ou « inférieur à » ne sont pas pris en charge.
|
| Applications |
- Au maximum 100 utilisateurs et principaux de service peuvent être propriétaires d’une application individuelle.
- Un utilisateur, un groupe ou un principal de service peut avoir un maximum de 1 500 attributions de rôles d’application. La limitation se trouve sur le principal de service, l’utilisateur ou le groupe affecté pour tous les rôles d’application, et non sur le nombre d’attributions d’un rôle d’application unique. Cette limite inclut les attributions de rôles d’application où le principal du service de ressources a été supprimé de manière réversible.
- Un utilisateur peut avoir des informations d’identification configurées pour un maximum de 48 applications à l’aide de l’authentification unique par mot de passe. Cette limite s’applique uniquement aux informations d’identification configurées lorsque l’application est attribuée directement à l’utilisateur, et non lorsque l’utilisateur est membre d’un groupe auquel l’application est attribuée.
- Un groupe peut avoir des informations d’identification configurées pour un maximum de 48 applications en utilisant l’authentification unique par mot de passe.
- Découvrez des limites supplémentaires dans les Différences de validation par types de comptes pris en charge.
|
| Manifeste d’application |
Il est possible d’ajouter au maximum 1 200 entrées dans le manifeste de l’application.
Découvrez des limites supplémentaires dans les Différences de validation par types de comptes pris en charge. |
| Groups |
- Un utilisateur non administrateur peut créer jusqu’à 250 groupes dans une organisation Microsoft Entra. Tout administrateur Microsoft Entra qui peut gérer des groupes dans l’organisation peut également créer un nombre illimité de groupes (jusqu’au nombre maximal d’objets Microsoft Entra). Si vous attribuez à un utilisateur un rôle pour supprimer la limite, attribuez-lui un rôle intégré avec moins de privilèges, comme celui d’administrateur d’utilisateurs ou d’administrateur de groupes.
- Une organisation Microsoft Entra peut avoir un maximum de 15 000 groupes dynamiques (y compris ceux provenant des stratégies d’affectation automatique de gestion des droits d’utilisation Microsoft Entra) et des unités administratives dynamiques combinées.
- Un maximum de 500 groupes attribuables à des rôles peuvent être créés dans une même organisation Microsoft Entra (locataire).
- 100 utilisateurs au maximum peuvent être propriétaires d'un seul groupe.
- Il existe une limite de 1 010 groupes par jeton autorisé pour Entra Kerberos.
- Il n’y a pas de limite au nombre de ressources Microsoft Entra qui peuvent faire partie d’un même groupe.
- Si un utilisateur (ou un groupe) est membre de plus de 2 048 groupes (directs et imbriqués), son accès peut être bloqué. Cette limite s’applique aux appartenances directes et imbriquées aux groupes. Consultez Les affectations d’identités d’utilisateurs, de groupes et de charges de travail dans l’accès conditionnel.
- Un utilisateur peut être membre de n’importe quel nombre de groupes. Les limites spécifiques au service suivantes s’appliquent lorsque les appartenances aux groupes sont utilisées dans l’authentification ou l’autorisation (y compris les appartenances directes et indirectes) :
-
SharePoint Online : Lorsque des groupes de sécurité sont utilisés avec SharePoint Online, un utilisateur peut faire partie de jusqu’à 2 047 groupes de sécurité au total, y compris l’appartenance directe et indirecte. Lorsque cette limite est dépassée, l’authentification et les résultats de la recherche peuvent devenir imprévisibles. Consultez les limites de SharePoint.
-
Jetons SAML : Si les revendications de groupes facultatives sont activées, jusqu’à 150 appartenances aux groupes (y compris les groupes imbriqués) sont incluses dans les assertions SAML. Si un utilisateur se trouve dans plus de 150 groupes, la revendication de groupes est omise et une revendication de dépassement est envoyée à la place. Microsoft Entra ID prend en charge le filtrage de groupe uniquement si un utilisateur appartient à 1 000 groupes ou moins (y compris les appartenances directes et transitives). Si cette limite est dépassée, le filtrage ne s’applique pas et une revendication de dépassement est envoyée à la place. Consultez Configurer les revendications facultatives et la référence des revendications de jeton SAML pour obtenir des conseils d’implémentation.
-
Jetons JWT/OIDC : Si les revendications de groupes facultatives sont activées, jusqu’à 200 appartenances aux groupes (y compris les groupes imbriqués) sont incluses dans les jetons JWT. Si un utilisateur se trouve dans plus de 200 groupes, la revendication de groupes est omise et une revendication de dépassement est envoyée à la place. Consultez Configurer les revendications facultatives et la référence des revendications de jeton d’accès pour obtenir des conseils d’implémentation.
-
Stratégies d’accès conditionnel : L’évaluation de la stratégie prend en charge jusqu’à 4 096 appartenances à un groupe par utilisateur (directe et indirecte). Lorsque cette limite est dépassée, l’application de la stratégie peut échouer. Consultez Les affectations d’identités d’utilisateurs, de groupes et de charges de travail dans l’accès conditionnel.
- À compter de Microsoft Entra Connect v2.0, le point de terminaison V2 est l’API par défaut. Vous ne pouvez pas synchroniser plus de 250 000 membres d’un groupe de votre annuaire Active Directory local avec Microsoft Entra ID à l’aide de Microsoft Entra Connect. Pour plus d’informations, consultez Microsoft Entra Connect Sync V2.
- Lorsque vous sélectionnez une liste de groupes, vous pouvez affecter une stratégie d’expiration de groupe à un maximum de 500 groupes Microsoft 365. Il n’y a aucune limite quand la stratégie est appliquée à tous les groupes Microsoft 365.
Actuellement, les scénarios suivants sont pris en charge avec les groupes imbriqués :- Un groupe peut être ajouté en tant que membre d’un autre groupe et vous pouvez obtenir une imbrication de groupes.
- Revendications d’appartenance à un groupe. Lorsqu’une application est configurée pour recevoir des revendications d’appartenance à un groupe dans le jeton, les groupes imbriqués, dont l’utilisateur connecté est membre, sont inclus.
- Accès conditionnel (lorsqu’une stratégie d’accès conditionnel a une étendue de groupe).
- Restriction de l’accès à la réinitialisation de mot de passe en libre-service.
- Restriction des utilisateurs pouvant utiliser la jonction Microsoft Entra et l’inscription de l’appareil.
Les scénarios suivants ne sont pas pris en charge avec les groupes imbriqués :- Attribution de rôle d’application, pour l’accès et l’approvisionnement. L’attribution de groupes à une application est prise en charge, mais tous les groupes imbriqués dans le groupe directement affecté n’ont pas d’accès.
- Licence basée sur les groupes (attribution automatique d’une licence à tous les membres d’un groupe).
- Groupes Microsoft 365.
|
| Application Proxy |
- Un maximum de 500 transactions* par seconde par application de proxy d’application.
- Un maximum de 750 transactions par seconde pour l’organisation Microsoft Entra.
* Une transaction est définie comme une seule requête et réponse HTTP pour une ressource unique. Quand les clients sont limités, ils reçoivent une réponse 429 (trop de demandes). Les métriques de transaction sont collectées sur chaque connecteur et peuvent être contrôlées à l'aide de compteurs de performance sous le nom d'objet Microsoft Entra private network connector. |
| Access Panel |
Il n’existe aucune limite quant au nombre d’applications qui peuvent être affichées par utilisateur dans le volet d’accès, quel que soit le nombre de licences attribuées. |
| Reports |
1 000 lignes au maximum peuvent être affichées ou téléchargées dans un rapport. Toutes les données supplémentaires sont tronquées. |
| Unités administratives |
- Une ressource Microsoft Entra peut faire partie de 30 unités administratives au maximum.
- Il n’existe pas de limite spécifique pour le nombre d’unités administratives d’un locataire, mais vous ne pouvez avoir qu’un maximum de 100 unités administratives de gestion restreintes dans un locataire.
- Une organisation Microsoft Entra peut avoir un maximum de 15 000 groupes dynamiques (y compris ceux provenant des stratégies d’affectation automatique de gestion des droits d’utilisation Microsoft Entra) et des unités administratives dynamiques combinées.
|
| Rôles et autorisations Microsoft Entra |
- Vous pouvez créer un maximum de 100 rôles personnalisés Microsoft Entra dans une organisation Microsoft Entra.
- Un maximum de 150 attributions de rôles personnalisées Microsoft Entra pour un principal unique au niveau de toute étendue.
- Un maximum de 100 attributions de rôles intégrés Microsoft Entra pour un principal unique dans une étendue non tenant (telle qu’une unité administrative ou un objet Microsoft Entra). Il n’y a aucune limite pour les attributions de rôle intégré Microsoft Entra sur l’étendue du locataire. Pour plus d’informations, consultez Attribuer des rôles Microsoft Entra.
- Vous ne pouvez pas ajouter un groupe en tant que groupe propriétaire.
- Seule l’option d’activation/désactivation à l’échelle de l’organisation Microsoft Entra permet de limiter la capacité d’un utilisateur à lire les informations de tenant d’autres utilisateurs pour désactiver l’accès de tous les utilisateurs non administrateurs à l’ensemble des informations de tenant (non recommandé). Pour plus d’informations, consultez Pour restreindre les autorisations par défaut des utilisateurs membres.
- Il peut s’écouler jusqu’à 15 minutes, ou bien falloir une déconnexion/reconnexion, pour que les ajouts et révocations de rôles d’administrateur prennent effet.
|
| Stratégies d’accès conditionnel |
Un maximum de 195 stratégies peuvent être créées dans une seule organisation (tenant) Microsoft Entra. |
| Conditions d’utilisation |
Vous ne pouvez pas ajouter plus de 40 conditions à une organisation Microsoft Entra (tenant) unique. |
| Organisations multitenant |
- Un maximum de 100 locataires actifs, y compris le locataire propriétaire. Le locataire propriétaire peut ajouter plus de 100 locataires en attente, mais il ne peut pas rejoindre l’organisation multilocataire si la limite est dépassée. Cette limite est appliquée au moment où un locataire en attente rejoint une organisation multilocataire.
La limite est spécifique au nombre de locataires dans une organisation multilocataire. Elle ne s’applique pas à la synchronisation interlocataire seule.
|
| Blueprints d’identité de l’agent |
- Un locataire peut avoir jusqu’à 250 Blueprints créés par des plateformes non détenues par Microsoft. Cette limite ne s’applique pas aux plateformes appartenant à Microsoft, telles que Foundry et Copilot Studio.
- Les utilisateurs non administrateurs sont limités à la création d’un maximum de 250 blueprints d’identité d’agent.
Les blueprints actifs et supprimés contribuent à ce quota.
|
| Identités d’agent |
- Dans un locataire, chaque blueprint d’agent géré par une plateforme non détenue par Microsoft est limité à un maximum de 250 identités d’agent par blueprint. Cette restriction ne s’applique pas aux blueprints gérés par des plateformes appartenant à Microsoft, telles que Foundry et Copilot Studio.
- Pour les utilisateurs non administrateurs, la création d’identités d’agent est également limitée à 250 par blueprint d’agent.
Les identités d’agent actives et supprimées sont comptabilisées vers cette limite.
|
| B2B Invitations |
-
Locataires de main-d’œuvre avec des licences payantes
- Locataires inférieurs ou égaux à 30 jours : 200 invitations par jour
- Locataires âgés de plus de 30 jours : limité par les quotas de service Microsoft Entra
-
Locataires de main-d’œuvre sans licences payantes
- Locataires inférieurs ou égaux à 30 jours : 10 invitations par jour
- Locataires âgés de plus de 30 jours : 100 invitations par jour
|
| Stratégies d’accès entre locataires |
- L’objet crossTenantAccessPolicyConfigurationPartner qui correspond à chaque relation de locataire partenaire de stratégie d’accès interlocataire est limité à 4 Ko.
Chaque objet crossTenantAccessPolicyConfigurationPartner , y compris la surcharge et le contenu des données blob JSON, ne doit pas dépasser cette limite. Pour optimiser vos stratégies de partenaire, envisagez d’utiliser des groupes plutôt que des ID d’utilisateur explicites pour l’étendue.
|