すべてのユーザー認証は、ディレクトリ管理で構成された Active Directory リンクによって処理されます。各テナントには、ユーザーまたはグループ レベルで認証機能を提供する 1 つ以上の Active Directory リンクがあります。

システム管理者は、Single Sign-On と基本的なテナント セットアップの初期構成を実行します。その際、各テナントに少なくとも 1 つの Active Directory リンクとテナント管理者 1 人を指定します。その後、テナント管理者は追加の Active Directory リンクを構成し、必要に応じてユーザーまたはグループにロールを割り当てることができます。

テナント管理者は、各自のテナント内にカスタム グループを作成し、そのグループにユーザーやグループを追加することもできます。カスタム グループは、ロールを割り当てたり、承認ポリシーにおける承認者として指定したりできます。

テナント管理者は、テナント内にビジネス グループを作成することもできます。ビジネス グループは、多くの場合、業務、部署、または組織単位に対応し、カタログ サービスとインフラストラクチャ リソースのセットに関連付けることができるユーザーのセットです。ユーザーおよびカスタム グループは、ビジネス グループに追加できます。