De gebruikersverificatie wordt in zijn geheel afgehandeld door Active Directory-verbindingen die zijn ingesteld met Beheer van directory's. Elke tenant heeft een of meer Active Directory-verbindingen die verificatie op gebruikers- of groepsniveau leveren.

De rootsysteembeheerder voert de initiële configuratie van Single Sign-On en de basisaanmaak en -installatie van tenants uit, inclusief het toewijzen van minimaal één tenantbeheerder voor elke tenant. Daarna kan een tenantbeheerder Active Directory-koppelingen configureren en desgewenst rollen toewijzen aan gebruikers of groepen vanaf hun toegewezen tenant.

Tenantbeheerders kunnen ook aangepaste groepen binnen hun eigen tenant maken en gebruikers en groepen toevoegen aan die groepen. Aan aangepaste groepen kunnen rollen worden toegewezen en ze kunnen als de goedkeurders in een goedkeuringsbeleid worden aangewezen.

Tenantbeheerders kunnen tevens bedrijfsgroepen binnen hun tenants maken. Een bedrijfsgroep is een set gebruikers die aan een set catalogusservices en infrastructuurbronnen kunnen worden gekoppeld. Vaak komen bedrijfsgroepen overeen met een bedrijfsonderdeel, afdeling of andere organisatie-eenheid. Gebruikers en aangepaste groepen kunnen aan bedrijfsgroepen worden toegevoegd.