Все проверки подлинности пользователей производятся с помощью ссылок на Active Directory, которые настраиваются через управление каталогами. У каждого арендатора есть одна или несколько ссылок на Active Directory, обеспечивающих проверку подлинности на уровне пользователя или группы.

Администратор системы выполняет начальную настройку единого входа и базовую настройку арендатора, в том числе назначает по крайней мере одну ссылку Active Directory и администратора для каждого арендатора. После этого администратор арендатора может настроить дополнительные ссылки Active Directory и назначить роли пользователям или группам по мере необходимости.

Администраторы арендатора могут также создавать настраиваемые группы в рамках собственных арендаторов и добавлять в эти группы пользователей и группы. Настраиваемым группам можно назначать роли, а также настраиваемые группы можно назначать в качестве утверждающих в политике подтверждения.

Администраторы арендатора могут также создавать бизнес-группы в рамках своих арендаторов. Бизнес-группа — это набор пользователей, обычно объединенных по направлению деятельности, подразделению или другой организационной единице, который может быть связан с набором служб каталога и ресурсов инфраструктуры. В бизнес-группы можно добавлять пользователей и настраиваемые группы.