Все проверки подлинности пользователей производятся с помощью ссылок на Active Directory, которые настраиваются через управление каталогами. У каждого арендатора есть одна или несколько ссылок на Active Directory, обеспечивающих проверку подлинности на уровне пользователя или группы.

Администратор системы выполняет начальную настройку единого входа и базовые операции создания и настройки арендатора, в том числе назначает по крайней мере одного администратора для каждого арендатора. После этого администратор арендатора может настраивать ссылки Active Directory и назначать роли пользователям и группам в своем арендаторе.

Администраторы арендатора могут также создавать настраиваемые группы в рамках собственных арендаторов и добавлять в эти группы пользователей и группы. Настраиваемым группам можно назначать роли, а также настраиваемые группы можно назначать в качестве утверждающих в политике подтверждения.

Администраторы арендатора могут также создавать бизнес-группы в рамках своих арендаторов. Бизнес-группа — это набор пользователей, обычно объединенных по направлению деятельности, подразделению или другой организационной единице, который может быть связан с набором служб каталога и ресурсов инфраструктуры. В бизнес-группы можно добавлять пользователей и настраиваемые группы.