所有使用者驗證均由透過身分識別目錄管理設定的 Active Directory 連結來處理。每個承租人均有一或多個 Active Directory 連結,可提供使用者或群組層級的驗證。

系統管理員會執行 Single Sign-On 的初始組態和基本承租人設定,包括給每個承租人指定至少一個 Active Directory 連結和一名承租人管理員。之後,承租人管理員即可設定其他 Active Directory 連結,並根據需要為使用者或群組指派角色。

承租人管理員也可以在自己的承租人中建立自訂群組,並在這些群組中新增使用者和群組。可針對自訂群組指派角色,或是指定為核准原則中的核准者。

承租人管理員也可以在自己的承租人中建立業務群組。業務群組是一組使用者,通常對應於可與一組目錄服務和基礎結構資源相關聯的業務線、部門或其他組織單位。使用者及自訂群組可新增到業務群組中。