Мобильные службы Azure - разработка архитектуры авторизации

Я хотел бы получить совет по дизайну или архитектуре для рекомендуемого способа реализации authorization в моем приложении. Это пользовательский интерфейс angularjs, использующий мобильные сервисы Azure для хранения данных.

Я уже прошел процесс настройки аутентификации для работы с учетными записями Microsoft (MS) и другими поставщиками. Что я пытаюсь выяснить, как это сделать, как сделать авторизацию (не аутентификацию) для следующих сценариев:

1. Я хотел бы авторизовать определенных пользователей в качестве действительных пользователей моего сайта еще до того, как они войдут в систему. По сути, я хотел бы создать учетную запись и отправить ее им ИЛИ ввести имя пользователя / адрес электронной почты MS и разрешить им доступ к сайту. Я не хочу позволять кому-либо с учетной записью MS войти в систему.
2. Пользователи, созданные из случая 1 ("администраторы"), смогут затем пригласить или добавить других пользователей через мое приложение.

Моя текущая идея - создать таблицу авторизованных пользователей в мобильных службах Azure, которая будет содержать идентификатор пользователя и логическое значение для указания доступа администратора. Я бы использовал эту таблицу в своем приложении, чтобы предоставить / запретить кому-то один доступ к сайту. Я бы также отключил возможность добавления новых пользователей, если они не администраторы. Итак, мои вопросы:

1. Это разумный подход или есть встроенный способ сделать это?
2. Есть ли лучший шаблон дизайна, чтобы выполнить то, что я пытаюсь сделать?
3. Как я могу получить правильный идентификатор для чьей-либо учетной записи MS заранее? (прежде чем они даже вошли в мой аккаунт)

Любые хорошие образцы или примеры будут оценены.