Оба этих пароля могут быть использованы для аутентификации, но пароль субъекта-службы может быть использован только для аутентификации в арендаторе, в котором он находится, пароль приложения может использоваться для аутентификации во всех арендаторах, гдеего основные экземпляры службы расположены.
Участник службы - это всего лишь экземпляр приложения в конкретном арендаторе. Когда арендатор дает согласие на приложение, Azure установит его в качестве корпоративного приложения (т.е. принципала обслуживания) в арендаторе. У разных арендаторов может быть несколько принципалов обслуживания, но приложение является единственным.