Eu configurei um AD do Azure e consegui unir minhas instâncias de RM VM com sucesso a esse domínio. No entanto, mesmo quando logado com uma conta de administrador global, não posso fazer alterações no diretório. Eu não tenho as opções para adicionar ou remover usuários ou grupos, ou Unidades Organizacionais, etc. O Diretório parece ser somente leitura.
A única maneira de fazer alterações no diretório é através do portal do Azure.
Eu não consigo encontrar nenhuma referência a este problema específico em qualquer lugar online, então eu suspeito que deve ser algo estranho com a minha configuração. Eu devo ter perdido um passo em algum lugar. Verifiquei todas as telas de administração que posso encontrar para o AAD, mas não consigo encontrar nada que permita acesso de gravação ao domínio.
Uma das VMs está executando o Server 2012 R2 e a outra está executando o Server 2016.
Atualizar ...
Descobri que, embora não possa fazer alterações em nenhuma UO, grupo ou usuário existente, posso adicionar uma nova UO de nível superior e, em seguida, adicionar o que quiser. Isso resolve parcialmente o meu problema. No entanto, a próxima questão é que esses novos usuários que adiciono não parecem aparecer no Portal do Azure.
Parece que posso gerenciar usuários no portal ou usando os utilitários de gerenciamento de domínio do Windows, mas não posso fazer os dois.
Acabei de encontrar isso ...
Aviso
Contas de usuário, grupos, contas de serviço e objetos de computador que você cria em unidades organizacionais personalizadas não estão disponíveis em seu locatário do Azure AD. Em outras palavras, esses objetos não aparecem usando a API do Graph do Azure AD ou na interface do usuário do Azure AD. Esses objetos só estão disponíveis no domínio gerenciado dos Serviços de Domínio do Azure AD.
Portanto, isso parece ser apenas uma das limitações dos Serviços de Domínio AAD.