Para o requisito crítico:
Sim, isso pode ser obtido depois que você ativar o recurso de serviço do Domínio do Azure AD e aguardar as contas de usuário & os hashes de credenciais foram sincronizados com êxito do domínio gerenciado do Azure AD para o Azure AD DS.
Para as outras duas perguntas:
O recurso Habilitar serviço de domínio do Azure AD está localizado na guia Configurar da página do Azure AD (portal clássico do Azure), como abaixo. Mais detalhes podem ser encontrados nos documentos aqui .
AsincronizaçãododomíniogerenciadodoAzureADparaoAzureADDSéiniciadaautomaticamenteeunidirecionalnoplanodefundo.Maisdetalhes
Além disso, se seus usuários forem sincronizados do AD local. Não se esqueça de configurar a sincronização de senha (não pode ser feita a sincronização do ADFS aqui) com hashes de credenciais NTLM e Kerberos para garantir que os usuários sincronizados possam usar suas credenciais corporativas para efetuar login nos servidores & serviços no domínio gerenciado. Mais detalhes aqui para referência.