Considere isso com cautela, pois não tenho muita exposição diretamente no servidor do Essentials.
A configuração mais simples para o gerenciamento de senhas é usar o Azure AD Sync (instalado em um servidor separado, não essencial) com o Azure AD Premium. Isso suporta dois modos de suporte a hash de senha. O CRM não leva em consideração a equação aqui para que isso funcione. Você pode desabilitar o gerenciamento para o servidor Essentials e, em seguida, usar essa opção, mas perde o painel sofisticado e as ferramentas de gerenciamento.
Eu também faria isso depois de horas - não sei os detalhes de como isso quebra a conexão ou o efeito que isso terá sobre os usuários. Depois que você iniciar o Azure AD Sync, ele poderá corresponder aos usuários existentes. Você também pode tentar isso antes de desabilitar o servidor essencial (apenas não habilite a sincronização de senha).
Dependendo do seu navegador e de como o CRM é configurado, você pode ter o que parece SSO (se os creds forem passados diretamente), porque as senhas são compartilhadas, mas não é realmente SSO, é claro. Você pode manter essa configuração e publicar o CRM através de um serviço de proxy de aplicativo também disponível no Azure neste momento para rotear toda a autenticação através do Azure AD.
Para configuração de SSO
Você está seguindo o caminho correto. Você pode testar essa configuração hoje sem alterar a configuração de sincronização do servidor essencial. A única coisa que você não terá é o suporte a write-back de senha.
Para obter a gravação de senha, é necessário desativar a sincronização no seu servidor essencial e usar a ferramenta Azure AD Connect. Você também precisa da assinatura do Azure AD Premium e, em seguida, pode redigitar a senha.