No final, acabamos criando um filtro de senha personalizado que nos permitia fazer o que queríamos, usando algumas precauções de segurança óbvias, como criptografia de chave pública e garantindo que o endpoint de redefinição de senha não armazenasse senhas e descartasse com segurança qualquer recebido por ele.
Acontece que, embora o BPOS possa fazer uso da federação, a troca hospedada não será tão longe quanto eu possa encontrar / ter sido informada, consulte Orientação para Multi-locação . É uma pena que este requisito ainda não tenha sido resolvido pela Microsoft até onde eu saiba.