Antes de mais nada, deixe-me descrever o cenário. Estou tentando criar uma pequena rede organizacional para uma organização privada relativamente pequena (suponha de ~ 30 a 40 pessoas), com necessidade de serviços primários como email, calendário e documentos compartilhados. Não há instalações físicas lá, então não há "on-prem", estritamente falando - todo mundo vai acessá-lo online. Não há necessidade de uma rede interna nem de máquinas associadas ao domínio. Além disso, não há implantação existente - tudo isso está sendo construído do zero. O orçamento também é bastante limitado.
Idealmente, gostaríamos de uma solução totalmente em nuvem para minimizar os problemas de manutenção. Ao mesmo tempo, também queremos minimizar o custo mensal por usuário. Parece que a maneira mais eficiente de fazer isso é obter o plano do Office 365 Exchange Online Kiosk - com $ 2 / usuário, que fornece email e calendário, mas não documentos - e, em seguida, girar a VM mais barata (A0) do Azure com o SharePoint Foundation em execução nele para fornecer o serviço de documentos. Enquanto o último seria muito lento para um servidor, mas isso também é algo que seria acessado muito raramente, praticamente nunca ao mesmo tempo, e principalmente para ler em vez de autor, portanto, implicações de desempenho são aceitáveis; enquanto a economia de custos de pagar US $ 15 / mês para todos os 30 usuários, em vez dos US $ 2 / usuário extra, para atualizar para o Office 365 Enterprise K1 (que inclui o SharePoint Online) é significativa considerando o orçamento apertado.
Agora, vamos para a questão em si. Com essa configuração, desejo que a identidade do Office 365 seja a principal para os usuários e que eles só precisem lembrar desse login e senha; e, se possível, gostaria de evitar a necessidade de executar e manter quaisquer serviços locais nessa VM além do necessário. Então, idealmente, gostaria de uma maneira de informar uma instância local do SharePoint para autenticar usuários no Office 365 e deixá-lo assim. Se isso for impossível, preciso criar um esquema que permita o compartilhamento de contas e / ou a sincronização entre a instância local do AD na VM do SharePoint e o Office 365.
Tentando descobrir como fazer isso provou ser bastante difícil, no entanto. Há muitos documentos sobre interoperabilidade entre um domínio local e o Office 365, mas todos parecem assumir que as identidades locais são primárias, portanto a direção da sincronização é de local para a nuvem, em vez de vice-versa, pois Pretende. Há também um monte de tecnologia aparentemente sobreposta e confusamente chamada cobrindo essa área - ADFS, Azure FS, DirSync são os três que continuam aparecendo.
Então, onde exatamente eu preciso procurar, e o que eu preciso aprender, para descobrir como configurar tudo do jeito que eu quero? Se houver várias opções diferentes, qual delas será a menos frágil e pesada em manutenção a longo prazo?