O que fizemos foi criar outra zona para extranet estendendo o aplicativo para outro site do IIS (para que pudéssemos ouvir em um IP diferente), habilitando a autenticação baseada em formulários usando o .NET SQL Auth nessa zona / site e, em seguida, criando Usuários do SQL para eles fazerem login. Isso nos permitiu impedi-los de obter uma conta do AD e nos deu um controle refinado usando as permissões do SharePoint.