Como passar de uma rede física do AD para uma rede híbrida do Azure

Estou apenas procurando por alguma orientação aqui. Talvez um, "Ei, confira este link / livro / vídeo que mostra como começar com o Azure" Tudo que eu encontrei na web é muito específico ou muito geral para ser de muita ajuda.

Atualmente, temos um domínio do AD local e uma assinatura do Office 365 para e-mail. Ambos têm contas de usuário / recurso separadas. Nossa rede local é contoso.local e nosso O365 é contoso.com. Nós temos um dns local com 2 zonas, contoso.local e contoso.com (não me pergunte por que, eu acabei de assumir e ninguém sabe o raciocínio por trás disso). Temos cerca de 450 objetos AD em nosso diretório. Gostaria de chegar a um ponto em que os usuários tenham um SSO para acessar os recursos locais e do O365.

Eu também tenho uma VM crítica para os negócios que fornece serviços de EDI para nossa empresa. Antes de chegar aqui, tinha uma história de queda, causando centenas de milhares de dólares em vendas e remessas perdidas / perdidas. Gostaria de movê-lo para o Azure para máxima disponibilidade.

Eu sei, isso parece uma pergunta de certificação. Mas aqui está o que eu considerei até agora:

1. Instale o Azure AD Connect e sincronize nosso AD local com o Azure. Na verdade, comecei por esse caminho até que comecei a me perguntar como isso resolveria meu problema de SSO. Essa solução sincronizaria minhas contas .local para meu diretório .com? Ou simplesmente criaria um novo banco de dados .local no Azure? Eu simplesmente não sei.
2. Migre nosso domínio contoso.local existente para um novo domínio contoso.com e sincronize com o Azure. Novamente, comecei a percorrer esse caminho até perceber que teria nomes NETBIOS conflitantes. Risque esse plano.
3. Azure AD DS? Serviços de Federação AD? Ok, eu não sou versado o suficiente em como o Azure e o Windows podem se integrar. Eu estou agarrando a palha agora.

Ajude-me Obi-Wan Kenobi ... você é minha única esperança!