Как передать удостоверения AzureAD в локальный каталог ActiveDirectory

Ситуация такова, что у нас есть несколько сайтов (AWS VPC), каждый со своими собственными доменами ADDS с самостоятельным управлением без сетевого подключения между ними (по дизайну). Нам необходимо автоматически подготовить пользователей ADDS для каждого сайта из удостоверений AzureAD, включая обратную запись паролей (пароли следует менять только из Azure).

Возможное решение (я полагаю) состоит в том, чтобы использовать cron (запланированное задание) для запроса к Azure graphapi списка пользователей и подготовки пользователей с помощью командлетов powershells new-aduser, устанавливая атрибуты пользователя, чтобы разрешить запись пароля Azure AD Connect, чтобы гарантировать пароль синхронизация.

Тем не менее, вышеизложенное требует значительно большего изучения и похоже на настраиваемое собственное решение, требующее мониторинга.

Есть ли более стандартное решение (включая сторонние?), которое позволяет AzureAD -> локальную синхронизацию пользователей AD?

Не существует готового решения, которое могло бы удовлетворить ваши потребности. У вас есть варианты: переосмыслить свой дизайн, выполнить индивидуальную разработку (скрипты) или приобрести стороннее решение.

Сторонние решения, которые могут удовлетворить ваши потребности, попадают в Управление идентификацией (IDM) или же Управление и администрирование идентификационных данных (IGA) категории.Вы можете легко найти продукты, используя свою любимую поисковую систему

КСТАТИ

настройка атрибутов пользователя, чтобы разрешить обратную запись пароля Azure AD Connect, чтобы обеспечить синхронизацию паролей

Это не сработает, потому что Azure AD Connect синхронизирует пользователей и пароли из AD в Azure AD, а не наоборот. Следовательно, обратная запись пароля работает только тогда, когда источником учетной записи является AD.