Azure Active Directory Domain Service(以下、Azure ADDS)には、いくつか制限事項があります。

①Domain Admins / Enterprise Adminsがない
Azure ADDSには管理権限としてAAD DC Administratorsが用意されおり、同等の管理権限は有することができますが、利用しているアプリケーションの制約などでDomainAdminsやEnterpriseAdminsの権限が必須な場合、Azure ADDSは利用できません。

②Default Domain Policyを変更できない
ドメイン全体にかかわるようなタスクは基本的にAzure ADDSでは利用できません。そのため、アカウントポリシーの変更等はAzure ADDSからは行うことができません。

③フォレストに対する管理、変更ができない
Azure ADDSは信頼関係を結ぶことやスキーマ拡張、ActiveDirectoryの機能レベルの変更はできません。

これらが要件の場合、Azure ADDSは利用できないため、AzureのIaaS上にWindows Serverを構築し、ADDSの役割を追加する構成をとる必要があります。