J'étais passé à côté du "Hotpatch" de chez Microsoft. Oui, Linux le fait déjà depuis des lustres, blabla.
On peut utiliser certaines fonctionnalités d'Azure mais sur un AD on-prem, bien.
TL;DR
Si un user a son mot de passe qui n'est pas synchronisé sur Azure AD:
"On your AAD Connect box, open the AAD Connect app. Hit Configure, then Troubleshoot, then Next, then Launch.
It will pull up the troubleshooter in Powershell.
Pick Option 2, then Option 3. (You'll see the descriptions on the screen) When it asks for the user to force a sync for, give it the user's DN.
If you're unfamiliar with distinguished name format, look up the user in ADUC, and DistinguishedName will be one of the user attributes.
Copy/paste that whole value. It will be something to the effect of CN=user,DN=SubOU,DN=OU,DC=Company,DC=com."
Par défaut les utilisateurs non-admin ont bien trop d'accès sur la console Azure AD. Voici comment les limiter simplement.
En tant qu'admin taper:
net localgroup administrators AzureAD\JohnDoe /add