Active Directoryをクラウドにのみ展開し、VPNなしでワークステーションをクラウドに参加させます（構内にDCがない、RODCがないなど）

従来のADDSではこれを行わないでください。クラウドのみに移行する必要がある場合は、Azure Active Directory SaaSソリューションを管理用のIntuneとデスクトップ上のWindows10で使用する必要があります。KerberosやGPOなどは失われますが、柔軟性が大幅に向上し、管理するインフラストラクチャがありません。

私が言ったように、これはAADとAD DSの機能の1：1の比較ではないので、いくつかの調査を行い、それが適切であることを確認しますが、セキュリティを完全に無視しない限り、これがあなたの質問に対する唯一のもっともらしい解決策です実践し、パブリックインターネット上にDCを配置します。

あなたの特定の質問に-意味は何ですか？デフォルト構成のドメインコントローラーは、パブリックネットワーク用に強化されていません。たとえば、デフォルトでクリアテキストLDAPバインドが許可されているため、パスワードが傍受される可能性があります。この記事では、LDAP単純結合を無効にするプロセスについて説明します https://support.Microsoft.com/en-us/kb/935834

マシン/ユーザー管理の観点から達成したいことに応じて、次のテクノロジーを調査する必要があります

Microsoft Intuneは、Configuration Managerを使用して、Mac/Linuxを含むドメインに参加していないマシンの管理を提供できます。

Windows Azure Active Directoryを使用すると、ユーザーアカウントを一元的に作成および管理し、Office365を含むさまざまなアプリケーションにADFS認証インターフェイスを提供できます。

DirectAccessでは、認証前にクラウドでホストされているネットワークへのVPNトンネルを構築することにより、インターネットに直接接続しているときにドメインに参加したエクスペリエンスを実現できます。

Workplace Joinは、ADFSサービスを介してデバイスをドメインに「参加」できるようにするADFSの機能です。

WindowsAzureはインターネット経由でSMB共有を提供できます。ただし、ファイル共有はレガシーテクノロジです。可能であれば、Sharepoint Online/OneDriveを使用してください。

ポリシーは（一種の）Windows Intuneを使用して実行できます。従来のグループポリシー構成は取得できませんが、環境をロックダウンする場合を除いて、通常は必要ありません。

インターネット印刷はWindows2012でセットアップできます https://technet.Microsoft.com/en-us/library/jj134159.aspx -しかし、そのためのどこかにサーバーが必要になります。クラウドサービスは間違いなく存在します。

幸運を

シェーン

AD DCサーバーをインターネットから保護する必要があります。サーバーを直接公開することはベストプラクティスではありません。VPNはそれを防ぐのに役立ちます。組み込みのWindowsVPNサービスを使用できます。それほど素晴らしいとは限りませんが、少なくとも何もないよりも良いものが得られるわけではありません。ActiveDirectoryのMSベストプラクティスガイドへのリンクは次のとおりです。 Active Directoryを保護するためのベストプラクティス 先に進む前に確認することをお勧めします。 .78ページでは、ドメインコントローラーでInternet Explorerを使用することについて、ベストプラクティスの失敗として少しレビューしています。それだけで、インターネット上でActiveDirectoryサービスを公開することは悪い考えであることがわかります。