Нифига вы тут нафигачили. Но я начну отсюда, где остановились.
Почему? By design. Потому что Azure AD - это неотчуждаемый публичный облачный сервис, то есть такая штука, которая размещается, обслуживается и развивается его разработчиком. Вы же не спрашиваете, почему нельзя разместить Google Apps в AWS? Потому что. Кроме того, есть и несколько чисто технических моментов. Во-первых, минимальный штамп, в который AAD - теоретически! - могла бы влезть, это порядка тысячи физических серваков, будет очень дорого и сложно. Во-вторых, весь смысл его в его централизованности и нахождении в облаке. Фактически, инфраструктура AAD это один большой распределенный сенсор, который позволяет обеспечивать ту самую "киберустойчивость" - возможность противостоять современным атакам. Например, "с земли" вы не увидите атаку password spray никак, а AAD отловит ее на изи.
Теперь вопрос второй: а нахрена вам это собственно надо? Возможный ответ: ну, мне нравится как AAD работает, нравится Conditional Access, я хочу его использовать для входа в Google Apps/AWS/you name it. Ответ: не вопрос, вы можете это сделать. В AAD есть прямо каталог веб-приложений с уже настроенным SSO, и их там что-то очень много, тысячи три было когда я последний раз смотрел. Больше того, вы можете интегрироваться со всем, что понимает стандартные протоколы веб-аутентификации (SAML, OAuth...), либо вообще просто имеет форму логина и кнопку "войти". Если это ваше собственное приложение - есть SDK (MAL, Microsoft Authentication Library, aka ADAL), который можно туда интегрировать.
Либо вот: я странный парень, я хочу чтобы точка аутентификации пользователя при использовании AAD находилась непременно в AWS. Не вопрос: поднимаем там контроллер домена (новый, или в существующем лесу) и настраиваем аутентификацию через ADFS или PTA.
Можно еще повысасывать из пальца. Потеря сетевой связности - не ваша проблема, кроме того у МС собственная глобальная сеть передачи данных, если не крупнейшая, то точно в топ-3. Если ее положат, недоступность AAD будет не самой большой из проблем всего мира. Санкции! В этом случае сервис перестанет для вас работать независимо от его гео-расположения. Напоминаю, SAP "Силовых машин" был в датацентре Ростелекома, где успешно превратился в тыкву.
На этом у меня фантазия заканчивается, если у вас есть сценарий, который прямо вот требует развернуть AAD где-то еще, не там где она развернута, то выкладывайте его сюда.
Ну тогда последний вопрос остался.
Есть определённая категория людей, таких как я, которым не нужен Microsoft 365, и вполне хорошо себя чувствуют заходя в Windows с использованием локальной УЗ. И в состоянии поставить любой интересующий их облачный сервис. (Я например, предпочитаю синхронизировать свою базу KeePassXC с помощью Яндекса. Для всего остального есть NAS)
Почему для таких "инвалидов" не сделать отдельную редакцию, в которой при установке весь этот спорный функционал будет отсутствовать?
Как LTSC, да, только без LTS.
К тому же, LTSC легально можно достать только для предприятий.
Я не могу это никак объяснить, кроме как словами "агрессивный маркетинг и продакт-плейсмент". Превратили клиентскую ОС в порнографию. Сиди и обтекай навязчивые предложения "воспользоваться Microsoft Edge", зайти в "OneDrive", и купить какую-нибудь игрушечку в Microsoft Store (в котором нет ничего полезного, кроме Terminal, RD Client, VLC и Telegram).
Я проклинаю тот день, когда я купил ключ Windows 10 Pro в коробочке за 150 баксов, по тому курсу. Потому что в итоге сборочка от Васяна с Рутрекера мне нравится гораздо больше, чем оригинальная редакция.
Если не имеете понятия, почему, можете не отвечать. Я для себя выводы давно сделал.
