Microsoft社のエンジニアの話を聞く機会があり、SSPRを展開するための技術やお客様へのアプローチ方法等興味深い話を聞くことができた。
技術面で私が思い違いがあった個所や、展開時のポイントになりそうなことを記載しておく。

・オンプレミスからAzure ADへディレクトリ同期している環境でもリアルタイムでパスワードが書き戻しされる
※Azure AD Connectの同期間隔で書き戻しされるわけではない
・SSPRを利用してもパスワードがAzure上で保持されるわけではない
・セキュリティグループを利用した段階的な展開が可能
・認証ポリシーはセキュリティグループ等を利用した別々のポリシーを設定することができない

https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-passwords
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-passwords-getting-started