Hola, 

Tengo una duda sobre el uso de PMP, a ver si me la explico bien: 

Tenemos un cliente que quiere usar dentro de un recurso de Windows algunas cuentas de Active Directory que ha creado limpiamente para usar para conectar a los recursos. No se creará una política de rotación de contraseñas a nivel de PMP. 
Tengo entendido que si agrega el DC como un recurso con una cuenta privilegiada dentro del AD, sería suficiente para luego crear el recurso y crear una cuenta desde ese AD en ese recurso. 
¿Esto es posible? 

El cliente quiere usar esas cuentas creadas en el AD porque tiene 2FA en Azure. Así que quiero evitar crear cuentas locales en los recursos. 

Entiendo, tal vez me equivoque, que 

tengo varias dudas:

1) Cuando cambie la contraseña por política en el AD (Azure), ¿qué se debe hacer para que se sincronice con las creadas para ese recurso en el PMP? es automatico? ¿Es necesario crear una cuenta local en ese recurso para que sea el que sincronice con ese recurso y luego pueda cambiar las contraseñas de los usuarios de AD que usan ese recurso?