OK, herzlichen Dank für die Infos!
Ich habe mich jetzt für die Variante 2 mit lokalem AD und Sync zu Azure AD mit lokalem AD Connect entschieden. Das läuft soweit auch ohne Probleme. Die User, die es lokal nicht gibt, bleiben in der Cloud unangetastet, d.h. ich musste nur die Hand voll User lokal anlegen, damit ich dies ans laufen kam. Die Variante bringt dann auch den Vorteil mit, dass wir RDS mit User-CALs einsetzen können.
Das verschieben der Anwendung in die Cloud wäre eine Möglichkeit gewesen. Da aber VPN-Zugang, Backup, etc. alles schon vorhanden ist und der Punkt DSGVO über allem schwebt, haben wir uns dagegen entschieden. Auch würden die Kosten der Online-Lösung ein vielfaches der lokalen Lösung betragen, da wir als Verein die Lizenzen sehr günstig erhalten.
Falls es jemand interessiert: Die gibt es für alle gemeinnützigen Vereine bei stifter-helfen.de