Ciao,

realizzare un batch/servizio da dare al cliente che si connette al loro AD e mi "copia" le utenze sul mio applicativo.

Meglio di no. Io ti consiglio di non esporti a questo genere di responsabilità.
Fagli usare Azure Active Directory. Ci pensa lui a replicare le utenze nel cloud. Poi registri la tua applicazione e avrai accesso all'identità dell'utente senza che tu debba fare nulla di complesso o rischioso.
https://azure.microsoft.com/it-it/services/active-directory/

Ciao,
Moreno

Non mi piace come idea, perché costringi il tuo cliente ad esporre una superficie di attacco e metti te stesso nella (difficile) situazione di convincere i sysadmin ad installare un'applicazione che "non si sa cosa fa".

ti stare in ascolto su una porta configurabile e raggiungibile dall'esterno.

Qualcuno potrebbe scoprire l'esistenza del servizio e inviare una miriade di richieste per cercare di entrare in possesso delle credenziali con la forza bruta.
Azure AD invece ha delle protezioni contro questo genere di attacchi.
https://docs.microsoft.com/it-it/azure/active-directory/authentication/howto-password-smart-lockout

In generale, quando c'è di mezzo la sicurezza, io mi affiderei a chi fa questo per mestiere. Io per lo meno faccio così anche perché non sono neanche pienamente consapevole di tutti i tipi di attacco a cui può essere soggetto un servizio del genere.
È vero che Azure AD ha dei costi ma quanto ti costerebbe un security breach? Qui devi essere bravo tu (o chi per te) a sensibilizzare il cliente e fargli capire il valore che c'è dietro questo costo.

Poi, oh, esistono anche delle aziende che, nonostante il tuo impegno, ti dicono "questi problemi a noi non capiteranno mai" e allora puoi anche andare alla grande con un servizio esposto sulla porta 80. Però fagli firmare una lettera di assunzione di responsabilità e un'altra in cui dici che gli hai fatto capire quali sono i rischi a cui andava incontro.

ciao,
Moreno