MSの方から正式に回答をいただいたので、ここにも書いておきます。

今現在BPOSでは、満足にセキュリティグループを使うことができません。グループの同期、メンバシップの同期はAD同期ツールを使うか、手動でWeb上からの作成になるのですが、どちらの場合でも生成されるのは「配布グループ」であり、セキュリティグループではありません。

ということはつまり、「予定表の閲覧、書き込み権限をこのグループに対して許可する」とか「SharePoint上のこのアイテムはこのグループのみ参照可能にする」などというようなオンプレミスでごくごく当たり前に行っている作業が行えない、ということです。

例外的に個別にサービスリクエストを発行して、配布グループをセキュリティグループに変換してもらうことは可能なのですが、人力での対応となるので、時間もかかるし、いつ対応してくれるかもよくわかりません。

つまり、「〇月×日に大規模な組織変更があり、グループやメンバシップが大幅に変更される」なんていうことがあった時にはもうお手上げっていうことです。これでははっきり言ってエンタープライズ用途では使えないと思います。

と、上記の話はStandardの話であって、占有型のDedicatedであれば様相はまったく異なるとは思いますが、未確認です。

BPOS Standardにはこのほかにも山ほど制限事項があり、はっきり言って要求が多い日本の顧客の要望を満たせるとは思えません。そういうお客さんは今まで通りオンプレミスで。コスト削減を狙ってBPOSに移行するお客さんには製品をそのまま使い、制限事項があってもそれをなんでも受け入れることを本気で覚悟しておいてもらわないといけません。

MSの営業があたかもオンプレミスと同じであるかのように説明し、お客さんがそのままそれを信用し、実際に導入を進めていくうちに大量の制限事項に気が付いて「こんなはずじゃなかった!」という悲鳴があがり、現場の担当者が泣きを見る、ということが世界のあちこちで行われている気がします。(とはいえ、カスタマイズ思考は日本の顧客が一番高いらしいので、日本にだけみられる光景なのかもしれませんが。)

というわけで、このあたりBPOS導入を検討されている企業は要注意です。