Active DirectoryとAzure AD、この2者の違いでよく言われるのは

Active Directory：企業向け
Azure AD：ドメイン境界を抜けられないActive Directoryの弱点を克服した新しいAD

のような感じでしょうか。

正直なところ、凝り固まった私の脳みそでは何言ってるのかチンプンカンプンで、
この界隈はわかる人スゲー。とみていたのですが、
そのうちツケはやってくるもので、自分で見なければならないタイミングがやってくるわけです。

そんなこんなで、この2つの違いを私なりに考察した結果、導き出したのが、以下。

Active Directory：ポリシーを効かせてPCの統一管理を実現するシステム。その中にIDの統一化も入っている。（どのPCでも1IDでアクセス管理）

Azure AD：Active DirectoryのID統一の概念だけ持ってきたモノ。IDはAzure AD内で管理。また、Office365のIDもこれ。オプション機能として、社内でIDを管理していないもの（Facebook IDとか、GoogleIDとか）を紐づける役割を持っている。

以下はイメージ（やっぱりペンあると便利だなぁ、、）

Office365－【Azure AD ID】　【Active Directory ID】ー社内システム

この概念の中ではOffice365を利用する際にIDが2つに分かれて管理されます。
＝ID/Passwordが2組管理される。管理だけならユーザー負担で押し付ければよいのですが、連携システム作るとなると連携したい側がIDとパスワード持つ必要が出てきます。Office365のSharePointAppsなどで、SharePointにアップロードされたファイルを社内サーバーにファイルを展開するような仕組みを作りたいと思うと、Office365側に社内ADのID/Passwordを教えないとならなくなるわけです。

社内の機密情報にアクセスできるキーを上の例でいうとAzure AD（＝すなわちマイクロソフト）に渡したらまずいことになる。そこでそんな嫌な状況を打破すべく出てくるのがADFS。ADFSを利用するとまず親となるIDシステムを決めることになります。（一般的にはActive Directory）そのIDシステムと、信頼する次のIDシステムを疑似的に接続するのがADFSの役割といった感じでしょうか。

Active DirectoryのIDとAzure ADの例えばメール属性（双方で一意になる情報）で信頼しあうことで、以下のような内容で連携するのです。

Office365－【Azure AD ID】ーメールアドレスー【Active Directory ID】ー社内システム

そうすると、信頼するIDシステムで認証されているメールアドレスなら信頼できるということで、そのメールアドレスを持ったユーザーが来たら、無条件でログインしていることにしちゃおう。という仕組みがADFSなのです。

眠りながら文章書いてるので筆が乱れてて申し訳ないですが、私の理解はこんな感じです。
参考になるかはわかりませんが、こういったイメージで見ていくとそれぞれわかりやすいんではないでしょうか。

音楽：saga