コレ、前から気になってたこと。
案件でちょっと迷ったので、中の人に聞いてみた。

結局、セルフホステッド IR を立てるのは、オンプレでも Azure でも、どっちでもいいみたい。Azure 側にある必要性は無さそう。
どちらに立てるかは、お客さんのオンプレ環境のネットワーク要件・構成に依存する模様。
ベストプラクティスから外れても、デメリットがあるわけではないみたい。

以下、質問と回答。

＜質問内容＞

セルフホステッド IR を Azure 上の VM に設置する場合と、オンプレミス環境に設置する場合のどちらが適していますでしょうか。

セルフホステッド IR はオンプレミス側のデータを吸い上げる役割だと認識していますので、オンプレミス環境側に立てるもどだと思っていました。
（Docs のに描かれている絵も、セルフホステッド IR はオンプレミス環境側に描かれていることが多いように思います。）
しかし、セルフホステッド IR の ベストプラクティス では、Azure 側に立てることも推奨されていました。
個人的には、セキュリティの観点から、極力 Azure 側に VM を立てたくないと思っています。
ベストプラクティスから外れると、何かデメリットがあるのでしょうか。セキュリティベースラインみたく、順守しないといけないのでしょうか。

＜回答＞

お客様のデータストアを含めたネットワーク構成にも依存し、ケースバイケースとなる。
ただし、リソースの競合を防ぐ目的で、セルフホステッド IR をデータを保持するオンプレの環境にインストールしないことを推奨している。

～セルフホステッド IR の使用に関する注意点～

• セルフホステッド IR は、データソースと同じコンピューター上に存在する必要は無い。
• しかし、セルフホステッド IR をデータソースの近くに配置することにより、セルフホステッド IR からデータソースへの接続時間が短縮される。
• セルフホステッド IR は、オンプレミスデータソースをホストするコンピューターとは異なるコンピューターにインストールすることを推奨する。
• セルフホステッド IR とデータソースが別のコンピューター上にある場合、セルフホステッド IR ではリソースのデータソースとの競合は発生しない。
• その他の注意事項は セルフホステッド IR の使用に関する注意点 を参照のこと。
  
  

うーむ、明確な答えではないなー。
フル PaaS で作りたいのに、IaaS が立っちゃうのが嫌なんよね。要件定義、設計ともに分量が増えてめんどくさいから。
主にセキュリティ系の運用部分が増えるからやりたくないんよなー。
「誰が VM のお守りをしますか？」「Windows Update のタイミングはいつにしますか？」「マルウェア対策はどうしますか？」「セルフホステッド IR のアップデートはどうしますか？」とかとか、聞くことが増えるんよね。。。