A végponti eszköz nem azonosítja a felhasználót, ráadásul nem te menedzseled. Vagy kényelmesre, vagy biztonságosra csinálod meg, a kettő együtt (Átlag Béla Lujza felhasnzáló szempontjából) nem fog menni.
Amit tudok javasolni, az egy hardvertokent (Yubikey?) összeházasítani például OpenVPN-nel, és a VPN-ről egy darab, megfelelőennagyra méretezett RDP-kiszolgáló elérése.