Egy-két észrevétel:
Nem világos a koncepció. Miért van külön választva a VPN auth.-hoz használt user name és a felhasználói név a login-hoz a gépbe. A felhasználókat egy helyre authentikáltatjuk be, és törekszünk arra, hogy mindenhol ugyan azt a felhasználói nevet (általánosságba ez a felhasználó email címe) és jelszót használja. Ha IT biztonsági kérdés (legyen külön választva a két login), akkor meg tanúsítvány alapú hitelesítést kell használni.
Ha elvárás az, hogy a felhasználó a kliens gépen keresztül mindig az AD-hoz authentikáljon, akkor nem a felhasználói interakcióra bízom azt, hogy ő építse ki a vpn kapcsolatot a cég felé, hanem ez történjen meg automatikusan, hogy ez ne legyen megkerülhető.
Léteznek olyan VPN kliensek (Cisco AnyConnect, de lehet, hogy a Windows található SSP vagy IKEv2 kliens is képes rá) ami képes a háttérbe kiépíteni a céges hálózat felé automatikusan a vpn kapcsolatot, amikor Internetre kerül a gép.
Ha létezik Azure AD a cégnél, akkor azon keresztül a felhasználók nem tudnak belépni a számítógépbe? Így nem lenne szükség a VPN kapcsolatra a bejelentkezés elött, de a felhasználó mindenképp AD-hoz authentikál be.
Szóval átgondolnám a koncepciót első körben, és lehet hogy nem tennék bele több időt olyan hibakeresésbe, ami lehet, hogy vakvágány.