1.vpn до логина. Но там много весьма не очевидных вещей.
2. directaccess
3. azure, там можно поднять интеграцию с локальным ad.
4. кэширование учётных данных. По умолчанию оно есть, т.е. на объекте войти в систему сможет тот кто уже в нее входил, без доступа к контроллеру. А уже потом из сессии поднимается vpn, если нужен доступ к данным.
