С ситуацией из примера (Skype for Business, параметры Away/Idle) не сработало, а изначально ради этого все и затевалось. То есть GP создать можно (указав нужное время), но пользователь сможет спокойно изменить время в настройках программы (при этом в реестре останется изначальное значение), и указанные пользователем параметры будут действовать до перезапуска S4B.
Описанным же способом отследить эти изменения получилось
Вариант 1
Если настроен пользовательский портал
1. Зайти на пользовательский портал под своей учетной запись
2. Так как подтвердить 2 фактор аутентификации пользователь не сможет, ему будет предложено ввести ответы на секретные вопросы(которые задавались при первом входе в пользователский портал), либо выбрать иной способ подтверждения настроенный раннее(например если была заблокированна сим карта можно будет воспользоваться мобильным приложением для аутентификации).
3. После подтверждения второго фактора пользователь получит доступ к пользовательскому порталу где сможет изменить используемые по умолчанию способ аутентификации и/или номер мобильного телефона.
Что бы воспользоваться этим вариантом администратор должен предварительно разрешить пользователям менять параметры второго фактора аутентификации через пользовательский портал.
Вариант 2
Обратиться к админу MFA, что бы он в настройках пользователя изменил номер телефона или способ аутентификации.
Сертификат итак устанавливается на RDG сервер. Если имя конечной виртуальной машины не доверенное, то при подключении все равно будет появляться предупреждение безопасности, поэтому сертификаты также ставятся и на конечные виртуальные машины.
На прошлой работе было… Если сотрудник не блокировал компьютер покидая рабочее место, то с легкой руки проходящего мимо админа все его коллеги, а иногда и вообще все сотрудники компании, «приглашались» на пиво/в ресторан/кафе/боулинг и т.д., за счет сотрудника, после чего сообщение удалялось из Отправленных и из Корзины
да, можно воспользоваться SANами, но если машин сотни, и вдруг потребуется внести изменение в именование, придется на всех устройствах менять сертификат
Описанным же способом отследить эти изменения получилось
Если настроен пользовательский портал
1. Зайти на пользовательский портал под своей учетной запись
2. Так как подтвердить 2 фактор аутентификации пользователь не сможет, ему будет предложено ввести ответы на секретные вопросы(которые задавались при первом входе в пользователский портал), либо выбрать иной способ подтверждения настроенный раннее(например если была заблокированна сим карта можно будет воспользоваться мобильным приложением для аутентификации).
3. После подтверждения второго фактора пользователь получит доступ к пользовательскому порталу где сможет изменить используемые по умолчанию способ аутентификации и/или номер мобильного телефона.
Что бы воспользоваться этим вариантом администратор должен предварительно разрешить пользователям менять параметры второго фактора аутентификации через пользовательский портал.
Вариант 2
Обратиться к админу MFA, что бы он в настройках пользователя изменил номер телефона или способ аутентификации.
П.С. Ну и стоит Citrix дороже.