如果您的网络基于 Microsoft Active Directory，您可以将系统配置为仅允许加入域的计算机访问公司网络。由于员工没有将他/她的个人笔记本电脑加入域所需的域管理员凭据，这将禁止个人计算机通过 VPN 连接到网络。由于您提到了 Cisco AnyConnect，因此可以将其配置为通过 Active Directory 对 VPN 连接进行身份验证，但具体步骤取决于 VPN 网关的版本和类型，以及所使用的 Windows Server 版本。

另一个步骤是实施基于 MAC 的过滤，只允许某些 MAC 地址访问，尽管这将涉及记录每个需要访问的设备的 MAC 地址（并​​且不应该是访问控制的唯一方法，因为 MAC 地址并不难欺骗）

在对此进行进一步讨论和阅读后，发现我们可以进行这些配置并设置使用单因素身份验证的证书或使用 AD 和证书进行身份验证的两因素身份验证。

现在，这些证书可以根据可以绑定组用户/机器的 AD 组策略进行流通。或者手动分发并安装它们

您可以同时使用本地 CA 客户端证书，或者如果您希望从外部受信任的 CA 获取它，您也可以这样做。

可以更改传统远程 vpn 的配置，您将更改 IKE 组件中的身份验证或 webvpn (ssl vpn)，您只需提及身份验证类型。