Caso de uso : 2FA para fazer login no Active Directory (como fazer login em um computador desktop corporativo que esteja no AD)
Solução desejada : sistema MFA baseado em RFC e estilo Authenticator do Google. Esse caminho é atraente porque é baseado em RFC e amplamente usado para aplicativos baseados na Internet, e a base de usuários já o possui e o usa o tempo todo. Achamos que isso seria incorporado ao Server 2016, mas parece não ser?
Ultimate Dream : Com o AD impulsionado pelo 2FA dessa maneira, outros aplicativos que usamos que usam o AD como o diretório (esperamos) obterão o benefício do 2FA.
Para maior clareza : não estamos tentando usar contas do Google (ou outras) para fazer login no AD. Estamos tentando usar a ferramenta google authenticator (ou authy ou qualquer outra ferramenta que implemente essa RFC) para adicionar 2FA ao próprio AD. (Usamos o google authenticator com o Amazon AWS e muitos outros sistemas hospedados - cada um desses sistemas tem seu próprio db de usuário). não se trata de OpenID orientado para a web e afins.
Onde estamos hoje : Hoje, os logins para computadores e PCs são feitos através de senhas jane simples. Mas algumas ferramentas (como o nosso servidor vpn) usam o AD para autenticação E suportam o Google Authenticator além disso. Gostaríamos que o login físico fosse tão restrito quanto a VPN (e usando uma ferramenta de autenticação semelhante).
Pesquisa concluída até agora
Há um artigo de technet sobre como usar o google authenticator com os Serviços Federados do Active Directory (AD FS):
Estranhamente, parece ser um projeto dev, requerendo algum código e seu próprio banco de dados SQL.
Não estamos falando aqui especificamente do AD FS. Estamos procurando, quando você chegar lá, para 2FA, pref suporte a RFCs do Google Authenticator, incorporado ao AD.
O AD não tem suporte nativo (até agora, 2016 ...) para o Google Authenticator?
Se não, espera-se no Server 2016?
(E se o Win Server 2016 optar por não oferecer suporte ao 2FA mais predominante baseado em RFC, ajude-me a entender por que a MS tomaria essa decisão?)