Our corporate laptops are restricted to only allow internet access through our proxy (connection profile in Internet Explorer pushed through a GPO).
Pressionando as configurações para um perfil de conexão no IE, você não somente permite acesso à Internet através de seu proxy. Você acabou de fazer uma noção sobre o acesso à Internet por meio de seu proxy e aumentar a acessibilidade.
Se eu entendi corretamente o que você quer é fazer com que os usuários se conectem à sua VPN para acessar a internet usando seu proxy. Se for esse o caso, você deve ter cuidado, pois agora todos os malwares / ataques em potencial são roteados pela rede.
Por padrão, na maioria dos Windows após o XP, quando você se conecta a uma VPN, você está usando o gateway padrão na rede remota. Assim, você precisa garantir que essa configuração permaneça assim. Você pode fazer isso através do seu GP ou CMAK ou por um script ou até mesmo fazê-lo manualmente como usuário alavancado uma vez para cada máquina.
Mas em logins baseados na web, seus usuários têm que acessar algum site aleatório (e, portanto, a internet)! É aqui que a Reconhecimento de local de rede entra em ação
The Group Policy client will apply policy settings whenever domain controller availability returns. Examples of connection events that trigger Group Policy processing include establishing VPN sessions, recovering from hibernation or standby, and the docking of a laptop. This benefit can potentially increase the level of security on the workstation by more quickly applying Group Policy changes.
Portanto, se o usuário estabelecer uma conexão com uma rede diferente da sua rede de trabalho você vai acionar sua conexão VPN e tudo é bom.
Eu tenho que admitir que não é um trabalho fácil, especialmente quando há diversificação de clientes.
A outra maneira de contornar isso é bloquear tudo desativando o lote e fazer outra conta de usuário para uso fora de sua VPN e forçando outros tipos de limitações (por exemplo, sem vídeos, áudio, domínios específicos, etc.)
No entanto, outra maneira é bloquear determinadas portas de uma conexão específica ou limitar o acesso à sua VPN, por exemplo, sem acesso a servidores internos