A única maneira de pensar nisso é usar um Gateway de Área de Trabalho Remota. A chamada para o gateway pode, então, ir para um servidor de diretivas de rede (NPS) que pode emitir chamadas RADIUS remotas. Não sei de nenhuma maneira de emitir solicitações RADIUS para acesso direto à área de trabalho remota, já que nesse ponto você já está em conformidade com o cliente e o cliente segue sua rota de autenticação normal.
Com o Gateway de Área de Trabalho Remota, você basicamente configura um ambiente RDP sobre HTTPS e o servidor faz a primeira autenticação de passagem, que pode incluir chamadas RADIUS. Ele essencialmente descarrega a autenticação e a autorização para uma caixa NPS local ou central. Você pode configurar facilmente a caixa NPS para ver sua caixa RADIUS personalizada. Uma vez passado o servidor, o cliente ainda tem que autenticar com o cliente, mas a idéia é que o servidor já fez sua autenticação de dois fatores, o cliente é realmente apenas uma formalidade nesse ponto.
Espero que ajude.