NAP\NPS запретить подключение по VPN без антивируса

Коллеги доброго всем!
Может кто решал такую же задачу? Не получается пока настроить так, чтобы работало )

Сначала насущная головная боль.
Есть настроенный VPN сервер на Windows Server 2008R2+RRAS+NAP. Есть много пользователей, которым нужен удаленный доступ к сети. Для подключения используются как выданные корпоративные ноутбуки и планшеты, так и свои домашние. И когда надо дать удаленный доступ к сети пользователю со "своим хозяйством" возникает головная боль о том на сколько защищен его ПК или ноут, стоит ли антивирус, стоят ли обновления и что в данный момент творится в его системе. Приходится всем, настраивать удаленный доступ самому. Подключаюсь по TeamViewer, смотрю что есть и чего нет. Проверяю на вирусы, если антивируса нет, то ставлю хотя бы пока на 30 дней Каспера и только удостоверившись, что все ок, настраиваю подключение ВПН.

Итак задача:
Настроить сервер RRAS+NAP таким образом, чтобы он проверял при подключении клиента, стоит ли у него антивирь и обновлены ли антивирусные базы.

Начал изучать вопрос. Вроде как этот механизм есть в NAP\NPS, который работает через маркеры SHV и SHA если я правильно понял. Якобы они содержат необходимую инфу, которую читает сервер при подключении и если все проверки пройдены, клиента можно пускать, если нет, то....

Но меня сначала смутил первый нюанс: если клиент просто подключается без таких проверок, то в консоли RRAS я вижу его статус "состояние не поддерживает NAP". И у меня непонимание тогда тут, надо на каждом клиенте этот механизм отдельно настраивать?

И второе: если NAP будет читать эти маркеры SHA, то информацию по ним могут сообщать только Windows системы. А как тогда быть с MAC OS к примеру?

Ну и в целом пока методом проб и чтения каких-то скудных материалов по этой теме, не удалось заставить работать проверку на наличие антивируса на клиенте (

Может кто владеет инфой?
Спасибо!