Posso bloquear o acesso ao AVD usando VPN?

Estou sendo informado por um engenheiro de pré-venda que preciso montar um ambiente AVD com um Gateway VPN e remover o acesso ao AVD da internet em geral.

Não acho que isso seja possível, isso não é RDS, isso é AVD, usando o aplicação Remote Desktop (ícone vermelho).

Estou errado nisso? Perdi algo? É possível fornecer AVD usando um endpoint privado ou algo assim? É possível bloquear um host de múltiplas sessões para permitir acesso apenas via VPN?

EDIT - Respondi basicamente da mesma forma que estava pensando. Você não pode bloquear o AVD para ser acessado via VPN P2S. Você usa Acesso Condicional e MFA para protegê-lo. Obrigado a todos os contribuintes.