Depois de dar uma olhada, parece que a resposta é "meio que". No IAM, um administrador pode configurar um MFA para outro usuário do IAM. Embora isso possa ser um pouco complicado se você estiver configurando um MFA virtual, é possível. Então, se o usuário não tiver recebido permissões para atualizar / remover seu MFA, ele será efetivamente necessário.
Embora eu ainda não tenha determinado a lista completa de ações que devem ser negadas (ou simplesmente não concedidas), este post parece ter as informações, e atualizarei esta resposta assim que eu tiver testado.
[Atualização]
Consegui configurar usuários como usuários avançados (dessa forma, não concedendo a eles acesso a funções do IAM, embora tenha certeza de que você poderia obter mais detalhes) e implementar o MFA com eles. Usando essa metodologia, eles não poderão desativá-la.