Minha solução para isso é um processo de ativação em duas etapas para novos usuários:
- Crie o usuário com direitos suficientes para alterar sua senha e atualizar seu MFA. Diga-lhes que precisam atualizar seu MFA. Eles não entram em seus grupos 'reais' ainda.
- Tenha um script de pesquisa que seja executado periodicamente. Se um usuário tiver o MFA ativado, ele será adicionado a seus grupos designados.
Os usuários que não atualizarem o MFA poderão fazer ... nada. Quando eles reclamarem, envie-lhes um lembrete sobre como atualizar o MFA. Quando eles voltarem com OK, eu fiz isso, execute o script # 2.