Tanto quanto sei, não existe um padrão da indústria em relação ao google 2fa.
Se você tiver uma solução de gerenciamento de configuração, poderá usá-la para implantar o google 2fa em todos os seus usuários.
Eu tive a mesma necessidade que a sua, no meu caso eu escrevi um módulo Ansible que instala, configura e exibe as chaves de emergência para o usuário, esperando que o usuário seja responsável o suficiente para anotá-las por si mesmo.
O módulo também cria um usuário chamado "rescue", que sempre pode acessar a máquina.
Com um pequeno acréscimo ao módulo, você pode fazer com que o módulo exporte as chaves de emergência de cada usuário para uma unidade de rede compartilhada que você irá gerenciar / fazer backup.
Não tenho certeza de que esta é a resposta completa para você, mas dê uma olhada no meu módulo .