Descobri isso. Bem direto na verdade. Então aqui está o acordo:
Primeiramente, você deve desativar suas configurações globais ou, pelo menos, as que afetam como elas são definidas. Certifique-se de ainda selecionar seu provedor de MFA (como RSA ou Cert), mas não preencha qualquer outra coisa.
Em seguida, vá para o PowerShell Administrador Executar como.
Digite este comando:
Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");'
Se isso acontecer, se estiver em um endpoint que está solicitando adfs ou oauth2, vá em frente e ative o MFA. Como o MFA não é ativado globalmente em nenhum outro lugar, ele essencialmente conclui o que solicitei neste encadeamento. Eu tive que reiniciar o AD FS para que ele entrasse em vigor. Embora não seja a solução mais limpa do mundo, funciona.
Confira este artigo para outras instruções e comandos úteis: link