Потерянные токены OTP – лучшие практики?

Мы находимся в процессе развертывания токенов TOTP для всех сотрудников организации через Azure AD. Мы настоятельно рекомендуем всем сотрудникам использовать Microsoft Authenticator по умолчанию, а те, у кого есть мобильные устройства, выпущенные компанией, уже используют его через MDM. Мы также рекомендуем всем остальным установить Microsoft Authenticator (или аналогичный) на свои личные мобильные устройства. Мы почти закончили внедрение, но к нам уже приходят люди, которые говорят, что потеряли свой токен или регулярно забывают его дома. В настоящее время мы временно отключаем MFA или выпускаем новый токен.

Как ИТ-отдел, мы существуем для удовлетворения потребностей организации, и у нас нет полномочий мешать людям работать, потому что у них нет своего токена. Большинство наших пользователей заботятся об уязвимых людях в домах престарелых, поэтому мы не можем просто отправить их домой. Им НУЖЕН доступ к нашим системам, если они на работе, и точка.

Недавно мы подверглись паре фишинговых атак, которые, вероятно, можно было бы предотвратить с помощью MFA, что ускорило наше развертывание. Все ИТ-команды согласны с тем, что мы никогда не должны ставить под угрозу наши стандарты безопасности из-за невежества, некомпетентности или забывчивости какого-либо пользователя... но мы должны сбалансировать это с нашими обязательствами перед уязвимыми людьми, о которых заботятся наши сотрудники.

Есть какие-нибудь советы или рекомендации о том, как мы можем сделать это лучше? Как ваши организации решают эти проблемы?

РЕДАКТИРОВАТЬ: Я забыл упомянуть, что ИТ-специалисты базируются в головном офисе, а 80% наших сотрудников базируются в удаленных местах, многие из которых находятся в часе или более езды на машине. Мы не можем просто выдавать пользователям новый токен по требованию, если они не работают в головном офисе.