"Nem alakítanék ki olyan rendszert, amiben a bejelentkeztetés/zárolás feloldása minden alkalommal függ a hálózat vagy méginkább egy hálózaton keresztül működő szolgátatás elérhetőségétől."
Kiemeltem a lényeget.
Ha _harminc_napig_ nem érhető el a lokális hálózat, vagy rajta a DC, akkor aligha a bejelentkezés hiánya lesz a legnagyobb probléma a cégnél.
Nálunk MFA csak akkor kell, ha külső hálózaton van a gép, ez eleve jócskán lecsökkenti a kérdéses időszakot, hiszen besegít a DirectAccess is. Annak az esélye, hogy az Azure MFA-ban pont akkor üssön be a 0,1%, amikor te pont nem az irodában dolgozol, ÉS DirectAccess sincs, nem túl jelentős.