Der aktuelle Stand ist, und wird es in der Community Version wohl auch bleiben:
Wenn 2FA erzwungen wird, kann man sich ohne nicht mehr anmelden, egal ob 2FA vom Benutzer eingerichtet wurde. Das gleiche gilt wenn der Faktor aus irgendeinem Grund verloren ging.
Hat man 2FA per Default eingeschaltet kann man seinen Benutzern mitteilen, dass diese es bis zu einem Stichtag einrichten sollen, um sich danach weiterhin anmelden zu können.
Wenn ein Benutzer es dennoch versäumt hat einzurichten, oder das Device verliert, oder die App löscht, schaltet man 2FA kurzzeitig aus, damit sich der Benutzer anmelden kann und nach der Anmeldung schaltet man es wieder scharf.
Unter der EPL kann man aktuell auch zum Beispiel den Google Authenticator und ein Fido2 Token einrichten, dann hat man kein Problem wenn man eines gerade nicht zur Hand hat.
Geplant ist in der EPL dem Admin zusätzlich zu ermöglichen dem Benutzer ein Einmalpasswort zu generieren, mit dem er sich dann statt einem 2. Faktor anmelden kann. Das ist noch nicht implementiert.
Zu allen Fragen rund um 2FA gibt es bei uns auf der Webseite ein Video Tutorial:
Ralf
