Hallo,
auf das Thema kann man auch etwas allgemeiner, mit einer höheren Flughöhe blicken. Die Betrachtung der Sicherheit ist immer nur eine Momentaufnahme. Nach Änderungen an der Infrastruktur, muss dies nochmal erfolgen. Realistisch gesprochen wird das vermutlich nicht so oft getan, wie man es müsste.
Resultierend ist es durchaus sinnvoll eher defensiv, also restriktiver, seine Zugriffsmöglichkeiten auszulegen. Manche mögen sagen: "Die Sicherheit fängt da an, wo die Bequemlichkeit des Admins aufhört". Wobei man sich, wie ich finde, auch gut an MFA etc. gewöhnen kann.
Wir haben für uns entschieden (Risikoabschätzung mit der GL), dass das nur verwaltete Geräte in unser Netz dürfen. Hier ist das Handy für die MFA, FIDO-Sticks etc. eingeschlossen.
VG,
Jan