Realmente depende de la tecnología que uses para implementar autenticación multifactor. Si usa tarjetas inteligentes con Active Directory, entonces necesita modificar todos los dispositivos cliente para que sean compatibles con tarjetas inteligentes y configurar cada cuenta de usuario en AD para certificados. No tiene que modificar IIS si está planeando hacer solo la autenticación de Windows, pero si desea una autenticación mutua en IIS con certificados de cliente, tendrá que configurarlo. Si la aplicación que se ejecuta en IIS no es compatible con Windows Auth, la aplicación debe modificarse para que sea compatible con la autenticación multifactor. Si utiliza una solución de terceros, entonces todo depende de cómo la implementen. La empresa para la que trabajo tiene un proveedor de credenciales para Windows, así como una API para aplicaciones personalizadas y un módulo ISAPI para IIS, etc. La solución de RSA es similar, al igual que el 99% de todas las demás soluciones.
Como he dicho, depende de la tecnología que use, pero básicamente todo se reduce a: tiene que modificar todos los puntos de autenticación en los que requiere autenticación multifactor y, si no puede admitirla, desactívela.