Creo que no tiene que deshabilitar (ExtendedProtectionTokenCheck = Ninguna) la protección extendida, solo necesita hacerla opcional (Permitir en lugar de Requerir).
Esto permite conectar clientes incompatibles sin esta protección (y vulnerable a MITM), pero también permite que InternetExplorer use la protección adicional. Sin embargo, no hay forma de imponer esto en el cliente, por lo que creo que se vuelve vulnerable a una baja de calificación.
Una idea sería que tiene un punto final especial que permite omitir la protección extendida pero que no será utilizado por los clientes habituales. Entonces, solo sus clientes extranjeros serán vulnerables al problema MITM. Dependiendo de otros factores, esto podría no ser un gran riesgo. Si sus empleados están acostumbrados a ir a almorzar sin bloquear sus pantallas, no tiene que preocuparse por eso :)
La documentación de MS está aquí: enlace