Пожалуй сам и отвечу.
Есть два варианта применить двухфакторную аутентификацию при помощи токенов JaCarta или аналогов:
1) Ставим ПО на компьютер, на котором будет использоваться токен, это ПО генерирует длинный пароль и присваивает его учетке в AD, а так же записывает его на токен. В итоге при логине на компьютер берется пароль с токена и передается в AD, если все ок, то вы получаете доступ к рабочему столу. Т.е. по сути механизм аутентификации не меняется, он остается парольным, только вам его не надо помнить.
2) В домене разворачивается центр сертификации, на нужных компьютерах задаем политику входа только по смарт-карте (токену) и генерируем сертификаты для нужных пользователей, записывая их на токен. В итоге на выбранных компьютерах невозможно авторизоваться по логину/паролю, а сделать это можно только по смарт-карте (токену).

I can’t tell you for sure, it’s better not tokens, but tokens, we have 2-3 Jakartas a year that fail, when tokens have been working for 5 years, and they break only because they were stepped on, drowned, melted. There is crypto pro software, look in their direction, I won’t tell you more unfortunately.

The fastest and cheapest solution is Rohos Logon Key (rohos.ru). from the pros - support for any type of tokens, does not require certificates, Key list management console for the entire domain, switching to other authentication methods such as U2F keys, OTP, Linux is supported.