Penso che non devi disabilitare (ExtendedProtectionTokenCheck = None) la protezione estesa, devi solo renderla opzionale (Permetti invece di Richiedere).
Ciò consente di connettere client incompatibili senza questa protezione (e vulnerabili a MITM) ma consente anche a InternetExplorer di utilizzare la protezione aggiuntiva. Tuttavia non c'è modo di far rispettare questo sul client, quindi diventa vulnerabile a un downgrade che penso.
Un'idea sarebbe, che tu abbia un endpoint speciale che consente di ignorare la protezione estesa ma che non verrà utilizzato dai normali client. Quindi solo i tuoi clienti alieni saranno vulnerabili al problema MITM. A seconda di altri fattori, questo potrebbe non essere un grosso rischio. Se i tuoi dipendenti sono abituati a pranzare senza bloccare i loro schermi, non devi preoccuparti di questo:)
La documentazione MS è qui: link