Da un punto di vista puramente di sicurezza non considererei questo come 2FA (che è tradizionalmente definito come "due di qualcosa che conosci, qualcosa che hai, qualcosa che sei).
Da un punto di vista pratico posso vedere alcuni potenziali problemi con questo in un ambiente aziendale. In molte aziende l'accesso alle applicazioni è legato all'accesso ad Active Directory che viene utilizzato anche per l'accesso al sistema di posta elettronica, quindi un utente malintenzionato con accesso al nome utente / password dell'account utente potrebbe anche essere in grado di ottenere l'accesso al token .
Anche se non sono collegati formalmente molti utenti aziendali nella mia esperienza praticheranno una sorta di single sign-on informale dove sincronizzeranno manualmente le loro password per tutti i sistemi aziendali, quindi ancora una volta un utente malintenzionato con accesso a uno sarà accedere agli altri, ignorando il tuo 2FA.
Se consideri di nuovo un altro probabile scenario di attacco (malware sul PC degli utenti) di nuovo, ignorerebbe questo requisito in quanto sarebbe possibile accedere alle password degli utenti per l'applicazione e il servizio di posta elettronica utilizzando un keylogger.
Quindi, in sintesi, direi che delle tue due opzioni questo è più un ulteriore inconveniente in cambio di scarso guadagno. Se il profilo di rischio dell'applicazione giustifica la 2FA, guarderei a soluzioni di stile 2FA complete (ad esempio, token fisici o dati biometrici)