Если у пользователя, который для двухфакторной аутентификации использует СП с криптографическим типом подписи, нет – именно для данного СП – активного сертификата, данному пользователю может быть разрешен вход в систему с минимальными правами для создания запроса на новый сертификат.

После входа в систему данному пользователю будут доступны только разделы области навигации Обмен криптоинформацией → Запросы на новый сертификат, Личный менеджер и Настройки пользователя.

Чтобы разрешить ограниченный вход, задайте значение "true" для свойства Конфигурация ДБО. Разрешить генерацию сертификата при отсутствии активного сертификата для двухфакторной аутентификации сервиса Конфигурация ДБО в соответствии с инстр. «Добавление  / редактирование свойств конфигурации».