从 Apple关于该主题的支持文章看来，在被允许启用此设置之前，用户必须启用 2FA。从同一页面，用户必须在两台设备上登录 iCloud。所以是的 - 这是一个要求。作为企业管理员，如果您的用户正在使用手表解锁功能，那么您可以假设他们启用了 2FA。

引用this other answer，您的Mac在通过蓝牙与手表配对后会计算手表与它的距离。更详细地说：

自 2008 年以来，802.11v 时间戳一直被提议用作“飞行时间”计算。Apple 已决定使用飞行时间作为手表解锁功能的安全机制。Apple 不只是假设 Watch 在范围内，因为它通过蓝牙进行通信，而是希望提高 Watch/Mac 连接的安全性。当 Mac 检测到手表在通过 Handoff 连接到 Mac 的 3 米范围内时，它处于触发解锁的正确范围内。

当手表发送蓝牙信号触发解锁时，Mac 通过无线向手表发送额外的 802.11v 请求。然后对该请求进行定时到达。由于 Mac 知道手表必须在 3 米以内，因此数据包上的时间戳对延迟有非常严格的容忍度。如果延迟在可接受的参数范围内，则 Watch 解锁请求被批准并且您的 Mac 被解锁。如果偏差超出可接受的范围，例如通过蓝牙中继器或其他某种恶意机制使用时，解锁请求将失败，因为系统意识到 Watch 位于解锁 Mac 的“安全”区域之外。

来源