要解决这个问题，可以使用AWS SDK来创建一个Lambda函数，该函数会在用户首次使用MFA软令牌时，将其配置为强制性的MFA方式。以下是一个使用Python和Boto3库的示例代码：

import boto3

def lambda_handler(event, context):

    # 初始化Cognito身份提供者客户端
    cognito = boto3.client('cognito-idp')
    
    # 从Lambda事件中获取用户池ID和用户名
    userpool_id = event['userPoolId']
    username = event['userName']
    
    try:
        # 获取用户信息
        response = cognito.admin_get_user(
            UserPoolId=userpool_id,
            Username=username
        )
        
        # 检查用户是否已配置软令牌MFA
        mfa_enabled = False
        for attr in response['UserAttributes']:
            if attr['Name'] == 'phone_number_verified':
                mfa_enabled = attr['Value'] == 'true'
                break
        
        # 如果软令牌MFA已启用，则配置为强制性
        if mfa_enabled:
            response = cognito.admin_set_user_mfa_preference(
                UserPoolId=userpool_id,
                Username=username,
                SMSMfaSettings={
                    'Enabled': True,
                    'PreferredMfa': True
                }
            )
            print("MFA设置已更新")
        
    except Exception as e:
        print("发生错误: {}".format(e))
    
    # 返回Lambda函数的响应
    return {
        'statusCode': 200,
        'body': 'MFA设置已更新'
    }

你可以创建一个AWS Lambda函数，将上述代码粘贴到函数编辑器中，并将触发器配置为适当的事件，例如Cognito的用户池触发器。当用户首次使用软令牌MFA时，Lambda函数将被触发，并将其配置为强制性MFA方式。

请注意，此示例代码仅设置了SMS MFA作为首选MFA方式。如果要使用其他MFA方式，如TOTP软令牌或硬件MFA设备，你需要相应地更改代码中的MFA设置参数。

此外，你还需要在Lambda函数的权限配置中，给予它执行Cognito API操作所需的适当权限。

希望这可以帮助到你解决问题！