2段階認証の性質を考えるに、本来の目的に反することなのでするべきではないです。
本人であることを確認するためのものなのに、それでは意味がないですね。

また、実務上の問題もあります。
ログイン時にいちいち連絡を取らないと使用できないですし。
デフォルトなら1回ログインすれば12時間はセッションが保たれるので朝イチで必ず対応してもらえる

たとえば、全く違う場所・別々のデバイスで

認証コードを共有しそれぞれログインすることで
何かしらセキュリティアラートがある、等。

これは、「そのように設定することも可能」なので、そうなっているかどうかは確認しないとわかりません。
デバイスはどうだかわかりませんけど、少なくとも場所（IP）では。

先方はエンドクライアントにこちらの存在を隠しているのですが、

こちらとしては正しく専用のユーザー・アカウントを作成していただきたいと思っております。

はい、それが正しいですね。
普通にIAMユーザを作ってもらってください。
先方がIAMユーザを追加したところで、エンドクライアントにはそれは先方が管理していることがわかるだけで誰が使っているかまではわからないはずです。
ただ、前述の通りエンドクライアントがIAMユーザの接続元によってアラートを設定していたりしたら何かあるかもしれません。確認が必要です。
もっとも、通常は引き渡すアカウントに対してわざわざそんなことをするケースは少ないと思いますが…。

それでなくても、IAMユーザの共用はベストプラクティスにも沿っていません。