Ok, pensando mais nisso, acho que um método de UI com alta fricção via sudo pode ser o caminho a seguir, já que essa configuração é “insegura” na janela de edição e nem todos os administradores têm acesso ao console do Rails (pensando em sites hospedados, por exemplo).
Talvez algo como: quando um administrador tentar salvar o novo e-mail, um diálogo modal deve aparecer, obrigando-o a reinserir sua própria senha para confirmar a ação (ou um desafio de 2FA, se estiver habilitado). Fica claro que essa ação deve ser registrada em detalhes nos logs da equipe. Acredito que uma verificação obrigatória do usuário ainda seja necessária de alguma forma, para dar a um usuário legítimo a chance de reportar uma invasão de conta, e uma notificação também deve ser enviada para o novo endereço de e-mail confirmando a alteração? 