Existem pontos fracos em sua solução proposta que muitos administradores de rede poderiam subverter.
As fraquezas óbvias são que os endereços MAC podem ser clonados e o switch não seria o mais sábio. Na verdade, eu provavelmente poderia criar um dispositivo barato para clonar o endereço MAC, permitir que o telefone continuasse a funcionar e permitir que eu conectasse outros dispositivos.
Se eu estivesse tentando fazer isso, eu configuraria uma VLAN separada e colocaria esse telefone nessa VLAN - dando-lhe acesso apenas para falar com os dispositivos com os quais precisa falar. (É teoricamente possível quebrar a segurança da VLAN, mas é um jogo totalmente diferente - provavelmente fora do alcance da grande maioria dos adversários). Configurá-lo de modo que exija um acesso VPN é provavelmente um exagero, mas teoricamente mais seguro.
Você também pode querer limitar a velocidade da conexão se você for extremamente paranóico - o que significa que mesmo que a rede seja violada, a velocidade com que os dados podem ser exfiltrados pode ser lenta - por exemplo, você pode limitá-la ao UDP. apenas e 100kbit por segundo ou mais. (Provavelmente não vale a pena o esforço IMHO)
Em vez de desativar a tela do telefone, por que não comprar um telefone sem tela para que ele não possa ser ativado. (Se você está preocupado com um adversário tecnicamente habilidoso, os US $ 100 que custaria não seriam um problema). Uma alternativa ainda mais segura seria eliminar o VOIP para o telefone e conectar um telefone comum a um ATA através da fiação existente. Isso praticamente limitaria a porta ao suporte a um telefone, embora a qualidade e a funcionalidade da voz possam ser afetadas.