O caminho para isso é gerar um número de AppleIDs sem cartão de crédito associado, aos quais os usuários finais não têm acesso, e usar um MDM (e possivelmente o Configurador) para enviar os perfis para os dispositivos. Contanto que o usuário final não saiba a senha do AppleID, ele não poderá acessar a App Store e os aplicativos autorizados a esse ID não serão executados em outro lugar.
ENTÃO, para evitar que o usuário modifique / exclua esse perfil, essa é a parte complicada. A estrutura IOS MDM da Apple suporta bloqueios de senha, etc. em perfis, mas nem todos os MDMs tornam isso óbvio (ou possível). Você pode fazer isso com o Configurator supervisionado, mas você precisa estar atento a todos os dispositivos.
Aqui está uma lista um pouco desatualizada de provedores de MDM. Isso pode ser um bom lugar para começar.
Aqui está um link para gerar AppleIDs em massa:
Se você estiver executando uma configuração de BYOD (em vez de fornecer os dispositivos), acho que é um pouco mais difícil, mas não impossível (alguns MDMs suportam agentes de diretiva no dispositivo).
Aqui está um link para os parâmetros disponíveis em um perfil (é necessário o registro do desenvolvedor da Apple). Isso deve dar uma ideia do que é possível: link
Não tenho uma conta do Apple Developer Enterprise, portanto não tenho acesso à documentação completa da API do MDM.