Uma maneira de contornar esse tipo de coisa que usei no passado é criar uma política completamente aberta para a instalação de software (enquanto o dispositivo está na posse do service desk, geralmente) e, em seguida, empurrei todo o software e fiz qualquer outra configuração antes de aplicar a política de bloqueio. Além disso, verifique se os usuários não estão ignorando o prompt para definir uma senha do vault. Eu vi isso fazer com que o dispositivo parasse completamente de aceitar qualquer tipo de push do BES por algum motivo.
A configuração de downloads de terceiros não deve impedir os pushes do BES; destina-se apenas a desativar os downloads do AppWorld. Isso me parece um bug.