Você terá que fazer concessões. Você pode reforçar a política fazendo com que os usuários se conectem via VPN e depois ao domínio na estrada.
É improvável que isso seja infalível, pois você impedirá o acesso ao dispositivo ou não poderá impor a política. Não se pode presumir que uma conexão com a Internet esteja sempre disponível ou tenha largura de banda suficiente disponível, o que será necessário para se conectar à sua rede. Isso é bom para a imposição de políticas, mas se as atualizações forem baixadas dos servidores em sua rede, isso poderá atrasar a instalação delas.
Para usuários remotos em equipamentos da empresa, frequentemente nos associamos ao domínio e os conectamos à VPN ou nos conectamos localmente. Esses usuários estão mais frequentemente no site do que não, no entanto, o que torna a logística menos difícil.
Com base em seus requisitos, a melhor abordagem provavelmente será configurar políticas de grupo que apliquem as políticas de atualização e fazer com que elas recebam atualizações da Microsoft ou do fornecedor do antivírus, pois isso será mais flexível.
Para acesso remoto, você pode usar Assistência remota.
Também incentivo a criptografia completa de disco. A True Crypt é uma fantástica solução Open Source.