Para evitar aplicativos de terceiros não autorizados, há 2 maneiras de fazer isso. O primeiro é usar uma política de TI chamada não permitir aplicativos de terceiros (acho que é isso, pode ser semelhante no nome) Isso impedirá que TODOS os aplicativos de terceiros sejam instalados. A outra maneira é que você pode listar os aplicativos que deseja permitir a instalação. Isso é feito criando listas de permissão usando a configuração de implantação de software. Aqui é um link para isso. O bloco de aplicativos de terceiros sobrescreverá a lista de permissões.
O serviço MDS-CS dará aos dispositivos acesso à LAN local em que o servidor está. Se esta é a mesma sub-rede já que suas estações de trabalho, provavelmente é porque você está usando a versão profissional isso não importa. Mas as organizações maiores terão o servidor BES em um segmento de rede diferente das estações de trabalho para que esse serviço possa ser protegido. Você pode configurar uma conexão proxy no MDS-CS para enviar as solicitações do BB para um gateway diferente também.
Para políticas de dispositivos, você pode usar os incluídos com o servidor como ponto de partida para os vários níveis. Em seguida, analise as outras políticas para ver o que mais você pode querer bloquear nos telefones