Você pode configurar o Oulook para preferir conexões RPC / HTTPS em vez de RPC direto, mesmo que esteja disponível, mas se eu entendi sua pergunta corretamente, eles são clientes externos e você não os gerencia, então seria deixado para os usuários para configurá-lo corretamente.
Você não pode desabilitar o acesso MAPI no servidor Exchange, pois bloquearia usuários internos "verdadeiros" e serviços / aplicativos MAPI (como o BES).
Sua única opção é bloquear o tráfego. Não sei o que você está usando como ponto de extremidade VPN, mas a maioria dos dispositivos pode aplicar políticas de firewall ao tráfego VPN; basta bloquear o acesso direto dos clientes VPN aos servidores do Exchange e você deve estar bem. Se você não puder fazer isso no endpoint VPN, sua outra opção é configurar o Firewall do Windows nos servidores Exchange para fazer o mesmo.