Passou por isso enquanto procurava fazer o mesmo - você pode usar as políticas de acesso do EWS, bom artigo aqui:
Estamos tentando aumentar a segurança e impedir que os usuários acessem nosso servidor de e-mail sem ter o MDM adequado em seus telefones. Com programas como o Aqua Mail e o CloudMagic, parece que eles rodeiam as configurações do ActiveSync e não aparecem como telefones, e ainda assim recebem mensagens.
Existe uma maneira de encontrar e bloquear dispositivos específicos que acessam o Exchange usando rotas não ActiveSync?
Passou por isso enquanto procurava fazer o mesmo - você pode usar as políticas de acesso do EWS, bom artigo aqui:
AquaMail e similares conectam usando IMAP e EWS.
Para o IMAP, desative-o para todos os usuários, exceto para aqueles que realmente precisam dele. Se todos os usuários precisarem de IMAP para um serviço específico, você deverá criar regras de firewall que permitam apenas o acesso a esse serviço.
Você não poderá bloquear o acesso ao EWS (ou aplicativos que apenas copiam o OWA) sem bloquear o acesso ao OWA. Como alternativa, coloque o OWA atrás da autenticação de dois fatores usando o TMG ou algo semelhante. Isso tornará o uso do aplicativo de e-mail muito difícil.
Use as regras de acesso a dispositivos para bloquear ou colocar em quarentena os dispositivos. Este blog também tem informações sobre como bloquear dispositivos desconhecidos.