Настройка Microsoft Intune, необходимо заблокировать компьютер

Итак, у меня есть инициатива по установке Microsoft Intune на нескольких (~450) удаленных компьютерах. Эти компьютеры в настоящее время работают в режиме глубокого замораживания, чтобы уменьшить ущерб, который люди могут нанести им, установив / запустив определенные вещи (exe-файлы, командные файлы, jar-файлы, активные сценарии X и т. Д.)

Если есть какой-то способ, которым я мог бы заблокировать эти компьютеры таким образом, чтобы InTune все еще выполнял / устанавливал вещи удаленно, но исключил эту возможность у конечного пользователя (возможно, через сценарий reg entry / powershell, который редактирует локальную политику) для установки программы / расширения, которые касаются меня без какой-либо формы переопределения.

У кого-нибудь есть опыт с такими вещами?

Благодарю.