Нельзя, но можно сделать костыли -
Ограничение к api по IP, оставить доступ только разрешенным, не забудьте оставить oauth.bitrix и IP приложений которые установлены, если много всего установлено - тогда очень муторный вариант.
Отслеживать созданные вебхуки и резать их, если создатель не из списка разрешенных.
Но с рестом этом усе равно не поможет, битрикс сейчас активно проталкивает идею что каждый пользователь должен иметь возможность устанавливать приложения, чтобы разработчики приложений получали больше ₽₽₽