Если по работе им может потребоваться "Mailbox Delegation", то лучше всего настроить AdminAuditLog, и просто мониторить получение не одобренного доступа (создать процесс на запрос подобного доступа) и соответствующе наказывать.
PS
Если же всё же требуется убрать добавление прав на почтовый ящик, нужно создать новую роль "My Mail Recipients" - родительской взять "Mail Recipients" и убрать оттуда командлет "Add-MailboxPermission.
