我司也是這樣，提供我們的方式給您。

由於我們筆電是固定借給某個人，並沒有回收，所以我們會請同仁於每個月的第二、四週連公司網路自行更新，另外是否有照做可以透過WSUS上的面板查看，所以不太會漏。

不過我們外借的數量少，比較好管控，您們的規模比較大，可以參考看看。

本人想法比較消極(掰)一點。
我認回既然是「公用電腦」，那麼應該是會讓人「借出使用」。
但秉持著「人性本健」這件事情，想必大概有87%的使用者不會好好愛惜使用。
所以這些公用電腦借出後，很可能會有中毒、網頁被綁架之類的事情發生。
資安什麼的，當你遇到「可被攜出使用的電腦」，使用者勢必會愛幹嘛幹嘛，等到要歸還時再說一句
「啊我就工(摸)作(魚)到一半電腦就變這樣了」。

我會建議：
1.如果你會在公用電腦內預先安裝一些你們公司的軟體，那就先做好一份乾淨的image檔，每個月Windows Update的放出來後，就把image檔拿出來更新。
這個image是以防電腦被使用者用到掛了，你還能夠快速的把電腦恢復到正常可使用的狀態的。
2.公用電腦內安裝好還原軟體，每當電腦歸還後，就還原到借出前的樣子，還原好就順便作一下Windows Update，再把還原軟體的還原點設定到這個時間點。
3.在公用電腦被借出的時間，就別煩惱這些電腦windows update跟漏洞防堵要怎麼辦了，記住一句「User人再好都是鬼」，所以做好後面能夠快速恢復電腦使用的準備還比較妥當。

以上是曾被Users坑過的經驗談。

我的想法是這樣
這些外出電腦可以用VPN讓他們連入公司更新
時間上可以安排請他們午休時或者下班前作業

或是花錢的方式 這些電腦買365帳號
不登入AD，直接使用intune去管理
這部分學習成本和複雜度會比較高，自行測試要花掉太多時間
盡可能買授權時，就請SI協助好，談好這些外部人員用intune和更新的部署
才要買授權

以後的管理就分為總公司內部，用AD管理到細節，這部分在後來的各式稽核和資安進場
會讓IT人員痛點降到比較低
外部這些分公司和不回公司的電腦
就用intune管理，用這說服稽核資訊的做法是沒問題的
層層管控到了
很多IT其實都在各式稽核資安事件中被搞倒的，這不得不防

沒聽過免錢的最貴嗎

設備免費使用的
只看到有形硬體的成本
管理的費用長期而論根本成本就更高

既然會衍生各式問題
就該導入零信任網路
在任何地方聯網都經過完整檢核資安及安裝指定內容
如果是公部門單位
應該日後也逃不掉

如果錢捨不得花 ,又要最高安全防護
那就只能為難使用土法鍊鋼囉!! 人力.........