Eu tenho o proxy do Azure AD App para o front-end do meu ambiente local do Exchange. As razões para fazê-lo estão em toda a segurança.
Com uma camada de proxy externa, você pode implementar quaisquer outras regras que o Exchange não implemente nativamente. Restrições de IP, restrições de geoIP, autenticação de vários fatores, etc. - seja qual for o seu proxy.
Você não tem portas 80 e 443 abertas para seus servidores Exchange, que executam o Windows e podem ter vulnerabilidades desconhecidas. Você está dependendo do seu proxy para ter menos vulnerabilidades, obviamente - mas mesmo se elas forem de propriedade, contanto que o proxy não seja um membro do domínio e esteja em alguma forma de DMZ, a quantidade de dano que uma máquina proxy pwned pode é esperançosamente muito menor do que uma máquina de propriedade do Exchange.
Ressalva - Se o seu proxy não fornecer mais recursos de segurança e / ou reduzir sua superfície de ataque, tudo o que você fez foi complicar seu ambiente sem nenhum retorno.