Resposta: Resolvido, a solução abaixo é 100% suportada pela Microsoft.
1) Crie um novo site ouvindo na porta 444 do Gerenciador do IIS SSL ativado Mesmo certificado como site padrão O mesmo IP de escuta Configurar o URL externo no ActiveSync como no site padrão
2) Atribua o Exchange Active Sync para usar o novo site a partir do "Exchange Power Shell" Isso significa que o Active Sync agora também escutará na porta 444.
3) Edite o proxy do arquivo de configuração do servidor do MDM na porta 444.
4) Remover o Exchange Active Sync para usar o site padrão do "Exchange Power Shell" Isso significa que o Active Sync não escutará mais a porta 443.