Azure Firewall Premium における TLS 検査 を経由したオンプレミス通信の送信元IPアドレスについて

Question

ExpressRoute Gatewayでオンプレミス環境と接続されたVNetがあり、VNet内にはAzure Firewall Premium がデプロイされており、TLS 検査が有効になっています。オンプレミスの端末からVNet内のあるアプリケーションエンドポイント（Azure Application Gatewayなど）にHTTPSで通信するケースにおいて、必ずAZFWを経由をさせます。（ゲートウェイサブネットUDR：0.0.0.0/0 -> AZFW ）

またオンプレミスとAZFW間、AZFWとアプリケーションエンドポイント間はそれぞれHTTPS通信をするための証明書設定がされています。

Azure環境にて実検証させていただきましたが、以下のことが分かりました
①アプリケーションエンドポイントのあるサブネットNSGは、オンプレミス端末のIPアドレスからのアクセス許可ルールが必要である（今回Azure規定ルールはALLDNYでオーバライドし、こちらで明示的に許可ルールを作成しています）

AZFWとアプリケーションエンドポイント間のHTTPS通信において、HTTPSハンドシェイクの送信元IPアドレスはAZFWになると想定しておりました。（AZFWのTLS検査機能により、TLS終端され、アプリケーションエンドポイントへのHTTPS通信のために新たにTLSセッションが構成される。）

なのでアプリケーションエンドポイントのあるサブネットNSGは、AZFWのサブネット範囲を指定すればよいと考えておりました。

質問としては、上記の認識が正しいか含めTLS機能の通信内部処理に関して情報提供いただければと考えております。