Non c'è nulla in ISO27001 che precluda specificamente ciò che descrivi.
Ad un livello elevato, purché tu abbia condotto una valutazione del rischio applicabile all'uso del servizio di proxy di posta elettronica e l'output sia coerente con i criteri di accettazione del rischio, non sarà incompatibile con ISO27001.
Pensando più a specifiche aree di controllo, come punto di partenza ci sono controlli / consigli rilevanti in "Relazioni con i fornitori", probabilmente ci saranno anche altri che avranno rilevanza (fare riferimento allo standard e decidere in base alla soluzione proposta).
Inoltre, dal momento che ti sembra di essere all'interno dell'UE, potresti voler assicurare di avere coperto i requisiti di protezione dei dati nel contratto con il fornitore (Microsoft dovrebbe avere clausole contrattuali standard conformi ai requisiti di protezione dei dati dell'UE).
Se non si dispone già di una copia, consiglierei di prendere in considerazione ISO27002 che fornisce una spiegazione più dettagliata sui controlli in ISO27001.