Пинг-доступ с Azure AD

Я использую OpenIdConnect для проверки подлинности и авторизации с помощью Azure AD в своем приложении. Приложение развернуто на виртуальной машине Azure, доступной через VPN, и для того, чтобы сделать его доступным для пользователей вне VPN, мы получили предложение использовать Ping Access с Azure AD. У меня есть несколько запросов, если мы пинг с доступом:

1. Когда я попаду в доменное имя, скажем abc.com, как оно достигнет ping-доступа? В настоящее время при нажатии abc.com он разрешает IP-адрес сервера, на котором развернуто приложение.
2. Я просмотрел несколько статей и пришел к выводу, что для приложения будет два URL-адреса: один для пользователей VPN, а другой для не VPN-пользователей, это правильно?
3. Нужно ли менять код подключения OpenIdConnect в моем приложении?