Contrairement à la plupart des routeurs/pare-feux matériels, ISA Server est un parefeu/proxy applicatif (couche 7 du modèle OSI).
Si tu définis une règle pour laisser sortir un flux (FTP par exemple), ISA va comparer ta règle avec l'identification qui est passée par le client FTP. Si tu n'as rien configuré coté ID/Proxy dans ton client FTP (Filezilla par exemple) alors ISA va bloquer.
Par contre si tu rajoutes le client ISA, c'est le client ISA qui va "capturer" les trames envoyées pas ton client FTP et transmettre au passage au serveur ISA tes "credentials". A la comparaison, ISA va dire "OK tu peux passer".
Attention aux groupes génériques du genre "tous les utilisateurs". C'est différent du groupe "Tout le monde" par exemple. "Tout le monde" inclut les accès anonymes alors que tous les utilisateurs sous-entend utilisateurs authentifié (=> obligation d'avoir le client ISA)
Au final si tu veux faire du Web pur (avec proxy) configurer le proxy dans ton navigateur suffit. Pour les autres protocoles (et en particulier les applis qui ne proposent pas de configurer un proxy) le client ISA est obligatoire.