Você está trabalhando atualmente com grupos de segurança de rede, que são equivalentes às regras de firewall, mas não fornecem o encaminhamento de porta (que parece ser o que você precisa).
Documentação do Azure sobre nós de extremidade (Clássico) menciona isso e aponta para um artigo para configurar o balanceamento de carga na frente de sua VM, que pode fornecer "regras NAT de entrada" de maneira semelhante aos terminais fornecidos no Classic:
Please note network security groups control access to the virtual
machine, but they don't provide port forwarding capabilities. To do
port forwarding, see the following article:
É assim que entendo a situação:
No Classic, você sempre tinha uma instância do Balanceador de carga do Azure na frente de sua VM, de modo que recebia um endereço VIP. Isso foi chamado de Cloud Service . Foi nesse endereço VIP que você fez o encaminhamento de porta (porta diferente no VIP do que no IP privado - conhecido como DIP), pois o endereço VIP foi realmente atribuído ao balanceador de carga, portanto, atendendo a todas as VMs potenciais na mesma nuvem Serviço, você tinha que explicitamente permitir tráfego da Internet para uma VM específica (a menos que você desejasse um endpoint balanceado por carga).
Agora, com o Azure Resource Manager e o novo portal, por padrão, você não recebe um balanceador de carga na frente de sua VM. Assim, em vez de obter um endereço VIP, você obtém um endereço IP em nível de instância (ILPIP) anexado à VM e um Grupo de segurança de rede (NSG) que permite somente o RDP de entrada, mas permite qualquer tráfego de saída. Por que você precisa de um NSG agora? Como um ILPIP é atribuído apenas a essa VM, não há necessidade de criar explicitamente nós de extremidade, pois todas as suas portas estariam disponíveis (é um NAT one-to-one, semelhante ao conceito de NAT estático Cisco ASA). Por motivos de segurança, você também recebe esse NSG aplicado por padrão. Claro que você pode optar por não tê-lo, usar um diferente ou apenas modificá-lo (que é o que você está fazendo).
Você não pode fazer o encaminhamento de porta com o NSG porque são apenas regras de segurança, não regras de NAT. Você precisa ser capaz de trabalhar com regras NAT para fazer o encaminhamento de porta, portanto, você precisa do Balanceador de carga do Azure na frente de sua VM e aproveitar as Regras NAT de entrada .