Essa é uma situação comum com serviços (não apenas serviços do Azure) que executam verificações de DNS simples antes de permitir a ativação de um serviço. Eles exigem que um CNAME seja retornado, mas é claro que você não pode colocar um CNAME no ápice, então você é forçado a usar um subdomínio.
Existe uma solicitação de recurso em aberto que você pode lançar votos para ver se eles nunca vão agir. Eu tive resultados mistos com os fóruns de feedback do Azure.