Este é um problema antigo.
For Azure Web App service VNET intergration,it gives your web app access to resources in your virtual network but does not grant private access to your web app from the virtual network. Private site access refers to making your app only accessible from a private network such as from within an Azure virtual network. Private site access is only available with an ASE configured with an Internal Load Balancer (ILB). For details on using an ILB ASE, start with the article here: Creating and using an ILB ASE.
Isso significa que, com a integração com VNET, seu aplicativo da web pode conectar a VNET de fora, mas o aplicativo da Web não está dentro da VNET.
Assim, o firewall para a conta de armazenamento é apenas permitir o tráfego da VNET, não pode permitir o tráfego fora da VNET.
Para o seu cenário, um método está usando o ILB ASE. Ele pode tornar seu aplicativo da web em uma VNET.