Depois de algumas pesquisas, descobri que o Agente Linux do Azure faz solicitações HTTPS para URL, como name.blob.core.windows.net, para relatar ao monitoramento. O IP deste URL depende da sua região do Azure - há uma lista de intervalos de IP públicos do Azure que pode ser usado para criação de regras NSG.
Mas o número de IPs em algumas regiões como a Europa Ocidental excede o limite de Azure para as regras do NSG (200 atualmente) - então você provavelmente precisa entrar em contato com o suporte para um aumento ...