Microsoft Azureを使ったことがないので、
異なるかもしれませんが、
AWSのAWS WAFを導入した際に基本のルール（AWS-AWSManagedRulesCommonRuleSet）を設定しても
EC-CUBE標準の各動作がルールに引っかかりブロックされてしまいます。

- 管理画面＞商品CSVアップロード：リクエストBodyサイズの上限に引っかかる。
- 管理画面＞コンテンツ管理＞ページ管理、ブロック管理：クロスサイトスクリプティングの攻撃とみなされる

など。

私の場合では
上記の内容は攻撃でも脆弱性でもないため、AWS WAFの設定にてルールからブロックを行なった個別のルール（SizeRestrictions_BODYなど）の制限を、各画面へのアクセスに対して外すよう設定しております。

Microsoft Azureでも同じようにWAFのルールをさらに調整することが
対策の1つかもしれません。

参考になりますと幸いです。