Virtual WANのAzure Firewall(セキュリティ保護付きハブ)について調べていたところ、Azure Firewallのドキュメントにひっそりと以下の注釈が記載されているのを見つけました。
Virtual WAN ハブ (セキュリティ保護付き仮想ハブ) 内に Azure Firewall をデプロイする場合、Express Route または VPN Gateway 経由で既定ルートをアドバタイズすることは現在サポートされていません。 解決策を調査中です。
現時点ではVirtual WANでAzure Firewallを利用する場合は0.0.0.0/0をアドバタイズできない(=強制トンネリングができない)ということです。サポートにも確認して裏どりしました。実際に構成してから発覚すると手戻りの影響が大きいので注意が必要です。
なお、「解決策を調査中です」とあるので、改善予定があるのかも確認してみましたが、現状ではオープンにできる情報はないとのこと…。
サポートへ確認したのは2025年3月時点です。