いいえ。

許可できません。Azure のNSGにて、インターネット向け通信をブロックしながら、Windows Updateの通信のみを許可する、というような構成は比較的よく検討・実装されるものかと思います。
Windows UpdateをNSGで許可する方法
などの構成です。NSGのサービスタグ「AzureUpdateDelivery」「AzureFrontDoor.FirstParty」にてWindows Updateが許可可能で、よく利用されるかと思います。

これらのサービスタグで、Windows Updateが許可される為、VM上に取り込まれるルート証明書も、この設定だけで自動更新されるのでは？と思っていらっしゃいませんでしょうか？（記載している私は思っていました。。。）Windows Update許可のサービスタグだけでは、ルート証明書の更新は実施されません。

ルート証明書の更新については以下に非常にわかりやすく記載されています。
ルート証明書更新プログラムの仕組みについて
こちらに記載のとおり、ルート証明書の更新は「ctldl.windowsupdate.com」というサイトにアクセスできるかどうかによって制御されます。このサイトの名前の中にwindowsupdateと記載があるので、なんとなくNSGサービスタグによってルート証明書の自動更新がされるような気がしてくるのですが、そのようなことはありません。「AzureUpdateDelivery」「AzureFrontDoor.FirstParty」でWindowsUpdateが許可されていても、ルート証明書の更新は実施されません。Windows Updateが実施されても、ルート証明書の更新は実施されません（※）

インターネット向け通信をブロックしている環境で、ルート証明書を自動更新したい場合、NSG制御以外の方法が別途必要となります。

※ネット上ではWindows Updateでルート証明書も更新される、という記事も見かけるのですが、基本は更新されないようです。