Как добавить условную аутентификацию CDN в правила Azure Verizon CDN?

Я уже добавил вопрос Microsoft QA, но я не получил ответа, и я думаю, что речь идет только о добавлении правильных правил, поэтому я добавляю здесь тот же вопрос. Вот ссылка на этот вопрос Microsoft QA Thread

вот правила, которые я пробовал

      <match.url.url-path.wildcard result="match" value="*/xyz/* */xy-xyz/*" ignore-case="true" relative-to="root" encoded="true">
                 <feature.access.token-auth enabled="true"/>
             </match.url.url-path.wildcard>
             <match.always>
                 <feature.url.url-rewrite source="/xxxxxxxx/mycdn/(.*.\w+)" destination="/xxxxxxxx/mycdn/$1&SASToken"/>
                 <feature.headers.modify-client-response-header action="append" name="Content-Disposition" value="inline"/>
             </match.always>

также пробовал с этим

      <match.url.url-path-directory.wildcard result="match" value="/xyz/* /xy-xyz/*" ignore-case="true" relative-to="origin">
                <feature.access.token-auth enabled="true"/>
            </match.url.url-path-directory.wildcard>

Я просто хочу применить аутентификацию CDN для определенного пути / контейнера mycdn.azurecdn.com/xyz/anyfile.mp4 и mycdn.azurecdn.com/xy-xyz/anyfile.mp4

для других он не должен проверять токен CDN, поскольку этот контейнер открыт и может быть доступен публично.

Но в настоящее время он возвращает 404, если я не передаю токен CDN для каждого пути / контейнера.

может ли кто-нибудь подсказать, что я здесь делаю не так?