Non è supportato in Azure:
https://stackoverflow.com/questions/13859599/prevent-hotlinking-in-azure-blob-storage

L'unica cosa che puoi fare è proteggere l'endpoint che ti genera il sas.
Mi vengono in mente queste soluzioni:
1) sas con scadenza a brevissimo termine
2) implementazione di protezione dell'endpoint che genera il link. Aggiunta di data annotation con l'impostazione del CORS
3) Aggiunta di un parametro dinamico nell'header della chiamata http. Una password criptabile e decriptabile.

Ciao teo,
La mia idea era quella di usare tutti e 3 i punti assieme.

Per quanto riguarda il token, potresti generartelo server side (utilizzi MVC?). Anzichè un GUID, potresti generarti una stringa criptata che contenga una data e un'ora.
Quando ti richiedono la risorsa con il token appena generato, vai a verificare se la data del token è inclusa in un intervallo che consideri affidabile (1 minuto? 5 minuti?).
In questo modo, non hai bisogno di accedere al DB.
La criptazione del token e la lettura devono sempre avvenire server side. La logica di validità del token rimane al sicuro ed è solo un onere di calcolo e non di accesso a una risorsa che richiede IO.
Se non ti fidassi del metodo e vorresti sfruttare uno storage di GUID, valuta di portare tutto su un sistema di caching (redis cache?), questo ti consente di ridurre l'onere di mantenere dati e di pulirli dopo un lasso di tempo. Inoltre l'accesso è ottimizzato.

Spero di averti dato qualche idea utile.
Purtroppo l'Azure Storage non protegge da hotlinking.