В данном случае не надо трогать urlManager.
Если нет соответствующего контроллера - и так будет Not found.
Если контроллер есть, но хотите ограниченный доступ, то внутри него проверьте необходимые условия и если что не так, throw new HttpException(404)
{part_that_i_need} может содержать буквы русские, английские, цифры, любой допустимый символ для урла
URL не может содержать кириллицу. Даже если она отображается в адресной строке браузера, то URL все равно вместо нее будет %...
В остальном: ([\d\w%]+)