Думаю, вы используете вариант 2, как указано в документации . Если это так, вы можете установить контроллер входящего трафика istio и использовать для управления Azure API в качестве шлюза. Я бы посоветовал отключить опцию mTLS для Azure APIM и использовать опцию mTLS, предоставленную istio (поскольку istio может управлять сертификатами).
Если у вас возникнут какие-либо трудности, поделитесь им, и я попробую в помощь.