Microsoft Entra Secure Web & AI Gateway 预览功能

引言：为什么“身份优先”的 AI 安全至关重要

企业对 Generative AI 的采用正在加速，但安全准备却相对滞后——尤其体现在：数据泄露到未批准的 AI 工具、提示注入攻击，以及跨设备与跨云环境的控制碎片化。Microsoft 最新的 Entra 更新将“身份”定位为治理 AI 访问的控制平面，并引入新的网络层防护，在无需改造应用的前提下保护 AI 使用场景。

新增功能：Entra Internet Access 中的 Secure Web & AI Gateway（公开预览）

Microsoft Entra Internet Access 现已包含 secure web and AI gateway，作为 Microsoft SASE 方案的一部分，将 AI 感知的检测与策略执行扩展到网络层。

1) Shadow AI Detection

• 发现网络流量中出现的未批准 AI 工具。
• 结合 Cloud Application Analytics、Defender for Cloud Apps 风险评分以及 Microsoft 的 Cloud App Catalog。
• 可通过 Conditional Access 快速执行策略：对高风险 AI 应用进行批准（sanction）、限制或阻止。

2) Network File Filtering（与 Purview 集成）

• 基于 file type 阻止上传/下载。
• 可对传输中的文件内容与元数据进行检查。
• 与 Microsoft Purview 集成以执行 Sensitive Information Types 与 Exact Data Match 策略，降低受监管或机密数据被共享到未批准 AI 服务的风险。

3) Prompt Injection Protection

• 对 AI 流量进行内联检测，实时阻止恶意提示。
• 将 Azure AI Prompt Shields 扩展到 network layer，以期在 AI 应用、agents 与 LLMs 间实现一致防护——无需对应用进行重构。

4) 面向 AI agents 与 MCP servers 的控制

• 通过 URL filtering 在网络层设置边界：允许已批准的 agent 连接并阻止未批准的 MCP servers。
• 与 Entra 身份控制（例如 MFA、地理位置限制）配合，在 Windows、macOS、iOS 与 Android 上一致生效。

其他 Entra Internet Access 增强

Microsoft 还强调了更广泛的改进，包括：

• 针对已知恶意站点的 Threat intelligence filtering。
• 通过 Remote networks for Internet traffic 将防护扩展到分支/远程站点，无需 Global Secure Access client。
• 面向 remote networks 的 Cloud firewall，并提供集中管理、以身份为驱动的策略。

对 IT 管理员与安全团队的影响

• 在浏览器、设备与环境（on-prem、hybrid、multi-cloud）之间实现 更一致的 AI 策略执行。
• 降低对按应用粒度控制 或基于 SDK 的安全补丁式改造的依赖。
• 通过将网络观测（用户访问了什么）与身份驱动决策（允许用户做什么）关联，强化 治理与合规姿态。

行动项 / 下一步

1. 评估公开预览：在 Entra Internet Access 中试用 Secure Web & AI Gateway，并将其映射到你的 AI 风险场景（Shadow AI、数据泄露、提示注入）。
2. 与 Purview 集成：验证 Sensitive Information Types 与 Exact Data Match 对高风险数据类别的覆盖情况。
3. 审查 Conditional Access 策略：针对 AI 服务（已批准 vs. 未批准）定义阻止/允许标准，并结合 Defender for Cloud Apps 风险评分。
4. 建立 AI 访问基线（已批准工具、已批准的 agent/MCP endpoints、日志/监控要求），并与安全与业务负责人达成共识。