Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las herramientas de Foundry MCP Server (versión preliminar) automatizan las operaciones de lectura y escritura en los recursos de Foundry, incluidas las implementaciones, los conjuntos de datos, las evaluaciones, la supervisión y el análisis. Esta guía le ayuda a comprobar la intención, reducir el riesgo y aplicar prácticas de seguridad y gobernanza antes de ejecutar herramientas de MCP.
En este artículo, obtendrá información sobre:
- Cómo interpretar las respuestas del servidor MCP y comprobar la precisión
- El impacto de las operaciones de escritura en los recursos de Foundry
- Procedimientos recomendados para la ejecución segura de herramientas, la administración de recursos y el seguimiento de cambios
- Controles de seguridad y gobernanza, como identidad, RBAC, acceso condicional, aislamiento de red y residencia de datos
- Solución de problemas comunes
Nota
Esta característica está actualmente en versión preliminar pública. Esta versión preliminar se proporciona sin un contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción. Es posible que algunas características no se admitan o que tengan funcionalidades restringidas. Para obtener más información, vea Supplemental Terms of Use for Microsoft Azure Previews.
Requisitos previos
- Una cuenta de Azure con una suscripción activa.
- Un proyecto foundry con colaborador o un rol superior.
- Para configurar directivas de acceso condicional, necesita el rol Administrador de acceso condicional en Microsoft Entra ID.
-
CLI de Azure (solo se requiere para el comando
az ad sp create).
Interpretación de la respuesta
MCP Server proporciona una salida que se pasa al modelo de lenguaje seleccionado para su agente (por ejemplo, Visual Studio Code con GitHub Copilot). El modelo de lenguaje combina esta salida con el contexto de conversación para generar una respuesta final en función de sus funcionalidades. Compruebe siempre la precisión de la respuesta del modelo de lenguaje. Puede incluir detalles que se deducen o generan más allá de la salida original del servidor MCP.
Impacto de las operaciones de escritura
Las operaciones de escritura tienen un impacto crítico en los recursos de Foundry. Continúe con precaución y planeación adecuada cuando interactúe con foundry MCP Server, igual que lo haría al usar el portal, los SDK o las API REST. Por ejemplo:
- Implementaciones: afectan inmediatamente a las aplicaciones activas y a la facturación.
- Eliminaciones: eliminan permanentemente los recursos y pueden interrumpir los servicios dependientes.
- Evaluaciones: consumen cuota de computación e incurren en costos.
- Conjuntos de datos: puede sobrescribir las versiones existentes.
Ejemplos de impacto en los recursos:
- La eliminación de una implementación interrumpe todas las aplicaciones que usan ese punto de conexión.
- Las evaluaciones de gran envergadura pueden consumir una asignación de cuota significativa.
- Las nuevas implementaciones inician la facturación inmediatamente.
- La sobrescritura de un conjunto de datos afecta a la reproducibilidad de la evaluación.
Procedimientos recomendados para la ejecución segura
Siga estos procedimientos para asegurarse de que las operaciones de escritura se ejecutan según lo previsto:
Verificación de la ejecución de herramientas
Comprobar selección de herramientas: confirme que la herramienta y los parámetros de MCP correctos coinciden con su intención antes de la ejecución.
Comprobar parámetros: revise todos los parámetros de la herramienta (identificadores de recursos, nombres de implementación, rutas de acceso del conjunto de datos) para obtener precisión. Entre los formatos de parámetro comunes se incluyen:
Tipo de parámetro Formato Dónde encontrarlo Identificador de recurso de fundición /subscriptions/{subscription_id}/resourceGroups/{resource_group_name}/providers/Microsoft.CognitiveServices/accounts/{account_name}Página de propiedades del portal de Azure para la cuenta endpoint del proyecto https://{account_name}.services.ai.azure.com/api/projects/{project_name}Página de detalles del proyecto Foundry ID de recurso de proyecto /subscriptions/{subscription_id}/resourceGroups/{resource_group_name}/providers/Microsoft.CognitiveServices/accounts/{account_name}/projects/{project_name}Azure portal Properties página o página de detalles del proyecto Foundry Si proporciona un identificador de recurso de proyecto, el modelo de lenguaje del host de MCP extrae los valores necesarios y formula los parámetros para pasar a las herramientas de MCP. Confirme antes de la aprobación que los valores de parámetro previstos se pasan a las herramientas de MCP.
Comprobar el destino del entorno: asegúrese de que los puntos de conexión de recursos y las direcciones URL del proyecto apunten al entorno previsto.
Administración de recursos a través del servidor MCP
- Comprobar dependencias: use herramientas de supervisión para asegurarse de que ninguna aplicación depende de un recurso antes de eliminarla.
- Comprobar cuota: consulte el estado de la cuota antes de crear nuevas implementaciones o ejecutar evaluaciones grandes.
- Detección de recursos: enumere las implementaciones y conjuntos de datos existentes antes de realizar cambios.
- Capacidad del plan: compruebe las métricas de uso y cuota disponibles antes de las operaciones que consumen muchos recursos.
Prácticas seguras de operaciones de MCP
- Prueba en ambiente no productivo: utilice primero los puntos de conexión del proyecto de desarrollo.
- Realizar cambios incrementales: cambie un recurso a la vez en lugar de realizar actualizaciones masivas.
- Validar cambios: use herramientas de solo lectura para confirmar que los cambios surten efecto.
- Control de errores: Monitoree las respuestas en busca de errores o resultados inesperados.
Documentación y seguimiento
- Log operations: Use registros de actividad de recursos de Azure para realizar un seguimiento de los recursos afectados.
- Copia de seguridad de la configuración: exporte las configuraciones actuales de implementación y conjunto de datos antes de modificarlas.
- Seguimiento de los cambios: registre los detalles de la operación de MCP para solucionar problemas y revertir.
Seguridad y gobernanza
En esta sección se resumen las consideraciones de identidad, control de acceso, directiva, aislamiento de red y residencia de datos para ayudarle a aplicar la gobernanza antes de las operaciones de MCP.
Administración de identidades y acceso
Autentíquese en Foundry MCP Server mediante un token de Microsoft Entra con un ámbito definido para https://mcp.ai.azure.com.
Azure control de acceso basado en rol (RBAC) se aplica a todas las operaciones en los recursos de Foundry compatibles con foundry MCP Server. Las operaciones se ejecutan según los permisos del usuario autenticado. En la tabla siguiente se resume cómo se asignan los roles de RBAC a los tipos de operación MCP:
| Tipo de operación | Rol mínimo necesario | Ejemplos |
|---|---|---|
| Leer (list, get, query) | Lector | Listar implementaciones, obteniendo detalles del modelo, consultar resultados de evaluación |
| Escribir (crear, actualizar) | Colaborador | Crear implementaciones, actualizar conjuntos de datos, iniciar evaluaciones |
| Eliminar | Colaborador | Eliminación de implementaciones, eliminación de conjuntos de datos |
| Administración del acceso | Propietario o administrador de acceso de usuario | Asignación de roles, administración de permisos |
Para obtener más información sobre las asignaciones de roles, consulte Control de acceso basado en roles para Microsoft Foundry.
Control del acceso con directivas de acceso condicional
Los administradores de inquilinos pueden usar directivas de acceso condicional para conceder o bloquear el acceso a Foundry MCP Server para usuarios seleccionados o identidades de carga de trabajo.
Materialice la entidad de servicio para el identificador de aplicación del servidor MCP de Foundry ejecutando el siguiente comando:
az ad sp create --id fcdfa2de-b65b-4b54-9a1c-81c8a18282d9El identificador de aplicación de este comando representa foundry MCP Server. Para comprobar este identificador de aplicación, busque "Foundry MCP Server" en la lista de aplicaciones empresariales de Entra ID.
Busque la aplicación empresarial para Foundry MCP Server mediante el identificador de aplicación. Abra la página Entra ID del portal Azure y busque el identificador de aplicación
fcdfa2de-b65b-4b54-9a1c-81c8a18282d9.
Seleccione Acceso condicional en Seguridad en el panel izquierdo de la aplicación seleccionada y, a continuación, seleccione Nueva directiva para configurar el control de acceso.
- En Usuarios, seleccione Usuarios específicos incluidos y agregue los usuarios o grupos que desea restringir.
- En Recursos de destino, confirme que la aplicación Foundry MCP Server está seleccionada.
Seleccione Conceder y, a continuación, elija Bloquear acceso.
Una vez establecida la directiva, los usuarios y grupos designados no pueden obtener el token entra necesario para conectarse.
Aislamiento de red
El servidor MCP de Foundry no admite actualmente el aislamiento de red. Expone el punto de conexión https://mcp.ai.azure.com público que cualquier cliente MCP puede usar. Se conecta a tu recurso Foundry a través de su punto de conexión público. Si los recursos de Foundry usan Azure Private Links, el servidor no puede acceder a ellos y las operaciones producirán un error de conectividad.
Nota
Esta limitación se aplica al Foundry MCP Server hospedado (mcp.ai.azure.com). Si crea su propio servidor MCP y lo conecta a Foundry Agent Service, el servicio del agente admite endpoints privados del servidor MCP a través de la configuración estándar del agente con redes privadas.
Ubicación de almacenamiento de datos
Foundry MCP Server usa una arquitectura de proxy sin estado global. Los datos creados por los servicios back-end que interactúan con el servidor MCP permanecen cifrados en reposo en la región que seleccione. El propio servidor MCP no almacena datos. Para el rendimiento y la disponibilidad, las solicitudes y respuestas se pueden procesar en centros de datos de la Unión Europea (UE) o la Estados Unidos (EE. UU.), con todos los datos cifrados en tránsito.
Importante
Con esta característica de versión preliminar, reconoce y da su consentimiento a cualquier procesamiento entre regiones que pueda producirse. Por ejemplo, un recurso de la UE al que accede un usuario de EE. UU. podría enrutarse a través de la infraestructura de EE. UU. Si su organización requiere un procesamiento estricto en la región, no use Foundry MCP Server ni restrinja su uso a escenarios que permanecen dentro de la región seleccionada.
Solución de problemas
Use esta sección para diagnosticar rápidamente problemas comunes del servidor MCP.
Errores de autenticación
Si recibe un 401 Unauthorized error o el mensaje de inicio de sesión no aparece:
- Cierre la sesión de la cuenta de Azure en Visual Studio Code o la herramienta que esté usando.
- Vuelva a iniciar sesión con un cuenta Microsoft que tenga acceso a la suscripción de Azure.
- Compruebe que el token de acceso es válido mediante la ejecución
az account get-access-token --resource https://mcp.ai.azure.comen el terminal.
Si se produce un error en la solicitud de token, confirme que la cuenta tiene los permisos necesarios Entra ID. Para obtener más información, consulte Administrar usuarios y autenticación en Entra ID.
Errores de permisos
Si usted encuentra errores como 403 Forbidden o 'Acceso denegado' al ejecutar herramientas MCP:
- Abra el portal de Azure y vaya al proyecto foundry.
- Seleccione Control de acceso (IAM) y compruebe que la cuenta tiene un rol colaborador o superior.
- Si ha recibido recientemente una asignación de roles, espere unos minutos para la propagación e inténtelo de nuevo.
Para obtener más información, consulte control de acceso basado en roles para Microsoft Foundry.
Problemas de conectividad del servidor
Si el servidor MCP no se inicia o agota el tiempo de espera:
- Compruebe que la red permite conexiones HTTPS salientes a
https://mcp.ai.azure.com. - Compruebe si hay reglas de proxy o firewall que podrían bloquear el punto de conexión.
- Intente abrir
https://mcp.ai.azure.comen un explorador para confirmar la accesibilidad.
Si los recursos de Foundry usan Azure Private Links, el servidor MCP hospedado no puede acceder a ellos a través del punto de conexión público. Deshabilite Private Link, use SDKs o APIs REST, o utilice un servidor MCP personalizado con redes privadas a través del servicio de agente Foundry.
Problemas de detección de herramientas
Si las herramientas de Foundry no aparecen en la lista de herramientas del modo de agente:
- Abra la vista Output en Visual Studio Code y seleccione el canal de registro del servidor MCP.
- Compruebe que el servidor muestra una conexión correcta y un registro de herramientas.
- Reinicie Visual Studio Code o vuelva a cargar el área de trabajo.
- Si las herramientas aún no aparecen, quite y luego vuelva a añadir la configuración del servidor.
Contenido relacionado
- Revise las herramientas disponibles y los mensajes de ejemplo para foundry MCP Server
- Introducción al servidor MCP de Foundry
- Obtenga información sobre cómo crear su propio servidor MCP