Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli strumenti Foundry MCP Server (anteprima) automatizzano le operazioni di lettura e scrittura tra le risorse di Foundry, tra cui implementazioni, set di dati, valutazioni, monitoraggio e analisi. Queste indicazioni consentono di verificare la finalità, ridurre i rischi e applicare procedure di sicurezza e governance prima di eseguire gli strumenti MCP.
In questo articolo vengono fornite informazioni su:
- Come interpretare le risposte del server MCP e verificare l'accuratezza
- Impatto delle operazioni di scrittura sulle risorse Foundry
- Procedure consigliate per l'esecuzione sicura degli strumenti, la gestione delle risorse e il rilevamento delle modifiche
- Controlli di sicurezza e governance, tra cui identità, controllo degli accessi in base al ruolo, accesso condizionale, isolamento della rete e residenza dei dati
- Risoluzione dei problemi comuni
Nota
Questa funzionalità è attualmente disponibile in anteprima pubblica. Questa anteprima viene fornita senza un contratto di servizio e non è consigliabile per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero avere funzionalità limitate. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.
Prerequisiti
- Un account Azure con una sottoscrizione attiva.
- Progetto Foundry con ruolo Collaboratore o superiore.
- Per configurare i criteri di accesso condizionale, è necessario il ruolo Accesso condizionale in Microsoft Entra ID.
-
interfaccia della riga di comando di Azure (obbligatorio solo per il comando
az ad sp create).
Interpretazione della risposta
Il server MCP fornisce l'output passato al modello linguistico selezionato per l'agente, ad esempio Visual Studio Code con GitHub Copilot. Il modello linguistico combina questo output con il contesto della conversazione per generare una risposta finale in base alle relative funzionalità. Verificare sempre l'accuratezza della risposta del modello linguistico. Può includere dettagli dedotti o generati oltre l'output originale del server MCP.
Impatto delle operazioni di scrittura
Le operazioni di scrittura hanno un impatto critico sulle risorse di Foundry. Procedere con cautela e pianificazione corretta quando si interagisce con Foundry MCP Server, proprio come quando si usa il portale, gli SDK o le API REST. Per esempio:
- Distribuzioni: influiscono immediatamente sulle app attive e sulla fatturazione.
- Le eliminazioni rimuovono definitivamente le risorse e possono interrompere i servizi dipendenti.
- Valutazioni: consumare la quota di calcolo e generare costi.
- Set di dati: può sovrascrivere le versioni esistenti.
Esempi di impatto sulle risorse:
- L'eliminazione di una distribuzione interrompe tutte le applicazioni che usano tale endpoint.
- Le valutazioni di grandi dimensioni possono utilizzare un'allocazione di quota significativa.
- Le nuove distribuzioni avviano immediatamente la fatturazione.
- La sovrascrittura di un set di dati influisce sulla riproducibilità della valutazione.
Procedure consigliate per l'esecuzione sicura
Seguire queste procedure per assicurarsi che le operazioni di scrittura vengano eseguite come previsto:
Verifica dell'esecuzione dei tool
Verificare la selezione dello strumento: verificare che lo strumento e i parametri MCP corretti corrispondano all'intenzione prima dell'esecuzione.
Controllare i parametri: esaminare tutti i parametri dello strumento (ID risorsa, nomi di distribuzione, percorsi del set di dati) per verificare l'accuratezza. I formati di parametri comuni includono:
Tipo di parametro Formato Dove trovarla ID della risorsa Foundry /subscriptions/{subscription_id}/resourceGroups/{resource_group_name}/providers/Microsoft.CognitiveServices/accounts/{account_name}Portale di Azure Proprietà per l'account Endpoint di Progetto https://{account_name}.services.ai.azure.com/api/projects/{project_name}Pagina dei dettagli del progetto Foundry ID risorsa Progetto /subscriptions/{subscription_id}/resourceGroups/{resource_group_name}/providers/Microsoft.CognitiveServices/accounts/{account_name}/projects/{project_name}Azure portale Proprietà pagina o pagina dei dettagli del progetto Foundry Se si specifica un ID risorsa di progetto, il modello linguistico nell'host MCP estrae i valori necessari e formula i parametri da passare agli strumenti MCP. Confermare prima dell'approvazione che i valori dei parametri previsti vengano passati agli strumenti MCP.
Controllare la destinazione dell'ambiente: assicurarsi che gli endpoint delle risorse e gli URL del progetto puntino all'ambiente previsto.
Gestione delle risorse tramite server MCP
- Controllare le dipendenze: usare gli strumenti di monitoraggio per assicurarsi che nessuna app dipenda da una risorsa prima di eliminarla.
- Controllare la quota: eseguire query sullo stato della quota prima di creare nuove distribuzioni o eseguire valutazioni di grandi dimensioni.
- Individuazione risorse: elencare le distribuzioni e i set di dati esistenti prima di apportare modifiche.
- Pianificazione della capacità: controllare le metriche di utilizzo e quota disponibili prima delle operazioni a elevato utilizzo delle risorse.
Le procedure operative sicure di MCP
- Test in non produzione: usare prima gli endpoint del progetto di sviluppo.
- Apportare modifiche incrementali: modificare una risorsa alla volta anziché apportare aggiornamenti in blocco.
- Convalida modifiche: usare gli strumenti di sola lettura per confermare l'applicazione delle modifiche.
- Gestire gli errori: monitorare le risposte per individuare errori o risultati imprevisti.
Documentazione e rilevamento
- operazioni Log: usare i log attività delle risorse Azure per tenere traccia delle risorse interessate.
- Configurazione di backup: esportare le configurazioni correnti di distribuzione e set di dati prima di modificarle.
- Tenere traccia delle modifiche: registrare i dettagli dell'operazione MCP per la risoluzione dei problemi e il rollback.
Sicurezza e governance
Questa sezione riepiloga le considerazioni sull'identità, il controllo di accesso, i criteri, l'isolamento della rete e la residenza dei dati per applicare la governance prima delle operazioni MCP.
Gestione delle identità e degli accessi
Eseguire l'autenticazione usando un token di Microsoft Entra limitato a https://mcp.ai.azure.com al server MCP Foundry.
Il controllo degli accessi basato sui ruoli di Azure si applica a tutte le operazioni sulle risorse di Foundry supportate da Foundry MCP Server. Le operazioni vengono eseguite in base alle autorizzazioni dell'utente autenticato. La tabella seguente riepiloga come i ruoli RBAC si mappano ai tipi di operazione MCP.
| Tipo di operazione | Ruolo minimo obbligatorio | Esempi |
|---|---|---|
| Lettura (elenco, ottieni, interrogazione) | Lettore | Elencare le distribuzioni, ottenere i dettagli del modello, i risultati della valutazione delle query |
| Scrittura (creazione, aggiornamento) | Collaboratore | Creare distribuzioni, aggiornare set di dati, avviare valutazioni |
| Elimina | Collaboratore | Eliminare le distribuzioni, rimuovere i set di dati |
| Gestire l'accesso | Proprietario o Amministratore degli Accessi Utente | Assegnare ruoli, gestire le autorizzazioni |
Per altre informazioni sulle assegnazioni di ruolo, vedere Role-based access control for Microsoft Foundry.
Controllare l'accesso con i criteri di accesso condizionale
Gli amministratori tenant possono usare i criteri di accesso condizionale per concedere o bloccare l'accesso al server MCP Foundry per utenti o identità del carico di lavoro selezionati.
Creare l'entità servizio per l'ID applicazione Foundry MCP Server eseguendo il comando seguente:
az ad sp create --id fcdfa2de-b65b-4b54-9a1c-81c8a18282d9L'ID applicazione in questo comando rappresenta foundry MCP Server. È possibile verificare questo ID applicazione cercando "Foundry MCP Server" nell'elenco delle applicazioni aziendali Entra ID.
Trovare l'applicazione aziendale per Foundry MCP Server usando l'ID applicazione. Aprire la pagina Entra ID del portale Azure e cercare l'ID applicazione
fcdfa2de-b65b-4b54-9a1c-81c8a18282d9.
Selezionare Accesso condizionale in Sicurezza nel riquadro sinistro dell'app selezionata, quindi selezionare Nuovo criterio per configurare il controllo di accesso.
- In Utenti selezionare Utenti specifici inclusi e aggiungere gli utenti o i gruppi da limitare.
- In Risorse di destinazione verificare che sia selezionata l'applicazione Server MCP Foundry.
Selezionare Concedi, quindi scegliere Blocca l'accesso.
Dopo aver stabilito il criterio, gli utenti e i gruppi designati non possono ottenere il token Entra necessario per la connessione.
Isolamento della rete
Il server MCP Foundry attualmente non supporta l'isolamento di rete. Espone l'endpoint https://mcp.ai.azure.com pubblico che può essere usato da qualsiasi client MCP. Si connette alla tua risorsa Foundry tramite il suo endpoint pubblico. Se le risorse Foundry usano collegamenti privati di Azure, il server non può raggiungerle e le operazioni generano un errore di connettività.
Nota
Questa limitazione si applica al server MCP foundry ospitato (mcp.ai.azure.com). Se si compila un server MCP e lo si connette al servizio Foundry Agent, il servizio Agent supporta gli endpoint server MCP privati tramite l'installazione dell'agente Standard con rete privata.
Residenza dei dati
Foundry MCP Server usa un'architettura proxy senza stato globale. I dati creati dai servizi back-end che interagiscono con MCP Server rimangono crittografati inattivi nell'area selezionata. Il server MCP stesso non archivia i dati. Per prestazioni e disponibilità, le richieste e le risposte possono essere elaborate nei data center nell'Unione europea (UE) o nell'Stati Uniti (Stati Uniti), con tutti i dati crittografati in transito.
Importante
Usando questa funzionalità di anteprima, si riconosce e si acconsente a qualsiasi elaborazione tra aree che potrebbero verificarsi. Ad esempio, una risorsa ue a cui si accede da un utente degli Stati Uniti può essere instradata attraverso l'infrastruttura degli Stati Uniti. Se l'organizzazione richiede un'elaborazione rigorosa nell'area, non usare Foundry MCP Server o limitarne l'uso agli scenari che rimangono all'interno dell'area selezionata.
Risoluzione dei problemi
Usare questa sezione per diagnosticare rapidamente i problemi comuni del server MCP.
Errori di autenticazione
Se viene visualizzato un 401 Unauthorized errore o il prompt di accesso non viene visualizzato:
- Disconnettersi dall'account Azure in Visual Studio Code o dallo strumento in uso.
- Accedi di nuovo con un account Microsoft che ha accesso al tuo abbonamento Azure.
- Verificare che il token di accesso sia valido eseguendo
az account get-access-token --resource https://mcp.ai.azure.comnel terminale.
Se la richiesta di token non riesce, verificare che l'account disponga delle autorizzazioni Entra ID necessarie. Per altre informazioni, vedere Gestire utenti e autenticazione in Entra ID.
Errori di autorizzazione
Se vengono visualizzati errori di 403 Forbidden o accesso negato durante l'esecuzione degli strumenti MCP:
- Aprire il portale di Azure e passare al progetto Foundry.
- Selezionare Controllo di accesso (IAM) e verificare che l'account abbia il ruolo Collaboratore o superiore.
- Se hai recentemente ricevuto un'assegnazione di ruolo, attendi alcuni minuti affinché la propagazione avvenga, poi riprova.
Per altre informazioni, vedere Controllo degli accessi in base al ruolo per Microsoft Foundry.
Problemi di connettività del server
Se il server MCP non riesce ad avviarsi o va in timeout:
- Verificare che la rete consenta le connessioni HTTPS in uscita a
https://mcp.ai.azure.com. - Verificare la presenza di regole proxy o firewall che potrebbero bloccare l'endpoint.
- Provare ad aprire
https://mcp.ai.azure.comin un browser per confermare la raggiungibilità.
Se le risorse di Foundry utilizzano i collegamenti privati di Azure, il server MCP ospitato non può raggiungerle tramite l'endpoint pubblico. Disabilitare collegamento privato, usare SDK/API REST o usare un server MCP custom con rete privata tramite il servizio Foundry Agent.
Problemi di individuazione degli strumenti
Se gli strumenti Foundry non vengono visualizzati nell'elenco degli strumenti in modalità agente:
- Aprire la visualizzazione Output in Visual Studio Code e selezionare il canale di log del server MCP.
- Verificare che il server mostri una connessione corretta e una registrazione dello strumento.
- Riavviare Visual Studio Code o ricaricare l'area di lavoro.
- Se gli strumenti non vengono ancora visualizzati, rimuovere e aggiungere nuovamente la configurazione del server.
Contenuto correlato
- Esaminare gli strumenti disponibili e i prompt di esempio per foundry MCP Server
- Introduzione a Foundry MCP Server
- Informazioni su come creare un server MCP personalizzato