Panoramica del server MCP di Bring Your Own (anteprima)

Important

  • Si tratta di una funzionalità di anteprima.
  • Le funzionalità di anteprima non sono destinate ad essere utilizzate per la produzione e sono soggette a restrizioni. Queste funzionalità sono soggette a condizioni per l'utilizzo supplementari e sono disponibili prima del rilascio ufficiale in modo che i clienti possano ottenere un accesso anticipato e fornire feedback.

La funzione Bring Your Own (BYO) MCP server consente alle organizzazioni di registrare i propri server MCP remoti con Agent 365 per una governance centralizzata e osservabilità.

Le grandi imprese spesso costruiscono e gestiscono server MCP interni per alimentare i loro agenti attraverso vari flussi di lavoro aziendali. Questi server di solito funzionano al di fuori di qualsiasi limite di governance organizzativa, senza alcuna visibilità amministrativa su quali strumenti vengono esposti, senza applicazione delle policy su come vengono attivati e senza uso di telemetria per i team di sicurezza e conformità. Il server MCP BYO risolve questo problema instradando i server registrati attraverso l'Agent 365 Tooling Gateway, dando agli amministratori IT il controllo tramite il interfaccia di amministrazione di Microsoft 365 e i team di sicurezza i dati di osservabilità necessari.

Note

Il server MCP di BYO è attualmente in anteprima. Le superfici client supportate sono Copilot Studio, VS Code, Claude Code e GitHub Copilot CLI. Azure AI Foundry e M365 Declarative Agents non sono ancora supportati.

Come funziona

Il server MCP BYO segue un flusso strutturato dallo sviluppatore all'amministratore per garantire che tutti i server MCP remoti siano esaminati e governati prima di essere messi a disposizione degli agenti:

  1. Lo sviluppatore registra un server MCP remoto tramite la CLI dell'Agent 365, fornendo l'URL del server, il tipo di autenticazione e gli strumenti per esporre.
  2. IT revisiona i dettagli del server e gli strumenti dichiarati nel interfaccia di amministrazione di Microsoft 365, e approva o respinge la richiesta. Dopo l'approvazione, l'amministratore concede i permessi Entra necessari per il server.
  3. Le superfici di costruzione Agent consumano il server MCP approvato tramite client supportati come Copilot Studio e VS Code per costruire e testare agenti contro invocazioni reali di strumenti.
  4. Security team monitora l'attività del server MCP e le invocazioni degli strumenti attraverso Microsoft Defender ricerca avanzata di conformità e rilevamento di anomalie.

Questo approccio garantisce che tutte le integrazioni MCP esterne passino attraverso revisioni adeguate di governance e conformità prima di diventare disponibili agli utenti finali.

Note

Il server MCP di BYO è attualmente in anteprima. Al momento non è supportata la ripubblicazione di nuove versioni del tuo server MCP remoto.

Registrare un server MCP remoto

Come sviluppatore, puoi registrare il tuo server MCP remoto con Agent 365. Questa sezione ti guida attraverso i passaggi necessari per registrare un server MCP remoto con l'Agent 365 usando la CLI, così che gli amministratori IT possano esaminarlo e approvarlo per l'uso nella costruzione di superfici agent.

Developer prerequisites

Prima di registrare un server MCP remoto, assicurati di avere i seguenti prerequisiti:

  • Installa la CLI dell'Agent 365 (o aggiorna all'ultima versione). Perché questo flusso funzioni, serve la versione 1.1.165-preview o superiore.
  • Assicurati che il principale di servizio Agent 365 sia fornito nel tuo inquilino. Se non riesci a trovare il principale di servizio associato a appId ea9ffc3e-8a23-4a7d-836d-234d7c7565c1, il principale di servizio non è previsto per il tuo inquilino. Per impostare un principale di servizio per l'Agente 365 nel tuo inquilino, consulta:
  • Un endpoint server MCP accessibile al pubblico che puoi raggiungere da internet.
  • Il server è configurato con uno dei tipi di autenticazione supportati:
    • NoAuth
    • APIKey (intestazione o interrogazione)
    • ExternalOAuth
    • EntraOAuth

Installa la CLI di Agent 365

  1. Scarica il pacchetto CLI Agent 365.
  2. Installa lo strumento CLI. Sostituisci package-path con la directory da cui hai estratto il pacchetto scaricato:
dotnet tool update --global Microsoft.Agents.A365.DevTools.Cli –prerelease

Registra il tuo server MCP

Dopo aver installato la CLI dell'Agent 365 e aver verificato che il tuo endpoint server MCP sia accessibile pubblicamente e configurato con un tipo di autenticazione supportato, sei pronto a registrare il tuo server MCP con l'Agent 365. Gli amministratori IT possono esaminarli e approvarli per l'uso nella costruzione di superfici agenti.

Hai un paio di opzioni per registrare il tuo server MCP con l'Agent 365:

  • Registrazione manuale tramite CLI: esegui il a365 develop-mcp register-external-mcp-server comando dalla CLI e fornisci manualmente i dettagli del server, il tipo di autenticazione e gli strumenti che il tuo server MCP espone.

Important

Gli esempi in questa sezione utilizzano zava.com come dominio immaginario e nomi generici di server e strumenti per l'illustrazione. Sostituisci questi valori con il tuo vero URL del server, nome e identificatori degli strumenti.

  • Registrazione tramite file JSON: Usa a365 develop-mcp register-external-mcp-server -f <path-to-file.json> per registrare il tuo server MCP fornendo un file JSON che contiene tutti i dettagli del server, il tipo di autenticazione e le definizioni degli strumenti in un unico file, invece di specificarli singolarmente sulla riga di comando.

Consulta gli esempi nelle sezioni seguenti per come registrare un server MCP con l'Agent 365 utilizzando la CLI per diversi tipi di autenticazione.

NoAuth

Per i server MCP che non richiedono autenticazione:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type "NoAuth" \
--tools "tool1,tool2"

{
  "serverName": "ext_DocsSearch",
  "serverUrl": "https://docs.contoso.com/api/mcp",
  "authType": "NoAuth",
  "description": "Documentation search MCP Server for Contoso developer docs.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "search_docs",
      "description": "Search Contoso developer documentation and code samples."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": null
}

APIKey (parametro di interrogazione)

Per i server che passano la chiave API come parametro di query:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Query \
--api-key-name apiKey \
--tools "tool1,tool2"

{
  "serverName": "ext_MarketData",
  "serverUrl": "https://api.contoso.com/market/mcp",
  "authType": "APIKey",
  "description": "Real-time stock market data and search from Contoso Market Services.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "stock-market-data",
      "description": "Get real-time stock market data and financial information."
    },
    {
      "name": "real-time-search",
      "description": "Search the web for real-time information and news."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": {
    "location": "Query",
    "name": "apiKey"
  }
}

APIKey (Header)

Per i server che passano la chiave API in un'intestazione di richiesta:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Header \
--api-key-name token \
--tools "tool1,tool2"

{
  "serverName": "ext_InternalTools",
  "serverUrl": "https://tools.contoso.com/mcp",
  "authType": "APIKey",
  "description": "Contoso internal tools MCP Server with API key authentication.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "tool1",
      "description": "First tool exposed by the server."
    },
    {
      "name": "tool2",
      "description": "Second tool exposed by the server."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": {
    "location": "Header",
    "name": "X-API-Key"
  }
}

ExternalOAuth

Per i server che si autenticano tramite un provider OAuth esterno:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type ExternalOAuth \
--idp-authorization-url "https://idp.zava.com/o/oauth2/v2/auth" \
--idp-token-url "https://idp.zava.com/oauth2/token" \
--idp-scopes "https://api.zava.com/read" \
--idp-client-id "<your-client-id>" \
--idp-client-secret "<your-client-secret>" \
--remote-scopes "https://api.zava.com/read" \
--tools "tool1,tool2"


{
  "serverName": "ext_Analytics",
  "serverUrl": "https://analytics.contoso.com/mcp",
  "authType": "ExternalOAuth",
  "description": "Contoso Analytics MCP Server for dataset and query operations.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "list_datasets",
      "description": "List all available analytics datasets."
    }
  ],
  "remoteScopes": "https://analytics.contoso.com/.default",
  "externalOAuth": {
    "authorizationUrl": "https://auth.contoso.com/oauth2/authorize",
    "tokenUrl": "https://auth.contoso.com/oauth2/token",
    "scopes": "https://analytics.contoso.com/.default",
    "clientId": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
    "clientSecret": "<your-client-secret>"
  },
  "apiKey": null
}

EntraOAuth

Per i server che si autenticano tramite Microsoft Entra ID:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type EntraOAuth \
--remote-scopes "https://api.zava.com/.default" \
--tools "tool1,tool2"

{
  "serverName": "ext_OrgDirectory",
  "serverUrl": "https://directory.contoso.com/mcp",
  "authType": "EntraOAuth",
  "description": "Contoso organization directory MCP Server secured with Entra OAuth.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "list_users",
      "description": "List users in the organization directory."
    },
    {
      "name": "get_user_profile",
      "description": "Get the profile of a specific user by ID or UPN."
    }
  ],
  "remoteScopes": "api://contoso-directory/.default",
  "externalOAuth": null,
  "apiKey": null
}

Dopo la registrazione con successo, invia il server MCP per la revisione amministrativa nel interfaccia di amministrazione di Microsoft 365.

Esamina le richieste di registrazione del server MCP

Dopo che uno sviluppatore ha registrato un server MCP remoto, il server appare nel Amministrazione Microsoft 365 Center per la revisione e l'approvazione. Come amministratore con i permessi giusti per gestire gli strumenti degli agenti nel Amministrazione Microsoft 365 Center, puoi esaminare, approvare o rifiutare queste richieste per controllare quali server MCP sono disponibili per l'uso nella tua organizzazione.

Per saperne di più su come esaminare e approvare le richieste di registrazione dei server MCP, consulta Managed agent tools in interfaccia di amministrazione di Microsoft 365.

Admin prerequisites

Per completare il processo di revisione e approvazione, devi soddisfare due requisiti:

  • Hai bisogno di accedere alla pagina degli strumenti del interfaccia di amministrazione di Microsoft 365, dove gestisci gli strumenti degli agenti e esamini le richieste di registrazione del server MCP.
  • Serve la possibilità di concedere il consenso a tutto l'inquilino.

Due ruoli soddisfano entrambi i requisiti:

Important

Usa ruoli con il minor numero di permessi e limita il numero di utenti che hanno permessi da amministratore. Vedere Ruoli con privilegi minimi per attività in Microsoft Entra ID.

Per saperne di più sui ruoli amministrativi e sui permessi nel interfaccia di amministrazione di Microsoft 365, consulta:

Rivedi e approva nel interfaccia di amministrazione di Microsoft 365

  1. Passare al centro Amministrazione Microsoft 365.
  2. Seleziona Strumenti Agenti>, poi seleziona la scheda Richieste.
  3. Le richieste in sospeso mostrano i seguenti dettagli per ciascun server:
    • Server name
    • Publisher
    • Requested by
    • Requested date
  4. Esaminare le informazioni sul server e gli strumenti dichiarati per verificare l'accuratezza e la conformità.
  5. Selezionare Approva per rendere il server disponibile nel Registro di sistema dell'organizzazione oppure Rifiuta per negare la richiesta.
  6. Dopo l'approvazione, acconsentite ai permessi Microsoft Entra richiesti dal server MCP. Il server diventa disponibile per le superfici di costruzione degli agenti solo dopo che il consenso è stato concesso.

Note

Può volerci fino a 30 minuti perché il server MCP appaia in tutti gli ambienti Microsoft Copilot Studio del tenant una volta approvato e concesso il consenso.

Controlli chiave di governance

La tabella seguente riassume i principali controlli di governance:

Control Description
Approval/Rejection L'amministratore approva o rifiuta esplicitamente ogni server MCP BYO prima che possa essere utilizzato.
Server-Level Block L'amministratore può bloccare i server approvati in qualsiasi momento; I server bloccati sono applicati a runtime.
Tools Snapshot L'amministratore può visualizzare gli strumenti dichiarati esposti da ciascun server MCP per trasparenza.
Runtime Enforcement I server MCP bloccati non possono essere invocati in runtime su nessuna superficie client.

Usa il server MCP approvato

Dopo che Microsoft approva il server MCP e Microsoft Entra concede il consenso, puoi usarlo su superfici supportate per la creazione di agenti. Le seguenti superfici client supportano attualmente l'invocazione dei server MCP BYO approvati in anteprima:

Client Status
Copilot Studio ✅ Supportato
VS Code ✅ Supportato
Claude Code ✅ Supportato
interfaccia della riga di comando (CLI) di GitHub Copilot ✅ Supportato

Come utente di Copilot Studio, adotta i seguenti passaggi per attivare il server MCP BYO approvato:

  1. Vai su Copilot Studio nel tuo ambiente.
  2. Crea un nuovo agente personalizzato (o apri uno già esistente).
  3. Vai nella sezione Strumenti e seleziona MCP Server.
  4. Seleziona il server MCP dal registro.
  5. Testa l'agente inserendo un prompt che invochi il server MCP.

Note

Configurazione della prima connessione: Alla prima invocazione, potrebbe essere chiesto di completare una connessione una tantum. Segui l'URL fornito per creare la connessione richiesta, ad esempio inserendo la chiave API per i server basati su APIKey. Quando hai finito, torna dal tuo agente e riprova il prompt. Quando si richiama con successo, si vede il server MCP rispondere con l'output corretto dello strumento.

Scopri come invocare server MCP BYO approvati da Claude Code, VS Code e GitHub Copilot CLI nella sezione Configura i server MCP di Work IQ per agenti di codifica della panoramica Work IQ MCP.

Monitorare e osservare l'attività dei server MCP

Come membro del team di sicurezza della tua organizzazione, usa Microsoft Defender advanced hunting per tracciare e analizzare le invocazioni dei server MCP. Questo processo ti aiuta a vedere quali agenti invocano quali server MCP, quando avvengono le invocazioni e altri metadati rilevanti che possono aiutare a rilevare schemi di utilizzo insoliti o non autorizzati.

Esempio di query KQL — Defender Advanced Hunting:

CloudAppEvents
| where ActionType in ( "ExecuteToolByGateway")
| where RawEventData contains "tool name"

Questa query restituisce dettagli come nome agente, nome server MCP e metadati delle invocazioni.

Related content

Gestisci gli strumenti per Agent 365 nel interfaccia di amministrazione di Microsoft 365.

  • Last updated on