Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Agent-Tools im Microsoft 365 Admin Center bieten eine zentrale Ansicht aller KI-gestützten Tools und MCP-Server (Model Context Protocol), die in Ihrem organization verfügbar sind. Diese Tools definieren, wie ein KI-Modell mit Benutzerdaten, Tools und Workflows interagiert. Mit Den Agent-Tools können Sie Anforderungen, Antworten und Aktionen konsistent, sicher, sicher und transparent verarbeiten.
Jedes aufgeführte Tool stellt einen Dienst dar, der Copilot-Erfahrungen in Microsoft 365-Apps unterstützt. Sie können die Verfügbarkeit überwachen, den Zugriff verwalten und die Einhaltung von Organisationsrichtlinien sicherstellen. Verwenden Sie die Registerkarte Registrierung, um die in Ihrem Mandanten verfügbaren Tools anzuzeigen und zu verwalten, und auf der Registerkarte Anforderungen können Sie Toolanforderungen von Benutzern in Ihrem organization überprüfen und genehmigen.
Hinweis
Das BYO-MCP-Serverfeature (Bring Your Own) ermöglicht Es Organisationen, ihre eigenen MCP-Remoteserver bei Agent 365 für zentralisierte Governance und Einblick zu registrieren. Weitere Informationen finden Sie unter Bring Your Own (BYO) MCP-Server.
Anzeigen der Agent-Tools-Registrierung
Melden Sie sich beim Microsoft 365 Admin Center an.
Wählen Sie im linken Navigationsbereich Agents>Tools>Registry aus.
Wichtige Komponenten von Agent-Tools
Die Liste "Agent-Tools" auf der Registerkarte "Registrierung " und der Registerkarte " Anforderung " enthält Filter, Spalten und Aktionen, die Sie bei der Verwaltung Ihrer Agent-Tools unterstützen.
Actions
Sie können die verfügbaren Aktionen direkt aus der Liste auswählen oder den aufgelisteten Agent auswählen, um eine Übersicht über ein Agent-Tool anzuzeigen. Agent-Tools umfassen die folgenden Aktionen:
| Aktion | Beschreibung |
|---|---|
| Blockieren | Verhindert, dass das ausgewählte Tool von Agents oder Workflows verwendet wird. |
| Entsperren | Stellt den Zugriff auf ein zuvor blockiertes Tool wieder her. |
Filter
Die Agent-Tools-Registrierung kann einen großen und vielfältigen Bestand an Tools enthalten. Sie können die Liste filtern, um die Ansicht auf die Agent-Tools einzugrenzen, auf die Sie sich derzeit konzentrieren möchten.
Filter basieren auf den folgenden Kriterien:
| Filter | Beschreibung |
|---|---|
| Status | Filtern Sie Tools nach ihrem aktuellen Status, z. B . Verfügbar oder Blockiert. |
| Publisher | Anzeigen von Tools, die von Microsoft oder anderen Anbietern veröffentlicht wurden. |
Spalten
In der folgenden Tabelle werden die Spalten beschrieben, die in der Registrierung der Agenttools verfügbar sind:
| Spalte | Beschreibung |
|---|---|
| Name | Der Anzeigename des Tools, z. B. Microsoft Teams MCP Server. |
| Status | Zeigt an, ob das Tool verfügbar oder blockiert ist. |
| Typ | Zeigt die Toolkategorie an, z. B. MCP Server. |
| Publisher | Zeigt den Herausgeber an, z. B. Microsoft für Erstanbietertools. |
Allgemeine MCP-Server
Sie verwenden einen MCP-Server als Dienst, um Daten, Aktionen und Geschäftslogik für Agents verfügbar zu machen.
Im Folgenden sind Beispiele für MCP-Server aufgeführt:
- Dataverse MCP Server.
- Windows 365 for Agents MCP-Server.
- McP-Verwaltungs-MCP-Server von Microsoft.
- Admin tools MCP Server for Microsoft 365 Admin Center.
Weitere Informationen finden Sie unter Microsoft Agent 365 SDK und CLI.
Bring Your Own McP Server (BYO)
Das BYO-McP-Serverfeature (Bring Your Own) ermöglicht Es Organisationen, ihre eigenen MCP-Remoteserver bei Microsoft Agent 365 für zentralisierte Governance und Einblick zu registrieren.
Wichtig
- Dieses Feature ist eine Vorschaufunktion.
- Vorschaufeatures sind nicht für die Verwendung in der Produktion vorgesehen und verfügen möglicherweise über eingeschränkte Funktionen. Diese Features unterliegen ergänzenden Nutzungsbedingungen und sind vor einer offiziellen Version verfügbar, damit Kunden frühzeitig Zugriff erhalten und Feedback geben können.
Große Unternehmen erstellen und betreiben häufig interne MCP-Server, um ihre Agents über verschiedene Geschäftsworkflows hinweg zu betreiben. Diese Server werden in der Regel außerhalb jeglicher Organisationsgovernancegrenzen ausgeführt, ohne Dass der Administrator einblick, welche Tools verfügbar gemacht werden, keine Richtlinienerzwingung über deren Aufruf und keine Nutzung von Telemetriedaten für Sicherheits- und Complianceteams. Der BYO MCP-Server löst dieses Problem, indem er registrierte Server über das Agent 365 Tooling Gateway weiterleitet, sodass IT-Administratoren über die Microsoft 365 Admin Center- und Sicherheitsteams die erforderlichen Einblicksdaten steuern können.
Hinweis
DER BYO MCP-Server befindet sich derzeit in der Vorschauphase. Unterstützte Clientoberflächen sind Copilot Studio, Visual Studio Code, Claude Code und GitHub Copilot CLI. Azure AI Foundry - und Microsoft 365-Deklarative Agents werden noch nicht unterstützt.
Funktionsweise eines BYO MCP-Servers
Ein BYO MCP-Server folgt einem strukturierten Entwickler-zu-Administrator-Flow, um sicherzustellen, dass alle MCP-Remoteserver überprüft und gesteuert werden, bevor sie für Agents verfügbar gemacht werden.
Der BYO MCP-Server:Developer-to-Admin-Flow:
Der Entwickler registriert einen MCP-Remoteserver über die Agent 365 CLI und stellt die Server-URL, den Authentifizierungstyp und die verfügbar zu machenden Tools bereit. Weitere Informationen finden Sie unter Registrieren eines MCP-Remoteservers.
Der IT-Administrator überprüft die Serverdetails und deklarierten Tools im Microsoft 365 Admin Center und genehmigt oder lehnt die Anforderung ab. Nach der Genehmigung erteilt der Administrator die erforderlichen Microsoft Entra Berechtigungen für den Server. Weitere Informationen finden Sie unter Überprüfen und Genehmigen von Toolanforderungen.
Der genehmigte MCP-Server wird von den unterstützten Clients wie Copilot Studio und Visual Studio Code verwendet, um Agents für echte Toolaufrufe zu erstellen und zu testen. Weitere Informationen finden Sie unter Verwenden eines genehmigten MCP-Servers.
Das Sicherheitsteam überwacht die MCP-Serveraktivität und Toolaufrufe über Microsoft Defender erweiterte Suche nach Compliance und Anomalieerkennung. Weitere Informationen finden Sie unter Überwachen und Beobachten der MCP-Serveraktivität.
Wichtig
Dieser Ansatz stellt sicher, dass alle externen MCP-Integrationen ordnungsgemäße Governance- und Complianceüberprüfungen durchlaufen, bevor sie den Endbenutzern zur Verfügung stehen.
Hinweis
DER BYO MCP-Server befindet sich derzeit in der Vorschauphase. Das erneute Veröffentlichen neuer Versionen Ihres MCP-Remoteservers wird derzeit nicht unterstützt.
Registrieren eines MCP-Remoteservers
Tipp
Als Administrator kann es hilfreich sein, zu verstehen, wie sie einen MCP-Remoteserver registrieren. Alternativ können Sie die Schritte in diesem Abschnitt für einen Entwickler bereitstellen, der implementiert werden soll.
Sie oder ein Entwickler können Ihren eigenen MCP-Remoteserver bei Agent 365 registrieren. Dieser Abschnitt führt Sie durch die erforderlichen Schritte zum Registrieren eines MCP-Remoteservers bei Agent 365 mithilfe der CLI, damit IT-Administratoren ihn für die Verwendung in Agent-Erstellungsoberflächen überprüfen und genehmigen können.
Dieser Abschnitt enthält die erforderlichen Schritte (häufig von einem Entwickler implementiert), um einen MCP-Remoteserver zu registrieren:
- Grundlegendes zu den Voraussetzungen für Entwickler.
- Installieren Sie die Agent 365 CLI.
- Registrieren Sie Ihren MCP-Server.
Voraussetzungen für Entwickler
Stellen Sie vor der Registrierung eines MCP-Remoteservers sicher, dass die folgenden Voraussetzungen erfüllt sind:
Installieren Sie die Agent 365 CLI (oder aktualisieren Sie auf die neueste Version). Damit dieser Flow funktioniert, benötigen Sie Version 1.1.165-preview oder höher.
Stellen Sie sicher, dass der Agent 365 Dienstprinzipal in Ihrem Mandanten bereitgestellt wird. Wenn Sie den Dienstprinzipal, der appId
ea9ffc3e-8a23-4a7d-836d-234d7c7565c1zugeordnet ist, nicht finden können, wird der Dienstprinzipal nicht für Ihren Mandanten bereitgestellt. Informationen zum Einrichten eines Dienstprinzipals für Agent 365 in Ihrem Mandanten finden Sie unter:Ein öffentlich zugänglicher MCP-Serverendpunkt, den Sie über das Internet erreichen können.
Der Server ist mit einem der unterstützten Authentifizierungstypen konfiguriert:
- NoAuth.
- APIKey (Header oder Abfrage).
- ExternalOAuth.
- EntraOAuth.
Installieren der Agent 365 CLI
Befolgen Sie zum Installieren der Agent 365 CLI die Anweisungen unter Installieren der Agent 365 CLI.
Registrieren Ihres MCP-Servers
Sie sind bereit, Ihren MCP-Server bei Agent 365 zu registrieren, nachdem Sie:
- Installieren Sie die Agent 365 CLI.
- Stellen Sie sicher, dass Ihr MCP-Serverendpunkt öffentlich zugänglich ist.
- Konfiguriert mit einem unterstützten Authentifizierungstyp.
IT-Administratoren können es überprüfen und für die Verwendung in Agent-Erstellungsoberflächen genehmigen.
Sie haben eine Reihe von Optionen zum Registrieren Ihres MCP-Servers bei Agent 365:
-
Manuelle Registrierung über die CLI: Führen Sie den
a365 develop-mcp register-external-mcp-serverBefehl über die CLI aus, und geben Sie manuell die Serverdetails, den Authentifizierungstyp und die Tools an, die Ihr MCP-Server verfügbar macht.
Wichtig
In den Beispielen in diesem Abschnitt werden als fiktive Domäne und generische Server- und Toolnamen zur Veranschaulichung verwendet zava.com . Ersetzen Sie diese Werte durch Die tatsächliche Server-URL, den Namen und die Toolbezeichner.
-
Registrierung über JSON-Datei: Verwenden Sie
a365 develop-mcp register-external-mcp-server -f <path-to-file.json>, um Ihren MCP-Server zu registrieren, indem Sie eine JSON-Datei bereitstellen, die alle Serverdetails, den Authentifizierungstyp und alle Tooldefinitionen in einer einzelnen Datei enthält, anstatt sie einzeln in der Befehlszeile anzugeben.
Informationen zum Registrieren eines MCP-Servers bei Agent 365 mithilfe der CLI für verschiedene Authentifizierungstypen finden Sie in den Beispielen in den folgenden Abschnitten.
NoAuth
Für MCP-Server, die keine Authentifizierung erfordern:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type "NoAuth" \
--tools "tool1,tool2"
{
"serverName": "ext_DocsSearch",
"serverUrl": "https://docs.contoso.com/api/mcp",
"authType": "NoAuth",
"description": "Documentation search MCP Server for Contoso developer docs.",
"publisherName": "Contoso",
"tools": [
{
"name": "search_docs",
"description": "Search Contoso developer documentation and code samples."
}
],
"remoteScopes": null,
"externalOAuth": null,
"apiKey": null
}
APIKey (Abfrageparameter)
Für Server, die den API-Schlüssel als Abfrageparameter übergeben:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Query \
--api-key-name apiKey \
--tools "tool1,tool2"
{
"serverName": "ext_MarketData",
"serverUrl": "https://api.contoso.com/market/mcp",
"authType": "APIKey",
"description": "Real-time stock market data and search from Contoso Market Services.",
"publisherName": "Contoso",
"tools": [
{
"name": "stock-market-data",
"description": "Get real-time stock market data and financial information."
},
{
"name": "real-time-search",
"description": "Search the web for real-time information and news."
}
],
"remoteScopes": null,
"externalOAuth": null,
"apiKey": {
"location": "Query",
"name": "apiKey"
}
}
APIKey (Header)
Für Server, die den API-Schlüssel in einem Anforderungsheader übergeben:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Header \
--api-key-name token \
--tools "tool1,tool2"
{
"serverName": "ext_InternalTools",
"serverUrl": "https://tools.contoso.com/mcp",
"authType": "APIKey",
"description": "Contoso internal tools MCP Server with API key authentication.",
"publisherName": "Contoso",
"tools": [
{
"name": "tool1",
"description": "First tool exposed by the server."
},
{
"name": "tool2",
"description": "Second tool exposed by the server."
}
],
"remoteScopes": null,
"externalOAuth": null,
"apiKey": {
"location": "Header",
"name": "X-API-Key"
}
}
ExternalOAuth
Für Server, die sich über einen externen OAuth-Anbieter authentifizieren:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type ExternalOAuth \
--idp-authorization-url "https://idp.zava.com/o/oauth2/v2/auth" \
--idp-token-url "https://idp.zava.com/oauth2/token" \
--idp-scopes "https://api.zava.com/read" \
--idp-client-id "<your-client-id>" \
--idp-client-secret "<your-client-secret>" \
--remote-scopes "https://api.zava.com/read" \
--tools "tool1,tool2"
{
"serverName": "ext_Analytics",
"serverUrl": "https://analytics.contoso.com/mcp",
"authType": "ExternalOAuth",
"description": "Contoso Analytics MCP Server for dataset and query operations.",
"publisherName": "Contoso",
"tools": [
{
"name": "list_datasets",
"description": "List all available analytics datasets."
}
],
"remoteScopes": "https://analytics.contoso.com/.default",
"externalOAuth": {
"authorizationUrl": "https://auth.contoso.com/oauth2/authorize",
"tokenUrl": "https://auth.contoso.com/oauth2/token",
"scopes": "https://analytics.contoso.com/.default",
"clientId": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
"clientSecret": "<your-client-secret>"
},
"apiKey": null
}
EntraOAuth
Für Server, die sich über Microsoft Entra ID authentifizieren:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type EntraOAuth \
--remote-scopes "https://api.zava.com/.default" \
--tools "tool1,tool2"
{
"serverName": "ext_OrgDirectory",
"serverUrl": "https://directory.contoso.com/mcp",
"authType": "EntraOAuth",
"description": "Contoso organization directory MCP Server secured with Entra OAuth.",
"publisherName": "Contoso",
"tools": [
{
"name": "list_users",
"description": "List users in the organization directory."
},
{
"name": "get_user_profile",
"description": "Get the profile of a specific user by ID or UPN."
}
],
"remoteScopes": "api://contoso-directory/.default",
"externalOAuth": null,
"apiKey": null
}
Übermitteln Sie nach erfolgreicher Registrierung den MCP-Server zur Administratorüberprüfung im Microsoft 365 Admin Center.
Auswerten von MCP-Servern
Sie können die Qualität Ihrer MCP-Tooldefinitionen mit dem a365 develop-mcp evaluate Befehl auswerten. Dieser Befehl überprüft die Toolschemas Ihres Servers und generiert einen Bericht mit umsetzbaren Anleitungen zum Verbessern von Toolnamen, Beschreibungen und Parameterschemas.
Die semantischen Überprüfungen werden von einer Cli des Codierungs-Agents (GitHub Copilot CLI oder Claude Code) bewertet, die lokal auf Ihrem Computer unter Ihrem eigenen Konto und KI-Abonnement ausgeführt wird. Dieser Befehl sendet keine Toolschemadaten an Microsoft.
Wichtig
Führen Sie evaluate nur für MCP-Server aus, denen Sie vertrauen. Die Namen, Beschreibungen und Parameterschemas des Servers werden über einen MCP-Standardaufruf tools/list gelesen und zur Bewertung an einen auf Ihrem Computer ausgeführten Codierungs-Agent übergeben. Dieser Vertrauenshinweis wird einmal zu Beginn jeder Ausführung ausgegeben, die einen Agent verwendet. Sie gilt nicht für --eval-engine none, wodurch alles lokal bleibt.
Mindestens erforderliche Rolle: Keine. Die Auswertung wird lokal für die von Ihnen bereitgestellte MCP-Server-URL ausgeführt und ruft nicht Azure oder Microsoft Graph auf.
Voraussetzungen
- Die Agent 365 CLI. Weitere Informationen finden Sie unter Installieren der Agent 365 CLI.
- Für die semantische Bewertung (KI) wird eine lokal installierte Codierungs-Agent-CLI verwendet:
-
GitHub Copilot CLI: Installieren mit
npm install -g @github/copilot(Node.js 18 oder höher). Dies ist die eigenständigecopilotBinärdatei, nicht diegh copilotGitHub CLI-Erweiterung. -
Claude Code: Installieren Sie mit
npm install -g @anthropic-ai/claude-code, oder befolgen Sie Claude Codeinstallation.
-
GitHub Copilot CLI: Installieren mit
- Wenn keiner der Agents installiert ist, führt der Befehl weiterhin die deterministischen Überprüfungen aus und schreibt die Prüfliste. Anschließend wird angehalten, damit Sie die semantischen Überprüfungen mit Ihrem eigenen LLM (Bring-Your-Own-LLM) scoren können. Übergeben
--eval-engine none, um die Agent-Überprüfung vollständig zu überspringen.
Funktionsweise der Auswertung
Der Befehl führt eine Pipeline mit fünf Schritten aus und protokolliert den Fortschritt, wie in der folgenden Tabelle gezeigt:
| Schritt | Funktion der Einstellung |
|---|---|
| 1 Tools entdecken | Stellt eine Verbindung mit dem MCP-Server her, ruft auf tools/listund erfasst das Schema der einzelnen Tools. |
| 2 Prüfliste generieren | Schreibt <server-name>_checklist.json in das Ausgabeverzeichnis. |
| 3 Ausführen der semantischen Auswertung | Übergibt die Prüfliste für die Bewertung an den ausgewählten Codierungs-Agent. Übersprungen, wenn --eval-engine none oder kein Agent verfügbar ist. |
| 4 Analysieren | Aggregiert Tool- und Gesamtbewertungen und bestimmt den Reifegrad. |
| 5 Schreiben von Berichten | Erzeugt <server-name>_eval_report.html und <server-name>_eval_report.json. |
Bei jeder Überprüfung handelt es sich um einen von zwei Typen:
- Deterministisch: Regelbasierte Logik in der CLI; pass oder fail ist genau und erfordert keine KI (z. B. "Toolname ist nicht leer").
-
Semantik: Bewertet vom Codierungs-Agent mit einer
reasonZeichenfolge, die das Urteil erklärt.
Die Ausführung ist idempotent. Durch erneutes Ausführen desselben Befehls wird ein vorhandener <server-name>_checklist.json Befehl wiederverwendet und die Serverermittlung übersprungen. So funktioniert der Bring-Your-Own-LLM-Roundtrip: Überprüfen Sie die Prüfliste selbst, und führen Sie dann erneut aus, um den Vorgang fortzusetzen. Löschen Sie die Prüflistendatei, um eine neue Ermittlung zu erzwingen, nachdem Sie Ihre Toolschemas geändert haben.
Beispiele
Auswerten eines lokalen Servers mit automatischer Engine-Auswahl:
a365 develop-mcp evaluate --server-url "http://localhost:5000/mcp"
Werten Sie einen authentifizierten Server mit dem token aus, das über eine Umgebungsvariable bereitgestellt wird, und Artefakte, die in einen Unterordner geschrieben werden:
$env:A365_MCP_AUTH_TOKEN = "<bearer-token>"
a365 develop-mcp evaluate --server-url "https://my-mcp-server.contoso.com/mcp" --output-dir "./eval"
Generieren Sie nur die Prüfliste, und bewertet sie dann mit Ihrem eigenen LLM:
a365 develop-mcp evaluate --server-url "https://my-mcp-server.contoso.com/mcp" --eval-engine none
Erzwingen einer bestimmten Bewertungs-Engine:
a365 develop-mcp evaluate --server-url "http://localhost:5000/mcp" --eval-engine claude-code
Lesen des Berichts
Öffnen Sie <server-name>_eval_report.html aus dem Ausgabeverzeichnis in einem Browser. Der Bericht zeigt Folgendes an:
- Die Gesamtbewertung (0-100; höher ist besser).
- Die Fälligkeitsstufe (0-4) und die zugehörige Bezeichnung.
- Bewertungen pro Tool mit Kategorieaufschlüsselungen: Toolname, Toolbeschreibung, Parametername, Parameterbeschreibung und Schemastruktur.
- Eine priorisierte Aktionselementliste, sortiert nach Auswirkung, einschließlich der konkreten Anforderungen zum Erreichen der nächsten Reifestufe.
Datenverarbeitung und KI-Transparenz
- Der Befehl verarbeitet nur die statischen Toolschemas Ihres MCP-Servers (Namen, Beschreibungen und Parameterschemas) von
tools/list. Es verarbeitet keine Laufzeitnutzlasten, Endbenutzerdaten oder personenbezogene Daten. - Die Cli des Codierungs-Agents wird auf Ihrem Computer unter Ihrem eigenen KI-Abonnement ausgeführt. Der Modell-API-Aufruf erfolgt direkt von dieser CLI an den KI-Anbieter gemäß Ihren Nutzungsbedingungen und Abrechnungsbedingungen. Die
a365CLI gibt das Modell an, vermittelt den Aufruf jedoch nicht. - Der
--auth-tokenWert wird im Arbeitsspeicher gespeichert, nur als HTTP-HeaderAuthorizationan Ihren Server gesendet und nie auf den Datenträger geschrieben oder an den Codierungs-Agent übergeben. - Ausgabedateien (
_checklist.json,_eval_report.html,_eval_report.json) werden nur in Ihre--output-dirgeschrieben und verbleiben auf Ihrem Computer.
Problembehandlung
Verwenden Sie den folgenden Leitfaden zur Problembehandlung, um häufige Fehler zu diagnostizieren und die empfohlene Korrektur anzuwenden.
| Problembeschreibung | Wahrscheinliche Ursache | Behebung |
|---|---|---|
Unauthorized Von tools/list |
Falsches oder abgelaufenes Bearertoken | Suchen Sie das Token erneut ab, und übergeben Sie es über A365_MCP_AUTH_TOKEN. |
Unknown eval engine |
Ungültiger --eval-engine Wert |
Verwenden Sie eine von auto, github-copilot, claude-codeoder none. |
Pipelinestopps nach [2/5] |
Kein Codierungs-Agent aktiviert PATH |
Installieren Sie GitHub Copilot CLI oder Claude Code, oder überprüfen Sie die Prüfliste selbst, und führen Sie sie erneut aus. |
--output-dir cannot be empty or whitespace |
Ein leerer Wert wurde an übergeben. --output-dir |
Übergeben Sie einen gültigen Verzeichnispfad, oder lassen Sie die Option zur Verwendung des aktuellen Verzeichnisses aus. |
Failed to read existing checklist |
Die Checklistendatei ist gesperrt oder falsch formatiert. | Löschen Sie die Prüflistendatei, um bei der nächsten Ausführung eine neue Ermittlung zu erzwingen. |
Überprüfen und Genehmigen von Toolanforderungen
Nachdem ein Entwickler ein Tool registriert hat, z. B. einen MCP-Remoteserver, wird das Tool im Microsoft 365 Admin Center zur Überprüfung und Genehmigung angezeigt.
Als Administrator mit den richtigen Berechtigungen zum Verwalten von Agent-Tools im Microsoft 365 Admin Center können Sie diese Anforderungen überprüfen, genehmigen oder ablehnen, um zu steuern, welche Tools in Ihrem organization verfügbar sind.
Wichtig
Um den Überprüfungs- und Genehmigungsprozess abzuschließen, müssen Sie zwei Anforderungen erfüllen:
- Sie benötigen Zugriff auf die Toolseite des Microsoft 365 Admin Center, auf der Sie Agent-Tools verwalten und MCP-Serverregistrierungsanforderungen überprüfen.
- Sie benötigen die Möglichkeit, mandantenweite Zustimmung zu erteilen.
Zwei Rollen erfüllen beide Anforderungen:
Verwenden Sie Rollen mit den geringsten Berechtigungen, und beschränken Sie die Anzahl der Benutzer, die über Administratorberechtigungen verfügen. Weitere Informationen finden Sie unter Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID. Weitere Informationen zu Administratorrollen und Berechtigungen im Microsoft 365 Admin Center finden Sie unter:
Führen Sie die folgenden Schritte aus, um MCP-Serverregistrierungsanforderungen zu überprüfen und zu genehmigen:
Melden Sie sich beim Microsoft 365 Admin Center an.
Wählen SieAgents-Tools> und dann die Registerkarte Anforderungen aus.
Bei ausstehenden Anforderungen werden die folgenden Details für jeden Server angezeigt:
- Servername
- Publisher
- Angefordert von
- Angefordertes Datum
Überprüfen Sie die Serverinformationen und deklarierten Tools auf Genauigkeit und Konformität.
Wählen Sie Genehmigen aus, um den Server in der Organisationsregistrierung verfügbar zu machen, oder Ablehnen , um die Anforderung abzulehnen.
Stimmen Sie nach der Genehmigung dem Microsoft Entra berechtigungen zu, die für den MCP-Server erforderlich sind. Der Server wird erst nach erteilung der Zustimmung für Agent-Gebäudeoberflächen verfügbar.
Hinweis
Es kann bis zu 30 Minuten dauern, bis der MCP-Server in allen Microsoft Copilot Studio Umgebungen im Mandanten angezeigt wird, nachdem der MCP-Server genehmigt und die Zustimmung erteilt wurde.
Basierend auf der Verfügbarkeit der MCP-Server werden die folgenden status Indikatoren angezeigt:
- Verfügbar : Das Tool ist aktiv und einsatzbereit.
- Blockiert : Das Tool ist deaktiviert, und Agents können nicht darauf zugreifen.
Wichtige Governancesteuerelemente
In der folgenden Tabelle sind die wichtigsten Governancesteuerelemente zusammengefasst:
| Control | Beschreibung |
|---|---|
| Genehmigung/Ablehnung | Admin jeden BYO MCP-Server explizit genehmigt oder ablehnt, bevor er verwendet werden kann. |
| Server-Level Block | Admin können genehmigte Server jederzeit blockieren. Blockierte Server werden zur Laufzeit erzwungen. |
| Tools-Momentaufnahme | Admin können die deklarierten Tools anzeigen, die von jedem MCP-Server zur Transparenz verfügbar gemacht werden. |
| Laufzeiterzwingung | Blockierte MCP-Server können zur Laufzeit auf keiner Clientoberfläche aufgerufen werden. |
Verwenden eines genehmigten MCP-Servers
Nachdem ein MCP-Server genehmigt wurde und Microsoft Entra seine Zustimmung erteilt hat, können Sie ihn auf allen unterstützten Agent-Erstellungsflächen verwenden. Die folgenden Clientoberflächen unterstützen derzeit das Aufrufen genehmigter BYO MCP-Server in der Vorschauphase:
| Client | Status |
|---|---|
| Copilot Studio | ✅ Unterstützt |
| VS Code | ✅ Unterstützt |
| Claude Code | ✅ Unterstützt |
| GitHub Copilot CLI | ✅ Unterstützt |
Führen Sie als Benutzer in Copilot Studio die folgenden Schritte aus, um den genehmigten BYO MCP-Server aufzurufen:
Wechseln Sie zu Copilot Studio in Ihrer Umgebung.
Erstellen Sie einen neuen benutzerdefinierten Agent (oder öffnen Sie einen vorhandenen Agent).
Wechseln Sie zum Abschnitt Tools , und wählen Sie MCP Server aus.
Wählen Sie den MCP-Server aus der Registrierung aus.
Testen Sie den Agent, indem Sie eine Eingabeaufforderung eingeben, die den MCP-Server aufruft.
Hinweis
Erstmaliges Einrichten der Verbindung: Beim ersten Aufruf werden Sie möglicherweise aufgefordert, eine einmalige Verbindungseinrichtung abzuschließen. Folgen Sie der angegebenen URL, um die erforderliche Verbindung zu erstellen, z. B. die Eingabe Ihres API-Schlüssels für APIKey-basierte Server. Wenn Sie fertig sind, kehren Sie zu Ihrem Agent zurück, und wiederholen Sie die Eingabeaufforderung. Bei erfolgreichem Aufruf wird angezeigt, dass der MCP-Server mit der richtigen Toolausgabe antwortet.
Erfahren Sie, wie Sie genehmigte BYO MCP-Server aus Claude Code, VS Code und GitHub Copilot CLI im Abschnitt Einrichten von Work IQ MCP Servers for Coding Agents der Work IQ MCP-Übersicht aufrufen.
Überwachen und Beobachten der MCP-Serveraktivität
Verwenden Sie als Mitglied des Sicherheitsteams Ihres organization Microsoft Defender erweiterte Suche, um MCP-Serveraufrufe nachzuverfolgen und zu analysieren. Dieser Prozess hilft Ihnen zu sehen, welche Agents welche MCP-Server aufrufen, wann die Aufrufe auftreten, und andere relevante Metadaten, die bei der Erkennung ungewöhnlicher oder nicht autorisierter Verwendungsmuster helfen können.
KQL-Beispielabfrage : Erweiterte Defender-Suche:
CloudAppEvents
| where ActionType in ( "ExecuteToolByGateway")
| where RawEventData contains "tool name"
Diese Abfrage gibt Details zurück, einschließlich Agentname, MCP-Servername und Aufrufmetadaten.
Löschen eines BYO MCP-Servers
Microsoft unterstützt derzeit nicht das Löschen eines BYO MCP-Servers.
Verwalten von Plug-Ins
Plug-Ins sind API-basierte Integrationen, die Agents Zugriff auf externe Daten und Geschäftsaktionen ermöglichen. Im Gegensatz zu MCP-Servern, die Funktionen über das Modellkontextprotokoll verfügbar machen, verbinden Plug-Ins Agents in der Regel direkt mit anwendungsspezifischen Diensten und APIs.
Plug-In-Aktionen
| Plug-In-Aktionen | Beschreibung |
|---|---|
| Installieren und Deinstallieren | Installieren Sie ein Plug-In für Benutzer, damit es ohne manuelle Installation durch Endbenutzer verwendet werden kann. Sie können ein zuvor installiertes Plug-In deinstallieren. |
| Blockieren und Aufheben der Blockierung | Schränken Sie den Zugriff auf ein Plug-In im gesamten organization ein. Dadurch wird verhindert, dass Benutzer das Plug-In verwenden. |
Installieren von Plug-Ins
Sie können Plug-Ins im gesamten organization oder für bestimmte Benutzer oder Gruppen installieren, indem Sie denselben Prozess wie jede andere App im Microsoft 365 Admin Center verwenden.
Führen Sie die folgenden Schritte aus, um ein Plug-In so zu installieren, dass es verfügbar ist:
- Melden Sie sich beim Microsoft 365 Admin Center an.
- Wählen Sie Agents>Tools>Plugins aus.
- Wählen Sie in der Liste der Plug-Ins ein Zu installierende Plug-In aus. Der Bereich "Übersicht " des Plug-Ins wird angezeigt.
- Wählen Sie im Bereich Übersicht der Plug-Ins die Option Installieren aus.
- Bestätigen Sie im Bereich Benutzer auswählen das Plug-In und die Kanaldetails.
- Wählen Sie aus, wer das Plug-In verwenden kann, indem Sie entweder Alle Benutzer oder bestimmte Benutzer oder Gruppen auswählen.
- Wählen Sie Weiter aus.
- Bestätigen Sie im Bereich & Installieren überprüfen die Details, und wählen Sie Installieren aus.
Plug-Ins deinstallieren
Sie können Plug-Ins im gesamten organization oder für bestimmte Benutzer oder Gruppen deinstallieren, indem Sie denselben Prozess wie jede andere App im Microsoft 365 Admin Center verwenden. Wenn Sie ein Plug-In deinstallieren, entfernen Sie das Plug-In aus der Umgebung. Das Plug-In ist nicht mehr für Agents verfügbar, es sei denn, es wird erneut installiert.
Führen Sie die folgenden Schritte aus, um ein Plug-In so zu deinstallieren, dass es nicht verfügbar ist:
- Melden Sie sich beim Microsoft 365 Admin Center an.
- Wählen Sie Agents>Tools>Plugins aus.
- Wählen Sie in der Liste der Plug-Ins ein Plug-In aus, das Sie deinstallieren möchten. Der Bereich "Übersicht " des Plug-Ins wird angezeigt.
- Wählen Sie im Bereich Übersicht der Plug-Ins die Option Deinstallieren aus.
- Bestätigen Sie die Deinstallationsaktion, indem Sie Deinstallieren auswählen.
Plug-Ins blockieren
Sie können ein Plug-In in Ihrem gesamten organization blockieren, indem Sie die Microsoft 365 Admin Center verwenden. Wenn Sie ein Plug-In blockieren, verhindern Sie, dass das Plug-In verwendet wird, während es registriert und in Microsoft 365 Admin Center sichtbar bleibt. Das Plug-In bleibt installiert und im Mandanten verfügbar, aber Agents können es erst aufrufen, wenn die Blockierung aufgehoben wurde.
Führen Sie die folgenden Schritte aus, um ein Plug-In zu blockieren:
- Melden Sie sich beim Microsoft 365 Admin Center an.
- Wählen Sie Agents>Tools>Plugins aus.
- Wählen Sie in der Liste der Plug-Ins ein Zu blockierende Plug-In aus. Der Bereich "Übersicht " des Plug-Ins wird angezeigt.
- Wählen Sie Blockieren aus.
- Vergewissern Sie sich, dass das Plug-In erfolgreich blockiert wurde.
Aufheben der Blockierung von Plug-Ins
Mithilfe des Microsoft 365 Admin Center können Sie die Blockierung eines Plug-Ins in Ihrem gesamten organization aufheben.
Führen Sie die folgenden Schritte aus, um die Blockierung eines Plug-Ins aufzuheben:
- Melden Sie sich beim Microsoft 365 Admin Center an.
- Wählen Sie Agents>Tools>Plugins aus.
- Wählen Sie in der Liste der Plug-Ins ein Plug-In aus, das Sie entsperren möchten. Der Bereich "Übersicht " des Plug-Ins wird angezeigt.
- Klicken Sie auf Unblock (Entsperren).
- Vergewissern Sie sich, dass die Blockierung des Plug-Ins erfolgreich aufgehoben wurde.