Gestire gli strumenti per gli agenti in interfaccia di amministrazione di Microsoft 365

Agent Tools nel interfaccia di amministrazione di Microsoft 365 offre una visualizzazione centralizzata di tutti gli strumenti basati su intelligenza artificiale e dei server MCP (Model Context Protocol) disponibili nell'organizzazione. Questi strumenti definiscono il modo in cui un modello di intelligenza artificiale interagisce con i dati, gli strumenti e i flussi di lavoro degli utenti. Agent Tools consente di gestire richieste, risposte e azioni in modo coerente, sicuro, sicuro e trasparente.

Ogni strumento elencato rappresenta un servizio che supporta le esperienze Copilot nelle app di Microsoft 365. È possibile monitorare la disponibilità, gestire l'accesso e garantire la conformità ai criteri dell'organizzazione. Usare la scheda Registro di sistema per visualizzare e gestire gli strumenti disponibili nel tenant e la scheda Richieste per esaminare e approvare le richieste degli strumenti da parte degli utenti dell'organizzazione.

Nota

La funzionalità del server MCP Bring Your Own (BYO) consente alle organizzazioni di registrare i propri server MCP remoti con Agent 365 per la governance centralizzata e l'osservabilità. Per altre informazioni, vedere Bring your own (BYO) MCP server (Bring your own) MCP server (BYO).

Visualizzare il Registro di sistema di Agent Tools

  1. Accedere all'interfaccia di amministrazione di Microsoft 365.

  2. Nel riquadro di spostamento a sinistra selezionareRegistrostrumenti>agenti>.

    Screenshot che mostra un elenco di strumenti dell'agente disponibili per un tenant.

Componenti chiave degli strumenti dell'agente

L'elenco Strumenti agente nella scheda Registro di sistema e nella scheda Richiesta fornisce filtri, colonne e azioni che consentono di gestire gli strumenti dell'agente.

Azioni

È possibile selezionare le azioni disponibili direttamente dall'elenco oppure selezionare l'agente elencato per visualizzare una panoramica di uno strumento agente. Gli strumenti dell'agente includono le azioni seguenti:

Azione Descrizione
Blocca Impedisce l'uso dello strumento selezionato da parte di agenti o flussi di lavoro.
Sblocca Ripristina l'accesso a uno strumento bloccato in precedenza.

Filtri

Il registro degli strumenti dell'agente può contenere un inventario di strumenti ampio e diversificato. È possibile filtrare l'elenco per limitare la visualizzazione agli strumenti dell'agente su cui si vuole concentrarsi al momento.

I filtri si basano sui criteri seguenti:

Filtro Descrizione
Stato Filtrare gli strumenti in base allo stato corrente, ad esempio Disponibile o Bloccato.
Autore Visualizzare gli strumenti pubblicati da Microsoft o da altri provider.

Colonne

Nella tabella seguente vengono descritte le colonne disponibili nel Registro di sistema degli strumenti dell'agente:

Colonna Descrizione
Nome Nome visualizzato dello strumento, ad esempio Microsoft Teams MCP Server.
Stato Indica se lo strumento è Disponibile o Bloccato.
Tipo Mostra la categoria di strumenti, ad esempio MCP Server.
Autore Mostra l'editore, ad esempio Microsoft per gli strumenti di prima parte.

Server MCP comuni

È possibile usare un server MCP come servizio per esporre dati, azioni e logica di business agli agenti.

Di seguito sono riportati alcuni esempi di server MCP:

Per informazioni correlate, vedere Microsoft Agent 365 SDK e l'interfaccia della riga di comando.

Bring your own (BYO) MCP server

La funzionalità del server MCP Bring Your Own (BYO) consente alle organizzazioni di registrare i propri server MCP remoti con Microsoft Agent 365 per la governance centralizzata e l'osservabilità.

Importante

  • Questa funzionalità è una funzionalità di anteprima.
  • Le funzionalità di anteprima non sono destinate all'uso in produzione e potrebbero avere funzionalità limitate. Queste funzionalità sono soggette a condizioni di utilizzo supplementari e sono disponibili prima di una versione ufficiale, in modo che i clienti possano ottenere l'accesso anticipato e fornire feedback.

Le grandi aziende spesso creano e gestiscono server MCP interni per alimentare i propri agenti in vari flussi di lavoro aziendali. Questi server vengono in genere eseguiti al di fuori di qualsiasi limite di governance dell'organizzazione, senza visibilità dell'amministratore sugli strumenti esposti, nessuna imposizione dei criteri su come vengono richiamati e nessun utilizzo dei dati di telemetria per i team di sicurezza e conformità. Il server BYO MCP risolve questo problema instradando i server registrati attraverso il gateway di Agent 365 Tooling, offrendo agli amministratori IT il controllo tramite i team di sicurezza e interfaccia di amministrazione di Microsoft 365 i dati di osservabilità necessari.

Nota

Il server BYO MCP è attualmente in anteprima. Le superfici client supportate sono Copilot Studio, Visual Studio Code, Claude Code e GitHub Copilot'interfaccia della riga di comando. Azure IA Foundry e gli agenti dichiarativi di Microsoft 365 non sono ancora supportati.

Funzionamento di un server BYO MCP

Un server BYO MCP segue un flusso strutturato da sviluppatore a amministratore per garantire che tutti i server MCP remoti vengano esaminati e regolati prima di essere resi disponibili agli agenti.

Flusso da sviluppatore a amministratore del server BYO MCP:

  1. Lo sviluppatore registra un server MCP remoto tramite l'interfaccia della riga di comando Agent 365, fornendo l'URL del server, il tipo di autenticazione e gli strumenti da esporre. Per altre informazioni, vedere Registrare un server MCP remoto.

  2. L'amministratore IT esamina i dettagli del server e gli strumenti dichiarati nella interfaccia di amministrazione di Microsoft 365 e approva o rifiuta la richiesta. Dopo l'approvazione, l'amministratore concede le autorizzazioni di Microsoft Entra necessarie per il server. Per altre informazioni, vedere Esaminare e approvare le richieste degli strumenti.

  3. Il server MCP approvato viene usato dai client supportati, ad esempio Copilot Studio e Visual Studio Code, per compilare e testare gli agenti in base a chiamate di strumenti reali. Per altre informazioni, vedere Usare un server MCP approvato.

  4. Il team di sicurezza monitora le chiamate agli strumenti e alle attività del server MCP tramite Microsoft Defender ricerca avanzata di conformità e rilevamento anomalie. Per altre informazioni, vedere Monitorare e osservare l'attività del server MCP.

Importante

Questo approccio garantisce che tutte le integrazioni MCP esterne vengano sottoposte a verifiche di governance e conformità appropriate prima di diventare disponibili per gli utenti finali.

Nota

Il server BYO MCP è attualmente in anteprima. La ripubblicazione di nuove versioni del server MCP remoto non è attualmente supportata.

Registrare un server MCP remoto

Consiglio

In qualità di amministratore, può essere utile comprendere come registrare un server MCP remoto. In alternativa, è possibile fornire i passaggi descritti in questa sezione a uno sviluppatore da implementare.

L'utente o uno sviluppatore può registrare il proprio server MCP remoto con Agent 365. Questa sezione illustra i passaggi necessari per registrare un server MCP remoto con Agent 365 usando l'interfaccia della riga di comando, in modo che gli amministratori IT possano esaminarlo e approvarlo per l'uso nelle superfici di compilazione degli agenti.

Questa sezione fornisce i passaggi necessari (comunemente implementati da uno sviluppatore) per registrare un server MCP remoto:

Prerequisiti per gli sviluppatori

Prima di registrare un server MCP remoto, assicurarsi di avere i prerequisiti seguenti:

  • Installare l'interfaccia della riga di comando Agent 365 (o eseguire l'aggiornamento alla versione più recente). Per il funzionamento di questo flusso, è necessaria la versione 1.1.165-preview o successiva.

  • Verificare che il provisioning dell'entità servizio Agent 365 venga eseguito nel tenant. Se non è possibile trovare l'entità servizio associata ad appId ea9ffc3e-8a23-4a7d-836d-234d7c7565c1, non viene effettuato il provisioning dell'entità servizio per il tenant. Per configurare un'entità servizio per Agent 365 nel tenant, vedere:

  • Endpoint server MCP accessibile pubblicamente che è possibile raggiungere da Internet.

  • Il server è configurato con uno dei tipi di autenticazione supportati:

    • NoAuth.
    • APIKey (intestazione o query).
    • ExternalOAuth.
    • EntraOAuth.

Installare l'interfaccia della riga di comando Agent 365

Per installare l'interfaccia della riga di comando Agent 365, seguire le istruzioni in Installare l'interfaccia della riga di comando Agent 365.

Registrare il server MCP

Si è pronti per registrare il server MCP con Agent 365 dopo aver:

  • Installare l'interfaccia della riga di comando Agent 365.
  • Assicurarsi che l'endpoint server MCP sia accessibile pubblicamente.
  • Configurato con un tipo di autenticazione supportato.

Gli amministratori IT possono esaminarlo e approvarlo per l'uso nelle superfici di compilazione degli agenti.

Sono disponibili due opzioni per registrare il server MCP con Agent 365:

  • Registrazione manuale tramite l'interfaccia della riga di comando: eseguire il a365 develop-mcp register-external-mcp-server comando dall'interfaccia della riga di comando e specificare manualmente i dettagli del server, il tipo di autenticazione e gli strumenti esposti dal server MCP.

Importante

Gli esempi in questa sezione vengono usati zava.com come dominio fittizio e nomi di server e strumenti generici per l'illustrazione. Sostituire questi valori con l'URL del server, il nome e gli identificatori dello strumento effettivi.

  • Registrazione tramite file JSON: usare a365 develop-mcp register-external-mcp-server -f <path-to-file.json> per registrare il server MCP fornendo un file JSON contenente tutti i dettagli del server, il tipo di autenticazione e le definizioni degli strumenti in un singolo file, anziché specificarli singolarmente nella riga di comando.

Vedere gli esempi nelle sezioni seguenti per informazioni su come registrare un server MCP con Agent 365 usando l'interfaccia della riga di comando per tipi di autenticazione diversi.

NoAuth

Per i server MCP che non richiedono l'autenticazione:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type "NoAuth" \
--tools "tool1,tool2"
{
  "serverName": "ext_DocsSearch",
  "serverUrl": "https://docs.contoso.com/api/mcp",
  "authType": "NoAuth",
  "description": "Documentation search MCP Server for Contoso developer docs.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "search_docs",
      "description": "Search Contoso developer documentation and code samples."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": null
}
APIKey (parametro di query)

Per i server che passano la chiave API come parametro di query:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Query \
--api-key-name apiKey \
--tools "tool1,tool2"
{
  "serverName": "ext_MarketData",
  "serverUrl": "https://api.contoso.com/market/mcp",
  "authType": "APIKey",
  "description": "Real-time stock market data and search from Contoso Market Services.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "stock-market-data",
      "description": "Get real-time stock market data and financial information."
    },
    {
      "name": "real-time-search",
      "description": "Search the web for real-time information and news."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": {
    "location": "Query",
    "name": "apiKey"
  }
}
APIKey (intestazione)

Per i server che passano la chiave API in un'intestazione della richiesta:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Header \
--api-key-name token \
--tools "tool1,tool2"
{
  "serverName": "ext_InternalTools",
  "serverUrl": "https://tools.contoso.com/mcp",
  "authType": "APIKey",
  "description": "Contoso internal tools MCP Server with API key authentication.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "tool1",
      "description": "First tool exposed by the server."
    },
    {
      "name": "tool2",
      "description": "Second tool exposed by the server."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": {
    "location": "Header",
    "name": "X-API-Key"
  }
}
ExternalOAuth

Per i server che eseguono l'autenticazione tramite un provider OAuth esterno:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type ExternalOAuth \
--idp-authorization-url "https://idp.zava.com/o/oauth2/v2/auth" \
--idp-token-url "https://idp.zava.com/oauth2/token" \
--idp-scopes "https://api.zava.com/read" \
--idp-client-id "<your-client-id>" \
--idp-client-secret "<your-client-secret>" \
--remote-scopes "https://api.zava.com/read" \
--tools "tool1,tool2"

{
  "serverName": "ext_Analytics",
  "serverUrl": "https://analytics.contoso.com/mcp",
  "authType": "ExternalOAuth",
  "description": "Contoso Analytics MCP Server for dataset and query operations.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "list_datasets",
      "description": "List all available analytics datasets."
    }
  ],
  "remoteScopes": "https://analytics.contoso.com/.default",
  "externalOAuth": {
    "authorizationUrl": "https://auth.contoso.com/oauth2/authorize",
    "tokenUrl": "https://auth.contoso.com/oauth2/token",
    "scopes": "https://analytics.contoso.com/.default",
    "clientId": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
    "clientSecret": "<your-client-secret>"
  },
  "apiKey": null
}
EntraOAuth

Per i server che eseguono l'autenticazione tramite Microsoft Entra ID:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type EntraOAuth \
--remote-scopes "https://api.zava.com/.default" \
--tools "tool1,tool2"
{
  "serverName": "ext_OrgDirectory",
  "serverUrl": "https://directory.contoso.com/mcp",
  "authType": "EntraOAuth",
  "description": "Contoso organization directory MCP Server secured with Entra OAuth.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "list_users",
      "description": "List users in the organization directory."
    },
    {
      "name": "get_user_profile",
      "description": "Get the profile of a specific user by ID or UPN."
    }
  ],
  "remoteScopes": "api://contoso-directory/.default",
  "externalOAuth": null,
  "apiKey": null
}

Dopo aver completato la registrazione, inviare il server MCP per la revisione dell'amministratore nel interfaccia di amministrazione di Microsoft 365.

Valutare i server MCP

È possibile valutare la qualità delle definizioni degli strumenti MCP con il a365 develop-mcp evaluate comando . Questo comando esamina gli schemi degli strumenti del server e genera un report con indicazioni utili per migliorare i nomi degli strumenti, le descrizioni e gli schemi dei parametri.

I controlli semantici vengono segnati da un'interfaccia della riga di comando dell'agente di codifica (GitHub Copilot'interfaccia della riga di comando o Claude codice) eseguita localmente nel computer, con il proprio account e la sottoscrizione di intelligenza artificiale. Questo comando non invia i dati dello schema degli strumenti a Microsoft.

Importante

Eseguire evaluate solo su server MCP attendibili. I nomi degli strumenti, le descrizioni e gli schemi dei parametri del server vengono letti tramite una chiamata MCP tools/list standard e consegnati a un agente di codifica in esecuzione nel computer per l'assegnazione dei punteggi. Questa nota di attendibilità viene stampata una volta all'inizio di ogni esecuzione che usa un agente. Non si applica a --eval-engine none, che mantiene tutti gli elementi locali.

Ruolo minimo richiesto: Nessuno. La valutazione viene eseguita in locale in base all'URL del server MCP specificato e non chiama Azure o Microsoft Graph.

Prerequisiti

  • Interfaccia della riga di comando Agent 365. Vedere Installare l'interfaccia della riga di comando Agent 365.
  • Per il punteggio semantico (IA), un'interfaccia della riga di comando dell'agente di codifica installata localmente:
    • GitHub Copilot interfaccia della riga di comando: installare con npm install -g @github/copilot (Node.js 18 o versione successiva). Si tratta del file binario autonomo copilot , non dell'estensione dell'interfaccia della gh copilot riga di comando di GitHub.
    • Claude Codice: eseguire l'installazione con npm install -g @anthropic-ai/claude-codeo seguire Claude'installazione del codice.
  • Se nessuno dei due agenti è installato, il comando esegue ancora i controlli deterministici e scrive l'elenco di controllo, quindi si arresta in modo da poter assegnare un punteggio ai controlli semantici con il proprio LLM (bring-your-own-LLM). Passare --eval-engine none per ignorare completamente il probe dell'agente.

Funzionamento della valutazione

Il comando esegue una pipeline in cinque passaggi e registra lo stato di avanzamento come illustrato nella tabella seguente:

Passaggio Funzione
1 Individuare gli strumenti Si connette al server MCP, chiama tools/liste acquisisce lo schema di ogni strumento.
2 Generare un elenco di controllo Scrive <server-name>_checklist.json nella directory di output.
3 Eseguire la valutazione semantica Consegna l'elenco di controllo all'agente di codifica selezionato per l'assegnazione dei punteggi. Ignorato quando --eval-engine none o non è disponibile alcun agente.
4 Analizzare Aggrega per strumento e punteggi complessivi e determina il livello di maturità.
5 Scrivere report Produce <server-name>_eval_report.html e <server-name>_eval_report.json.

Ogni controllo è uno dei due tipi seguenti:

  • Deterministico: logica basata su regole nell'interfaccia della riga di comando; pass o fail è esatto e non richiede intelligenza artificiale (ad esempio, "il nome dello strumento non è vuoto").
  • Semantica: con punteggio dell'agente di codifica, con una reason stringa che spiega il giudizio.

L'esecuzione è idempotente. La riesecuzione dello stesso comando riutilizza un'individuazione server esistente <server-name>_checklist.json e ignora l'individuazione del server, ovvero il funzionamento del round trip bring-your-own-LLM: assegnare un punteggio all'elenco di controllo manualmente, quindi eseguire di nuovo per riprendere. Eliminare il file dell'elenco di controllo per forzare una nuova individuazione dopo aver modificato gli schemi degli strumenti.

Esempi

Valutare un server locale con la selezione automatica del motore:

a365 develop-mcp evaluate --server-url "http://localhost:5000/mcp"

Valutare un server autenticato, con il token fornito tramite una variabile di ambiente e gli artefatti scritti in una sottocartella:

$env:A365_MCP_AUTH_TOKEN = "<bearer-token>"
a365 develop-mcp evaluate --server-url "https://my-mcp-server.contoso.com/mcp" --output-dir "./eval"

Generare solo l'elenco di controllo, quindi assegnarne il punteggio con il proprio LLM:

a365 develop-mcp evaluate --server-url "https://my-mcp-server.contoso.com/mcp" --eval-engine none

Forzare un motore di punteggio specifico:

a365 develop-mcp evaluate --server-url "http://localhost:5000/mcp" --eval-engine claude-code

Leggere il report

Aprire <server-name>_eval_report.html dalla directory di output in un browser. Il report mostra:

  • Il punteggio complessivo (0-100; più alto è migliore).
  • Livello di maturità (0-4) e relativa etichetta.
  • Punteggi per ogni strumento con suddivisioni delle categorie: nome dello strumento, descrizione dello strumento, nome del parametro, descrizione dei parametri e struttura dello schema.
  • Elenco di elementi di azione con priorità, ordinato in base all'impatto, inclusi i requisiti concreti per raggiungere il livello di maturità successivo.

Screenshot del report HTML develop-mcp evaluate che mostra il punteggio di qualità complessivo, il livello di maturità, i conteggi delle chiavi e i punteggi delle categorie per dimensione.

Gestione dei dati e trasparenza dell'intelligenza artificiale

  • Il comando elabora solo gli schemi statici degli strumenti del server MCP (nomi, descrizioni e schemi dei parametri) da tools/list. Non elabora payload di runtime, dati dell'utente finale o dati personali.
  • L'interfaccia della riga di comando dell'agente di codifica viene eseguita nel computer con la propria sottoscrizione di intelligenza artificiale. La chiamata API del modello viene eseguita direttamente dall'interfaccia della riga di comando al provider di intelligenza artificiale in base alle condizioni per il servizio e la fatturazione. L'interfaccia della a365 riga di comando specifica il modello, ma non media la chiamata.
  • Il --auth-token valore viene mantenuto in memoria, inviato solo come intestazione HTTP Authorization al server e mai scritto su disco o passato all'agente di codifica.
  • I file di output (_checklist.json, _eval_report.html, _eval_report.json) vengono scritti solo nel --output-dir computer e rimangono nel computer.

Risoluzione dei problemi

Usare la guida alla risoluzione dei problemi seguente per diagnosticare gli errori comuni e applicare la correzione consigliata.

Sintomo Probabile causa Correzione
Unauthorized Da tools/list Token di connessione errato o scaduto Riacquisi il token e passalo attraverso A365_MCP_AUTH_TOKEN.
Unknown eval engine Valore non valido --eval-engine Usare uno di auto, github-copilot, claude-codeo none.
Pipeline si arresta dopo [2/5] Nessun agente di codifica in PATH Installare GitHub Copilot'interfaccia della riga di comando o Claude Codice oppure assegnare un punteggio all'elenco di controllo manualmente ed eseguire di nuovo.
--output-dir cannot be empty or whitespace Un valore vuoto è stato passato a --output-dir Passare un percorso di directory valido o omettere l'opzione per usare la directory corrente.
Failed to read existing checklist Il file dell'elenco di controllo è bloccato o non valido Eliminare il file dell'elenco di controllo per forzare una nuova individuazione all'esecuzione successiva.

Esaminare e approvare le richieste degli strumenti

Dopo che uno sviluppatore registra uno strumento, ad esempio un server MCP remoto, lo strumento viene visualizzato nel Centro Amministrazione Microsoft 365 per la revisione e l'approvazione.

Screenshot che mostra un elenco di richieste di strumenti agente disponibili per un tenant.

In qualità di amministratore con le autorizzazioni appropriate per gestire gli strumenti dell'agente nel Centro Amministrazione Microsoft 365, è possibile esaminare, approvare o rifiutare queste richieste per controllare quali strumenti sono disponibili per l'uso nell'organizzazione.

Importante

Per completare il processo di revisione e approvazione, è necessario soddisfare due requisiti:

  • È necessario accedere alla pagina degli strumenti della interfaccia di amministrazione di Microsoft 365 in cui si gestiscono gli strumenti dell'agente e si esaminano le richieste di registrazione del server MCP.
  • È necessaria la possibilità di concedere il consenso a livello di tenant.

Due ruoli soddisfano entrambi i requisiti:

Usare i ruoli con il minor numero di autorizzazioni e limitare il numero di utenti con autorizzazioni di amministratore. Vedere Ruoli con privilegi minimi per attività in Microsoft Entra ID. Per altre informazioni sui ruoli di amministratore e sulle autorizzazioni nel interfaccia di amministrazione di Microsoft 365, vedere:

Per esaminare e approvare le richieste di registrazione del server MCP, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft 365.

  2. Selezionare Strumenti agenti> e quindi selezionare la scheda Richieste.

  3. Le richieste in sospeso visualizzano i dettagli seguenti per ogni server:

    • Nome del server
    • Autore
    • Richiesto da
    • Data richiesta
  4. Esaminare le informazioni sul server e gli strumenti dichiarati per verificare l'accuratezza e la conformità.

  5. Selezionare Approva per rendere il server disponibile nel Registro di sistema dell'organizzazione oppure Rifiuta per negare la richiesta.

  6. Dopo l'approvazione, concedere il consenso alle autorizzazioni di Microsoft Entra richieste dal server MCP. Il server diventa disponibile per le superfici di compilazione dell'agente solo dopo aver concesso il consenso.

Nota

La visualizzazione del server MCP in tutti gli ambienti Microsoft Copilot Studio nel tenant dopo l'approvazione del server MCP e la concessione del consenso può richiedere fino a 30 minuti.

In base alla disponibilità dei server MCP, vengono visualizzati gli indicatori di stato seguenti:

  • Disponibile : lo strumento è attivo e pronto per l'uso.
  • Bloccato : lo strumento è disabilitato e gli agenti non possono accederle.

Controlli di governance principali

La tabella seguente riepiloga i principali controlli di governance:

Controllo Descrizione
Approvazione/rifiuto Amministrazione approva o rifiuta in modo esplicito ogni server BYO MCP prima che possa essere usato.
blocco Server-Level Amministrazione possono bloccare i server approvati in qualsiasi momento. I server bloccati vengono applicati in fase di esecuzione.
Snapshot degli strumenti Amministrazione possibile visualizzare gli strumenti dichiarati esposti da ogni server MCP per la trasparenza.
Imposizione del runtime I server MCP bloccati non possono essere richiamati in fase di esecuzione su qualsiasi superficie client.

Usare un server MCP approvato

Dopo che un server MCP è stato approvato e Microsoft Entra concede il consenso, è possibile usarlo tra le superfici di compilazione degli agenti supportate. Le superfici client seguenti supportano attualmente la chiamata di server BYO MCP approvati in anteprima:

Client Stato
Copilot Studio ✅ Supportati
VS Code ✅ Supportati
codice Claude ✅ Supportati
interfaccia della riga di comando di GitHub Copilot ✅ Supportati

Come utente in Copilot Studio, seguire questa procedura per richiamare il server BYO MCP approvato:

  1. Passare a Copilot Studio nell'ambiente.

  2. Creare un nuovo agente personalizzato (o aprirne uno esistente).

  3. Passare alla sezione Strumenti e selezionare MCP Server.

  4. Selezionare il server MCP dal Registro di sistema.

  5. Testare l'agente immettendo un prompt che richiama il server MCP.

Nota

Configurazione della connessione per la prima volta: alla chiamata iniziale potrebbe essere richiesto di completare una configurazione di connessione una tantum. Seguire l'URL specificato per creare la connessione necessaria, ad esempio immettere la chiave API per i server basati su APIKey. Al termine, tornare all'agente e ripetere la richiesta. Al termine della chiamata, viene visualizzato il server MCP che risponde con l'output dello strumento corretto.

Informazioni su come richiamare server BYO MCP approvati da Claude Code, VS Code e GitHub Copilot'interfaccia della riga di comando nella sezione Configurare server MCP IQ di lavoro per la codifica degli agenti della panoramica di Work IQ MCP.

Monitorare e osservare l'attività del server MCP

Come membro del team di sicurezza dell'organizzazione, usare Microsoft Defender ricerca avanzata per tenere traccia e analizzare le chiamate al server MCP. Questo processo consente di vedere quali agenti richiamano i server MCP, quando si verificano le chiamate e altri metadati pertinenti che possono aiutare a rilevare modelli di utilizzo insoliti o non autorizzati.

Query KQL di esempio - Defender Advanced Hunting:

CloudAppEvents
| where ActionType in ( "ExecuteToolByGateway")
| where RawEventData contains "tool name"

Questa query restituisce dettagli tra cui il nome dell'agente, il nome del server MCP e i metadati di chiamata.

Eliminazione di un server BYO MCP

Microsoft attualmente non supporta l'eliminazione di un server BYO MCP.

Gestire i plug-in

I plug-in sono integrazioni basate su API che forniscono agli agenti l'accesso a dati esterni e azioni aziendali. A differenza dei server MCP, che espongono funzionalità tramite il protocollo di contesto del modello, i plug-in in genere connettono gli agenti direttamente a servizi e API specifici dell'applicazione.

Azioni plug-in

Azioni plug-in Descrizione
Installare e disinstallare Installare un plug-in per gli utenti in modo che sia pronto per l'uso senza l'installazione manuale da parte degli utenti finali. È possibile disinstallare un plug-in installato in precedenza.
Blocca e sblocca Limitare l'accesso a un plug-in nell'organizzazione. Ciò impedisce a qualsiasi utente di usare il plug-in.

Installare i plug-in

È possibile installare plug-in nell'intera organizzazione o per utenti o gruppi specifici usando lo stesso processo di qualsiasi altra app nel interfaccia di amministrazione di Microsoft 365.

Per installare un plug-in in modo che sia disponibile, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft 365.
  2. Selezionare AgentsToolsPlugins (Plug-in deglistrumenti>> agenti).
  3. Nell'elenco dei plug-in selezionare un plug-in da installare. Viene visualizzato il riquadro Panoramica del plug-in.
  4. Nel riquadro Panoramica dei plug-in selezionare Installa.
  5. Nel riquadro Seleziona utenti confermare il plug-in e i dettagli del canale.
  6. Scegliere chi può usare il plug-in selezionando Tutti gli utenti o utenti o gruppi specifici.
  7. Seleziona Avanti.
  8. Nel riquadro Rivedi & installazione verificare i dettagli e selezionare Installa.

Disinstallare i plug-in

È possibile disinstallare i plug-in nell'intera organizzazione o per utenti o gruppi specifici usando lo stesso processo di qualsiasi altra app nel interfaccia di amministrazione di Microsoft 365. Quando si disinstalla un plug-in, si rimuove il plug-in dall'ambiente. Il plug-in non sarà più disponibile per gli agenti a meno che non venga installato di nuovo.

Per disinstallare un plug-in in modo che non sia disponibile, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft 365.
  2. Selezionare AgentsToolsPlugins (Plug-in deglistrumenti>> agenti).
  3. Nell'elenco dei plug-in selezionare un plug-in da disinstallare. Viene visualizzato il riquadro Panoramica del plug-in.
  4. Nel riquadro Panoramica dei plug-in selezionare Disinstalla.
  5. Confermare l'azione di disinstallazione selezionando Disinstalla.

Blocca plug-in

È possibile bloccare un plug-in nell'intera organizzazione usando il interfaccia di amministrazione di Microsoft 365. Quando blocchi un plug-in, impedisci l'uso del plug-in mantenendolo registrato e visibile all'interno di interfaccia di amministrazione di Microsoft 365. Il plug-in rimarrà installato e disponibile nel tenant, ma gli agenti non possono richiamarlo fino a quando non viene sbloccato.

Per bloccare un plug-in, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft 365.
  2. Selezionare AgentsToolsPlugins (Plug-in deglistrumenti>> agenti).
  3. Nell'elenco dei plug-in selezionare un plug-in da bloccare. Viene visualizzato il riquadro Panoramica del plug-in.
  4. Selezionare Blocca.
  5. Verificare che il plug-in sia stato bloccato correttamente.

Sbloccare i plug-in

È possibile sbloccare un plug-in nell'intera organizzazione usando il interfaccia di amministrazione di Microsoft 365.

Per sbloccare un plug-in, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft 365.
  2. Selezionare AgentsToolsPlugins (Plug-in deglistrumenti>> agenti).
  3. Nell'elenco dei plug-in selezionare un plug-in da sbloccare. Viene visualizzato il riquadro Panoramica del plug-in.
  4. Selezionare Unblock (Sblocca).
  5. Verificare che il plug-in sia stato sbloccato correttamente.