Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Agent Tools nel interfaccia di amministrazione di Microsoft 365 offre una visualizzazione centralizzata di tutti gli strumenti basati su intelligenza artificiale e dei server MCP (Model Context Protocol) disponibili nell'organizzazione. Questi strumenti definiscono il modo in cui un modello di intelligenza artificiale interagisce con i dati, gli strumenti e i flussi di lavoro degli utenti. Agent Tools consente di gestire richieste, risposte e azioni in modo coerente, sicuro, sicuro e trasparente.
Ogni strumento elencato rappresenta un servizio che supporta le esperienze Copilot nelle app di Microsoft 365. È possibile monitorare la disponibilità, gestire l'accesso e garantire la conformità ai criteri dell'organizzazione. Usare la scheda Registro di sistema per visualizzare e gestire gli strumenti disponibili nel tenant e la scheda Richieste per esaminare e approvare le richieste degli strumenti da parte degli utenti dell'organizzazione.
Nota
La funzionalità del server MCP Bring Your Own (BYO) consente alle organizzazioni di registrare i propri server MCP remoti con Agent 365 per la governance centralizzata e l'osservabilità. Per altre informazioni, vedere Bring your own (BYO) MCP server (Bring your own) MCP server (BYO).
Visualizzare il Registro di sistema di Agent Tools
Accedere all'interfaccia di amministrazione di Microsoft 365.
Nel riquadro di spostamento a sinistra selezionareRegistrostrumenti>agenti>.
Componenti chiave degli strumenti dell'agente
L'elenco Strumenti agente nella scheda Registro di sistema e nella scheda Richiesta fornisce filtri, colonne e azioni che consentono di gestire gli strumenti dell'agente.
Azioni
È possibile selezionare le azioni disponibili direttamente dall'elenco oppure selezionare l'agente elencato per visualizzare una panoramica di uno strumento agente. Gli strumenti dell'agente includono le azioni seguenti:
| Azione | Descrizione |
|---|---|
| Blocca | Impedisce l'uso dello strumento selezionato da parte di agenti o flussi di lavoro. |
| Sblocca | Ripristina l'accesso a uno strumento bloccato in precedenza. |
Filtri
Il registro degli strumenti dell'agente può contenere un inventario di strumenti ampio e diversificato. È possibile filtrare l'elenco per limitare la visualizzazione agli strumenti dell'agente su cui si vuole concentrarsi al momento.
I filtri si basano sui criteri seguenti:
| Filtro | Descrizione |
|---|---|
| Stato | Filtrare gli strumenti in base allo stato corrente, ad esempio Disponibile o Bloccato. |
| Autore | Visualizzare gli strumenti pubblicati da Microsoft o da altri provider. |
Colonne
Nella tabella seguente vengono descritte le colonne disponibili nel Registro di sistema degli strumenti dell'agente:
| Colonna | Descrizione |
|---|---|
| Nome | Nome visualizzato dello strumento, ad esempio Microsoft Teams MCP Server. |
| Stato | Indica se lo strumento è Disponibile o Bloccato. |
| Tipo | Mostra la categoria di strumenti, ad esempio MCP Server. |
| Autore | Mostra l'editore, ad esempio Microsoft per gli strumenti di prima parte. |
Server MCP comuni
È possibile usare un server MCP come servizio per esporre dati, azioni e logica di business agli agenti.
Di seguito sono riportati alcuni esempi di server MCP:
- Server MCP dataverse.
- Windows 365 for Agents server MCP.
- Server MCP di gestione MCP microsoft.
- Amministrazione strumenti MCP Server per interfaccia di amministrazione di Microsoft 365.
Per informazioni correlate, vedere Microsoft Agent 365 SDK e l'interfaccia della riga di comando.
Bring your own (BYO) MCP server
La funzionalità del server MCP Bring Your Own (BYO) consente alle organizzazioni di registrare i propri server MCP remoti con Microsoft Agent 365 per la governance centralizzata e l'osservabilità.
Importante
- Questa funzionalità è una funzionalità di anteprima.
- Le funzionalità di anteprima non sono destinate all'uso in produzione e potrebbero avere funzionalità limitate. Queste funzionalità sono soggette a condizioni di utilizzo supplementari e sono disponibili prima di una versione ufficiale, in modo che i clienti possano ottenere l'accesso anticipato e fornire feedback.
Le grandi aziende spesso creano e gestiscono server MCP interni per alimentare i propri agenti in vari flussi di lavoro aziendali. Questi server vengono in genere eseguiti al di fuori di qualsiasi limite di governance dell'organizzazione, senza visibilità dell'amministratore sugli strumenti esposti, nessuna imposizione dei criteri su come vengono richiamati e nessun utilizzo dei dati di telemetria per i team di sicurezza e conformità. Il server BYO MCP risolve questo problema instradando i server registrati attraverso il gateway di Agent 365 Tooling, offrendo agli amministratori IT il controllo tramite i team di sicurezza e interfaccia di amministrazione di Microsoft 365 i dati di osservabilità necessari.
Nota
Il server BYO MCP è attualmente in anteprima. Le superfici client supportate sono Copilot Studio, Visual Studio Code, Claude Code e GitHub Copilot'interfaccia della riga di comando. Azure IA Foundry e gli agenti dichiarativi di Microsoft 365 non sono ancora supportati.
Funzionamento di un server BYO MCP
Un server BYO MCP segue un flusso strutturato da sviluppatore a amministratore per garantire che tutti i server MCP remoti vengano esaminati e regolati prima di essere resi disponibili agli agenti.
Flusso da sviluppatore a amministratore del server BYO MCP:
Lo sviluppatore registra un server MCP remoto tramite l'interfaccia della riga di comando Agent 365, fornendo l'URL del server, il tipo di autenticazione e gli strumenti da esporre. Per altre informazioni, vedere Registrare un server MCP remoto.
L'amministratore IT esamina i dettagli del server e gli strumenti dichiarati nella interfaccia di amministrazione di Microsoft 365 e approva o rifiuta la richiesta. Dopo l'approvazione, l'amministratore concede le autorizzazioni di Microsoft Entra necessarie per il server. Per altre informazioni, vedere Esaminare e approvare le richieste degli strumenti.
Il server MCP approvato viene usato dai client supportati, ad esempio Copilot Studio e Visual Studio Code, per compilare e testare gli agenti in base a chiamate di strumenti reali. Per altre informazioni, vedere Usare un server MCP approvato.
Il team di sicurezza monitora le chiamate agli strumenti e alle attività del server MCP tramite Microsoft Defender ricerca avanzata di conformità e rilevamento anomalie. Per altre informazioni, vedere Monitorare e osservare l'attività del server MCP.
Importante
Questo approccio garantisce che tutte le integrazioni MCP esterne vengano sottoposte a verifiche di governance e conformità appropriate prima di diventare disponibili per gli utenti finali.
Nota
Il server BYO MCP è attualmente in anteprima. La ripubblicazione di nuove versioni del server MCP remoto non è attualmente supportata.
Registrare un server MCP remoto
Consiglio
In qualità di amministratore, può essere utile comprendere come registrare un server MCP remoto. In alternativa, è possibile fornire i passaggi descritti in questa sezione a uno sviluppatore da implementare.
L'utente o uno sviluppatore può registrare il proprio server MCP remoto con Agent 365. Questa sezione illustra i passaggi necessari per registrare un server MCP remoto con Agent 365 usando l'interfaccia della riga di comando, in modo che gli amministratori IT possano esaminarlo e approvarlo per l'uso nelle superfici di compilazione degli agenti.
Questa sezione fornisce i passaggi necessari (comunemente implementati da uno sviluppatore) per registrare un server MCP remoto:
- Informazioni sui prerequisiti per gli sviluppatori.
- Installare l'interfaccia della riga di comando Agent 365.
- Registrare il server MCP.
Prerequisiti per gli sviluppatori
Prima di registrare un server MCP remoto, assicurarsi di avere i prerequisiti seguenti:
Installare l'interfaccia della riga di comando Agent 365 (o eseguire l'aggiornamento alla versione più recente). Per il funzionamento di questo flusso, è necessaria la versione 1.1.165-preview o successiva.
Verificare che il provisioning dell'entità servizio Agent 365 venga eseguito nel tenant. Se non è possibile trovare l'entità servizio associata ad appId
ea9ffc3e-8a23-4a7d-836d-234d7c7565c1, non viene effettuato il provisioning dell'entità servizio per il tenant. Per configurare un'entità servizio per Agent 365 nel tenant, vedere:Endpoint server MCP accessibile pubblicamente che è possibile raggiungere da Internet.
Il server è configurato con uno dei tipi di autenticazione supportati:
- NoAuth.
- APIKey (intestazione o query).
- ExternalOAuth.
- EntraOAuth.
Installare l'interfaccia della riga di comando Agent 365
Per installare l'interfaccia della riga di comando Agent 365, seguire le istruzioni in Installare l'interfaccia della riga di comando Agent 365.
Registrare il server MCP
Si è pronti per registrare il server MCP con Agent 365 dopo aver:
- Installare l'interfaccia della riga di comando Agent 365.
- Assicurarsi che l'endpoint server MCP sia accessibile pubblicamente.
- Configurato con un tipo di autenticazione supportato.
Gli amministratori IT possono esaminarlo e approvarlo per l'uso nelle superfici di compilazione degli agenti.
Sono disponibili due opzioni per registrare il server MCP con Agent 365:
-
Registrazione manuale tramite l'interfaccia della riga di comando: eseguire il
a365 develop-mcp register-external-mcp-servercomando dall'interfaccia della riga di comando e specificare manualmente i dettagli del server, il tipo di autenticazione e gli strumenti esposti dal server MCP.
Importante
Gli esempi in questa sezione vengono usati zava.com come dominio fittizio e nomi di server e strumenti generici per l'illustrazione. Sostituire questi valori con l'URL del server, il nome e gli identificatori dello strumento effettivi.
-
Registrazione tramite file JSON: usare
a365 develop-mcp register-external-mcp-server -f <path-to-file.json>per registrare il server MCP fornendo un file JSON contenente tutti i dettagli del server, il tipo di autenticazione e le definizioni degli strumenti in un singolo file, anziché specificarli singolarmente nella riga di comando.
Vedere gli esempi nelle sezioni seguenti per informazioni su come registrare un server MCP con Agent 365 usando l'interfaccia della riga di comando per tipi di autenticazione diversi.
NoAuth
Per i server MCP che non richiedono l'autenticazione:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type "NoAuth" \
--tools "tool1,tool2"
{
"serverName": "ext_DocsSearch",
"serverUrl": "https://docs.contoso.com/api/mcp",
"authType": "NoAuth",
"description": "Documentation search MCP Server for Contoso developer docs.",
"publisherName": "Contoso",
"tools": [
{
"name": "search_docs",
"description": "Search Contoso developer documentation and code samples."
}
],
"remoteScopes": null,
"externalOAuth": null,
"apiKey": null
}
APIKey (parametro di query)
Per i server che passano la chiave API come parametro di query:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Query \
--api-key-name apiKey \
--tools "tool1,tool2"
{
"serverName": "ext_MarketData",
"serverUrl": "https://api.contoso.com/market/mcp",
"authType": "APIKey",
"description": "Real-time stock market data and search from Contoso Market Services.",
"publisherName": "Contoso",
"tools": [
{
"name": "stock-market-data",
"description": "Get real-time stock market data and financial information."
},
{
"name": "real-time-search",
"description": "Search the web for real-time information and news."
}
],
"remoteScopes": null,
"externalOAuth": null,
"apiKey": {
"location": "Query",
"name": "apiKey"
}
}
APIKey (intestazione)
Per i server che passano la chiave API in un'intestazione della richiesta:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Header \
--api-key-name token \
--tools "tool1,tool2"
{
"serverName": "ext_InternalTools",
"serverUrl": "https://tools.contoso.com/mcp",
"authType": "APIKey",
"description": "Contoso internal tools MCP Server with API key authentication.",
"publisherName": "Contoso",
"tools": [
{
"name": "tool1",
"description": "First tool exposed by the server."
},
{
"name": "tool2",
"description": "Second tool exposed by the server."
}
],
"remoteScopes": null,
"externalOAuth": null,
"apiKey": {
"location": "Header",
"name": "X-API-Key"
}
}
ExternalOAuth
Per i server che eseguono l'autenticazione tramite un provider OAuth esterno:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type ExternalOAuth \
--idp-authorization-url "https://idp.zava.com/o/oauth2/v2/auth" \
--idp-token-url "https://idp.zava.com/oauth2/token" \
--idp-scopes "https://api.zava.com/read" \
--idp-client-id "<your-client-id>" \
--idp-client-secret "<your-client-secret>" \
--remote-scopes "https://api.zava.com/read" \
--tools "tool1,tool2"
{
"serverName": "ext_Analytics",
"serverUrl": "https://analytics.contoso.com/mcp",
"authType": "ExternalOAuth",
"description": "Contoso Analytics MCP Server for dataset and query operations.",
"publisherName": "Contoso",
"tools": [
{
"name": "list_datasets",
"description": "List all available analytics datasets."
}
],
"remoteScopes": "https://analytics.contoso.com/.default",
"externalOAuth": {
"authorizationUrl": "https://auth.contoso.com/oauth2/authorize",
"tokenUrl": "https://auth.contoso.com/oauth2/token",
"scopes": "https://analytics.contoso.com/.default",
"clientId": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
"clientSecret": "<your-client-secret>"
},
"apiKey": null
}
EntraOAuth
Per i server che eseguono l'autenticazione tramite Microsoft Entra ID:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type EntraOAuth \
--remote-scopes "https://api.zava.com/.default" \
--tools "tool1,tool2"
{
"serverName": "ext_OrgDirectory",
"serverUrl": "https://directory.contoso.com/mcp",
"authType": "EntraOAuth",
"description": "Contoso organization directory MCP Server secured with Entra OAuth.",
"publisherName": "Contoso",
"tools": [
{
"name": "list_users",
"description": "List users in the organization directory."
},
{
"name": "get_user_profile",
"description": "Get the profile of a specific user by ID or UPN."
}
],
"remoteScopes": "api://contoso-directory/.default",
"externalOAuth": null,
"apiKey": null
}
Dopo aver completato la registrazione, inviare il server MCP per la revisione dell'amministratore nel interfaccia di amministrazione di Microsoft 365.
Valutare i server MCP
È possibile valutare la qualità delle definizioni degli strumenti MCP con il a365 develop-mcp evaluate comando . Questo comando esamina gli schemi degli strumenti del server e genera un report con indicazioni utili per migliorare i nomi degli strumenti, le descrizioni e gli schemi dei parametri.
I controlli semantici vengono segnati da un'interfaccia della riga di comando dell'agente di codifica (GitHub Copilot'interfaccia della riga di comando o Claude codice) eseguita localmente nel computer, con il proprio account e la sottoscrizione di intelligenza artificiale. Questo comando non invia i dati dello schema degli strumenti a Microsoft.
Importante
Eseguire evaluate solo su server MCP attendibili. I nomi degli strumenti, le descrizioni e gli schemi dei parametri del server vengono letti tramite una chiamata MCP tools/list standard e consegnati a un agente di codifica in esecuzione nel computer per l'assegnazione dei punteggi. Questa nota di attendibilità viene stampata una volta all'inizio di ogni esecuzione che usa un agente. Non si applica a --eval-engine none, che mantiene tutti gli elementi locali.
Ruolo minimo richiesto: Nessuno. La valutazione viene eseguita in locale in base all'URL del server MCP specificato e non chiama Azure o Microsoft Graph.
Prerequisiti
- Interfaccia della riga di comando Agent 365. Vedere Installare l'interfaccia della riga di comando Agent 365.
- Per il punteggio semantico (IA), un'interfaccia della riga di comando dell'agente di codifica installata localmente:
-
GitHub Copilot interfaccia della riga di comando: installare con
npm install -g @github/copilot(Node.js 18 o versione successiva). Si tratta del file binario autonomocopilot, non dell'estensione dell'interfaccia dellagh copilotriga di comando di GitHub. -
Claude Codice: eseguire l'installazione con
npm install -g @anthropic-ai/claude-codeo seguire Claude'installazione del codice.
-
GitHub Copilot interfaccia della riga di comando: installare con
- Se nessuno dei due agenti è installato, il comando esegue ancora i controlli deterministici e scrive l'elenco di controllo, quindi si arresta in modo da poter assegnare un punteggio ai controlli semantici con il proprio LLM (bring-your-own-LLM). Passare
--eval-engine noneper ignorare completamente il probe dell'agente.
Funzionamento della valutazione
Il comando esegue una pipeline in cinque passaggi e registra lo stato di avanzamento come illustrato nella tabella seguente:
| Passaggio | Funzione |
|---|---|
| 1 Individuare gli strumenti | Si connette al server MCP, chiama tools/liste acquisisce lo schema di ogni strumento. |
| 2 Generare un elenco di controllo | Scrive <server-name>_checklist.json nella directory di output. |
| 3 Eseguire la valutazione semantica | Consegna l'elenco di controllo all'agente di codifica selezionato per l'assegnazione dei punteggi. Ignorato quando --eval-engine none o non è disponibile alcun agente. |
| 4 Analizzare | Aggrega per strumento e punteggi complessivi e determina il livello di maturità. |
| 5 Scrivere report | Produce <server-name>_eval_report.html e <server-name>_eval_report.json. |
Ogni controllo è uno dei due tipi seguenti:
- Deterministico: logica basata su regole nell'interfaccia della riga di comando; pass o fail è esatto e non richiede intelligenza artificiale (ad esempio, "il nome dello strumento non è vuoto").
-
Semantica: con punteggio dell'agente di codifica, con una
reasonstringa che spiega il giudizio.
L'esecuzione è idempotente. La riesecuzione dello stesso comando riutilizza un'individuazione server esistente <server-name>_checklist.json e ignora l'individuazione del server, ovvero il funzionamento del round trip bring-your-own-LLM: assegnare un punteggio all'elenco di controllo manualmente, quindi eseguire di nuovo per riprendere. Eliminare il file dell'elenco di controllo per forzare una nuova individuazione dopo aver modificato gli schemi degli strumenti.
Esempi
Valutare un server locale con la selezione automatica del motore:
a365 develop-mcp evaluate --server-url "http://localhost:5000/mcp"
Valutare un server autenticato, con il token fornito tramite una variabile di ambiente e gli artefatti scritti in una sottocartella:
$env:A365_MCP_AUTH_TOKEN = "<bearer-token>"
a365 develop-mcp evaluate --server-url "https://my-mcp-server.contoso.com/mcp" --output-dir "./eval"
Generare solo l'elenco di controllo, quindi assegnarne il punteggio con il proprio LLM:
a365 develop-mcp evaluate --server-url "https://my-mcp-server.contoso.com/mcp" --eval-engine none
Forzare un motore di punteggio specifico:
a365 develop-mcp evaluate --server-url "http://localhost:5000/mcp" --eval-engine claude-code
Leggere il report
Aprire <server-name>_eval_report.html dalla directory di output in un browser. Il report mostra:
- Il punteggio complessivo (0-100; più alto è migliore).
- Livello di maturità (0-4) e relativa etichetta.
- Punteggi per ogni strumento con suddivisioni delle categorie: nome dello strumento, descrizione dello strumento, nome del parametro, descrizione dei parametri e struttura dello schema.
- Elenco di elementi di azione con priorità, ordinato in base all'impatto, inclusi i requisiti concreti per raggiungere il livello di maturità successivo.
Gestione dei dati e trasparenza dell'intelligenza artificiale
- Il comando elabora solo gli schemi statici degli strumenti del server MCP (nomi, descrizioni e schemi dei parametri) da
tools/list. Non elabora payload di runtime, dati dell'utente finale o dati personali. - L'interfaccia della riga di comando dell'agente di codifica viene eseguita nel computer con la propria sottoscrizione di intelligenza artificiale. La chiamata API del modello viene eseguita direttamente dall'interfaccia della riga di comando al provider di intelligenza artificiale in base alle condizioni per il servizio e la fatturazione. L'interfaccia della
a365riga di comando specifica il modello, ma non media la chiamata. - Il
--auth-tokenvalore viene mantenuto in memoria, inviato solo come intestazione HTTPAuthorizational server e mai scritto su disco o passato all'agente di codifica. - I file di output (
_checklist.json,_eval_report.html,_eval_report.json) vengono scritti solo nel--output-dircomputer e rimangono nel computer.
Risoluzione dei problemi
Usare la guida alla risoluzione dei problemi seguente per diagnosticare gli errori comuni e applicare la correzione consigliata.
| Sintomo | Probabile causa | Correzione |
|---|---|---|
Unauthorized Da tools/list |
Token di connessione errato o scaduto | Riacquisi il token e passalo attraverso A365_MCP_AUTH_TOKEN. |
Unknown eval engine |
Valore non valido --eval-engine |
Usare uno di auto, github-copilot, claude-codeo none. |
Pipeline si arresta dopo [2/5] |
Nessun agente di codifica in PATH |
Installare GitHub Copilot'interfaccia della riga di comando o Claude Codice oppure assegnare un punteggio all'elenco di controllo manualmente ed eseguire di nuovo. |
--output-dir cannot be empty or whitespace |
Un valore vuoto è stato passato a --output-dir |
Passare un percorso di directory valido o omettere l'opzione per usare la directory corrente. |
Failed to read existing checklist |
Il file dell'elenco di controllo è bloccato o non valido | Eliminare il file dell'elenco di controllo per forzare una nuova individuazione all'esecuzione successiva. |
Esaminare e approvare le richieste degli strumenti
Dopo che uno sviluppatore registra uno strumento, ad esempio un server MCP remoto, lo strumento viene visualizzato nel Centro Amministrazione Microsoft 365 per la revisione e l'approvazione.
In qualità di amministratore con le autorizzazioni appropriate per gestire gli strumenti dell'agente nel Centro Amministrazione Microsoft 365, è possibile esaminare, approvare o rifiutare queste richieste per controllare quali strumenti sono disponibili per l'uso nell'organizzazione.
Importante
Per completare il processo di revisione e approvazione, è necessario soddisfare due requisiti:
- È necessario accedere alla pagina degli strumenti della interfaccia di amministrazione di Microsoft 365 in cui si gestiscono gli strumenti dell'agente e si esaminano le richieste di registrazione del server MCP.
- È necessaria la possibilità di concedere il consenso a livello di tenant.
Due ruoli soddisfano entrambi i requisiti:
Usare i ruoli con il minor numero di autorizzazioni e limitare il numero di utenti con autorizzazioni di amministratore. Vedere Ruoli con privilegi minimi per attività in Microsoft Entra ID. Per altre informazioni sui ruoli di amministratore e sulle autorizzazioni nel interfaccia di amministrazione di Microsoft 365, vedere:
Per esaminare e approvare le richieste di registrazione del server MCP, seguire questa procedura:
Accedere all'interfaccia di amministrazione di Microsoft 365.
Selezionare Strumenti agenti> e quindi selezionare la scheda Richieste.
Le richieste in sospeso visualizzano i dettagli seguenti per ogni server:
- Nome del server
- Autore
- Richiesto da
- Data richiesta
Esaminare le informazioni sul server e gli strumenti dichiarati per verificare l'accuratezza e la conformità.
Selezionare Approva per rendere il server disponibile nel Registro di sistema dell'organizzazione oppure Rifiuta per negare la richiesta.
Dopo l'approvazione, concedere il consenso alle autorizzazioni di Microsoft Entra richieste dal server MCP. Il server diventa disponibile per le superfici di compilazione dell'agente solo dopo aver concesso il consenso.
Nota
La visualizzazione del server MCP in tutti gli ambienti Microsoft Copilot Studio nel tenant dopo l'approvazione del server MCP e la concessione del consenso può richiedere fino a 30 minuti.
In base alla disponibilità dei server MCP, vengono visualizzati gli indicatori di stato seguenti:
- Disponibile : lo strumento è attivo e pronto per l'uso.
- Bloccato : lo strumento è disabilitato e gli agenti non possono accederle.
Controlli di governance principali
La tabella seguente riepiloga i principali controlli di governance:
| Controllo | Descrizione |
|---|---|
| Approvazione/rifiuto | Amministrazione approva o rifiuta in modo esplicito ogni server BYO MCP prima che possa essere usato. |
| blocco Server-Level | Amministrazione possono bloccare i server approvati in qualsiasi momento. I server bloccati vengono applicati in fase di esecuzione. |
| Snapshot degli strumenti | Amministrazione possibile visualizzare gli strumenti dichiarati esposti da ogni server MCP per la trasparenza. |
| Imposizione del runtime | I server MCP bloccati non possono essere richiamati in fase di esecuzione su qualsiasi superficie client. |
Usare un server MCP approvato
Dopo che un server MCP è stato approvato e Microsoft Entra concede il consenso, è possibile usarlo tra le superfici di compilazione degli agenti supportate. Le superfici client seguenti supportano attualmente la chiamata di server BYO MCP approvati in anteprima:
| Client | Stato |
|---|---|
| Copilot Studio | ✅ Supportati |
| VS Code | ✅ Supportati |
| codice Claude | ✅ Supportati |
| interfaccia della riga di comando di GitHub Copilot | ✅ Supportati |
Come utente in Copilot Studio, seguire questa procedura per richiamare il server BYO MCP approvato:
Passare a Copilot Studio nell'ambiente.
Creare un nuovo agente personalizzato (o aprirne uno esistente).
Passare alla sezione Strumenti e selezionare MCP Server.
Selezionare il server MCP dal Registro di sistema.
Testare l'agente immettendo un prompt che richiama il server MCP.
Nota
Configurazione della connessione per la prima volta: alla chiamata iniziale potrebbe essere richiesto di completare una configurazione di connessione una tantum. Seguire l'URL specificato per creare la connessione necessaria, ad esempio immettere la chiave API per i server basati su APIKey. Al termine, tornare all'agente e ripetere la richiesta. Al termine della chiamata, viene visualizzato il server MCP che risponde con l'output dello strumento corretto.
Informazioni su come richiamare server BYO MCP approvati da Claude Code, VS Code e GitHub Copilot'interfaccia della riga di comando nella sezione Configurare server MCP IQ di lavoro per la codifica degli agenti della panoramica di Work IQ MCP.
Monitorare e osservare l'attività del server MCP
Come membro del team di sicurezza dell'organizzazione, usare Microsoft Defender ricerca avanzata per tenere traccia e analizzare le chiamate al server MCP. Questo processo consente di vedere quali agenti richiamano i server MCP, quando si verificano le chiamate e altri metadati pertinenti che possono aiutare a rilevare modelli di utilizzo insoliti o non autorizzati.
Query KQL di esempio - Defender Advanced Hunting:
CloudAppEvents
| where ActionType in ( "ExecuteToolByGateway")
| where RawEventData contains "tool name"
Questa query restituisce dettagli tra cui il nome dell'agente, il nome del server MCP e i metadati di chiamata.
Eliminazione di un server BYO MCP
Microsoft attualmente non supporta l'eliminazione di un server BYO MCP.
Gestire i plug-in
I plug-in sono integrazioni basate su API che forniscono agli agenti l'accesso a dati esterni e azioni aziendali. A differenza dei server MCP, che espongono funzionalità tramite il protocollo di contesto del modello, i plug-in in genere connettono gli agenti direttamente a servizi e API specifici dell'applicazione.
Azioni plug-in
| Azioni plug-in | Descrizione |
|---|---|
| Installare e disinstallare | Installare un plug-in per gli utenti in modo che sia pronto per l'uso senza l'installazione manuale da parte degli utenti finali. È possibile disinstallare un plug-in installato in precedenza. |
| Blocca e sblocca | Limitare l'accesso a un plug-in nell'organizzazione. Ciò impedisce a qualsiasi utente di usare il plug-in. |
Installare i plug-in
È possibile installare plug-in nell'intera organizzazione o per utenti o gruppi specifici usando lo stesso processo di qualsiasi altra app nel interfaccia di amministrazione di Microsoft 365.
Per installare un plug-in in modo che sia disponibile, seguire questa procedura:
- Accedere all'interfaccia di amministrazione di Microsoft 365.
- Selezionare AgentsToolsPlugins (Plug-in deglistrumenti>> agenti).
- Nell'elenco dei plug-in selezionare un plug-in da installare. Viene visualizzato il riquadro Panoramica del plug-in.
- Nel riquadro Panoramica dei plug-in selezionare Installa.
- Nel riquadro Seleziona utenti confermare il plug-in e i dettagli del canale.
- Scegliere chi può usare il plug-in selezionando Tutti gli utenti o utenti o gruppi specifici.
- Seleziona Avanti.
- Nel riquadro Rivedi & installazione verificare i dettagli e selezionare Installa.
Disinstallare i plug-in
È possibile disinstallare i plug-in nell'intera organizzazione o per utenti o gruppi specifici usando lo stesso processo di qualsiasi altra app nel interfaccia di amministrazione di Microsoft 365. Quando si disinstalla un plug-in, si rimuove il plug-in dall'ambiente. Il plug-in non sarà più disponibile per gli agenti a meno che non venga installato di nuovo.
Per disinstallare un plug-in in modo che non sia disponibile, seguire questa procedura:
- Accedere all'interfaccia di amministrazione di Microsoft 365.
- Selezionare AgentsToolsPlugins (Plug-in deglistrumenti>> agenti).
- Nell'elenco dei plug-in selezionare un plug-in da disinstallare. Viene visualizzato il riquadro Panoramica del plug-in.
- Nel riquadro Panoramica dei plug-in selezionare Disinstalla.
- Confermare l'azione di disinstallazione selezionando Disinstalla.
Blocca plug-in
È possibile bloccare un plug-in nell'intera organizzazione usando il interfaccia di amministrazione di Microsoft 365. Quando blocchi un plug-in, impedisci l'uso del plug-in mantenendolo registrato e visibile all'interno di interfaccia di amministrazione di Microsoft 365. Il plug-in rimarrà installato e disponibile nel tenant, ma gli agenti non possono richiamarlo fino a quando non viene sbloccato.
Per bloccare un plug-in, seguire questa procedura:
- Accedere all'interfaccia di amministrazione di Microsoft 365.
- Selezionare AgentsToolsPlugins (Plug-in deglistrumenti>> agenti).
- Nell'elenco dei plug-in selezionare un plug-in da bloccare. Viene visualizzato il riquadro Panoramica del plug-in.
- Selezionare Blocca.
- Verificare che il plug-in sia stato bloccato correttamente.
Sbloccare i plug-in
È possibile sbloccare un plug-in nell'intera organizzazione usando il interfaccia di amministrazione di Microsoft 365.
Per sbloccare un plug-in, seguire questa procedura:
- Accedere all'interfaccia di amministrazione di Microsoft 365.
- Selezionare AgentsToolsPlugins (Plug-in deglistrumenti>> agenti).
- Nell'elenco dei plug-in selezionare un plug-in da sbloccare. Viene visualizzato il riquadro Panoramica del plug-in.
- Selezionare Unblock (Sblocca).
- Verificare che il plug-in sia stato sbloccato correttamente.