أفضل الممارسات والإرشادات الأمنية لخادم Foundry MCP

تقوم أدوات معاينة خادم Foundry MCP بأتمتة عمليات القراءة والكتابة عبر موارد Foundry، بما في ذلك النشرات، ومجموعات البيانات، والتقييمات، والمراقبة، والتحليلات. تساعدك هذه الإرشادات على التحقق من النية وتقليل المخاطر وتطبيق ممارسات الأمان والحوكمة قبل تشغيل أدوات MCP.

في هذه المقالة، ستتعرف على:

  • كيفية تفسير استجابات خادم MCP والتحقق من الدقة
  • تأثير عمليات الكتابة على موارد Foundry
  • أفضل الممارسات لتنفيذ الأدوات الآمن، وإدارة الموارد، وchange tracking
  • ضوابط الأمان والحوكمة، بما في ذلك الهوية، وRBAC، و Access الشرطية، وعزل الشبكة، وإقامة البيانات
  • استكشاف المشكلات الشائعة وإصلاحها

‏‫ملاحظة‬

تُعد هذه الميزة قيد الإصدار الأولي العام في الوقت الحالي. يتم توفير هذه المعاينة دون اتفاقية على مستوى الخدمة، ولا نوصي بها لأحمال عمل الإنتاج. بعض الميزات ربما لا تكون مدعمة أو بها بعض القدرات المقيدة. لمزيد من المعلومات، راجع شروط الاستخدام الإضافية لمعاينات مايكروسوفت Azure.

المتطلبات المسبقه

  • حساب Azure مع اشتراك نشط.
  • Foundry project بدور مساهم أو أعلى.
  • لتكوين سياسات Access المشروطة، تحتاج إلى دور <مسؤول Access > الشرطي في Microsoft Entra ID.
  • Azure CLI (مطلوب فقط لأمر az ad sp create).

تفسير الاستجابة

يوفر خادم MCP مخرجات يتم تمريرها إلى نموذج اللغة المختار لوكيلك (على سبيل المثال، تعليمة Visual Studio برمجية مع GitHub Copilot). يجمع نموذج اللغة هذا الناتج مع سياق المحادثة لتوليد رد نهائي بناء على قدراته. تحقق دائما من دقة استجابة نموذج اللغة. قد تتضمن تفاصيل تم استنتاجها أو توليدها خارج مخرجات خادم MCP الأصلية.

تأثير عمليات الكتابة

عمليات الكتابة لها تأثير حاسم على موارد Foundry. تابع بحذر وتخطيط مناسب عند تفاعلك مع خادم Foundry MCP، تماما كما تفعل عند استخدام البوابة أو SDKs أو واجهات برمجة التطبيقات REST. على سبيل المثال:

  • عمليات النشر: تؤثر على الفور في التطبيقات المباشرة والفوترة.
  • عمليات الحذف: إزالة الموارد نهائيا ويمكن أن تقطع الخدمات التابعة.
  • التقييمات: استهلك حصة الحوسبة وتحمل التكاليف.
  • مجموعات البيانات: يمكن استبدال الإصدارات الحالية.

أمثلة على تأثير الموارد:

  • يؤدي حذف التوزيع إلى كسر جميع التطبيقات التي تستخدم نقطة النهاية هذه.
  • يمكن أن تستهلك التقييمات الكبيرة تخصيصا كبيرا للحصص.
  • تبدأ عمليات النشر الجديدة في الفوترة على الفور.
  • تؤثر الكتابة فوق مجموعة بيانات على قابلية تكرار التقييم.

أفضل الممارسات للتنفيذ الآمن

اتبع هذه الممارسات للتأكد من تشغيل عمليات الكتابة على النحو الذي تريده:

التحقق من تنفيذ الأداة

  • التحقق من اختيار الأداة: تأكد من أن أداة MCP الصحيحة والمعلمات تتطابق مع نيتك قبل التنفيذ.

  • التحقق من المعلمات: راجع جميع معلمات الأداة (معرفات الموارد وأسماء النشر ومسارات مجموعة البيانات) للتأكد من دقتها. تشمل صيغ المعلمات الشائعة ما يلي:

    نوع المعلمة تنسيق أين يمكن العثور عليها
    معرف مورد الصب /subscriptions/{subscription_id}/resourceGroups/{resource_group_name}/providers/Microsoft.CognitiveServices/accounts/{account_name} صفحة Azure portal Properties للحساب
    نقطة نهاية Project https://{account_name}.services.ai.azure.com/api/projects/{project_name} صفحة تفاصيل Foundry project
    معرف موارد Project /subscriptions/{subscription_id}/resourceGroups/{resource_group_name}/providers/Microsoft.CognitiveServices/accounts/{account_name}/projects/{project_name} صفحة Azure portal Properties أو صفحة تفاصيل project Foundry

    إذا قدمت معرف مورد project، فإن نموذج اللغة في مضيف MCP الخاص بك يستخرج القيم المطلوبة ويصيغ المعاملات لتمريرها إلى أدوات MCP. تأكد قبل الموافقة على أن قيم المعلمات المقصودة مررلة إلى أدوات MCP.

  • تحقق من استهداف البيئة: تأكد من أن نقاط نهاية الموارد وعناوين project تشير إلى البيئة المقصودة.

إدارة الموارد عبر خادم MCP

  • التحقق من التبعيات: استخدم أدوات المراقبة للتأكد من عدم اعتماد أي تطبيق على مورد قبل حذفه.
  • التحقق من الحصة النسبية: الاستعلام عن حالة الحصة النسبية قبل إنشاء عمليات توزيع جديدة أو تشغيل تقييمات كبيرة.
  • اكتشاف الموارد: سرد عمليات التوزيع ومجموعات البيانات الموجودة قبل إجراء التغييرات.
  • سعة الخطة: تحقق من الحصة النسبية المتوفرة ومقاييس الاستخدام قبل العمليات كثيفة الاستخدام للموارد.

ممارسات تشغيل MCP الآمنة

  • test في غير الإنتاج: استخدم التطوير project نقاط النهاية أولا.
  • إجراء تغييرات تدريجية: يمكنك تغيير مورد واحد في كل مرة بدلا من إجراء تحديثات مجمعة.
  • التحقق من صحة التغييرات: استخدم أدوات القراءة فقط لتأكيد سريان التغييرات.
  • معالجة الأخطاء: مراقبة الاستجابات بحثا عن الأخطاء أو النتائج غير المتوقعة.

التوثيق والتتبع

  • Log operations: استخدم سجلات نشاط الموارد Azure لتتبع الموارد المتأثرة.
  • تكوين النسخ الاحتياطي: قم بتصدير تكوينات النشر ومجموعة البيانات الحالية قبل تعديلها.
  • تتبع التغييرات: سجل تفاصيل عملية MCP لاستكشاف الأخطاء وإصلاحها والتراجع.

الأمان والحوكمة

يلخص هذا القسم اعتبارات الهوية، ونظام access control، والسياسات، وعزل الشبكة، واعتبارات إقامة البيانات لمساعدتك على تطبيق الحوكمة قبل عمليات MCP.

إدارة الهوية وaccess

قم بالتحقق من المصادقة إلى خادم Foundry MCP باستخدام رمز Microsoft Entra المرتبط بنطاق https://mcp.ai.azure.com.

Azure Azure القائم على الدور في access control (RBAC) ينطبق على جميع العمليات على موارد Foundry المدعومة من Foundry MCP Server. يتم تشغيل العمليات وفقا لأذونات المستخدم المصادق عليه. يلخص الجدول التالي كيفية مطابقة أدوار RBAC مع أنواع عمليات MCP:

نوع العملية الحد الأدنى للدور المطلوب أمثلة
اقرأ (سرد، استلم، استعلام) القارئ قوائم النشر، الحصول على تفاصيل النموذج، نتائج تقييم الاستعلامات
اكتب (إنشاء وتحديث) المساهم إنشاء نشرات، تحديث مجموعات البيانات، بدء التقييمات
حذف المساهم حذف النشرات، وإزالة مجموعات البيانات
إدارة الوصول مالك أو مسؤول وصول المستخدم تعيين الأدوار، إدارة الأدوار

لمزيد من المعلومات حول تعيينات الأدوار، راجع التحكم في الوصول القائم على الأدوار في Microsoft Foundry.

التحكم في الوصول باستخدام سياسات الوصول المشروط

يمكن لمسؤولي المستأجرين استخدام سياسات Conditional Access لمنح أو حظر access إلى خادم Foundry MCP للمستخدمين أو هويات العمال المختارة.

  1. تحقق مبدأ الخدمة لمعرف تطبيق خادم Foundry MCP عن طريق تشغيل الأمر التالي:

    az ad sp create --id fcdfa2de-b65b-4b54-9a1c-81c8a18282d9

    معرف التطبيق في هذا الأمر يمثل خادم Foundry MCP. يمكنك التحقق من معرف التطبيق هذا بالبحث عن "خادم MCP في Foundry MCP" في قائمة تطبيقات المؤسسات في Entra ID.

  2. ابحث عن تطبيق المؤسسة ل Foundry MCP Server باستخدام معرف التطبيق. افتح صفحة معرف Azure portal Entra ID وابحث عن معرف التطبيق fcdfa2de-b65b-4b54-9a1c-81c8a18282d9.

    لقطة شاشة لتطبيق MCP في Entra ID.

  3. اختر الوصول المشروط تحت الأمان في اللوحة اليسرى من التطبيق المحدد، ثم اختر سياسة جديدة لتكوين التحكم في الدخول.

    1. تحت المستخدمين، اختر مستخدمين محددين مشمولين وأضف المستخدمين أو المجموعات التي تريد تقييدها.
    2. تحت موارد المستهدف، تأكد من اختيار تطبيق خادم MCP في Foundry.

    لقطة شاشة لخيارات access الشرطية ل app configuration.

    لقطة شاشة لإنشاء سياسة access شرطية جديدة للتطبيق.

  4. اختر Grant، ثم اختر Block access.

    لقطة شاشة توضح كيفية حظر التطبيق access.

بعد وضع النهج، لا يمكن للمستخدمين والمجموعات المعينين الحصول على رمز Entra المميز المطلوب للاتصال.

عزل الشبكة

خادم Foundry MCP لا يدعم حاليا عزل الشبكة. يكشف عن نقطة النهاية العامة https://mcp.ai.azure.com التي يمكن لأي عميل MCP استخدامها. يتصل بمورد Foundry الخاص بك من خلال نقطة النهاية العامة. إذا كانت موارد Foundry تستخدم Azure Private Links، فلن يتمكن الخادم من الوصول إليها وتفشل العمليات بسبب خطأ في الاتصال.

‏‫ملاحظة‬

ينطبق هذا القيد على خادم MCP المستضاف في Foundry (mcp.ai.azure.com). إذا قمت ببناء خادم MCP خاص بك وربطته بخدمة وكلاء Foundry، فإن خدمة الوكلاء تدعم نقاط نهاية خوادم MCP الخاصة من خلال إعداد الوكيل القياسي مع الشبكات الخاصة.

موقع البيانات

يستخدم خادم Foundry MCP بنية بروكسي عالمية بدون حالة. البيانات التي تنشئها خدمات الخلفية التي تتفاعل مع MCP Server تبقى مشفرة في المنطقة التي تختارها. خادم MCP نفسه لا يخزن البيانات. من حيث الأداء والتوافر، يمكن معالجة الطلبات والردود في مراكز البيانات في الاتحاد الأوروبي (EU) أو United States (US)، مع تشفير جميع البيانات أثناء النقل.

مهم

باستخدام هذه الميزة المسبقية، تعترف وتوافق على أي معالجة عبر المناطق قد تحدث. على سبيل المثال، يمكن توجيه مورد من الاتحاد الأوروبي الذي يصل إليه مستخدم أمريكي عبر البنية التحتية الأمريكية. إذا كانت مؤسستك تحتاج إلى معالجة صارمة داخل المنطقة، فلا تستخدم Foundry MCP Server أو تقتصر استخدامه على السيناريوهات التي تبقى ضمن المنطقة التي اخترتها.

استكشاف الأخطاء وإصلاحها

استخدم هذا القسم لتشخيص مشكلات خادم MCP الشائعة بسرعة.

حالات فشل المصادقة

إذا تلقيت خطأ 401 Unauthorized أو لم يظهر تنبيه تسجيل الدخول:

  1. قم بتسجيل الخروج من حساب Azure الخاص بك في تعليمة Visual Studio برمجية، أو الأداة التي تستخدمها.
  2. سجل الدخول مرة أخرى باستخدام حساب مايكروسوفت لديه إمكانية الوصول إلى اشتراك Azure الخاص بك.
  3. تحقق من صحة رمز الوصول الخاص بك عن طريق تشغيله az account get-access-token --resource https://mcp.ai.azure.com في الطرفية.

إذا فشل طلب الرمز، تأكد من أن حسابك يحمل صلاحيات Entra ID المطلوبة. لمزيد من المعلومات، راجع إدارة المستخدمين والمصادقة في Entra ID.

أخطاء الإذن

إذا لاحظت 403 Forbidden أخطاء "رفض الوصول" عند تشغيل أدوات MCP:

  1. افتح بوابة Azure وانتقل إلى مشروع Foundry الخاص بك.
  2. اختر التحكم في الوصول (IAM) وتحقق من أن حسابك يحتوي على مساهم أو دور أعلى.
  3. إذا تلقيت مؤخرا تعيينا في الدور، انتظر بضع دقائق حتى الانتشار وجرب مرة أخرى.

لمزيد من المعلومات، راجع Role-based access control لمايكروسوفت فاوندري.

مشكلات اتصال الخادم

إذا فشل خادم MCP في التشغيل أو انتهى الوقت:

  1. تحقق من أن شبكتك تسمح باتصالات HTTPS الصادرة إلى https://mcp.ai.azure.com.
  2. تحقق من وجود بروكسي أو قواعد جدار الحماية التي قد تحجب نقطة النهاية.
  3. حاول فتحها https://mcp.ai.azure.com في المتصفح لتأكيد إمكانية الوصول.

إذا كانت موارد Foundry الخاصة بك تستخدم Azure Private Links، فلن يتمكن خادم MCP المستضاف من Foundry الوصول إليها عبر نقطة النهاية العامة. قم بتعطيل Private Link، أو استخدام SDKs/REST APIs، أو استخدام خادم MCP مخصص مع شبكة خاصة عبر خدمة Foundry Agent.

مشاكل اكتشاف الأداة

إذا لم تظهر أدوات Foundry في قائمة أدوات وضع الوكيل:

  1. افتح عرض الإخراج في كود Visual Studio واختر قناة تسجيل خادم MCP.
  2. تحقق من أن الخادم يظهر اتصالا ناجحا وتسجيل الأداة.
  3. أعد تشغيل كود فيجوال ستوديو أو أعد تحميل مساحة العمل الخاصة بك.
  4. إذا لم تظهر الأدوات بعد، قم بإزالة وإعادة إضافة تكوين الخادم.

المحتوى ذو الصلة

  • Last updated on