Erste Schritte mit Microsoft MCP Server for Enterprise

Um Microsoft MCP Server for Enterprise verwenden zu können, müssen Sie es in Ihrem Mandanten aktivieren. Dieser Prozess stellt derzeit sowohl den MCP-Server als auch Visual Studio Code zur Bereitstellung. Nach der Bereitstellung können Sie Ihren MCP-Client so konfigurieren, dass er eine Verbindung mit dem MCP-Server herstellt.

In diesem Artikel wird beschrieben, wie Sie den MCP-Server bereitstellen und sowohl VS Code als auch benutzerdefinierte MCP-Clients konfigurieren, um eine Verbindung mit Microsoft MCP Server for Enterprise herzustellen.

Bereitstellen des MCP-Servers und von VS Code (nur einmal pro Mandant erforderlich)

1. Starten Sie PowerShell im Administratormodus, und installieren Sie das PowerShell-Modul Microsoft.Entra.Beta (Version 1.0.13 oder höher):

   Install-Module Microsoft.Entra.Beta -Force -AllowClobber
   

2. Authentifizieren Sie sich bei dem Mandanten, in dem Sie den MCP-Server registrieren möchten. Ihnen muss entweder die Rolle Anwendungsadministrator oder Cloudanwendungsadministrator zugewiesen sein, um den erforderlichen Berechtigungen zuzustimmen:

   Connect-Entra -Scopes 'Application.ReadWrite.All', 'Directory.Read.All', 'DelegatedPermissionGrant.ReadWrite.All'
   

   Tipp

   Führen Sie Get-EntraContext nach der Authentifizierung aus, um das Konto, den Mandanten und die bereiche zu bestätigen, die derzeit verwendet werden.

3. Registrieren Sie Microsoft MCP Server for Enterprise in Ihrem Mandanten, und erteilen Sie Visual Studio Code alle Berechtigungen:

   Grant-EntraBetaMCPServerPermission -ApplicationName VisualStudioCode
   

Bestätigen der MCP-Serverregistrierung

Überprüfen Sie, ob beide Anwendungen vorhanden sind, indem Sie Microsoft Graph, Microsoft Entra PowerShell oder das Microsoft Entra-Portal verwenden.

Name	Global eindeutige appId (Client-ID)
Microsoft MCP Server for Enterprise	e8c77dc2-69b3-43f4-bc51-3213c9d915b4
Visual Studio Code	aebc6443-996d-45c2-90f0-388ff96faa56

Microsoft Graph – Registrierung überprüfen

GET https://graph.microsoft.com/v1.0/servicePrincipals?$select=id,appId,displayName&$filter=appId in('e8c77dc2-69b3-43f4-bc51-3213c9d915b4','aebc6443-996d-45c2-90f0-388ff96faa56')

Microsoft Entra PowerShell – Überprüfen der Registrierung

$mcpClientSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'aebc6443-996d-45c2-90f0-388ff96faa56'"
$mcpServerSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'"
$mcpClientSp, $mcpServerSp | Format-Table id, appId, displayName -AutoSize

Admin-Portal – Registrierung überprüfen

1. Melden Sie sich beim Microsoft Entra-Portal an.
2. Erweitern Sie Entra ID Enterprise-Apps>.
3. Wählen Sie unter der Gruppe Verwalten die Option Alle Anwendungen aus.
4. Suchen Sie nach jeder Anwendung anhand des Namens oder der Client-ID.

Bestätigen der Berechtigungen, die Ihren MCP-Clients erteilt wurden

Überprüfen Sie die Microsoft MCP Server-Berechtigungen, die jedem MCP-Client erteilt wurden.

Microsoft Graph – Berechtigungen überprüfen

GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$select=id,clientId,resourceId,scope&$filter=clientId eq '{mcp-client-servicePrincipal}' and resourceId eq '{mcp-server-servicePrincipal}'

Microsoft Entra PowerShell – Überprüfen der Berechtigungen

$grant = Get-EntraBetaServicePrincipalOAuth2PermissionGrant -ServicePrincipalId $mcpClientSp.Id
$grant.Scope -split ' '

Admin-Portal – Überprüfen der Berechtigungen

1. Melden Sie sich beim Microsoft Entra-Portal an.
2. Erweitern Sie Entra ID Enterprise-Apps>.
3. Wählen Sie unter der Gruppe Verwalten die Option Alle Anwendungen aus.
4. Suchen Sie nach dem Dienstprinzipal anhand des Namens oder der Client-ID, und öffnen Sie ihn.
5. Wählen Sie Berechtigungen aus, um die Microsoft MCP-Serverberechtigungen zu überprüfen, die dem MCP-Client gewährt werden.

Verbinden Ihres MCP-Clients mit dem MCP-Server

VS Code

1. Klicken Sie auf Microsoft MCP Server for Enterprise installieren , um die MCP-Installationsseite von VS Code zu öffnen.
2. Wählen Sie In VS Code installieren aus, und authentifizieren Sie sich mit einem Administratorkonto.
3. Öffnen Sie Copilot Chat im Agent-Modus, und stellen Sie eine mandantenspezifische Frage, z. B. "Wie viele Benutzer sind in meinem Mandanten?"
   1. Überprüfen Sie die MCP-Serverantwort, die Folgendes enthält:
      1. Die Tools, die aufgerufen wurden, um die Absicht zu verstehen.
      2. Der ausgeführte Microsoft Graph-REST-API-Aufruf.
      3. Eine Antwort in natürlicher Sprache, die die Mandantendaten zusammenfasst.

Benutzerdefinierte MCP-Clients

1. Melden Sie sich beim Microsoft Entra Admin Center mit einem Konto an, das Anwendungen registrieren kann (Die Rollen Anwendungsadministrator oder Cloudanwendungsadministrator sind ausreichend).
2. Registrieren Sie eine Anwendung, und berücksichtigen Sie die folgenden Einstellungen:
   1. Anwendungsname.
   2. Unterstützte Kontotypen (einzelner Mandant).
   3. Plattform- und Umleitungs-URI für Ihren MCP-Client.
3. Notieren Sie sich sowohl die Anwendungs-ID (Client) als auch die Verzeichnis-ID (Mandant) für die spätere Konfiguration.
4. So erteilen Sie Berechtigungen:
   1. Wählen Sie Delegierte Berechtigungen aus, und fügen Sie die Bereiche hinzu, die Ihrem Szenario entsprechen (z. B. hinzufügen MCP.User.Read.All , um Benutzer im Mandanten zu zählen).
   2. Erteilen Sie die Administratoreinwilligung für die delegierten Berechtigungen, die Sie hinzugefügt haben.
5. Testen Sie Ihren MCP-Client, um sicherzustellen, dass er eine Verbindung mit microsoft MCP Server for Enterprise herstellen und die erforderlichen Vorgänge ausführen kann.

Verwalten von Bereichen für benutzerdefinierte MCP-Clients mithilfe von Microsoft Entra PowerShell:

Grant-EntraBetaMCPServerPermission -ApplicationId "<MCP_Client_Application_Id>" -Scopes "<Scope1>", "<Scope2>", "<...>"
Revoke-EntraBetaMCPServerPermission -ApplicationId "<MCP_Client_Application_Id>" -Scopes "<Scope1>", "<Scope2>", "<...>"

Anzeigen unterstützter MCP-Serverbereiche

Der MCP-Server unterstützt nur delegierte Berechtigungen für benutzeraktive Szenarien. Nur-App-Berechtigungen oder reine App-Workflows werden nicht unterstützt. Verwenden Sie eine der folgenden Optionen (erfordert mindestens die DelegatedPermissionGrant.Read.All delegierte Berechtigung), um die verfügbaren MCP-Bereiche zu überprüfen, und konzentrieren Sie sich auf Bereiche, bei denen isEnabled ist true.

Microsoft Graph: Auflisten von MCP-Bereichen

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='e8c77dc2-69b3-43f4-bc51-3213c9d915b4')/oauth2PermissionScopes

Microsoft Entra PowerShell: Auflisten von MCP-Bereichen

(Get-EntraBetaServicePrincipal -Property "PublishedPermissionScopes" -Filter "AppId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'").PublishedPermissionScopes |
  Where-Object { $_.IsEnabled -eq $true -and $_.AdditionalProperties["isPrivate"] -ne $true } |
  Select-Object Value, AdminConsentDisplayName |
  Sort-Object

Admin Center – MCP-Bereiche auflisten

1. Melden Sie sich beim Microsoft Entra-Portal an.
2. Erweitern Sie Entra ID Enterprise-Apps>.
3. Wählen Sie unter der Gruppe Verwalten die Option Alle Anwendungen aus.
4. Microsoft MCP Server for Enterprise Suchen Sie nach (oder die appIde8c77dc2-69b3-43f4-bc51-3213c9d915b4), und öffnen Sie die Anwendung.
5. Wählen Sie in der Gruppe Sicherheitdie Option Berechtigungen aus, um die delegierten Bereiche zu überprüfen, die der MCP-Server verfügbar macht.

Liste der MCP-Serverbereiche

Die Benennung von MCP-Bereichen folgt dem Muster MCP.{microsoft-graph-scope-name}. Beispielsweise wird der Microsoft Graph-Bereich User.Read.All auf dem MCP-Server als MCP.User.Read.All verfügbar gemacht. Um zu verstehen, was jeder Bereich zulässt, lesen Sie die Microsoft Graph-Berechtigungsreferenz.

• MCP. AccessReview.Read.All
• MCP. AdministrativeUnit.Read.All
• MCP. Application.Read.All
• MCP. AuditLog.Read.All
• MCP. AuthenticationContext.Read.All
• MCP. Device.Read.All
• MCP. DirectoryRecommendations.Read.All
• MCP. Domain.Read.All
• MCP. EntitlementManagement.Read.All
• MCP. GroupMember.Read.All
• MCP. HealthMonitoringAlert.Read.All
• MCP. IdentityRiskEvent.Read.All
• MCP. IdentityRiskyServicePrincipal.Read.All
• MCP. IdentityRiskyUser.Read.All
• MCP. LicenseAssignment.Read.All
• MCP. LifecycleWorkflows.Read.All
• MCP. LifecycleWorkflows-CustomExt.Read.All
• MCP. LifecycleWorkflows-Reports.Read.All
• MCP. LifecycleWorkflows-Workflow.Read.All
• MCP. LifecycleWorkflows-Workflow.ReadBasic.All
• MCP. NetworkAccess.Read.All
• MCP. NetworkAccess-Reports.Read.All
• MCP. Organization.Read.All
• MCP. Policy.Read.All
• MCP. Policy.Read.ConditionalAccess
• MCP. ProvisioningLog.Read.All
• MCP. Reports.Read.All
• MCP. RoleAssignmentSchedule.Read.Directory
• MCP. RoleEligibilitySchedule.Read.Directory
• MCP. RoleManagement.Read.Directory
• MCP. Synchronization.Read.All
• MCP. User.Read.All
• MCP. UserAuthenticationMethod.Read.All
• MCP. GroupSettings.Read.All

---

Deaktivieren von MCP Server for Enterprise

Da MCP Server for Enterprise ein Dienst im Besitz von Microsoft ist, können Sie ihn nicht aus Ihrem Mandanten löschen. Sie können sie jedoch bei Bedarf deaktivieren.

Microsoft Graph: MCP-Server deaktivieren

PATCH https://graph.microsoft.com/v1.0/servicePrincipals(appId='e8c77dc2-69b3-43f4-bc51-3213c9d915b4')
{
  "accountEnabled": false
}

Microsoft Entra PowerShell : MCP-Server deaktivieren

$mcpServerSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'"
Set-EntraBetaServicePrincipal -ServicePrincipalId $mcpServerSp.Id -AccountEnabled $false

Admin Center – MCP-Server deaktivieren

1. Melden Sie sich beim Microsoft Entra-Portal an.
2. Erweitern Sie Entra ID Enterprise-Apps>.
3. Wählen Sie unter der Gruppe Verwalten die Option Alle Anwendungen aus.
4. Suchen Sie nach den MCP Server- und Visual Studio Code-Anwendungen anhand des Namens oder der Client-ID, und öffnen Sie die einzelnen Anwendungen.
5. Aktivieren Sie unter der Gruppe Verwalten die Option Für Benutzer zum Anmelden aktiviert? auf Nein.