Introducción a Microsoft MCP Server for Enterprise

Para empezar a usar Microsoft MCP Server for Enterprise, debe habilitarlo en el inquilino. Actualmente, este proceso aprovisiona el servidor MCP y Visual Studio Code. Después del aprovisionamiento, puede configurar el cliente MCP para conectarse al servidor MCP.

En este artículo se describe cómo aprovisionar el servidor MCP y configurar tanto VS Code como clientes MCP personalizados para conectarse a Microsoft MCP Server for Enterprise.

Aprovisionar el servidor MCP y VS Code (solo se requiere una vez por inquilino)

1. Inicie PowerShell en modo de administrador e instale el módulo De PowerShell Microsoft.Entra.Beta (versión 1.0.13 o posterior):

   Install-Module Microsoft.Entra.Beta -Force -AllowClobber
   

2. Autentíquese en el inquilino donde desea registrar el servidor MCP. Debe tener asignado el rol Administrador de aplicaciones o Administrador de aplicaciones en la nube para dar su consentimiento a los permisos necesarios:

   Connect-Entra -Scopes 'Application.ReadWrite.All', 'Directory.Read.All', 'DelegatedPermissionGrant.ReadWrite.All'
   

   Sugerencia

   Ejecute Get-EntraContext después de la autenticación para confirmar la cuenta, el inquilino y los ámbitos actualmente en uso.

3. Registre Microsoft MCP Server for Enterprise en el inquilino y conceda todos los permisos para Visual Studio Code:

   Grant-EntraBetaMCPServerPermission -ApplicationName VisualStudioCode
   

Confirmación del registro del servidor MCP

Compruebe que ambas aplicaciones existen mediante Microsoft Graph, Microsoft Entra PowerShell o el portal de Microsoft Entra.

Nombre	AppId único globalmente (id. de cliente)
Microsoft MCP Server for Enterprise	e8c77dc2-69b3-43f4-bc51-3213c9d915b4
Visual Studio Code	aebc6443-996d-45c2-90f0-388ff96faa56

Microsoft Graph: comprobación del registro

GET https://graph.microsoft.com/v1.0/servicePrincipals?$select=id,appId,displayName&$filter=appId in('e8c77dc2-69b3-43f4-bc51-3213c9d915b4','aebc6443-996d-45c2-90f0-388ff96faa56')

Microsoft Entra PowerShell: comprobación del registro

$mcpClientSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'aebc6443-996d-45c2-90f0-388ff96faa56'"
$mcpServerSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'"
$mcpClientSp, $mcpServerSp | Format-Table id, appId, displayName -AutoSize

Administración portal: comprobar el registro

1. Inicie sesión en el portal de Microsoft Entra.
2. Expanda Entra ID>Aplicaciones empresariales.
3. En el grupo Administrar , seleccione Todas las aplicaciones.
4. Busque cada aplicación por nombre o identificador de cliente.

Confirmación de los permisos concedidos a los clientes mcp

Valide los permisos de Microsoft MCP Server que se concedieron a cada cliente MCP.

Microsoft Graph: comprobar permisos

GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$select=id,clientId,resourceId,scope&$filter=clientId eq '{mcp-client-servicePrincipal}' and resourceId eq '{mcp-server-servicePrincipal}'

Microsoft Entra PowerShell: comprobar permisos

$grant = Get-EntraBetaServicePrincipalOAuth2PermissionGrant -ServicePrincipalId $mcpClientSp.Id
$grant.Scope -split ' '

Administración portal: comprobar permisos

1. Inicie sesión en el portal de Microsoft Entra.
2. Expanda Entra ID>Aplicaciones empresariales.
3. En el grupo Administrar , seleccione Todas las aplicaciones.
4. Busque la entidad de servicio por nombre o identificador de cliente y ábrala.
5. Seleccione Permisos para revisar los permisos del servidor MCP de Microsoft que se conceden al cliente MCP.

Conexión del cliente MCP al servidor MCP

VS Code

1. Haga clic en Instalar Microsoft MCP Server for Enterprise para abrir la página de instalación de MCP de VS Code.
2. Seleccione Instalar en VS Code y autentíquese con una cuenta de administrador.
3. Abra Copilot Chat en modo agente y haga una pregunta específica del inquilino, como "¿Cuántos usuarios hay en mi inquilino?"
   1. Revise la respuesta del servidor MCP, que incluye:
      1. Herramientas que se invocaron para comprender la intención.
      2. Llamada a la API REST de Microsoft Graph que se ejecutó.
      3. Una respuesta de lenguaje natural que resume los datos del inquilino.

Clientes MCP personalizados

1. Inicie sesión en el Centro de administración Microsoft Entra con una cuenta que pueda registrar aplicaciones (los roles Administrador de aplicaciones o Administrador de aplicaciones en la nube son suficientes).
2. Registre una aplicación y tenga en cuenta la siguiente configuración:
   1. Nombre de la aplicación.
   2. Tipos de cuenta admitidos (inquilino único).
   3. Plataforma y URI de redireccionamiento para el cliente MCP.
3. Registre el identificador de aplicación (cliente) y el identificador de directorio (inquilino) para una configuración posterior.
4. Para conceder permisos:
   1. Seleccione Permisos delegados y agregue los ámbitos que coincidan con el escenario (por ejemplo, agregue MCP.User.Read.All para contar usuarios en el inquilino).
   2. Conceda el consentimiento del administrador para los permisos delegados que agregó.
5. Pruebe el cliente MCP para confirmar que puede conectarse a Microsoft MCP Server for Enterprise y completar las operaciones necesarias.

Administrar ámbitos para clientes MCP personalizados mediante Microsoft Entra PowerShell:

Grant-EntraBetaMCPServerPermission -ApplicationId "<MCP_Client_Application_Id>" -Scopes "<Scope1>", "<Scope2>", "<...>"
Revoke-EntraBetaMCPServerPermission -ApplicationId "<MCP_Client_Application_Id>" -Scopes "<Scope1>", "<Scope2>", "<...>"

Visualización de los ámbitos de servidor MCP admitidos

El servidor MCP solo admite permisos delegados para escenarios interactivos del usuario. No se admiten los permisos de solo aplicación ni los flujos de trabajo de solo aplicación. Use una de las siguientes opciones (requiere al menos el DelegatedPermissionGrant.Read.All permiso delegado) para inspeccionar los ámbitos de MCP disponibles y centrarse en los ámbitos donde isEnabled es true.

Microsoft Graph: enumeración de ámbitos MCP

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='e8c77dc2-69b3-43f4-bc51-3213c9d915b4')/oauth2PermissionScopes

Microsoft Entra PowerShell: enumeración de ámbitos mcp

(Get-EntraBetaServicePrincipal -Property "PublishedPermissionScopes" -Filter "AppId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'").PublishedPermissionScopes |
  Where-Object { $_.IsEnabled -eq $true -and $_.AdditionalProperties["isPrivate"] -ne $true } |
  Select-Object Value, AdminConsentDisplayName |
  Sort-Object

centro de Administración: enumeración de ámbitos mcp

1. Inicie sesión en el portal de Microsoft Entra.
2. Expanda Entra ID>Aplicaciones empresariales.
3. En el grupo Administrar , seleccione Todas las aplicaciones.
4. Busque Microsoft MCP Server for Enterprise (o appId e8c77dc2-69b3-43f4-bc51-3213c9d915b4) y abra la aplicación.
5. En el grupo Seguridad , seleccione Permisos para revisar los ámbitos delegados que expone el servidor MCP.

Lista de ámbitos del servidor MCP

La nomenclatura de los ámbitos MCP sigue el patrón MCP.{microsoft-graph-scope-name}. Por ejemplo, el ámbito User.Read.All de Microsoft Graph se expone como MCP.User.Read.All en el servidor MCP. Para comprender lo que permite cada ámbito, consulte la referencia de permisos de Microsoft Graph.

• MCP. AccessReview.Read.All
• MCP. AdministrativeUnit.Read.All
• MCP. Application.Read.All
• MCP. AuditLog.Read.All
• MCP. AuthenticationContext.Read.All
• MCP. Device.Read.All
• MCP. DirectoryRecommendations.Read.All
• MCP. Domain.Read.All
• MCP. EntitlementManagement.Read.All
• MCP. GroupMember.Read.All
• MCP. HealthMonitoringAlert.Read.All
• MCP. IdentityRiskEvent.Read.All
• MCP. IdentityRiskyServicePrincipal.Read.All
• MCP. IdentityRiskyUser.Read.All
• MCP. LicenseAssignment.Read.All
• MCP. LifecycleWorkflows.Read.All
• MCP. LifecycleWorkflows-CustomExt.Read.All
• MCP. LifecycleWorkflows-Reports.Read.All
• MCP. LifecycleWorkflows-Workflow.Read.All
• MCP. LifecycleWorkflows-Workflow.ReadBasic.All
• MCP. NetworkAccess.Read.All
• MCP. NetworkAccess-Reports.Read.All
• MCP. Organization.Read.All
• MCP. Policy.Read.All
• MCP. Policy.Read.ConditionalAccess
• MCP. ProvisioningLog.Read.All
• MCP. Reports.Read.All
• MCP. RoleAssignmentSchedule.Read.Directory
• MCP. RoleEligibilitySchedule.Read.Directory
• MCP. RoleManagement.Read.Directory
• MCP. Synchronization.Read.All
• MCP. User.Read.All
• MCP. UserAuthenticationMethod.Read.All
• MCP. GroupSettings.Read.All

---

Deshabilitación del servidor MCP para empresas

Dado que MCP Server for Enterprise es un servicio propiedad de Microsoft, no puede eliminarlo del inquilino. Sin embargo, puede deshabilitarlo si es necesario.

Microsoft Graph: deshabilitación del servidor MCP

PATCH https://graph.microsoft.com/v1.0/servicePrincipals(appId='e8c77dc2-69b3-43f4-bc51-3213c9d915b4')
{
  "accountEnabled": false
}

Microsoft Entra PowerShell: deshabilitar el servidor MCP

$mcpServerSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'"
Set-EntraBetaServicePrincipal -ServicePrincipalId $mcpServerSp.Id -AccountEnabled $false

centro de Administración: deshabilitación del servidor MCP

1. Inicie sesión en el portal de Microsoft Entra.
2. Expanda Entra ID>Aplicaciones empresariales.
3. En el grupo Administrar , seleccione Todas las aplicaciones.
4. Busque el servidor MCP y Visual Studio Code aplicaciones por nombre o identificador de cliente y abra cada una de ellas.
5. En el grupo Administrar , active Habilitado para que los usuarios inicien sesión enNo.