Bien démarrer avec Microsoft MCP Server for Enterprise

Pour commencer à utiliser Microsoft MCP Server for Enterprise, vous devez l’activer dans votre locataire. Ce processus approvisionne actuellement le serveur MCP et Visual Studio Code. Après l’approvisionnement, vous pouvez configurer votre client MCP pour qu’il se connecte au serveur MCP.

Cet article explique comment approvisionner le serveur MCP et configurer à la fois VS Code et les clients MCP personnalisés pour se connecter à Microsoft MCP Server for Enterprise.

Provisionner le serveur MCP et VS Code (requis une seule fois par locataire)

1. Démarrez PowerShell en mode Administrateur et installez le module PowerShell Microsoft.Entra.Beta (version 1.0.13 ou ultérieure) :

   Install-Module Microsoft.Entra.Beta -Force -AllowClobber
   

2. Authentifiez-vous dans le locataire où vous souhaitez inscrire le serveur MCP. Vous devez avoir le rôle Administrateur d’application ou Administrateur d’application cloud pour donner votre consentement aux autorisations requises :

   Connect-Entra -Scopes 'Application.ReadWrite.All', 'Directory.Read.All', 'DelegatedPermissionGrant.ReadWrite.All'
   

   Conseil

   Exécutez Get-EntraContext après l’authentification pour confirmer le compte, le locataire et les étendues en cours d’utilisation.

3. Inscrivez Microsoft MCP Server for Enterprise dans votre locataire et accordez toutes les autorisations pour Visual Studio Code :

   Grant-EntraBetaMCPServerPermission -ApplicationName VisualStudioCode
   

Confirmer l’inscription du serveur MCP

Vérifiez que les deux applications existent à l’aide de Microsoft Graph, Microsoft Entra PowerShell ou du portail Microsoft Entra.

Nom	AppId global unique (ID client)
Microsoft MCP Server for Enterprise	e8c77dc2-69b3-43f4-bc51-3213c9d915b4
Visual Studio Code	aebc6443-996d-45c2-90f0-388ff96faa56

Microsoft Graph - Vérifier l’inscription

GET https://graph.microsoft.com/v1.0/servicePrincipals?$select=id,appId,displayName&$filter=appId in('e8c77dc2-69b3-43f4-bc51-3213c9d915b4','aebc6443-996d-45c2-90f0-388ff96faa56')

Microsoft Entra PowerShell - Vérifier l’inscription

$mcpClientSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'aebc6443-996d-45c2-90f0-388ff96faa56'"
$mcpServerSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'"
$mcpClientSp, $mcpServerSp | Format-Table id, appId, displayName -AutoSize

portail Administration - Vérifier l’inscription

1. Connectez-vous au portail Microsoft Entra.
2. Développez Entra ID>Applications Enterprise.
3. Sous le groupe Gérer , sélectionnez Toutes les applications.
4. Recherchez chaque application par nom ou ID client.

Confirmer les autorisations accordées à vos clients MCP

Validez les autorisations microsoft MCP Server qui ont été accordées à chaque client MCP.

Microsoft Graph - Vérifier les autorisations

GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$select=id,clientId,resourceId,scope&$filter=clientId eq '{mcp-client-servicePrincipal}' and resourceId eq '{mcp-server-servicePrincipal}'

Microsoft Entra PowerShell - Vérifier les autorisations

$grant = Get-EntraBetaServicePrincipalOAuth2PermissionGrant -ServicePrincipalId $mcpClientSp.Id
$grant.Scope -split ' '

portail Administration - Vérifier les autorisations

1. Connectez-vous au portail Microsoft Entra.
2. Développez Entra ID>Applications Enterprise.
3. Sous le groupe Gérer , sélectionnez Toutes les applications.
4. Recherchez le principal de service par nom ou ID client et ouvrez-le.
5. Sélectionnez Autorisations pour passer en revue les autorisations du serveur Microsoft MCP qui sont accordées au client MCP.

Connecter votre client MCP au serveur MCP

VS Code

1. Cliquez sur Installer Microsoft MCP Server for Enterprise pour ouvrir la page d’installation MCP de VS Code.
2. Sélectionnez Installer dans VS Code et authentifiez-vous avec un compte d’administrateur.
3. Ouvrez Copilot Chat en mode Agent et posez une question spécifique au locataire, telle que « Combien d’utilisateurs sont dans mon locataire ? »
   1. Passez en revue la réponse du serveur MCP, qui inclut :
      1. Outils appelés pour comprendre l’intention.
      2. Appel de l’API REST Microsoft Graph qui a été exécuté.
      3. Réponse en langage naturel qui résume les données du locataire.

Clients MCP personnalisés

1. Connectez-vous au centre d’administration Microsoft Entra avec un compte qui peut inscrire des applications (les rôles Administrateur d’application ou Administrateur d’application cloud sont suffisants).
2. Inscrivez une application et tenez compte des paramètres suivants :
   1. Nom de l’application.
   2. Types de comptes pris en charge (monolocataire).
   3. Plateforme et URI de redirection pour votre client MCP.
3. Enregistrez à la fois l’ID d’application (client) et l’IDd’annuaire (locataire) pour une configuration ultérieure.
4. Pour accorder des autorisations :
   1. Sélectionnez Autorisations déléguées et ajoutez les étendues qui correspondent à votre scénario (par exemple, ajouter MCP.User.Read.All pour compter les utilisateurs dans le locataire).
   2. Accordez le consentement administrateur pour les autorisations déléguées que vous avez ajoutées.
5. Testez votre client MCP pour vérifier qu’il peut se connecter à Microsoft MCP Server for Enterprise et effectuer les opérations requises.

Gérer les étendues pour les clients MCP personnalisés à l’aide de Microsoft Entra PowerShell :

Grant-EntraBetaMCPServerPermission -ApplicationId "<MCP_Client_Application_Id>" -Scopes "<Scope1>", "<Scope2>", "<...>"
Revoke-EntraBetaMCPServerPermission -ApplicationId "<MCP_Client_Application_Id>" -Scopes "<Scope1>", "<Scope2>", "<...>"

Afficher les étendues de serveur MCP prises en charge

Le serveur MCP prend uniquement en charge les autorisations déléguées pour les scénarios interactifs avec l’utilisateur. Les autorisations d’application uniquement ou les workflows d’application uniquement ne sont pas pris en charge. Utilisez l’une des options suivantes (nécessite au moins l’autorisation DelegatedPermissionGrant.Read.All déléguée) pour inspecter les étendues MCP disponibles et vous concentrer sur les étendues où isEnabled est true.

Microsoft Graph - lister les étendues MCP

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='e8c77dc2-69b3-43f4-bc51-3213c9d915b4')/oauth2PermissionScopes

Microsoft Entra PowerShell : lister les étendues MCP

(Get-EntraBetaServicePrincipal -Property "PublishedPermissionScopes" -Filter "AppId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'").PublishedPermissionScopes |
  Where-Object { $_.IsEnabled -eq $true -and $_.AdditionalProperties["isPrivate"] -ne $true } |
  Select-Object Value, AdminConsentDisplayName |
  Sort-Object

centre Administration : lister les étendues MCP

1. Connectez-vous au portail Microsoft Entra.
2. Développez Entra ID>Applications Enterprise.
3. Sous le groupe Gérer , sélectionnez Toutes les applications.
4. Recherchez Microsoft MCP Server for Enterprise (ou appId e8c77dc2-69b3-43f4-bc51-3213c9d915b4) et ouvrez l’application.
5. Dans le groupe Sécurité , sélectionnez Autorisations pour passer en revue les étendues déléguées exposées par le serveur MCP.

Liste des étendues du serveur MCP

Le nommage des étendues MCP suit le modèle MCP.{microsoft-graph-scope-name}. Par exemple, l’étendue Microsoft Graph User.Read.All est exposée comme MCP.User.Read.All sur le serveur MCP. Pour comprendre ce que permet chaque étendue, reportez-vous à la référence des autorisations Microsoft Graph.

• MCP. AccessReview.Read.All
• MCP. AdministrativeUnit.Read.All
• MCP. Application.Read.All
• MCP. AuditLog.Read.All
• MCP. AuthenticationContext.Read.All
• MCP. Device.Read.All
• MCP. DirectoryRecommendations.Read.All
• MCP. Domain.Read.All
• MCP. EntitlementManagement.Read.All
• MCP. GroupMember.Read.All
• MCP. HealthMonitoringAlert.Read.All
• MCP. IdentityRiskEvent.Read.All
• MCP. IdentityRiskyServicePrincipal.Read.All
• MCP. IdentityRiskyUser.Read.All
• MCP. LicenseAssignment.Read.All
• MCP. LifecycleWorkflows.Read.All
• MCP. LifecycleWorkflows-CustomExt.Read.All
• MCP. LifecycleWorkflows-Reports.Read.All
• MCP. LifecycleWorkflows-Workflow.Read.All
• MCP. LifecycleWorkflows-Workflow.ReadBasic.All
• MCP. NetworkAccess.Read.All
• MCP. NetworkAccess-Reports.Read.All
• MCP. Organization.Read.All
• MCP. Policy.Read.All
• MCP. Policy.Read.ConditionalAccess
• MCP. ProvisioningLog.Read.All
• MCP. Reports.Read.All
• MCP. RoleAssignmentSchedule.Read.Directory
• MCP. RoleEligibilitySchedule.Read.Directory
• MCP. RoleManagement.Read.Directory
• MCP. Synchronization.Read.All
• MCP. User.Read.All
• MCP. UserAuthenticationMethod.Read.All
• MCP. GroupSettings.Read.All

---

Désactiver le serveur MCP pour entreprise

Étant donné que MCP Server for Enterprise est un service appartenant à Microsoft, vous ne pouvez pas le supprimer de votre locataire. Toutefois, vous pouvez le désactiver si nécessaire.

Microsoft Graph : désactiver le serveur MCP

PATCH https://graph.microsoft.com/v1.0/servicePrincipals(appId='e8c77dc2-69b3-43f4-bc51-3213c9d915b4')
{
  "accountEnabled": false
}

Microsoft Entra PowerShell : désactiver le serveur MCP

$mcpServerSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'"
Set-EntraBetaServicePrincipal -ServicePrincipalId $mcpServerSp.Id -AccountEnabled $false

centre Administration : désactiver le serveur MCP

1. Connectez-vous au portail Microsoft Entra.
2. Développez Entra ID>Applications Enterprise.
3. Sous le groupe Gérer , sélectionnez Toutes les applications.
4. Recherchez le serveur MCP et Visual Studio Code applications par nom ou ID client, puis ouvrez-les.
5. Sous le groupe Gérer , basculez l’option Activé pour que les utilisateurs se connectent ? surNon.