Microsoft MCP Server for Enterprise の概要

Microsoft MCP Server for Enterprise の使用を開始するには、テナントで有効にする必要があります。このプロセスでは現在、MCP サーバーと Visual Studio Code の両方がプロビジョニングされています。プロビジョニング後、MCP サーバーに接続するように MCP クライアントを構成できます。

この記事では、MCP サーバーをプロビジョニングし、MICROSOFT MCP Server for Enterprise に接続するように VS Code クライアントとカスタム MCP クライアントの両方を構成する方法について説明します。

MCP サーバーと VS Code をプロビジョニングする (テナントごとに 1 回のみ必要)

管理者モードで PowerShell を起動し、 Microsoft.Entra.Beta PowerShell モジュール (バージョン 1.0.13 以降) をインストールします。
```
Install-Module Microsoft.Entra.Beta -Force -AllowClobber
```
MCP サーバーを登録するテナントに対して認証します。必要なアクセス許可に同意するには、 アプリケーション管理者 または クラウドアプリケーション管理者 ロールを割り当てる必要があります。
```
Connect-Entra -Scopes 'Application.ReadWrite.All', 'Directory.Read.All', 'DelegatedPermissionGrant.ReadWrite.All'
```
ヒント

認証後 Get-EntraContext を実行して、現在使用されているアカウント、テナント、スコープを確認します。
テナントに Microsoft MCP Server for Enterprise を登録し、すべてのアクセス許可を Visual Studio Code に付与します。
```
Grant-EntraBetaMCPServerPermission -ApplicationName VisualStudioCode
```

MCP サーバーの登録を確認する

Microsoft Graph、Microsoft Entra PowerShell、またはMicrosoft Entra ポータルを使用して、両方のアプリケーションが存在することを確認します。

Name	グローバルに一意の appId (クライアント ID)
Microsoft MCP Server for Enterprise	`e8c77dc2-69b3-43f4-bc51-3213c9d915b4`
Visual Studio Code	`aebc6443-996d-45c2-90f0-388ff96faa56`

GET https://graph.microsoft.com/v1.0/servicePrincipals?$select=id,appId,displayName&$filter=appId in('e8c77dc2-69b3-43f4-bc51-3213c9d915b4','aebc6443-996d-45c2-90f0-388ff96faa56')

$mcpClientSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'aebc6443-996d-45c2-90f0-388ff96faa56'"
$mcpServerSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'"
$mcpClientSp, $mcpServerSp | Format-Table id, appId, displayName -AutoSize

MCP クライアントに付与されたアクセス許可を確認する

各 MCP クライアントに付与された Microsoft MCP Server のアクセス許可を検証します。

GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$select=id,clientId,resourceId,scope&$filter=clientId eq '{mcp-client-servicePrincipal}' and resourceId eq '{mcp-server-servicePrincipal}'

$grant = Get-EntraBetaServicePrincipalOAuth2PermissionGrant -ServicePrincipalId $mcpClientSp.Id
$grant.Scope -split ' '

[ Microsoft MCP Server for Enterprise のインストール ] をクリックして、VS Code の MCP インストールページを開きます。
[VS Code での インストール ] を選択し、管理者アカウントで認証します。
エージェント モードでCopilot Chatを開き、テナント固有の質問 ("テナント内のユーザーの数" など) を確認します。
1. MCP サーバーの応答を確認します。これには次のものが含まれます。
  1. 意図を理解するために呼び出されたツール。
  2. 実行された Microsoft Graph REST API 呼び出し。
  3. テナントデータを要約した自然言語の回答。

アプリケーションを登録できるアカウントでMicrosoft Entra 管理センターにサインインします (アプリケーション管理者またはクラウドアプリケーション管理者ロールで十分です)。
アプリケーションを登録し、次の設定を検討します。
1. アプリケーション名。
2. サポートされているアカウントの種類 (シングルテナント)。
3. MCP クライアントのプラットフォームとリダイレクト URI。
後で構成するために 、アプリケーション (クライアント) ID と ディレクトリ (テナント) ID の両方を記録します。
アクセス許可を付与するには:
1. [ 委任されたアクセス許可 ] を選択し、シナリオに一致するスコープを追加します (たとえば、テナント内のユーザーをカウントする MCP.User.Read.All を追加します)。
2. 追加した委任されたアクセス許可に対して管理者の同意を付与します。
MCP クライアントをテストして、Microsoft MCP Server for Enterprise に接続し、必要な操作を完了できることを確認します。

Microsoft Entra PowerShell を使用して、カスタム MCP クライアントのスコープを管理します。

Grant-EntraBetaMCPServerPermission -ApplicationId "<MCP_Client_Application_Id>" -Scopes "<Scope1>", "<Scope2>", "<...>"
Revoke-EntraBetaMCPServerPermission -ApplicationId "<MCP_Client_Application_Id>" -Scopes "<Scope1>", "<Scope2>", "<...>"

サポートされている MCP サーバースコープを表示する

MCP サーバーでは、ユーザー対話型のシナリオで委任されたアクセス許可のみがサポートされます。アプリのみのアクセス許可またはアプリ専用ワークフローはサポートされていません。次のいずれかのオプション (少なくとも DelegatedPermissionGrant.Read.All 委任されたアクセス許可が必要) を使用して、使用可能な MCP スコープを検査し、 isEnabled が trueされているスコープに焦点を当てます。

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='e8c77dc2-69b3-43f4-bc51-3213c9d915b4')/oauth2PermissionScopes

(Get-EntraBetaServicePrincipal -Property "PublishedPermissionScopes" -Filter "AppId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'").PublishedPermissionScopes |
  Where-Object { $_.IsEnabled -eq $true -and $_.AdditionalProperties["isPrivate"] -ne $true } |
  Select-Object Value, AdminConsentDisplayName |
  Sort-Object

Microsoft Entra ポータルにサインインします。
[ Entra ID>Enterprise アプリ] を展開します。
[ 管理 ] グループで、[ すべてのアプリケーション] を選択します。
Microsoft MCP Server for Enterprise (または appId e8c77dc2-69b3-43f4-bc51-3213c9d915b4) を検索し、アプリケーションを開きます。
[セキュリティ] グループから [アクセス許可] を選択して、MCP サーバーが公開する委任されたスコープを確認します。

MCP サーバースコープの一覧

MCP スコープの名前付けは、パターン MCP.{microsoft-graph-scope-name}に従います。たとえば、 User.Read.All Microsoft Graph スコープは、MCP サーバーで MCP.User.Read.All として公開されます。各スコープで許可される内容を理解するには、 Microsoft Graph のアクセス許可リファレンスを参照してください。

MCP。AccessReview.Read.All
MCP。AdministrativeUnit.Read.All
MCP。Application.Read.All
MCP。AuditLog.Read.All
MCP。AuthenticationContext.Read.All
MCP。Device.Read.All
MCP。DirectoryRecommendations.Read.All
MCP。Domain.Read.All
MCP。EntitlementManagement.Read.All
MCP。GroupMember.Read.All
MCP。HealthMonitoringAlert.Read.All
MCP。IdentityRiskEvent.Read.All
MCP。IdentityRiskyServicePrincipal.Read.All
MCP。IdentityRiskyUser.Read.All
MCP。LicenseAssignment.Read.All
MCP。LifecycleWorkflows.Read.All
MCP。LifecycleWorkflows-CustomExt.Read.All
MCP。LifecycleWorkflows-Reports.Read.All
MCP。LifecycleWorkflows-Workflow.Read.All
MCP。LifecycleWorkflows-Workflow.ReadBasic.All
MCP。NetworkAccess.Read.All
MCP。NetworkAccess-Reports.Read.All
MCP。Organization.Read.All
MCP。Policy.Read.All
MCP。Policy.Read.ConditionalAccess
MCP。ProvisioningLog.Read.All
MCP。Reports.Read.All
MCP。RoleAssignmentSchedule.Read.Directory
MCP。RoleEligibilitySchedule.Read.Directory
MCP。RoleManagement.Read.Directory
MCP。Synchronization.Read.All
MCP。User.Read.All
MCP。UserAuthenticationMethod.Read.All
MCP。GroupSettings.Read.All

MCP Server for Enterprise を無効にする

MCP Server for Enterprise は Microsoft 所有のサービスであるため、テナントから削除することはできません。ただし、必要に応じて無効にすることができます。

PATCH https://graph.microsoft.com/v1.0/servicePrincipals(appId='e8c77dc2-69b3-43f4-bc51-3213c9d915b4')
{
  "accountEnabled": false
}

$mcpServerSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'"
Set-EntraBetaServicePrincipal -ServicePrincipalId $mcpServerSp.Id -AccountEnabled $false

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-11-26