Introdução ao Microsoft MCP Server para Enterprise

Para começar a utilizar o Microsoft MCP Server para Enterprise, tem de ativá-lo no seu inquilino. Atualmente, este processo aprovisiona o SERVIDOR MCP e o Visual Studio Code. Após o aprovisionamento, pode configurar o cliente MCP para ligar ao Servidor MCP.

Este artigo descreve como aprovisionar o servidor MCP e configurar o VS Code e os clientes MCP personalizados para ligar ao Microsoft MCP Server para Enterprise.

Aprovisionar o SERVIDOR MCP e o VS Code (apenas necessário uma vez por inquilino)

1. Inicie o PowerShell no modo de Administrador e instale o módulo Microsoft.Entra.Beta do PowerShell (versão 1.0.13 ou posterior):

   Install-Module Microsoft.Entra.Beta -Force -AllowClobber
   

2. Autentique-se no inquilino onde pretende registar o Servidor MCP. Tem de lhe ser atribuída a função Administrador de Aplicações ou Administrador de Aplicações na Cloud para consentir as permissões necessárias:

   Connect-Entra -Scopes 'Application.ReadWrite.All', 'Directory.Read.All', 'DelegatedPermissionGrant.ReadWrite.All'
   

   Dica

   Execute Get-EntraContext após a autenticação para confirmar a conta, o inquilino e os âmbitos atualmente em utilização.

3. Registe o Microsoft MCP Server para Enterprise no seu inquilino e conceda todas as permissões para Visual Studio Code:

   Grant-EntraBetaMCPServerPermission -ApplicationName VisualStudioCode
   

Confirmar o registo do servidor MCP

Verifique se ambas as aplicações existem com o Microsoft Graph, o Microsoft Entra PowerShell ou o portal Microsoft Entra.

Nome	AppId (ID de cliente) globalmente exclusivo
Microsoft MCP Server para Enterprise	e8c77dc2-69b3-43f4-bc51-3213c9d915b4
Visual Studio Code	aebc6443-996d-45c2-90f0-388ff96faa56

Microsoft Graph – verificar o registo

GET https://graph.microsoft.com/v1.0/servicePrincipals?$select=id,appId,displayName&$filter=appId in('e8c77dc2-69b3-43f4-bc51-3213c9d915b4','aebc6443-996d-45c2-90f0-388ff96faa56')

Microsoft Entra PowerShell – verificar o registo

$mcpClientSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'aebc6443-996d-45c2-90f0-388ff96faa56'"
$mcpServerSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'"
$mcpClientSp, $mcpServerSp | Format-Table id, appId, displayName -AutoSize

portal do Administração - verificar o registo

1. Inicie sessão no portal Microsoft Entra.
2. ExpandaaplicaçõesEntra ID> Enterprise.
3. No grupo Gerir , selecione Todas as aplicações.
4. Procure cada aplicação por nome ou ID de cliente.

Confirmar as permissões concedidas aos seus clientes MCP

Valide as permissões do Microsoft MCP Server que foram concedidas a cada cliente MCP.

Microsoft Graph – verificar permissões

GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$select=id,clientId,resourceId,scope&$filter=clientId eq '{mcp-client-servicePrincipal}' and resourceId eq '{mcp-server-servicePrincipal}'

Microsoft Entra PowerShell – verificar as permissões

$grant = Get-EntraBetaServicePrincipalOAuth2PermissionGrant -ServicePrincipalId $mcpClientSp.Id
$grant.Scope -split ' '

portal do Administração - verificar permissões

1. Inicie sessão no portal Microsoft Entra.
2. ExpandaaplicaçõesEntra ID> Enterprise.
3. No grupo Gerir , selecione Todas as aplicações.
4. Procure o principal de serviço por nome ou ID de cliente e abra-o.
5. Selecione Permissões para rever as permissões do Microsoft MCP Server concedidas ao cliente MCP.

Ligar o cliente MCP ao SERVIDOR MCP

VS Code

1. Clique em Instalar o Microsoft MCP Server para Enterprise para abrir a página de instalação do MCP do VS Code.
2. Selecione Instalar no VS Code e autentique-se com uma conta de administrador.
3. Abra Copilot Chat no Modo de agente e faça uma pergunta específica do inquilino, como "Quantos utilizadores estão no meu inquilino?"
   1. Reveja a resposta do SERVIDOR MCP, que inclui:
      1. As ferramentas que foram invocadas para compreender a intenção.
      2. A chamada à API REST do Microsoft Graph que foi executada.
      3. Uma resposta de linguagem natural que resume os dados do inquilino.

Clientes MCP personalizados

1. Inicie sessão no centro de administração do Microsoft Entra com uma conta que possa registar aplicações (as funções administrador de aplicações ou administrador de aplicações na cloud são suficientes).
2. Registe uma aplicação e considere as seguintes definições:
   1. Nome da aplicação.
   2. Tipos de conta suportados (Inquilino único).
   3. Plataforma e URI de redirecionamento para o seu cliente MCP.
3. Registe o ID da Aplicação (cliente) e o ID do Diretório (inquilino) para configuração posterior.
4. Para conceder permissões:
   1. Selecione Permissões delegadas e adicione os âmbitos que correspondem ao seu cenário (por exemplo, adicionar MCP.User.Read.All para contar utilizadores no inquilino).
   2. Conceda o consentimento do administrador para as permissões delegadas que adicionou.
5. Teste o cliente MCP para confirmar que consegue ligar-se ao Microsoft MCP Server para Empresas e conclua as operações necessárias.

Gerir âmbitos para clientes MCP personalizados com o Microsoft Entra PowerShell:

Grant-EntraBetaMCPServerPermission -ApplicationId "<MCP_Client_Application_Id>" -Scopes "<Scope1>", "<Scope2>", "<...>"
Revoke-EntraBetaMCPServerPermission -ApplicationId "<MCP_Client_Application_Id>" -Scopes "<Scope1>", "<Scope2>", "<...>"

Ver âmbitos de Servidor MCP suportados

O SERVIDOR MCP suporta apenas permissões delegadas para cenários interativos do utilizador. As permissões apenas de aplicações ou os fluxos de trabalho apenas de aplicações não são suportados. Utilize uma das seguintes opções (requer, pelo menos, a DelegatedPermissionGrant.Read.All permissão delegada) para inspecionar os âmbitos do MCP disponíveis e concentrar-se nos âmbitos em que isEnabled é true.

Microsoft Graph - listar âmbitos MCP

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='e8c77dc2-69b3-43f4-bc51-3213c9d915b4')/oauth2PermissionScopes

Microsoft Entra PowerShell – listar âmbitos MCP

(Get-EntraBetaServicePrincipal -Property "PublishedPermissionScopes" -Filter "AppId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'").PublishedPermissionScopes |
  Where-Object { $_.IsEnabled -eq $true -and $_.AdditionalProperties["isPrivate"] -ne $true } |
  Select-Object Value, AdminConsentDisplayName |
  Sort-Object

Administração centro - listar âmbitos MCP

1. Inicie sessão no portal Microsoft Entra.
2. ExpandaaplicaçõesEntra ID> Enterprise.
3. No grupo Gerir , selecione Todas as aplicações.
4. Procure Microsoft MCP Server for Enterprise (ou o appId e8c77dc2-69b3-43f4-bc51-3213c9d915b4) e abra a aplicação.
5. No grupo Segurança , selecione Permissões para rever os âmbitos delegados que o Servidor MCP expõe.

Lista de âmbitos do Servidor MCP

A nomenclatura dos âmbitos MCP segue o padrão MCP.{microsoft-graph-scope-name}. Por exemplo, o âmbito User.Read.All Microsoft Graph é exposto como MCP.User.Read.All no Servidor MCP. Para compreender o que cada âmbito permite, consulte a referência de permissões do Microsoft Graph.

• MCP. AccessReview.Read.All
• MCP. AdministrativeUnit.Read.All
• MCP. Application.Read.All
• MCP. AuditLog.Read.All
• MCP. AuthenticationContext.Read.All
• MCP. Device.Read.All
• MCP. DirectoryRecommendations.Read.All
• MCP. Domain.Read.All
• MCP. EntitlementManagement.Read.All
• MCP. GroupMember.Read.All
• MCP. HealthMonitoringAlert.Read.All
• MCP. IdentityRiskEvent.Read.All
• MCP. IdentityRiskyServicePrincipal.Read.All
• MCP. IdentityRiskyUser.Read.All
• MCP. LicenseAssignment.Read.All
• MCP. Ciclo de VidaWorkflows.Read.All
• MCP. Ciclo de VidaWorkflows-CustomExt.Read.All
• MCP. Ciclo de VidaWorkflows-Reports.Read.All
• MCP. Ciclo de VidaWorkflows-Workflow.Read.All
• MCP. Ciclo de VidaWorkflows-Workflow.ReadBasic.All
• MCP. NetworkAccess.Read.All
• MCP. NetworkAccess-Reports.Read.All
• MCP. Organization.Read.All
• MCP. Policy.Read.All
• MCP. Policy.Read.ConditionalAccess
• MCP. ProvisioningLog.Read.All
• MCP. Reports.Read.All
• MCP. RoleAssignmentSchedule.Read.Directory
• MCP. RoleEligibilitySchedule.Read.Directory
• MCP. RoleManagement.Read.Directory
• MCP. Synchronization.Read.All
• MCP. User.Read.All
• MCP. UserAuthenticationMethod.Read.All
• MCP. GroupSettings.Read.All

---

Desativar o SERVIDOR MCP para Enterprise

Uma vez que o MCP Server para Enterprise é um serviço pertencente à Microsoft, não pode eliminá-lo do seu inquilino. No entanto, pode desativá-la, se necessário.

Microsoft Graph – desativar o servidor MCP

PATCH https://graph.microsoft.com/v1.0/servicePrincipals(appId='e8c77dc2-69b3-43f4-bc51-3213c9d915b4')
{
  "accountEnabled": false
}

Microsoft Entra PowerShell – desativar o servidor MCP

$mcpServerSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'"
Set-EntraBetaServicePrincipal -ServicePrincipalId $mcpServerSp.Id -AccountEnabled $false

Administração centro – desativar o servidor MCP

1. Inicie sessão no portal Microsoft Entra.
2. ExpandaaplicaçõesEntra ID> Enterprise.
3. No grupo Gerir , selecione Todas as aplicações.
4. Procure o Servidor MCP e Visual Studio Code aplicações por nome ou ID de cliente e abra cada uma delas.
5. No grupo Gerir , alterne Ativado para os utilizadores iniciarem sessão? para Não.