Начало работы с Microsoft MCP Server for Enterprise

Чтобы начать использовать Microsoft MCP Server для предприятия, необходимо включить его в клиенте. В настоящее время этот процесс подготавливает сервер MCP и Visual Studio Code. После подготовки можно настроить клиент MCP для подключения к серверу MCP.

В этой статье описывается, как подготовить сервер MCP и настроить как VS Code, так и пользовательские клиенты MCP для подключения к Microsoft MCP Server for Enterprise.

Подготовка сервера MCP и VS Code (требуется только один раз для каждого клиента)

Запустите PowerShell в режиме администратора и установите модуль PowerShell Microsoft.Entra.Beta (версия 1.0.13 или более поздняя):
```
Install-Module Microsoft.Entra.Beta -Force -AllowClobber
```
Выполните проверку подлинности в клиенте, где вы хотите зарегистрировать сервер MCP. Вам должна быть назначена роль администратора приложений или администратора облачных приложений , чтобы предоставить согласие на необходимые разрешения:
```
Connect-Entra -Scopes 'Application.ReadWrite.All', 'Directory.Read.All', 'DelegatedPermissionGrant.ReadWrite.All'
```
Совет

Запустите Get-EntraContext после проверки подлинности, чтобы подтвердить использование учетной записи, клиента и областей.
Зарегистрируйте Microsoft MCP Server for Enterprise в клиенте и предоставьте все разрешения на Visual Studio Code:
```
Grant-EntraBetaMCPServerPermission -ApplicationName VisualStudioCode
```

Подтверждение регистрации сервера MCP

Убедитесь, что оба приложения существуют с помощью Microsoft Graph, Microsoft Entra PowerShell или портала Microsoft Entra.

Имя	Глобальный уникальный идентификатор appId (идентификатор клиента)
Microsoft MCP Server для предприятия	`e8c77dc2-69b3-43f4-bc51-3213c9d915b4`
Visual Studio Code	`aebc6443-996d-45c2-90f0-388ff96faa56`

GET https://graph.microsoft.com/v1.0/servicePrincipals?$select=id,appId,displayName&$filter=appId in('e8c77dc2-69b3-43f4-bc51-3213c9d915b4','aebc6443-996d-45c2-90f0-388ff96faa56')

$mcpClientSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'aebc6443-996d-45c2-90f0-388ff96faa56'"
$mcpServerSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'"
$mcpClientSp, $mcpServerSp | Format-Table id, appId, displayName -AutoSize

Подтверждение разрешений, предоставленных клиентам MCP

Проверьте разрешения Microsoft MCP Server, предоставленные каждому клиенту MCP.

GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$select=id,clientId,resourceId,scope&$filter=clientId eq '{mcp-client-servicePrincipal}' and resourceId eq '{mcp-server-servicePrincipal}'

$grant = Get-EntraBetaServicePrincipalOAuth2PermissionGrant -ServicePrincipalId $mcpClientSp.Id
$grant.Scope -split ' '

Щелкните Установить Microsoft MCP Server for Enterprise, чтобы открыть страницу установки MCP VS Code.
Выберите Установить в VS Code и выполните проверку подлинности с помощью учетной записи администратора.
Откройте Copilot Chat в режиме агента и задайте вопрос для конкретного клиента, например "Сколько пользователей в моем клиенте?"
1. Просмотрите ответ сервера MCP, который включает в себя:
  1. Средства, которые были вызваны для понимания намерения.
  2. Выполненный вызов REST API Microsoft Graph.
  3. Ответ на естественном языке, который суммирует данные клиента.

Войдите в Центр администрирования Microsoft Entra с учетной записью, которая может регистрировать приложения (достаточно ролей администратора приложений или администратора облачных приложений).
Зарегистрируйте приложение и рассмотрите следующие параметры:
1. Имя приложения.
2. Поддерживаемые типы учетных записей (один клиент).
3. URI платформы и перенаправления для клиента MCP.
Запишите идентификатор приложения (клиента) и идентификатор каталога (клиента) для последующей настройки.
Чтобы предоставить разрешения, выполните следующие действия:
1. Выберите Делегированные разрешения и добавьте области, соответствующие вашему сценарию (например, добавить MCP.User.Read.All для подсчета пользователей в клиенте).
2. Предоставьте согласие администратора для делегированных разрешений, которые вы добавили.
Протестируйте клиент MCP, чтобы убедиться, что он может подключиться к Microsoft MCP Server for Enterprise и выполнить необходимые операции.

Управление областями для пользовательских клиентов MCP с помощью Microsoft Entra PowerShell:

Grant-EntraBetaMCPServerPermission -ApplicationId "<MCP_Client_Application_Id>" -Scopes "<Scope1>", "<Scope2>", "<...>"
Revoke-EntraBetaMCPServerPermission -ApplicationId "<MCP_Client_Application_Id>" -Scopes "<Scope1>", "<Scope2>", "<...>"

Просмотр поддерживаемых областей сервера MCP

Сервер MCP поддерживает только делегированные разрешения для пользовательских интерактивных сценариев. Разрешения только для приложений или рабочие процессы только для приложений не поддерживаются. Используйте один из следующих параметров (требуется по крайней DelegatedPermissionGrant.Read.All мере делегированное разрешение), чтобы проверить доступные области MCP и сосредоточиться на областях, где isEnabled имеет значение true.

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='e8c77dc2-69b3-43f4-bc51-3213c9d915b4')/oauth2PermissionScopes

(Get-EntraBetaServicePrincipal -Property "PublishedPermissionScopes" -Filter "AppId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'").PublishedPermissionScopes |
  Where-Object { $_.IsEnabled -eq $true -and $_.AdditionalProperties["isPrivate"] -ne $true } |
  Select-Object Value, AdminConsentDisplayName |
  Sort-Object

Войдите на портал Microsoft Entra.
Разверните узел Приложения Entra ID>Enterprise.
В группе Управление выберите Все приложения.
Найдите Microsoft MCP Server for Enterprise (или appId e8c77dc2-69b3-43f4-bc51-3213c9d915b4) и откройте приложение.
В группе Безопасность выберите Разрешения , чтобы просмотреть делегированные области, предоставляемые сервером MCP.

Список областей сервера MCP

Именование областей MCP следует шаблону MCP.{microsoft-graph-scope-name}. Например, область User.Read.All Microsoft Graph предоставляется как MCP.User.Read.All на сервере MCP. Чтобы понять, что позволяет каждая область, ознакомьтесь со справочником по разрешениям Microsoft Graph.

MCP. AccessReview.Read.All
MCP. AdministrativeUnit.Read.All
MCP. Application.Read.All
MCP. AuditLog.Read.All
MCP. AuthenticationContext.Read.All
MCP. Device.Read.All
MCP. DirectoryRecommendations.Read.All
MCP. Domain.Read.All
MCP. EntitlementManagement.Read.All
MCP. GroupMember.Read.All
MCP. HealthMonitoringAlert.Read.All
MCP. IdentityRiskEvent.Read.All
MCP. IdentityRiskyServicePrincipal.Read.All
MCP. IdentityRiskyUser.Read.All
MCP. LicenseAssignment.Read.All
MCP. LifecycleWorkflows.Read.All
MCP. LifecycleWorkflows-CustomExt.Read.All
MCP. LifecycleWorkflows-Reports.Read.All
MCP. LifecycleWorkflows-Workflow.Read.All
MCP. LifecycleWorkflows-Workflow.ReadBasic.All
MCP. NetworkAccess.Read.All
MCP. NetworkAccess-Reports.Read.All
MCP. Organization.Read.All
MCP. Policy.Read.All
MCP. Policy.Read.ConditionalAccess
MCP. ProvisioningLog.Read.All
MCP. Reports.Read.All
MCP. RoleAssignmentSchedule.Read.Directory
MCP. RoleEligibilitySchedule.Read.Directory
MCP. RoleManagement.Read.Directory
MCP. Synchronization.Read.All
MCP. User.Read.All
MCP. UserAuthenticationMethod.Read.All
MCP. GroupSettings.Read.All

Отключение сервера MCP для предприятия

Так как MCP Server for Enterprise является службой, принадлежащей Корпорации Майкрософт, ее нельзя удалить из клиента. Однако при необходимости его можно отключить.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals(appId='e8c77dc2-69b3-43f4-bc51-3213c9d915b4')
{
  "accountEnabled": false
}

$mcpServerSp = Get-EntraBetaServicePrincipal -Select id,appId,displayName -Filter "appId eq 'e8c77dc2-69b3-43f4-bc51-3213c9d915b4'"
Set-EntraBetaServicePrincipal -ServicePrincipalId $mcpServerSp.Id -AccountEnabled $false

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-11-26