Ansluta Azure MCP Server till nationella moln

Den här artikeln visar hur du konfigurerar Azure MCP Server att autentisera mot ett nationellt moln i stället för det offentliga Azure-molnet. Använd till exempel de här stegen när din prenumeration finns i Azure US Government eller Azure som drivs av 21Vianet Cloud (Azure i Kina) eller när du behöver tillhandahålla en anpassad auktoritet värd. För mer information om Azure suveräna molnerbjudanden, se Vad är suveräna moln?.

Förutsättningar

• Åtkomst till en Azure-prenumeration i Azure US Government eller Azure i Kina.
• En klient eller lokal installation som kan starta Azure MCP Server. Konfigurationsalternativ finns i Komma igång med Azure MCP-servern.
• Minst ett lokalt autentiseringsverktyg som stöds, till exempel Azure CLI, Azure PowerShell eller Azure Developer CLI.

Suveräna moln som stöds

Azure MCP Server identifierar följande molnnamn och mappar dem till rätt Microsoft Entra auktoritetsvärd.

Moln	Auktoritetsvärd	Alias som stöds
Offentligt Azure-moln	https://login.microsoftonline.com	AzureCloud, AzurePublicCloud, , PublicAzurePublic
Azure för USA:s regering	https://login.microsoftonline.us	AzureUSGovernment, USGov, , AzureUSGovernmentCloudUSGovernment
Azure i Kina	https://login.chinacloudapi.cn	AzureChinaCloud, China, AzureChina

Alias är inte skiftlägeskänsliga.

Konfigurera molnet för Azure MCP Server

Du kan ange molnet antingen i serverargumenten eller via konfigurationen. Om du anger molnet på mer än en plats löser Azure MCP Server värdet i den här ordningen.

Prioritet	Källa	Inställning
1	Kommandorad	--cloud
2	.NET-konfigurationsprovidrar	AZURE_CLOUD, azure_cloud, , cloudCloud
3	Reservlösning för miljövariabler	AZURE_CLOUD
Standardinställning	Reserv	AzurePublicCloud

Konfigurera med ett serverargument

Om MCP-klienten startar Azure MCP Server åt dig lägger du till --cloud i serverargumenten.

{
  "servers": {
    "Azure MCP Server": {
      "type": "stdio",
      "command": "npx",
      "args": [
        "-y",
        "@azure/mcp@latest",
        "server",
        "start",
        "--cloud",
        "AzureUSGovernment"
      ]
    }
  }
}

Ersätt AzureUSGovernment med AzureChinaCloud när du ansluter till Azure i Kina.

Konfigurera med miljövariabler

Om du startar Azure MCP Server från ett gränssnitt, eller om MCP-klienten stöder miljövariabler, anger du AZURE_CLOUD med lämpligt värde innan du startar servern.

PowerShell

$env:AZURE_CLOUD = "AzureUSGovernment"
azmcp server start

Bash

export AZURE_CLOUD=AzureUSGovernment
azmcp server start

Kommandotolken för Windows

set AZURE_CLOUD=AzureUSGovernment
azmcp server start

Autentisera dina lokala verktyg till samma moln

Innan du startar Azure MCP Server loggar du in på samma nationella moln i de lokala verktyg som Azure MCP Server kan använda för autentisering.

Azure CLI

Använd Azure CLI när arbetsflödet förlitar sig på az login eller Azure CLI-autentiseringsuppgifterna.

az cloud set --name AzureUSGovernment
az login

För Azure i Kina ersätter du AzureUSGovernment med AzureChinaCloud.

Azure PowerShell

Använd Azure PowerShell när arbetsflödet förlitar sig på Azure PowerShell-autentiseringsuppgifterna.

Connect-AzAccount -Environment AzureUSGovernment

För Azure i Kina ersätter du AzureUSGovernment med AzureChinaCloud.

Azure Developer CLI

Använd Azure Developer CLI när arbetsflödet förlitar sig på azd auth login eller autentiseringsuppgifter för Azure Developer CLI.

azd config set cloud.name AzureUSGovernment
azd auth login

För Azure i Kina ersätter du AzureUSGovernment med AzureChinaCloud.

Konfigurera en fjärrserver med egen värd

Om du distribuerar Azure MCP Server som en fjärransluten MCP-server kontrollerar du att värdmiljön är konfigurerad för det nationella målmolnet innan du publicerar slutpunkten.

Ange dessa miljövariabler på värden eller containern:

• AZURE_CLOUD.
• AzureAd__ClientCredentials__0__TokenExchangeUrl.

Om du använder någon av Azure Container Apps-mallarna från Microsoft anges det här värdet åt dig. Mallen härleder rätt värde från målmolnet innan den publicerar fjärrslutpunkten. Exempel finns i Foundry-mallen för hanterad identitet, Copilot Studio-mallen för hanterad identitet och mallen för ombud.

Om du konfigurerar fjärrservern manuellt anger du AzureAd__ClientCredentials__0__TokenExchangeUrl till tokenutbytespubliken för molnet:

Moln	Värde
Offentligt Azure-moln	api://AzureADTokenExchange
Azure för USA:s regering	api://AzureADTokenExchangeUSGov
Azure i Kina	api://AzureADTokenExchangeChina

För mallbaserade distributioner kan du granska de ursprungliga Azure MCP Server azd-mallarna om du vill bekräfta inställningarna för den genererade värden eller containerinställningarna innan du publicerar fjärrslutpunkten.

Kontrollera anslutningen

1. Starta om MCP-klienten när du har ändrat molnkonfigurationen.

2. Kör en enkel fråga som kräver Azure-kontext, till exempel List my resource groups.

3. Om begäran misslyckas kontrollerar du att dina lokala verktyg autentiseras till samma nationella moln och klientorganisation som den Azure-prenumeration som du vill använda.

Felsöka konfiguration av nationella moln

Om autentiseringen eller identifieringen misslyckas börjar du med dessa kontroller.

1. Verifiera molnkonfigurationen. Bekräfta att molnnamnet eller utfärdarens värd är korrekt.

2. Kontrollera lokal autentisering. Kontrollera att du autentiserade den lokala verktygskedjan till rätt moln.

3. Verifiera hyresgästen. Bekräfta att klientorganisationen tillhör den nationella molnprenumeration som du vill använda. Kör till exempel az account show --query tenantId -o tsv.

4. Kontrollera nätverksanslutningen. Se till att du kan nå rätt auktoritetstjänst för ditt moln.

   • Azure US Government: https://login.microsoftonline.us
   • Azure i Kina: https://login.chinacloudapi.cn

5. Kontrollera att båda AZURE_CLOUD och AzureAd__ClientCredentials__0__TokenExchangeUrl är rätt inställda för fjärrdistributioner.

Vanliga felmeddelanden

Använd följande tabell för att mappa vanliga fel till sannolika orsaker.

Error	Sannolik orsak	Lösning
Authentication failed	Ditt lokala verktyg är fortfarande inloggade i fel moln eller inte alls inloggade.	Autentisera igen med rätt moln genom att använda az login, Connect-AzAccount eller azd auth login.
Cannot connect to authority host	Molnvärdet eller webbadressen till värddator för anpassad auktoritet är ogiltig eller så går det inte att nå slutpunkten.	Kontrollera molnnamnet, anpassad auktoritetsvärd och nätverksanslutningen.
Invalid tenant	Klientorganisationen matchar inte den nationella molnprenumerationen.	Bekräfta klientorganisations-ID:t och logga in igen med rätt klientorganisation och moln.
The primary access token is from the wrong issuer	Token utfärdades för en annan kund än vad prenumerationen förväntar sig.	Kontrollera den aktiva klientorganisationen och starta sedan om klienten och Azure MCP-servern när du har växlat till rätt klientorganisation.

Verifiera den effektiva konfigurationen

Om problemet kvarstår startar du servern med felsökningsloggning och bekräftar att Azure MCP Server använder den förväntade utfärdarvärden.

azmcp server start --cloud AzureUSGovernment --log-level Debug

Felsökningsutdata bör visa den auktoritetsvärd som används för autentisering.

Ytterligare kontroller för företagsmiljöer

Om du arbetar bakom företagsnätverkskontroller kontrollerar du även följande objekt.

• Brandväggs- eller proxyregler blockerar inte utgående trafik till den nationella molnmyndighetens värd och Azure Resource Manager-slutpunkten.
• Rätt konto väljs när flera autentiseringsuppgifter är tillgängliga.
• Privata slutpunktsresurser kan nås via VPN, ExpressRoute eller en annan godkänd nätverkssökväg.

Om du fortfarande har problem kan du läsa felsökningsguiden för Azure MCP Server.

Relaterat innehåll

• Kom igång med Azure MCP Server
• Översikt över Azure MCP Server
• Distribuera en lokalt installerad Fjärr-Azure MCP-server och anslut till den med Hjälp av Copilot Studio
• Distribuera en självhostad fjärr-Azure MCP-server och anslut till den med hjälp av Microsoft Foundry