若要开始使用 Microsoft MCP Server for Enterprise,必须在租户中启用它。 此过程当前预配 MCP 服务器和Visual Studio Code。 预配后,可以将 MCP 客户端配置为连接到 MCP 服务器。
本文介绍如何预配 MCP 服务器并将 VS Code 和自定义 MCP 客户端配置为连接到 Microsoft MCP Server for Enterprise。
每个租户只需要预配 MCP 服务器和 VS Code (一次)
在管理员模式下启动 PowerShell,并安装 Microsoft.Entra.Beta PowerShell 模块 (版本 1.0.13 或更高版本) :
Install-Module Microsoft.Entra.Beta -Force -AllowClobber在要注册 MCP 服务器的租户中进行身份验证。 必须分配应用程序 管理员 或 云应用程序管理员 角色才能同意所需的权限:
Connect-Entra -Scopes 'Application.ReadWrite.All', 'Directory.Read.All', 'DelegatedPermissionGrant.ReadWrite.All'提示
身份验证后运行
Get-EntraContext以确认当前正在使用的帐户、租户和范围。在租户中注册 Microsoft MCP Server for Enterprise,并授予Visual Studio Code的所有权限:
Grant-EntraBetaMCPServerPermission -ApplicationName VisualStudioCode
确认 MCP 服务器注册
使用 Microsoft Graph、Microsoft Entra PowerShell 或 Microsoft Entra 门户验证这两个应用程序是否存在。
| 名称 | 全局唯一 的 appId (客户端 ID) |
|---|---|
| Microsoft MCP Server for Enterprise | e8c77dc2-69b3-43f4-bc51-3213c9d915b4 |
| Visual Studio Code | aebc6443-996d-45c2-90f0-388ff96faa56 |
GET https://graph.microsoft.com/v1.0/servicePrincipals?$select=id,appId,displayName&$filter=appId in('e8c77dc2-69b3-43f4-bc51-3213c9d915b4','aebc6443-996d-45c2-90f0-388ff96faa56')
确认授予 MCP 客户端的权限
验证授予每个 MCP 客户端Microsoft MCP 服务器权限。
GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$select=id,clientId,resourceId,scope&$filter=clientId eq '{mcp-client-servicePrincipal}' and resourceId eq '{mcp-server-servicePrincipal}'
将 MCP 客户端连接到 MCP 服务器
- 单击 “安装Microsoft MCP Server for Enterprise ”以打开 VS Code 的 MCP 安装页。
- 选择“在 VS Code 中 安装 ”,并使用管理员帐户进行身份验证。
- 在代理模式下打开Copilot 对话助手,并询问特定于租户的问题,例如“我的租户中有多少用户?”
- 查看 MCP 服务器响应,其中包括:
- 为理解意向而调用的工具。
- 执行的 Microsoft Graph REST API 调用。
- 汇总租户数据的自然语言答案。
- 查看 MCP 服务器响应,其中包括:
查看支持的 MCP 服务器范围
MCP 服务器仅支持用户交互方案的委托权限。 不支持仅应用权限或仅限应用的工作流。 使用以下选项之一, (至少 DelegatedPermissionGrant.Read.All 需要委托的权限) 来检查可用的 MCP 范围,并专注于范围,其中 isEnabled 为 true。
GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='e8c77dc2-69b3-43f4-bc51-3213c9d915b4')/oauth2PermissionScopes
MCP 服务器范围列表
MCP 作用域的命名遵循模式 MCP.{microsoft-graph-scope-name}。 例如, User.Read.All Microsoft Graph 范围公开为 MCP.User.Read.All MCP 服务器上。 若要了解每个范围允许的内容,请参阅 Microsoft Graph 权限参考。
- MCP。AccessReview.Read.All
- MCP。AdministrativeUnit.Read.All
- MCP。Application.Read.All
- MCP。AuditLog.Read.All
- MCP。AuthenticationContext.Read.All
- MCP。Device.Read.All
- MCP。DirectoryRecommendations.Read.All
- MCP。Domain.Read.All
- MCP。EntitlementManagement.Read.All
- MCP。GroupMember.Read.All
- MCP。HealthMonitoringAlert.Read.All
- MCP。IdentityRiskEvent.Read.All
- MCP。IdentityRiskyServicePrincipal.Read.All
- MCP。IdentityRiskyUser.Read.All
- MCP。LicenseAssignment.Read.All
- MCP。LifecycleWorkflows.Read.All
- MCP。LifecycleWorkflows-CustomExt.Read.All
- MCP。LifecycleWorkflows-Reports.Read.All
- MCP。LifecycleWorkflows-Workflow.Read.All
- MCP。LifecycleWorkflows-Workflow.ReadBasic.All
- MCP。NetworkAccess.Read.All
- MCP。NetworkAccess-Reports.Read.All
- MCP。Organization.Read.All
- MCP。Policy.Read.All
- MCP。Policy.Read.ConditionalAccess
- MCP。ProvisioningLog.Read.All
- MCP。Reports.Read.All
- MCP。RoleAssignmentSchedule.Read.Directory
- MCP。RoleEligibilitySchedule.Read.Directory
- MCP。RoleManagement.Read.Directory
- MCP。Synchronization.Read.All
- MCP。User.Read.All
- MCP。UserAuthenticationMethod.Read.All
- MCP。GroupSettings.Read.All
禁用 MCP Server for Enterprise
由于 MCP Server for Enterprise 是Microsoft拥有的服务,因此无法将其从租户中删除。 但是,可以根据需要禁用它。
PATCH https://graph.microsoft.com/v1.0/servicePrincipals(appId='e8c77dc2-69b3-43f4-bc51-3213c9d915b4')
{
"accountEnabled": false
}