Administración de herramientas para agentes en Centro de administración de Microsoft 365

Herramientas de agente en el Centro de administración de Microsoft 365 proporciona una vista centralizada de todas las herramientas con tecnología de inteligencia artificial y servidores de Protocolo de contexto de modelo (MCP) disponibles en su organización. Estas herramientas definen cómo interactúa un modelo de inteligencia artificial con los datos de usuario, las herramientas y los flujos de trabajo. Agent Tools le permite controlar las solicitudes, respuestas y acciones de forma coherente, segura y transparente.

Cada herramienta que aparece representa un servicio que admite experiencias de Copilot en aplicaciones de Microsoft 365. Puede supervisar la disponibilidad, administrar el acceso y garantizar el cumplimiento de las directivas de la organización. Use la pestaña Registro para ver y administrar las herramientas disponibles en el inquilino y la pestaña Solicitudes para revisar y aprobar las solicitudes de herramientas de los usuarios de su organización.

Nota:

La característica de servidor MCP Bring Your Own (BYO) permite a las organizaciones registrar sus propios servidores MCP remotos con Agent 365 para una gobernanza y observabilidad centralizadas. Para obtener más información, consulte Bring your own (BYO) MCP server (Traiga su propio servidor MCP).

Visualización del registro de Herramientas del agente

  1. Inicie sesión en el Centro de administración de Microsoft 365.

  2. En el panel de navegación izquierdo, seleccione Registro deherramientas>deagentes>.

    Captura de pantalla que muestra una lista de herramientas de agente disponibles para un inquilino.

Componentes clave de las herramientas del agente

La lista Herramientas del agente, en la pestaña Registro y en la pestaña Solicitud , proporciona filtros, columnas y acciones que le ayudarán a administrar las herramientas del agente.

Acciones

Puede seleccionar las acciones disponibles directamente en la lista o seleccionar el agente enumerado para mostrar información general de una herramienta de agente. Las herramientas del agente incluyen las siguientes acciones:

Acción Descripción
Bloquear Impide que los agentes o flujos de trabajo usen la herramienta seleccionada.
Desbloquear Restaura el acceso a una herramienta bloqueada anteriormente.

Filtros

El registro de herramientas del agente puede contener un inventario grande y diverso de herramientas. Puede filtrar la lista para ayudarle a restringir la vista a las herramientas del agente en las que desea centrarse en este momento.

Los filtros se basan en los criterios siguientes:

Filtro Descripción
Estado Filtre las herramientas por su estado actual, como Disponible o Bloqueado.
Publisher Vea las herramientas publicadas por Microsoft u otros proveedores.

Columnas

En la tabla siguiente se describen las columnas que están disponibles en el registro de herramientas del agente:

Columna Descripción
Name Nombre para mostrar de la herramienta, como Microsoft Teams MCP Server.
Estado Muestra si la herramienta está disponible o bloqueada.
Tipo Muestra la categoría de la herramienta, como MCP Server.
Publisher Muestra el publicador, como Microsoft para herramientas propias.

Servidores MCP comunes

Los servidores MCP se usan como servicio para exponer datos, acciones y lógica de negocios a los agentes.

A continuación se muestran ejemplos de servidores MCP:

Para obtener información relacionada, consulte Microsoft Agent 365 SDK y CLI.

Traiga su propio servidor MCP (BYO)

La característica de servidor MCP Bring Your Own (BYO) permite a las organizaciones registrar sus propios servidores MCP remotos con Microsoft Agent 365 para una gobernanza y observabilidad centralizadas.

Importante

  • Se trata de una característica en versión preliminar.
  • Las características en versión preliminar no están diseñadas para su uso en producción y pueden tener una funcionalidad restringida. Estas características están sujetas a términos de uso complementarios y están disponibles antes de una versión oficial para que los clientes puedan obtener acceso anticipado y proporcionar comentarios.

A menudo, las grandes empresas crean y operan servidores MCP internos para alimentar a sus agentes en varios flujos de trabajo empresariales. Estos servidores normalmente se ejecutan fuera de cualquier límite de gobernanza de la organización, sin visibilidad del administrador sobre las herramientas que se exponen, sin aplicación de directivas sobre cómo se invocan y sin uso de telemetría para los equipos de seguridad y cumplimiento. El servidor BYO MCP soluciona este problema mediante el enrutamiento de servidores registrados a través de la puerta de enlace de herramientas de Agent 365, lo que proporciona a los administradores de TI control mediante los equipos de Centro de administración de Microsoft 365 y seguridad los datos de observabilidad que necesitan.

Nota:

El servidor BYO MCP está actualmente en versión preliminar. Las superficies de cliente admitidas son Copilot Studio, VS Code, Claude Code y GitHub Copilot CLI. Azure los agentes declarativos de AI Foundry y Microsoft 365 aún no se admiten.

Funcionamiento de un servidor BYO MCP

Un servidor BYO MCP sigue un flujo estructurado de desarrollador a administrador para asegurarse de que todos los servidores MCP remotos se revisan y rigen antes de que estén disponibles para los agentes.

Flujo de desarrollador a administrador del servidor BYO MCP:

  1. El desarrollador registra un servidor MCP remoto a través de la CLI de Agent 365, lo que proporciona la dirección URL del servidor, el tipo de autenticación y las herramientas que se van a exponer. Para obtener más información, consulte Registro de un servidor MCP remoto.
  2. El administrador de TI revisa los detalles del servidor y las herramientas declaradas en el Centro de administración de Microsoft 365, y aprueba o rechaza la solicitud. Tras la aprobación, el administrador concede los permisos de Microsoft Entra necesarios para el servidor. Para obtener más información, consulte Revisión y aprobación de solicitudes de herramientas.
  3. Los clientes compatibles usan el servidor MCP aprobado, como Copilot Studio y VS Code, para compilar y probar agentes con invocaciones de herramientas reales. Para obtener más información, consulte Uso de un servidor MCP aprobado.
  4. El equipo de seguridad supervisa la actividad del servidor MCP y las invocaciones de herramientas a través de Microsoft Defender búsqueda avanzada de cumplimiento y detección de anomalías. Para obtener más información, consulte Supervisión y observación de la actividad del servidor MCP.

Importante

Este enfoque garantiza que todas las integraciones de MCP externas pasen por revisiones de gobernanza y cumplimiento adecuadas antes de estar disponibles para los usuarios finales.

Nota:

El servidor BYO MCP está actualmente en versión preliminar. Actualmente no se admite la nueva publicación de nuevas versiones del servidor MCP remoto.

Registro de un servidor MCP remoto

Sugerencia

Como administrador, puede ser útil comprender cómo registrar un servidor MCP remoto. Como alternativa, puede proporcionar los pasos de esta sección a un desarrollador para implementarlo.

Usted, o un desarrollador, puede registrar su propio servidor MCP remoto con Agent 365. Esta sección le guiará por los pasos necesarios para registrar un servidor MCP remoto con Agent 365 mediante la CLI, de modo que los administradores de TI puedan revisarlo y aprobarlo para su uso en superficies de creación de agentes.

En esta sección se proporcionan los pasos necesarios (que normalmente implementa un desarrollador) para registrar un servidor MCP remoto:

Requisitos previos para desarrolladores

Antes de registrar un servidor MCP remoto, asegúrese de que tiene los siguientes requisitos previos:

  • Instale la CLI de Agent 365 (o actualice a la versión más reciente). Para que este flujo funcione, necesita la versión 1.1.165-preview o posterior.
  • Asegúrese de que la entidad de servicio de Agent 365 está aprovisionada en el inquilino. Si no encuentra la entidad de servicio asociada a appId ea9ffc3e-8a23-4a7d-836d-234d7c7565c1, la entidad de servicio no se aprovisiona para el inquilino. Para configurar una entidad de servicio para Agent 365 en el inquilino, consulte:
  • Un punto de conexión de servidor MCP accesible públicamente al que puede acceder desde Internet.
  • El servidor se configura con uno de los tipos de autenticación admitidos:
    • NoAuth
    • APIKey (encabezado o consulta)
    • ExternalOAuth
    • EntraOAuth

Instalación de la CLI de Agent 365

Para instalar la CLI de Agent 365, siga las instrucciones de Instalación de la CLI de Agent 365.

Registro del servidor MCP

Después de instalar la CLI de Agent 365 y asegurarse de que el punto de conexión del servidor MCP es accesible públicamente y configurado con un tipo de autenticación compatible, está listo para registrar el servidor MCP con Agent 365. Los administradores de TI pueden revisarlo y aprobarlo para su uso en superficies de creación de agentes.

Tiene un par de opciones para registrar el servidor MCP con Agent 365:

  • Registro manual a través de la CLI: ejecute el a365 develop-mcp register-external-mcp-server comando desde la CLI y proporcione manualmente los detalles del servidor, el tipo de autenticación y las herramientas que expone el servidor MCP.

Importante

Los ejemplos de esta sección usan zava.com como dominio ficticio y nombres genéricos de servidor y herramienta para ilustrar. Reemplace estos valores por la dirección URL del servidor, el nombre y los identificadores de herramienta reales.

  • Registro a través de un archivo JSON: use a365 develop-mcp register-external-mcp-server -f <path-to-file.json> para registrar el servidor MCP proporcionando un archivo JSON que contenga todos los detalles del servidor, el tipo de autenticación y las definiciones de herramientas en un único archivo, en lugar de especificarlos individualmente en la línea de comandos.

Consulte los ejemplos de las secciones siguientes para obtener información sobre cómo registrar un servidor MCP con Agent 365 mediante la CLI para diferentes tipos de autenticación.

NoAuth

Para servidores MCP que no requieren autenticación:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type "NoAuth" \
--tools "tool1,tool2"

{
  "serverName": "ext_DocsSearch",
  "serverUrl": "https://docs.contoso.com/api/mcp",
  "authType": "NoAuth",
  "description": "Documentation search MCP Server for Contoso developer docs.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "search_docs",
      "description": "Search Contoso developer documentation and code samples."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": null
}
APIKey (parámetro de consulta)

Para los servidores que pasan la clave de API como parámetro de consulta:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Query \
--api-key-name apiKey \
--tools "tool1,tool2"

{
  "serverName": "ext_MarketData",
  "serverUrl": "https://api.contoso.com/market/mcp",
  "authType": "APIKey",
  "description": "Real-time stock market data and search from Contoso Market Services.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "stock-market-data",
      "description": "Get real-time stock market data and financial information."
    },
    {
      "name": "real-time-search",
      "description": "Search the web for real-time information and news."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": {
    "location": "Query",
    "name": "apiKey"
  }
}
APIKey (encabezado)

Para los servidores que pasan la clave de API en un encabezado de solicitud:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Header \
--api-key-name token \
--tools "tool1,tool2"

{
  "serverName": "ext_InternalTools",
  "serverUrl": "https://tools.contoso.com/mcp",
  "authType": "APIKey",
  "description": "Contoso internal tools MCP Server with API key authentication.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "tool1",
      "description": "First tool exposed by the server."
    },
    {
      "name": "tool2",
      "description": "Second tool exposed by the server."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": {
    "location": "Header",
    "name": "X-API-Key"
  }
}
ExternalOAuth

Para los servidores que se autentican a través de un proveedor de OAuth externo:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type ExternalOAuth \
--idp-authorization-url "https://idp.zava.com/o/oauth2/v2/auth" \
--idp-token-url "https://idp.zava.com/oauth2/token" \
--idp-scopes "https://api.zava.com/read" \
--idp-client-id "<your-client-id>" \
--idp-client-secret "<your-client-secret>" \
--remote-scopes "https://api.zava.com/read" \
--tools "tool1,tool2"


{
  "serverName": "ext_Analytics",
  "serverUrl": "https://analytics.contoso.com/mcp",
  "authType": "ExternalOAuth",
  "description": "Contoso Analytics MCP Server for dataset and query operations.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "list_datasets",
      "description": "List all available analytics datasets."
    }
  ],
  "remoteScopes": "https://analytics.contoso.com/.default",
  "externalOAuth": {
    "authorizationUrl": "https://auth.contoso.com/oauth2/authorize",
    "tokenUrl": "https://auth.contoso.com/oauth2/token",
    "scopes": "https://analytics.contoso.com/.default",
    "clientId": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
    "clientSecret": "<your-client-secret>"
  },
  "apiKey": null
}
EntraOAuth

Para los servidores que se autentican a través de Microsoft Entra ID:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type EntraOAuth \
--remote-scopes "https://api.zava.com/.default" \
--tools "tool1,tool2"

{
  "serverName": "ext_OrgDirectory",
  "serverUrl": "https://directory.contoso.com/mcp",
  "authType": "EntraOAuth",
  "description": "Contoso organization directory MCP Server secured with Entra OAuth.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "list_users",
      "description": "List users in the organization directory."
    },
    {
      "name": "get_user_profile",
      "description": "Get the profile of a specific user by ID or UPN."
    }
  ],
  "remoteScopes": "api://contoso-directory/.default",
  "externalOAuth": null,
  "apiKey": null
}

Después del registro correcto, envíe el servidor MCP para la revisión del administrador en el Centro de administración de Microsoft 365.

Revisión y aprobación de solicitudes de herramientas

Una vez que un desarrollador registra una herramienta, como un servidor MCP remoto, la herramienta aparece en el Centro de Administración de Microsoft 365 para su revisión y aprobación.

Captura de pantalla que muestra una lista de solicitudes de herramientas de agente disponibles para un inquilino.

Como administrador con los permisos adecuados para administrar las herramientas de agente en el Centro de Administración de Microsoft 365, puede revisar, aprobar o rechazar estas solicitudes para controlar qué herramientas están disponibles para su uso en su organización.

Importante

Para completar el proceso de revisión y aprobación, debe cumplir dos requisitos:

  • Necesita acceso a la página de herramientas del Centro de administración de Microsoft 365, donde administrará las herramientas del agente y revisará las solicitudes de registro del servidor MCP.
  • Necesita la capacidad de conceder consentimiento para todo el inquilino.

Dos roles cumplen ambos requisitos:

Use roles con los permisos más mínimos y limite el número de usuarios que tienen permisos de administrador. Consulte Roles con privilegios mínimos por tarea en Microsoft Entra ID. Para obtener más información sobre los roles de administrador y los permisos en la Centro de administración de Microsoft 365, consulte:

Para revisar y aprobar las solicitudes de registro del servidor MCP, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft 365.
  2. Seleccione Herramientas de agentes> y, a continuación, seleccione la pestaña Solicitudes.
  3. Las solicitudes pendientes muestran los siguientes detalles para cada servidor:
    • Nombre del servidor
    • Publisher
    • Solicitada por
    • Fecha solicitada
  4. Revise la información del servidor y las herramientas declaradas para obtener precisión y cumplimiento.
  5. Seleccione Aprobar para que el servidor esté disponible en el registro de la organización o Rechazar para denegar la solicitud.
  6. Tras la aprobación, dé su consentimiento a los permisos de Microsoft Entra requeridos por el servidor MCP. El servidor solo estará disponible para las superficies de creación del agente después de conceder el consentimiento.

Nota:

El servidor MCP puede tardar hasta 30 minutos en aparecer en todos los entornos de Microsoft Copilot Studio del inquilino una vez que se aprueba y se concede el consentimiento.

En función de la disponibilidad de los servidores MCP, verá los siguientes indicadores de estado:

  • Disponible : la herramienta está activa y lista para su uso.
  • Bloqueado : la herramienta está deshabilitada y los agentes no pueden acceder a ella.

Controles de gobernanza clave

En la tabla siguiente se resumen los controles de gobernanza clave:

Control Descripción
Aprobación o rechazo Administración aprueba o rechaza explícitamente cada servidor BYO MCP antes de que se pueda usar.
Bloque de Server-Level Administración puede bloquear servidores aprobados en cualquier momento; los servidores bloqueados se aplican en tiempo de ejecución.
Instantánea de herramientas Administración puede ver las herramientas declaradas expuestas por cada servidor MCP para obtener transparencia.
Aplicación en tiempo de ejecución Los servidores MCP bloqueados no se pueden invocar en tiempo de ejecución en ninguna superficie de cliente.

Uso de un servidor MCP aprobado

Una vez que se ha aprobado un servidor MCP y Microsoft Entra concede consentimiento, puede usarlo en las superficies de creación de agentes admitidas. Las siguientes superficies de cliente admiten actualmente la invocación de servidores BYO MCP aprobados en versión preliminar:

Cliente Estado
Copilot Studio ✅ Compatible
VS Code ✅ Compatible
código de Claude ✅ Compatible
CLI de GitHub Copilot ✅ Compatible

Como usuario de Copilot Studio, siga estos pasos para invocar el servidor BYO MCP aprobado:

  1. Vaya a Copilot Studio en su entorno.
  2. Cree un agente personalizado (o abra uno existente).
  3. Vaya a la sección Herramientas y seleccione Servidor MCP.
  4. Seleccione el servidor MCP en el registro.
  5. Pruebe el agente escribiendo un símbolo del sistema que invoque el servidor MCP.

Nota:

Configuración de la conexión por primera vez: en la invocación inicial, es posible que se le pida que complete una configuración de conexión única. Siga la dirección URL proporcionada para crear la conexión necesaria, como escribir la clave de API para los servidores basados en APIKey. Cuando termine, vuelva al agente y vuelva a intentar el aviso. Si la invocación se realiza correctamente, verá que el servidor MCP responde con la salida de la herramienta correcta.

Obtenga información sobre cómo invocar servidores BYO MCP aprobados desde Claude Code, VS Code y GitHub Copilot CLI en la sección Set up Work IQ MCP Servers for coding agents (Configurar servidores MCP de IQ de trabajo para agentes de codificación) de la introducción a WORK IQ MCP.

Supervisión y observación de la actividad del servidor MCP

Como miembro del equipo de seguridad de la organización, use Microsoft Defender búsqueda avanzada para realizar un seguimiento y analizar las invocaciones del servidor MCP. Este proceso le ayuda a ver qué agentes invocan qué servidores MCP, cuándo se producen las invocaciones y otros metadatos pertinentes que pueden ayudar a detectar patrones de uso inusuales o no autorizados.

Consulta KQL de ejemplo: búsqueda avanzada de Defender:

CloudAppEvents
| where ActionType in ( "ExecuteToolByGateway")
| where RawEventData contains "tool name"

Esta consulta devuelve detalles, incluidos el nombre del agente, el nombre del servidor MCP y los metadatos de invocación.

  • Last updated on