Gérer les outils pour les agents dans Centre d’administration Microsoft 365

Les outils agent dans le Centre d’administration Microsoft 365 fournissent une vue centralisée de tous les outils basés sur l’IA et les serveurs MCP (Model Context Protocol) disponibles dans votre organization. Ces outils définissent la façon dont un modèle IA interagit avec les données utilisateur, les outils et les workflows. Agent Tools vous permet de gérer les demandes, les réponses et les actions de manière cohérente, sécurisée, sécurisée et transparente.

Chaque outil répertorié représente un service qui prend en charge les expériences Copilot dans les applications Microsoft 365. Vous pouvez surveiller la disponibilité, gérer l’accès et garantir la conformité aux stratégies organisationnelles. Utilisez l’onglet Registre pour afficher et gérer les outils disponibles dans votre locataire, et l’onglet Demandes pour examiner et approuver les demandes d’outils des utilisateurs de votre organization.

Remarque

La fonctionnalité de serveur MCP BYO (Bring Your Own) permet aux organisations d’inscrire leurs propres serveurs MCP distants avec Agent 365 pour une gouvernance et une observabilité centralisées. Pour plus d’informations, consultez Apportez votre propre serveur MCP (BYO).

Afficher le registre Des outils d’agent

  1. Connectez-vous au Centre d’administration Microsoft 365.

  2. Dans le volet de navigation gauche, sélectionnez Outils Agents>>Registre.

    Capture d’écran montrant la liste des outils d’agent disponibles pour un locataire.

Composants clés des outils d’agent

La liste Outils de l’agent sous l’onglet Registre et l’onglet Demande fournit un filtre, des colonnes et des actions pour vous aider à gérer vos outils d’agent.

Actions

Vous pouvez sélectionner les actions disponibles directement dans la liste, ou sélectionner l’agent répertorié pour afficher une vue d’ensemble d’un outil d’agent. Les outils d’agent incluent les actions suivantes :

Opération Description
Bloquer Empêche l’utilisation de l’outil sélectionné par les agents ou les workflows.
Débloquer Restaure l’accès à un outil précédemment bloqué.

Filtres

Le registre des outils de l’agent peut contenir un inventaire important et diversifié d’outils. Vous pouvez filtrer la liste pour vous aider à limiter la vue aux outils d’agent sur lesquels vous souhaitez vous concentrer pour le moment.

Les filtres sont basés sur les critères suivants :

Filtre Description
Statut Filtrez les outils en fonction de leur état actuel, par exemple Disponible ou Bloqué.
Publisher Afficher les outils publiés par Microsoft ou d’autres fournisseurs.

Columns

Le tableau suivant décrit les colonnes disponibles dans le registre des outils d’agent :

Colonne Description
Nom Nom d’affichage de l’outil, tel que Microsoft Teams MCP Server.
Statut Indique si l’outil est Disponible ou Bloqué.
Type Affiche la catégorie d’outils, telle que MCP Server.
Publisher Affiche l’éditeur, tel que Microsoft pour les outils internes.

Serveurs MCP courants

Vous utilisez un serveur MCP en tant que service pour exposer des données, des actions et une logique métier aux agents.

Voici des exemples de serveurs MCP :

Pour plus d’informations, consultez Microsoft Agent 365 SDK et l’interface CLI.

Bring Your Own (BYO) SERVEUR MCP

La fonctionnalité de serveur MCP BYO (Bring Your Own) permet aux organisations d’inscrire leurs propres serveurs MCP distants avec Microsoft Agent 365 pour une gouvernance et une observabilité centralisées.

Importante

  • Il s’agit d’une fonctionnalité en préversion.
  • Les fonctionnalités en préversion ne sont pas destinées à une utilisation en production et peuvent avoir des fonctionnalités restreintes. Ces fonctionnalités sont soumises à des conditions d’utilisation supplémentaires et sont disponibles avant une version officielle afin que les clients puissent bénéficier d’un accès en avant-première et fournir des commentaires.

Les grandes entreprises créent et exploitent souvent des serveurs MCP internes pour alimenter leurs agents sur différents flux de travail métier. Ces serveurs s’exécutent généralement en dehors de toute limite de gouvernance organisationnelle, sans aucune visibilité de l’administrateur sur les outils exposés, aucune application de stratégie sur la façon dont ils sont appelés et aucune utilisation de la télémétrie pour les équipes de sécurité et de conformité. Le serveur BYO MCP résout ce problème en acheminant les serveurs inscrits via la passerelle Agent 365 Tooling Gateway, ce qui permet aux administrateurs informatiques de contrôler par le biais des équipes de Centre d’administration Microsoft 365 et de sécurité les données d’observabilité dont ils ont besoin.

Remarque

Le serveur BYO MCP est actuellement en préversion. Les surfaces clientes prises en charge sont Copilot Studio, VS Code, Claude Code et GitHub Copilot CLI. Azure AI Foundry et les agents déclaratifs Microsoft 365 ne sont pas encore pris en charge.

Fonctionnement d’un serveur BYO MCP

Un serveur MCP BYO suit un flux de développeur à administrateur structuré pour s’assurer que tous les serveurs MCP distants sont examinés et régis avant d’être mis à la disposition des agents.

Flux développeur-administrateur du serveur MCP BYO :

  1. Le développeur inscrit un serveur MCP distant via l’interface CLI Agent 365, en fournissant l’URL du serveur, le type d’authentification et les outils à exposer. Pour plus d’informations, consultez Inscrire un serveur MCP distant.
  2. L’administrateur informatique examine les détails du serveur et les outils déclarés dans le Centre d’administration Microsoft 365, puis approuve ou rejette la demande. Lors de l’approbation, l’administrateur accorde les autorisations Microsoft Entra requises pour le serveur. Pour plus d’informations, consultez Examiner et approuver les demandes d’outils.
  3. Le serveur MCP approuvé est utilisé par les clients pris en charge, tels que Copilot Studio et VS Code, pour générer et tester des agents contre des appels d’outils réels. Pour plus d’informations, consultez Utiliser un serveur MCP approuvé.
  4. L’équipe de sécurité surveille l’activité du serveur MCP et les appels d’outils via Microsoft Defender repérage avancé pour la conformité et la détection des anomalies. Pour plus d’informations, consultez Surveiller et observer l’activité du serveur MCP.

Importante

Cette approche garantit que toutes les intégrations MCP externes passent par des révisions de gouvernance et de conformité appropriées avant de devenir disponibles pour les utilisateurs finaux.

Remarque

Le serveur BYO MCP est actuellement en préversion. La republiation de nouvelles versions de votre serveur MCP distant n’est pas prise en charge actuellement.

Inscrire un serveur MCP distant

Conseil

En tant qu’administrateur, il peut être utile de comprendre comment inscrire un serveur MCP distant. Vous pouvez également fournir les étapes de cette section à un développeur à implémenter.

Vous ou un développeur pouvez inscrire votre propre serveur MCP distant auprès de Agent 365. Cette section vous guide tout au long des étapes requises pour inscrire un serveur MCP distant auprès de Agent 365 à l’aide de l’interface CLI, afin que les administrateurs informatiques puissent l’examiner et l’approuver pour l’utiliser dans les surfaces de création d’agents.

Cette section fournit les étapes nécessaires (généralement implémentées par un développeur) pour inscrire un serveur MCP distant :

Prérequis pour les développeurs

Avant d’inscrire un serveur MCP distant, vérifiez que vous disposez des conditions préalables suivantes :

  • Installez l’interface CLI Agent 365 (ou mettez à jour vers la dernière version). Pour que ce flux fonctionne, vous avez besoin de la version 1.1.165-preview ou ultérieure.
  • Vérifiez que le principal de service Agent 365 est approvisionné dans votre locataire. Si vous ne trouvez pas le principal de service associé à appId ea9ffc3e-8a23-4a7d-836d-234d7c7565c1, le principal de service n’est pas provisionné pour votre locataire. Pour configurer un principal de service pour Agent 365 dans votre locataire, consultez :
  • Point de terminaison de serveur MCP accessible publiquement que vous pouvez atteindre à partir d’Internet.
  • Le serveur est configuré avec l’un des types d’authentification pris en charge :
    • NoAuth
    • APIKey (en-tête ou requête)
    • ExternalOAuth
    • EntraOAuth

Installer l’interface CLI Agent 365

Pour installer l’interface CLI Agent 365, suivez les instructions fournies dans Installer l’interface CLI Agent 365.

Inscrire votre serveur MCP

Une fois que vous avez installé l’interface CLI Agent 365 et que vous vous êtes assuré que votre point de terminaison de serveur MCP est accessible publiquement et configuré avec un type d’authentification pris en charge, vous êtes prêt à inscrire votre serveur MCP auprès de Agent 365. Les administrateurs informatiques peuvent l’examiner et l’approuver pour l’utiliser dans les surfaces de construction d’agents.

Vous disposez de deux options pour inscrire votre serveur MCP auprès de Agent 365 :

  • Inscription manuelle via l’interface CLI : exécutez la a365 develop-mcp register-external-mcp-server commande à partir de l’interface CLI et fournissez manuellement les détails du serveur, le type d’authentification et les outils exposés par votre serveur MCP.

Importante

Les exemples de cette section utilisent zava.com comme domaine fictif et des noms de serveurs et d’outils génériques à des fins d’illustration. Remplacez ces valeurs par l’URL, le nom et les identificateurs d’outil de votre serveur réels.

  • Inscription via un fichier JSON : permet a365 develop-mcp register-external-mcp-server -f <path-to-file.json> d’inscrire votre serveur MCP en fournissant un fichier JSON qui contient tous les détails du serveur, le type d’authentification et les définitions d’outils dans un seul fichier, au lieu de les spécifier individuellement sur la ligne de commande.

Reportez-vous aux exemples des sections suivantes pour savoir comment inscrire un serveur MCP auprès de Agent 365 à l’aide de l’interface CLI pour différents types d’authentification.

NoAuth

Pour les serveurs MCP qui ne nécessitent aucune authentification :

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type "NoAuth" \
--tools "tool1,tool2"

{
  "serverName": "ext_DocsSearch",
  "serverUrl": "https://docs.contoso.com/api/mcp",
  "authType": "NoAuth",
  "description": "Documentation search MCP Server for Contoso developer docs.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "search_docs",
      "description": "Search Contoso developer documentation and code samples."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": null
}
APIKey (paramètre de requête)

Pour les serveurs qui passent la clé API en tant que paramètre de requête :

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Query \
--api-key-name apiKey \
--tools "tool1,tool2"

{
  "serverName": "ext_MarketData",
  "serverUrl": "https://api.contoso.com/market/mcp",
  "authType": "APIKey",
  "description": "Real-time stock market data and search from Contoso Market Services.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "stock-market-data",
      "description": "Get real-time stock market data and financial information."
    },
    {
      "name": "real-time-search",
      "description": "Search the web for real-time information and news."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": {
    "location": "Query",
    "name": "apiKey"
  }
}
APIKey (en-tête)

Pour les serveurs qui passent la clé API dans un en-tête de requête :

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Header \
--api-key-name token \
--tools "tool1,tool2"

{
  "serverName": "ext_InternalTools",
  "serverUrl": "https://tools.contoso.com/mcp",
  "authType": "APIKey",
  "description": "Contoso internal tools MCP Server with API key authentication.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "tool1",
      "description": "First tool exposed by the server."
    },
    {
      "name": "tool2",
      "description": "Second tool exposed by the server."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": {
    "location": "Header",
    "name": "X-API-Key"
  }
}
ExternalOAuth

Pour les serveurs qui s’authentifient via un fournisseur OAuth externe :

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type ExternalOAuth \
--idp-authorization-url "https://idp.zava.com/o/oauth2/v2/auth" \
--idp-token-url "https://idp.zava.com/oauth2/token" \
--idp-scopes "https://api.zava.com/read" \
--idp-client-id "<your-client-id>" \
--idp-client-secret "<your-client-secret>" \
--remote-scopes "https://api.zava.com/read" \
--tools "tool1,tool2"


{
  "serverName": "ext_Analytics",
  "serverUrl": "https://analytics.contoso.com/mcp",
  "authType": "ExternalOAuth",
  "description": "Contoso Analytics MCP Server for dataset and query operations.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "list_datasets",
      "description": "List all available analytics datasets."
    }
  ],
  "remoteScopes": "https://analytics.contoso.com/.default",
  "externalOAuth": {
    "authorizationUrl": "https://auth.contoso.com/oauth2/authorize",
    "tokenUrl": "https://auth.contoso.com/oauth2/token",
    "scopes": "https://analytics.contoso.com/.default",
    "clientId": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
    "clientSecret": "<your-client-secret>"
  },
  "apiKey": null
}
EntraOAuth

Pour les serveurs qui s’authentifient via Microsoft Entra ID :

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type EntraOAuth \
--remote-scopes "https://api.zava.com/.default" \
--tools "tool1,tool2"

{
  "serverName": "ext_OrgDirectory",
  "serverUrl": "https://directory.contoso.com/mcp",
  "authType": "EntraOAuth",
  "description": "Contoso organization directory MCP Server secured with Entra OAuth.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "list_users",
      "description": "List users in the organization directory."
    },
    {
      "name": "get_user_profile",
      "description": "Get the profile of a specific user by ID or UPN."
    }
  ],
  "remoteScopes": "api://contoso-directory/.default",
  "externalOAuth": null,
  "apiKey": null
}

Une fois l’inscription réussie, envoyez le serveur MCP pour révision par l’administrateur dans le Centre d’administration Microsoft 365.

Examiner et approuver les demandes d’outils

Une fois qu’un développeur a inscrit un outil, tel qu’un serveur MCP distant, l’outil apparaît dans le Centre Administration Microsoft 365 pour révision et approbation.

Capture d’écran montrant la liste des demandes d’outils d’agent disponibles pour un locataire.

En tant qu’administrateur disposant des autorisations appropriées pour gérer les outils de l’agent dans le centre Administration Microsoft 365, vous pouvez examiner, approuver ou rejeter ces demandes pour contrôler les outils disponibles dans votre organization.

Importante

Pour terminer le processus de révision et d’approbation, vous devez répondre à deux exigences :

  • Vous devez accéder à la page d’outils du Centre d’administration Microsoft 365 dans laquelle vous gérez les outils de l’agent et passez en revue les demandes d’inscription de serveur MCP.
  • Vous avez besoin de la possibilité d’accorder un consentement à l’échelle du locataire.

Deux rôles répondent aux deux exigences :

Utilisez des rôles avec le moins d’autorisations et limitez le nombre d’utilisateurs disposant d’autorisations d’administrateur. Consultez Rôles moins privilégiés par tâche dans Microsoft Entra ID. Pour en savoir plus sur les rôles d’administrateur et les autorisations dans la Centre d’administration Microsoft 365, consultez :

Pour examiner et approuver les demandes d’inscription de serveur MCP, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft 365.
  2. Sélectionnez Outils Agents>, puis sélectionnez l’onglet Demandes.
  3. Les demandes en attente affichent les détails suivants pour chaque serveur :
    • Nom du serveur
    • Publisher
    • Demandée par
    • Date demandée
  4. Vérifiez la précision et la conformité des informations sur le serveur et des outils déclarés.
  5. Sélectionnez Approuver pour rendre le serveur disponible dans le registre de l’organisation ou Rejeter pour refuser la demande.
  6. Après approbation, consentez aux autorisations Microsoft Entra requises par le serveur MCP. Le serveur devient disponible pour les surfaces de construction de l’agent uniquement après l’octroi du consentement.

Remarque

L’affichage du serveur MCP dans tous les environnements Microsoft Copilot Studio dans le locataire peut prendre jusqu’à 30 minutes une fois qu’il est approuvé et que le consentement est accordé.

En fonction de la disponibilité des serveurs MCP, vous verrez les indicateurs de status suivants :

  • Disponible : l’outil est actif et prêt à être utilisé.
  • Bloqué : l’outil est désactivé et les agents ne peuvent pas y accéder.

Contrôles de gouvernance clés

Le tableau suivant récapitule les contrôles de gouvernance clés :

Contrôle Description
Approbation/rejet Administration approuve ou rejette explicitement chaque serveur MCP BYO avant de pouvoir l’utiliser.
bloc Server-Level Administration pouvez bloquer les serveurs approuvés à tout moment ; les serveurs bloqués sont appliqués au moment de l’exécution.
Instantané d’outils Administration pouvez afficher les outils déclarés exposés par chaque serveur MCP pour plus de transparence.
Mise en œuvre du runtime Les serveurs MCP bloqués ne peuvent pas être appelés au moment de l’exécution sur n’importe quelle surface du client.

Utiliser un serveur MCP approuvé

Une fois qu’un serveur MCP a été approuvé et que Microsoft Entra a accordé son consentement, vous pouvez l’utiliser sur les surfaces de création d’agents prises en charge. Les surfaces clientes suivantes prennent actuellement en charge l’appel de serveurs BYO MCP approuvés en préversion :

Client Statut
Copilot Studio ✅ Soutenu
VS Code ✅ Soutenu
code Claude ✅ Soutenu
GitHub Copilot CLI ✅ Soutenu

En tant qu’utilisateur dans Copilot Studio, procédez comme suit pour appeler le serveur MCP BYO approuvé :

  1. Accédez à Copilot Studio dans votre environnement.
  2. Créez un agent personnalisé (ou ouvrez-en un existant).
  3. Accédez à la section Outils et sélectionnez Serveur MCP.
  4. Sélectionnez le serveur MCP dans le Registre.
  5. Testez l’agent en entrant une invite qui appelle le serveur MCP.

Remarque

Configuration de la première connexion : lors de l’appel initial, vous pouvez être invité à effectuer une configuration de connexion unique. Suivez l’URL fournie pour créer la connexion requise, par exemple pour entrer votre clé API pour les serveurs basés sur APIKey. Lorsque vous avez terminé, revenez à votre agent et réessayez l’invite. En cas d’appel réussi, vous voyez que le serveur MCP répond avec la sortie de l’outil correcte.

Découvrez comment appeler des serveurs MCP BYO approuvés à partir de Claude Code, VS Code et GitHub Copilot CLI dans la section Configurer des serveurs MCP WORK IQ pour les agents de codage de la vue d’ensemble de Work IQ MCP.

Surveiller et observer l’activité du serveur MCP

En tant que membre de l’équipe de sécurité de votre organization, utilisez Microsoft Defender repérage avancé pour suivre et analyser les appels de serveur MCP. Ce processus vous permet de voir quels agents appellent quels serveurs MCP, quand les appels se produisent et d’autres métadonnées pertinentes qui peuvent vous aider à détecter des modèles d’utilisation inhabituels ou non autorisés.

Exemple de requête KQL — Chasse avancée Defender :

CloudAppEvents
| where ActionType in ( "ExecuteToolByGateway")
| where RawEventData contains "tool name"

Cette requête retourne des détails, notamment le nom de l’agent, le nom du serveur MCP et les métadonnées d’appel.

  • Last updated on