Gerir ferramentas para agentes no Centro de administração do Microsoft 365

As Ferramentas de Agente no Centro de administração do Microsoft 365 fornecem uma vista centralizada de todas as ferramentas com tecnologia de IA e servidores mcP (Model Context Protocol) disponíveis na sua organização. Estas ferramentas definem como um modelo de IA interage com dados, ferramentas e fluxos de trabalho do utilizador. As Ferramentas do Agente permitem-lhe processar pedidos, respostas e ações de forma consistente, segura, segura e transparente.

Cada ferramenta listada representa um serviço que suporta experiências Copilot em todas as aplicações do Microsoft 365. Pode monitorizar a disponibilidade, gerir o acesso e garantir a conformidade com as políticas organizacionais. Utilize o separador Registo para ver e gerir as ferramentas disponíveis no seu inquilino e o separador Pedidos para rever e aprovar pedidos de ferramentas de utilizadores na sua organização.

Observação

A funcionalidade de servidor MCP Bring Your Own (BYO) permite que as organizações registem os seus próprios servidores MCP remotos com Agent 365 para governação e observabilidade centralizadas. Para obter mais informações, veja Bring your own (BYO) MCP server (Traga o seu próprio servidor MCP).

Ver o registo das Ferramentas do Agente

  1. Entre no Centro de administração do Microsoft 365.

  2. No painel de navegação esquerdo, selecione Registode Ferramentas>deAgentes>.

    Captura de ecrã a mostrar uma lista de ferramentas de agente disponíveis para um inquilino.

Componentes principais das Ferramentas do Agente

A lista Ferramentas do Agente no separador Registo e no separador Pedido fornece filtros, colunas e ações para o ajudar a gerir as ferramentas do agente.

Ações

Pode selecionar as ações disponíveis diretamente na lista ou selecionar o agente listado para apresentar uma descrição geral de uma ferramenta de agente. As ferramentas do agente incluem as seguintes ações:

Ação Descrição
Bloquear Impede que a ferramenta selecionada seja utilizada por agentes ou fluxos de trabalho.
Desbloquear Restaura o acesso a uma ferramenta anteriormente bloqueada.

Filtros

O registo de ferramentas do agente pode conter um grande e diversificado inventário de ferramentas. Pode filtrar a lista para o ajudar a restringir a vista às ferramentas de agente nas quais pretende focar-se neste momento.

Os filtros baseiam-se nos seguintes critérios:

Filter Descrição
Status Filtre as ferramentas pelo estado atual, como Disponível ou Bloqueado.
Publisher Ver ferramentas publicadas pela Microsoft ou outros fornecedores.

Colunas

A tabela seguinte descreve as colunas que estão disponíveis no registo de ferramentas do agente:

Coluna Descrição
Nome O nome a apresentar da ferramenta, como Microsoft Teams MCP Server.
Status Mostra se a ferramenta está Disponível ou Bloqueada.
Tipo Mostra a categoria da ferramenta, como o SERVIDOR MCP.
Publisher Mostra o publicador, como a Microsoft, para ferramentas originais.

Servidores MCP comuns

Utiliza um servidor MCP como um serviço para expor dados, ações e lógica de negócio a agentes.

Seguem-se exemplos de servidores MCP:

Para obter informações relacionadas, veja Microsoft Agent 365 SDK e CLI.

Traga o seu próprio servidor MCP (BYO)

A funcionalidade de servidor MCP Bring Your Own (BYO) permite que as organizações registem os seus próprios servidores MCP remotos com Microsoft Agent 365 para governação e observabilidade centralizadas.

Importante

  • Esta é uma funcionalidade de pré-visualização.
  • As funcionalidades de pré-visualização não se destinam à utilização de produção e podem ter funcionalidades restritas. Estas funcionalidades estão sujeitas a termos de utilização suplementares e estão disponíveis antes de um lançamento oficial para que os clientes possam obter acesso antecipado e fornecer feedback.

Muitas vezes, as grandes empresas criam e operam servidores MCP internos para alimentar os respetivos agentes em vários fluxos de trabalho empresariais. Normalmente, estes servidores são executados fora de qualquer limite de governação organizacional, sem visibilidade de administrador sobre as ferramentas que estão a ser expostas, sem imposição de políticas sobre a forma como são invocadas e sem utilização de telemetria para equipas de segurança e conformidade. O servidor BYO MCP resolve este problema ao encaminhar servidores registados através do Gateway de Ferramentas do Agent 365, dando aos administradores de TI o controlo através do Centro de administração do Microsoft 365 e das equipas de segurança os dados de observabilidade de que precisam.

Observação

O servidor BYO MCP está atualmente em pré-visualização. As superfícies de cliente suportadas são Copilot Studio, VS Code, Claude Code e GitHub Copilot CLI. Fábrica de IA do Azure e Os Agentes Declarativos do Microsoft 365 ainda não são suportados.

Como funciona um servidor BYO MCP

Um servidor MCP BYO segue um fluxo estruturado de programador para administrador para garantir que todos os servidores MCP remotos são revistos e regidos antes de serem disponibilizados aos agentes.

O fluxo de programador para administrador do servidor BYO MCP:

  1. O programador regista um servidor MCP remoto através da CLI do Agent 365, fornecendo o URL do servidor, o tipo de autenticação e as ferramentas a expor. Para obter mais informações, veja Registar um servidor MCP remoto.
  2. O administrador de TI revê os detalhes do servidor e as ferramentas declaradas no Centro de administração do Microsoft 365 e aprova ou rejeita o pedido. Após a aprovação, o administrador concede as permissões de Microsoft Entra necessárias para o servidor. Para obter mais informações, veja Rever e aprovar pedidos de ferramentas.
  3. O servidor MCP aprovado é utilizado pelos clientes suportados, como o Copilot Studio e o VS Code, para criar e testar agentes contra invocações de ferramentas reais. Para obter mais informações, veja Utilizar um servidor MCP aprovado.
  4. A equipa de segurança monitoriza a atividade do servidor MCP e as invocações de ferramentas através de Microsoft Defender investigação avançada para deteção de anomalias e conformidade. Para obter mais informações, veja Monitorizar e observar a atividade do servidor MCP.

Importante

Esta abordagem garante que todas as integrações externas do MCP passam por revisões de governação e conformidade adequadas antes de ficarem disponíveis para os utilizadores finais.

Observação

O servidor BYO MCP está atualmente em pré-visualização. A nova publicação de novas versões do servidor MCP remoto não é atualmente suportada.

Registar um servidor MCP remoto

Dica

Como administrador, pode ser útil compreender como registar um servidor MCP remoto. Em alternativa, pode fornecer os passos nesta secção a um programador para implementar.

O utilizador, ou um programador, pode registar o seu próprio servidor MCP remoto com Agent 365. Esta secção orienta-o ao longo dos passos necessários para registar um servidor MCP remoto com Agent 365 através da CLI, para que os administradores de TI possam revê-lo e aprová-lo para utilização em superfícies de criação de agentes.

Esta secção fornece os passos necessários (normalmente implementados por um programador) para registar um servidor MCP remoto:

Pré-requisitos do programador

Antes de registar um servidor MCP remoto, certifique-se de que tem os seguintes pré-requisitos:

  • Instale o Agent 365 CLI (ou atualize para a versão mais recente). Para que este fluxo funcione, precisa da versão 1.1.165-preview ou superior.
  • Certifique-se de que o principal de serviço Agent 365 está aprovisionado no seu inquilino. Se não conseguir encontrar o principal de serviço associado ao appId ea9ffc3e-8a23-4a7d-836d-234d7c7565c1, o principal de serviço não é aprovisionado para o seu inquilino. Para configurar um principal de serviço para Agent 365 no seu inquilino, veja:
  • Um ponto final de servidor MCP acessível publicamente ao qual pode aceder a partir da Internet.
  • O servidor está configurado com um dos tipos de autenticação suportados:
    • NoAuth
    • APIKey (Cabeçalho ou Consulta)
    • ExternalOAuth
    • EntraOAuth

Instalar a CLI do Agent 365

Para instalar o Agent 365 CLI, siga as instruções em Instalar a CLI do Agent 365.

Registar o servidor MCP

Depois de instalar o Agent 365 CLI e de se certificar de que o ponto final do servidor MCP está acessível publicamente e configurado com um tipo de autenticação suportado, está pronto para registar o servidor MCP com Agent 365. Os administradores de TI podem revê-lo e aprová-lo para utilização em superfícies de construção de agentes.

Tem algumas opções para registar o servidor MCP com Agent 365:

  • Registo manual através da CLI: execute o comando a a365 develop-mcp register-external-mcp-server partir da CLI e forneça manualmente os detalhes do servidor, o tipo de autenticação e as ferramentas que o servidor MCP expõe.

Importante

Os exemplos nesta secção utilizam zava.com como um domínio fictício e nomes genéricos de servidores e ferramentas para ilustração. Substitua estes valores pelo URL, nome e identificadores de ferramentas reais do servidor.

  • Registo através do ficheiro JSON: utilize a365 develop-mcp register-external-mcp-server -f <path-to-file.json> para registar o servidor MCP ao fornecer um ficheiro JSON que contém todos os detalhes do servidor, o tipo de autenticação e as definições de ferramentas num único ficheiro, em vez de os especificar individualmente na linha de comandos.

Veja os exemplos nas secções seguintes para saber como registar um servidor MCP com Agent 365 através da CLI para diferentes tipos de autenticação.

NoAuth

Para servidores MCP que não requerem autenticação:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type "NoAuth" \
--tools "tool1,tool2"

{
  "serverName": "ext_DocsSearch",
  "serverUrl": "https://docs.contoso.com/api/mcp",
  "authType": "NoAuth",
  "description": "Documentation search MCP Server for Contoso developer docs.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "search_docs",
      "description": "Search Contoso developer documentation and code samples."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": null
}
APIKey (Parâmetro de Consulta)

Para servidores que transmitem a chave de API como um parâmetro de consulta:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Query \
--api-key-name apiKey \
--tools "tool1,tool2"

{
  "serverName": "ext_MarketData",
  "serverUrl": "https://api.contoso.com/market/mcp",
  "authType": "APIKey",
  "description": "Real-time stock market data and search from Contoso Market Services.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "stock-market-data",
      "description": "Get real-time stock market data and financial information."
    },
    {
      "name": "real-time-search",
      "description": "Search the web for real-time information and news."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": {
    "location": "Query",
    "name": "apiKey"
  }
}
APIKey (Cabeçalho)

Para servidores que passam a chave de API num cabeçalho de pedido:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Header \
--api-key-name token \
--tools "tool1,tool2"

{
  "serverName": "ext_InternalTools",
  "serverUrl": "https://tools.contoso.com/mcp",
  "authType": "APIKey",
  "description": "Contoso internal tools MCP Server with API key authentication.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "tool1",
      "description": "First tool exposed by the server."
    },
    {
      "name": "tool2",
      "description": "Second tool exposed by the server."
    }
  ],
  "remoteScopes": null,
  "externalOAuth": null,
  "apiKey": {
    "location": "Header",
    "name": "X-API-Key"
  }
}
ExternalOAuth

Para servidores que se autenticam através de um fornecedor OAuth externo:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type ExternalOAuth \
--idp-authorization-url "https://idp.zava.com/o/oauth2/v2/auth" \
--idp-token-url "https://idp.zava.com/oauth2/token" \
--idp-scopes "https://api.zava.com/read" \
--idp-client-id "<your-client-id>" \
--idp-client-secret "<your-client-secret>" \
--remote-scopes "https://api.zava.com/read" \
--tools "tool1,tool2"


{
  "serverName": "ext_Analytics",
  "serverUrl": "https://analytics.contoso.com/mcp",
  "authType": "ExternalOAuth",
  "description": "Contoso Analytics MCP Server for dataset and query operations.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "list_datasets",
      "description": "List all available analytics datasets."
    }
  ],
  "remoteScopes": "https://analytics.contoso.com/.default",
  "externalOAuth": {
    "authorizationUrl": "https://auth.contoso.com/oauth2/authorize",
    "tokenUrl": "https://auth.contoso.com/oauth2/token",
    "scopes": "https://analytics.contoso.com/.default",
    "clientId": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
    "clientSecret": "<your-client-secret>"
  },
  "apiKey": null
}
EntraOAuth

Para servidores que se autenticam através de Microsoft Entra ID:

a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type EntraOAuth \
--remote-scopes "https://api.zava.com/.default" \
--tools "tool1,tool2"

{
  "serverName": "ext_OrgDirectory",
  "serverUrl": "https://directory.contoso.com/mcp",
  "authType": "EntraOAuth",
  "description": "Contoso organization directory MCP Server secured with Entra OAuth.",
  "publisherName": "Contoso",
  "tools": [
    {
      "name": "list_users",
      "description": "List users in the organization directory."
    },
    {
      "name": "get_user_profile",
      "description": "Get the profile of a specific user by ID or UPN."
    }
  ],
  "remoteScopes": "api://contoso-directory/.default",
  "externalOAuth": null,
  "apiKey": null
}

Após o registo com êxito, submeta o servidor MCP para revisão de administrador no Centro de administração do Microsoft 365.

Rever e aprovar pedidos de ferramentas

Depois de um programador registar uma ferramenta, como um servidor MCP remoto, a ferramenta é apresentada no Centro de Administração Microsoft 365 para revisão e aprovação.

Captura de ecrã a mostrar uma lista de pedidos de ferramentas de agente disponíveis para um inquilino.

Enquanto administrador com as permissões certas para gerir ferramentas de agente no Centro de Administração Microsoft 365, pode rever, aprovar ou rejeitar estes pedidos para controlar que ferramentas estão disponíveis para utilização na sua organização.

Importante

Para concluir o processo de revisão e aprovação, tem de cumprir dois requisitos:

  • Precisa de aceder à página de ferramentas do Centro de administração do Microsoft 365 onde gere as ferramentas do agente e revê os pedidos de registo do servidor MCP.
  • Precisa da capacidade de conceder consentimento ao nível do inquilino.

Duas funções cumprem ambos os requisitos:

Utilize funções com menos permissões e limite o número de utilizadores com permissões de administrador. Veja Funções com menos privilégios por tarefa no Microsoft Entra ID. Para saber mais sobre as funções de administrador e as permissões no Centro de administração do Microsoft 365, consulte:

Para rever e aprovar pedidos de registo do servidor MCP, siga estes passos:

  1. Entre no Centro de administração do Microsoft 365.
  2. SelecioneFerramentas de Agentes> e, em seguida, selecione o separador Pedidos.
  3. Os pedidos pendentes apresentam os seguintes detalhes para cada servidor:
    • Nome do servidor
    • Publisher
    • Pedido por
    • Data pedida
  4. Reveja as informações do servidor e as ferramentas declaradas para obter exatidão e conformidade.
  5. Selecione Aprovar para disponibilizar o servidor no registo organizacional ou Rejeitar para negar o pedido.
  6. Após a aprovação, autorize as permissões de Microsoft Entra exigidas pelo servidor MCP. O servidor fica disponível para superfícies de criação de agentes apenas após o consentimento ser concedido.

Observação

O servidor MCP pode demorar até 30 minutos a aparecer em todos os ambientes de Microsoft Copilot Studio no inquilino assim que for aprovado e o consentimento for concedido.

Com base na disponibilidade dos servidores MCP, verá os seguintes indicadores de status:

  • Disponível – a ferramenta está ativa e pronta para ser utilizada.
  • Bloqueado – a ferramenta está desativada e os agentes não podem aceder à mesma.

Principais controlos de governação

A tabela seguinte resume os principais controlos de governação:

Control Descrição
Aprovação/Rejeição Administração aprova ou rejeita explicitamente cada servidor BYO MCP antes de poder ser utilizado.
Bloco de Server-Level Administração podem bloquear servidores aprovados em qualquer altura; os servidores bloqueados são impostos no runtime.
Instantâneo de Ferramentas Administração podem ver as ferramentas declaradas expostas por cada servidor MCP para transparência.
Imposição de Runtime Os servidores MCP bloqueados não podem ser invocados no runtime em nenhuma superfície do cliente.

Utilizar um servidor MCP aprovado

Depois de um servidor MCP ter sido aprovado e Microsoft Entra conceder consentimento, pode utilizá-lo em todas as superfícies de criação de agentes suportadas. As seguintes superfícies de cliente suportam atualmente invocar servidores BYO MCP aprovados em pré-visualização:

Cliente Status
Copilot Studio ✅ Suportado
VS Code ✅ Suportado
Código do Claude ✅ Suportado
CLI do GitHub Copilot ✅ Suportado

Enquanto utilizador no Copilot Studio, siga os seguintes passos para invocar o servidor BYO MCP aprovado:

  1. Aceda a Copilot Studio no seu ambiente.
  2. Crie um novo agente personalizado (ou abra um existente).
  3. Aceda à secção Ferramentas e selecione SERVIDOR MCP.
  4. Selecione o servidor MCP no registo.
  5. Teste o agente ao introduzir um pedido que invoca o servidor MCP.

Observação

Configuração da ligação pela primeira vez: na invocação inicial, poderá ser-lhe pedido para concluir uma configuração de ligação única. Siga o URL fornecido para criar a ligação necessária, como introduzir a chave de API para servidores baseados em APIKey. Quando terminar, regresse ao agente e repita o pedido. Na invocação com êxito, verá que o servidor MCP responde com a saída da ferramenta correta.

Saiba como invocar servidores BYO MCP aprovados do Claude Code, VS Code e GitHub Copilot CLI na secção Configurar Servidores MCP de IQ de Trabalho para agentes de codificação da descrição geral do MCP do IQ do Trabalho.

Monitorizar e observar a atividade do servidor MCP

Como membro da equipa de segurança da sua organização, utilize Microsoft Defender investigação avançada para monitorizar e analisar invocações do servidor MCP. Este processo ajuda-o a ver quais os agentes que invocam os servidores MCP, quando ocorrem as invocações e outros metadados relevantes que podem ajudar a detetar padrões de utilização invulgares ou não autorizados.

Consulta KQL de exemplo — Investigação Avançada do Defender:

CloudAppEvents
| where ActionType in ( "ExecuteToolByGateway")
| where RawEventData contains "tool name"

Esta consulta devolve detalhes, incluindo o nome do agente, o nome do servidor MCP e os metadados de invocação.

  • Last updated on