MCP-Server der Android Management API verwenden

Das Model Context Protocol (MCP) standardisiert die Art und Weise, wie Large Language Models (LLMs) und KI-Anwendungen oder ‑Agents eine Verbindung zu externen Datenquellen herstellen. Mit MCP-Servern können Sie die zugehörigen Tools, Ressourcen und Prompts verwenden, um Aktionen auszuführen und aktualisierte Daten vom Backend-Dienst abzurufen.

Lokale MCP-Server werden in der Regel auf Ihrem lokalen Computer ausgeführt und verwenden die Standard-Ein- und Ausgabestreams (stdio) für die Kommunikation zwischen Diensten auf demselben Gerät. Remote-MCP-Server werden auf der Infrastruktur des Dienstes ausgeführt und bieten einen HTTP-Endpunkt für KI-Anwendungen für die Kommunikation zwischen dem KI-MCP-Client und dem MCP-Server. Weitere Informationen zur MCP-Architektur finden Sie unter MCP-Architektur.

Die Remote-MCP-Server von Google und Google Cloud bieten die folgenden Funktionen und Vorteile:

  • Vereinfachte, zentrale Suche.
  • Verwaltete globale oder regionale HTTP-Endpunkte.
  • Detaillierte Autorisierung.
  • Zentralisiertes Audit-Logging.

Informationen zu anderen MCP-Servern sowie zu den Sicherheits- und Governance-Kontrollen, die für Google Cloud-MCP-Server verfügbar sind, finden Sie unter Google Cloud-MCP-Server – Übersicht.

Hinweis

Wenn Sie den Remote-MCP-Server der Android Management API verwenden möchten, müssen Sie ein Google Cloud-Projekt erstellen und die Android Management API aktivieren.

  1. Wählen Sie in der Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  2. Enable the Android Management API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen (Identity and Access Management) für das Google Cloud-Projekt zuzuweisen, in dem Sie den MCP-Server der Android Management API aktivieren möchten, um die Berechtigungen zu erhalten, die Sie zur Verwendung des Remote-MCP-Servers der Android Management API benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die für die Verwendung des Remote-MCP-Servers der Android Management API erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen.

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um den Remote-MCP-Server für die Android-Verwaltung zu verwenden:

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update
  • MCP-Tool-Aufrufe ausführen: mcp.tools.call
  • Auf Android Management-Ressourcen zugreifen:
    • androidmanagement.enterprises.get
    • androidmanagement.devices.list

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

MCP-Server der Android Management API aktivieren oder deaktivieren

Sie können den MCP-Server der Android Management API in einem Projekt mit dem Befehl gcloud beta services mcp enable aktivieren oder deaktivieren. Weitere Informationen finden Sie in den folgenden Abschnitten.

Android Management API MCP-Server in einem Projekt aktivieren

Wenn Sie verschiedene Projekte für Ihre Clientanmeldedaten (z. B. Dienstkontoschlüssel, OAuth-Client-ID oder API-Schlüssel) und zum Hosten Ihrer Ressourcen verwenden, müssen Sie den Android Management API-Dienst und den Remote-MCP-Server der Android Management API in beiden Projekten aktivieren.

Führen Sie den folgenden Befehl aus, um den MCP-Server der Android Management API in Ihrem Google Cloud-Projekt zu aktivieren:

gcloud beta services mcp enable SERVICE \
    --project=PROJECT_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: die Google Cloud-Projekt-ID.
  • SERVICE: androidmanagement.googleapis.com.

Der Remote-MCP-Server der Android Management API ist für die Verwendung in Ihrem Google Cloud-Projekt aktiviert. Wenn der Android Management API-Dienst für Ihr Google Cloud-Projekt nicht aktiviert ist, werden Sie aufgefordert, den Dienst zu aktivieren, bevor Sie den Remote-MCP-Server der Android Management API aktivieren.

Als Best Practice für die Sicherheit empfehlen wir, MCP-Server nur für die Dienste zu aktivieren, die für die Funktion Ihrer KI-Anwendung erforderlich sind.

MCP-Server der Android Management API in einem Projekt deaktivieren

Führen Sie den folgenden Befehl aus, um den MCP-Server der Android Management API in Ihrem Google Cloud-Projekt zu deaktivieren:

gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

Der MCP-Server der Android Management API ist für die Verwendung in Ihrem Google Cloud-Projekt deaktiviert.

Authentifizierung und Autorisierung

Die MCP-Server der Android Management API verwenden das OAuth 2.0-Protokoll mit Identity and Access Management für die Authentifizierung und Autorisierung. Alle Google Cloud-Identitäten werden für die Authentifizierung bei MCP-Servern unterstützt.

Der Remote-MCP-Server der Android Management API akzeptiert keine API-Schlüssel.

Wir empfehlen, eine separate Identität für Kundenservicemitarbeiter zu erstellen, die MCP-Tools verwenden, damit der Zugriff auf Ressourcen gesteuert und überwacht werden kann. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung bei MCP-Servern.

OAuth-Bereiche für die Android Management API – MCP

OAuth 2.0 verwendet Bereiche und Anmeldedaten, um zu ermitteln, ob ein authentifiziertes Hauptkonto autorisiert ist, eine bestimmte Aktion für eine Ressource auszuführen. Weitere Informationen zu OAuth 2.0-Bereichen bei Google finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.

Die Android Management API hat die folgenden OAuth-Bereiche für MCP-Tools:

Bereichs-URI für gcloud Beschreibung
https://www.googleapis.com/auth/androidmanagement Android-Geräte und ‑Apps verwalten.

Möglicherweise sind zusätzliche Bereiche für die Ressourcen erforderlich, auf die während eines Tool-Aufrufs zugegriffen wird. Eine Liste der für die Android Management API erforderlichen Bereiche finden Sie unter Android Management API.

MCP-Client für die Verwendung des Android Management API MCP-Servers konfigurieren

Hostprogramme wie Claude oder die Gemini CLI können MCP-Clients instanziieren, die eine Verbindung zu einem einzelnen MCP-Server herstellen. Ein Hostprogramm kann mehrere Clients haben, die eine Verbindung zu verschiedenen MCP-Servern herstellen. Um eine Verbindung zu einem Remote-MCP-Server herzustellen, muss der MCP-Client mindestens die URL des Remote-MCP-Servers kennen.

Suchen Sie in Ihrem Host nach einer Möglichkeit, eine Verbindung zu einem Remote-MCP-Server herzustellen. Sie werden aufgefordert, Details zum Server einzugeben, z. B. den Namen und die URL.

Geben Sie für den MCP-Server der Android Management API Folgendes ein:

  • Servername: Android Management API MCP-Server
  • Server-URL oder Endpunkt: https://androidmanagement.googleapis.com/mcp
  • Transport: HTTP
  • Authentifizierungsdetails: Je nachdem, wie Sie sich authentifizieren möchten, können Sie Ihre Google Cloud-Anmeldedaten, Ihre OAuth-Client-ID und Ihren OAuth-Clientschlüssel oder eine Agent-Identität und ‑Anmeldedaten eingeben. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung bei MCP-Servern.

Hostspezifische Anleitungen finden Sie hier:

Allgemeinere Informationen finden Sie unter Mit Remote-MCP-Servern verbinden.

Verfügbare Tools

Bei schreibgeschützten MCP-Tools ist das MCP-Attribut mcp.tool.isReadOnly auf true festgelegt. Möglicherweise möchten Sie in bestimmten Umgebungen nur schreibgeschützte Tools über Ihre Organisationsrichtlinie zulassen.

Details zu verfügbaren MCP-Tools und deren Beschreibungen für den MCP-Server der Android Management API finden Sie in der MCP-Referenz zur Android Management API.

Tools für Listen

Verwenden Sie den MCP-Inspector, um Tools aufzulisten, oder senden Sie eine tools/list-HTTP-Anfrage direkt an den Remote-MCP-Server der Android Management API. Für die Methode tools/list ist keine Authentifizierung erforderlich.

POST /mcp HTTP/1.1
Host: androidmanagement.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Beispiele für Anwendungsfälle

Im Folgenden finden Sie einige Beispiele für Anwendungsfälle für den MCP-Server der Android Management API:

  • Abfragen in natürlicher Sprache:Sie können komplexe Fragen zu Ihrer Geräteflotte stellen, ohne Code schreiben zu müssen, z. B. „Welche meiner Geräte entsprechen nicht dem neuesten Sicherheitspatch?“
  • Automatisierte Prüfungen:Daten werden regelmäßig abgerufen und Berichte zum Gerätestatus und zur Einhaltung von Richtlinien werden erstellt.
  • Intelligente Benachrichtigungen:Flottendaten werden überwacht, um Anomalien oder potenzielle Probleme auf Grundlage von Echtzeitinformationen zu erkennen.

Beispiel-Prompts

Sie können die folgenden Beispielprompts verwenden, um Informationen zu Android Management API-Ressourcen zu erhalten:

  • Geräte im Unternehmen ENTERPRISE_ID auflisten.
  • Rufe Details für das Gerät DEVICE_ID im Unternehmen ENTERPRISE_ID ab.
  • Zeige die Richtliniendetails für die Richtlinie POLICY_NAME an.
  • Welche Anwendungen sind in ENTERPRISE_ID für Unternehmen verfügbar?

Ersetzen Sie in den Prompts Folgendes:

  • ENTERPRISE_ID: Der Ressourcenname des Unternehmens, z. B. enterprises/LC012345.
  • DEVICE_ID: Der Ressourcenname des Geräts.
  • POLICY_NAME: Der Ressourcenname der Richtlinie.

Optionale Sicherheitskonfigurationen

MCP birgt neue Sicherheitsrisiken und ‑aspekte, da mit MCP-Tools eine Vielzahl von Aktionen ausgeführt werden kann. Um diese Risiken zu minimieren und zu verwalten, bietet Google Cloud Standard- und anpassbare Richtlinien, mit denen Sie die Verwendung von MCP-Tools in Ihrer Google Cloud-Organisation oder Ihrem Google Cloud-Projekt steuern können.

Weitere Informationen zur Sicherheit und Governance von MCP finden Sie unter KI-Sicherheit.

MCP-Steuerung auf Organisationsebene

Sie können benutzerdefinierte Organisationsrichtlinien erstellen, um die Verwendung von MCP-Servern in Ihrer Google Cloud-Organisation mit der Einschränkung gcp.managed.allowedMCPService zu steuern. Weitere Informationen und Anwendungsbeispiele finden Sie unter Zugriffssteuerung für Google Cloud MCP-Server mit IAM.

Nächste Schritte