MCP-Server der Android Management API verwenden

Das Model Context Protocol (MCP) standardisiert die Verbindung von Large Language Models (LLMs) und KI-Anwendungen oder ‑Agents mit externen Datenquellen. Mit MCP-Servern können Sie die zugehörigen Tools, Ressourcen und Prompts verwenden, um Aktionen auszuführen und aktualisierte Daten vom Backend-Dienst abzurufen.

Was ist der Unterschied zwischen lokalen und Remote-MCP-Servern?

Lokale MCP-Server

werden in der Regel auf Ihrem lokalen Computer ausgeführt und verwenden die Standard-Ein- und Ausgabestreams (stdio) für die Kommunikation zwischen Diensten auf demselben Gerät.

Remote-MCP-Server

Wird auf der Infrastruktur des Dienstes ausgeführt und bietet einen HTTP-Endpunkt für KI-Anwendungen für die Kommunikation zwischen dem KI-MCP-Client und dem MCP-Server. Weitere Informationen zur MCP-Architektur finden Sie unter MCP-Architektur.

Hinweis

Wenn Sie den Remote-MCP-Server der Android Management API verwenden möchten, müssen Sie ein Google Cloud-Projekt erstellen und die Android Management API aktivieren.

1. Wählen Sie in der Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

   Zur Projektauswahl

2. Aktivieren Sie die Android Management API.

   Rollen, die zum Aktivieren von APIs erforderlich sind

   Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen

   API aktivieren

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen (Identity and Access Management) für das Google Cloud-Projekt zuzuweisen, in dem Sie den MCP-Server der Android Management API aktivieren möchten, um die Berechtigungen zu erhalten, die Sie zur Verwendung des Remote-MCP-Servers der Android Management API benötigen:

• MCP-Tool-Aufrufe ausführen: MCP Tool User (roles/mcp.toolUser)
• Zugriff auf Android Management-Ressourcen: Android Management-Nutzer (roles/androidmanagement.user)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die für die Verwendung des Remote-MCP-Servers der Android Management API erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen.

Authentifizierung und Autorisierung

Die MCP-Server der Android Management API verwenden das OAuth 2.0-Protokoll mit Identity and Access Management für die Authentifizierung und Autorisierung. Alle Google Cloud-Identitäten werden für die Authentifizierung bei MCP-Servern unterstützt.

Der Remote-MCP-Server der Android Management API akzeptiert keine API-Schlüssel.

Wir empfehlen, eine separate Identität für Kundenservicemitarbeiter zu erstellen, die MCP-Tools verwenden, damit der Zugriff auf Ressourcen gesteuert und überwacht werden kann. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung bei MCP-Servern.

OAuth-Bereiche für die Android Management API – MCP

OAuth 2.0 verwendet Bereiche und Anmeldedaten, um zu ermitteln, ob ein authentifiziertes Hauptkonto autorisiert ist, eine bestimmte Aktion für eine Ressource auszuführen. Weitere Informationen zu OAuth 2.0-Bereichen bei Google finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.

Die Android Management API hat die folgenden OAuth-Bereiche für MCP-Tools:

Möglicherweise sind zusätzliche Bereiche für die Ressourcen erforderlich, auf die während eines Tool-Aufrufs zugegriffen wird. Eine Liste der für die Android Management API erforderlichen Bereiche finden Sie unter Android Management API.

MCP-Client für die Verwendung des Android Management API-MCP-Servers konfigurieren

Hostprogramme wie Claude oder die Gemini CLI können MCP-Clients instanziieren, die eine Verbindung zu einem einzelnen MCP-Server herstellen. Ein Hostprogramm kann mehrere Clients haben, die eine Verbindung zu verschiedenen MCP-Servern herstellen. Um eine Verbindung zu einem Remote-MCP-Server herzustellen, muss der MCP-Client mindestens die URL des Remote-MCP-Servers kennen.

Suchen Sie in Ihrem Host nach einer Möglichkeit, eine Verbindung zu einem Remote-MCP-Server herzustellen. Sie werden aufgefordert, Details zum Server einzugeben, z. B. den Namen und die URL.

Geben Sie für den MCP-Server der Android Management API Folgendes ein:

• Servername: MCP-Server der Android Management API
• Server-URL oder Endpunkt: https://androidmanagement.googleapis.com/mcp
• Transport: HTTP
• Authentifizierungsdetails: Je nachdem, wie Sie sich authentifizieren möchten, können Sie Ihre Google Cloud-Anmeldedaten, Ihre OAuth-Client-ID und Ihren OAuth-Clientschlüssel oder eine Agent-Identität und ‑Anmeldedaten eingeben. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung bei MCP-Servern.

Hostspezifische Anleitungen finden Sie hier:

• Claude
• Gemini CLI

Allgemeinere Informationen finden Sie unter Mit Remote-MCP-Servern verbinden.

Verfügbare Tools

Details zu verfügbaren MCP-Tools und deren Beschreibungen für den MCP-Server der Android Management API finden Sie in der MCP-Referenz zur Android Management API.

Tools für Listen

Verwenden Sie den MCP-Inspector, um Tools aufzulisten, oder senden Sie eine tools/list HTTP-Anfrage direkt an den Remote-MCP-Server der Android Management API. Für die Methode tools/list ist keine Authentifizierung erforderlich.

POST /mcp HTTP/1.1
Host: androidmanagement.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Beispiele für Anwendungsfälle

Im Folgenden finden Sie einige Beispiele für Anwendungsfälle für den MCP-Server der Android Management API:

• Abfragen in natürlicher Sprache:Sie können komplexe Fragen zu Ihrer Geräteflotte stellen, ohne Code schreiben zu müssen, z. B. „Welche meiner Geräte entsprechen nicht dem neuesten Sicherheitspatch?“
• Automatisierte Prüfungen:Daten werden regelmäßig abgerufen und Berichte zum Gerätestatus und zur Einhaltung von Richtlinien werden erstellt.
• Intelligente Benachrichtigungen:Flottendaten werden überwacht, um Anomalien oder potenzielle Probleme auf Grundlage von Echtzeitinformationen zu erkennen.

Beispiel-Prompts

Sie können die folgenden Beispielprompts verwenden, um Informationen zu Android Management API-Ressourcen zu erhalten:

• Geräte im Unternehmen ENTERPRISE_ID auflisten.
• Rufe Details für das Gerät DEVICE_ID im Unternehmen ENTERPRISE_ID ab.
• Zeige die Richtliniendetails für die Richtlinie POLICY_NAME an.
• Welche Anwendungen sind in ENTERPRISE_ID für Unternehmen verfügbar?

Ersetzen Sie in den Prompts Folgendes:

• ENTERPRISE_ID: Der Ressourcenname des Unternehmens, z. B. enterprises/LC012345.
• DEVICE_ID: Der Ressourcenname des Geräts.
• POLICY_NAME: Der Ressourcenname der Richtlinie.

Optionale Sicherheitskonfigurationen

MCP birgt neue Sicherheitsrisiken und ‑aspekte, da mit MCP-Tools eine Vielzahl von Aktionen ausgeführt werden kann. Um diese Risiken zu minimieren und zu verwalten, bietet Google Cloud Standard- und anpassbare Richtlinien, mit denen Sie die Verwendung von MCP-Tools in Ihrer Google Cloud-Organisation oder Ihrem Google Cloud-Projekt steuern können.

Weitere Informationen zur Sicherheit und Governance von MCP finden Sie unter KI-Sicherheit.

MCP-Nutzung mit IAM-Ablehnungsrichtlinien steuern

IAM-Ablehnungsrichtlinien (Identity and Access Management) helfen Ihnen, Google Cloud-Remote-MCP-Server zu schützen. Konfigurieren Sie diese Richtlinien, um unerwünschten Zugriff auf MCP-Tools zu blockieren.

Sie können den Zugriff beispielsweise anhand der folgenden Kriterien verweigern oder zulassen:

• Der Auftraggeber.
• Tool-Eigenschaften wie „schreibgeschützt“.
• Die OAuth-Client-ID der Anwendung.

Weitere Informationen finden Sie unter MCP-Nutzung mit Identity and Access Management steuern.

Nächste Schritte

• Lesen Sie die Referenzdokumentation zur Android Management API für MCPs.
• Weitere Informationen zu Google Cloud-MCP-Servern