Usa el servidor de MCP de la API de Android Management

El estándar del Protocolo de contexto del modelo (MCP) estandariza la forma en que los modelos de lenguaje grandes (LLM) y las aplicaciones o los agentes de IA se conectan a fuentes de datos externas. Los servidores de MCP te permiten usar sus herramientas, recursos y mensajes para realizar acciones y obtener datos actualizados de su servicio de backend.

Por lo general, los servidores MCP locales se ejecutan en tu máquina local y usan los flujos de entrada y salida estándar (stdio) para la comunicación entre los servicios en el mismo dispositivo. Los servidores de MCP remotos se ejecutan en la infraestructura del servicio y ofrecen un extremo HTTP a las aplicaciones de IA para la comunicación entre el cliente de MCP de IA y el servidor de MCP. Para obtener más información sobre la arquitectura de MCP, consulta Arquitectura de MCP.

Los servidores de MCP remotos de Google y Google Cloud tienen las siguientes funciones y beneficios:

  • Descubrimiento simplificado y centralizado
  • Extremos HTTP administrados globales o regionales
  • Autorización detallada
  • Registro de auditoría centralizado

Para obtener información sobre otros servidores de MCP y sobre los controles de seguridad y gobernanza disponibles para los servidores de MCP de Google Cloud, consulta la descripción general de los servidores de MCP de Google Cloud.

Antes de comenzar

Para usar el servidor MCP remoto de la API de Android Management, debes crear un proyecto de Google Cloud y habilitar la API de Android Management.

  1. En la página del selector de proyectos de Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  2. Enable the Android Management API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

Roles obligatorios

Para obtener los permisos que necesitas para usar el servidor MCP remoto de la API de Android Management, pídele a tu administrador que te otorgue los siguientes roles de Identity and Access Management en el proyecto de Google Cloud en el que quieres habilitar el servidor MCP de la API de Android Management:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para usar el servidor MCP remoto de la API de Android Management. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos.

Permisos necesarios

Se requieren los siguientes permisos para usar el servidor MCP remoto de Android Management:

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update
  • Realiza llamadas a la herramienta de MCP: mcp.tools.call
  • Accede a los recursos de Android Management:
    • androidmanagement.enterprises.get
    • androidmanagement.devices.list

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Cómo habilitar o inhabilitar el servidor de MCP de la API de Android Management

Puedes habilitar o inhabilitar el servidor de MCP de la API de Android Management en un proyecto con el comando gcloud beta services mcp enable. Para obtener más información, consulta las siguientes secciones.

Habilita el servidor de MCP de la API de Android Management en un proyecto

Si usas diferentes proyectos para tus credenciales de cliente, como claves de cuentas de servicio, ID de cliente de OAuth o claves de API, y para alojar tus recursos, debes habilitar el servicio de la API de Android Management y el servidor MCP remoto de la API de Android Management en ambos proyectos.

Para habilitar el servidor de MCP de la API de Android Management en tu proyecto de Google Cloud, ejecuta el siguiente comando:

gcloud beta services mcp enable SERVICE \
    --project=PROJECT_ID

Reemplaza lo siguiente:

  • PROJECT_ID: el ID del proyecto de Google Cloud.
  • SERVICE: androidmanagement.googleapis.com.

El servidor MCP remoto de la API de Android Management está habilitado para su uso en tu proyecto de Google Cloud. Si el servicio de la API de Android Management no está habilitado para tu proyecto de Google Cloud, se te solicitará que lo habilites antes de habilitar el servidor MCP remoto de la API de Android Management.

Como práctica recomendada de seguridad, te recomendamos que habilites los servidores de MCP solo para los servicios necesarios para que funcione tu aplicación basada en IA.

Inhabilita el servidor de MCP de la API de Android Management en un proyecto

Para inhabilitar el servidor de MCP de la API de Android Management en tu proyecto de Google Cloud, ejecuta el siguiente comando:

gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

El servidor de MCP de la API de Android Management está inhabilitado para su uso en tu proyecto de Google Cloud.

Autenticación y autorización

Los servidores de MCP de la API de Android Management usan el protocolo OAuth 2.0 con Identity and Access Management para la autenticación y la autorización. Todas las identidades de Google Cloud son compatibles con la autenticación en los servidores de MCP.

El servidor MCP remoto de la API de Android Management no acepta claves de API.

Te recomendamos que crees una identidad independiente para los agentes que usan herramientas de MCP, de modo que se pueda controlar y supervisar el acceso a los recursos. Para obtener más información sobre la autenticación, consulta Cómo autenticarse en los servidores de MCP.

Permisos de OAuth de MCP de la API de Android Management

OAuth 2.0 usa permisos y credenciales para determinar si un principal autenticado está autorizado a realizar una acción específica en un recurso. Si deseas obtener más información sobre los permisos de OAuth 2.0 en Google, consulta Usa OAuth 2.0 para acceder a las APIs de Google.

La API de Android Management tiene los siguientes permisos de OAuth de la herramienta de MCP:

URI del alcance para gcloud Descripción
https://www.googleapis.com/auth/androidmanagement Administrar dispositivos y apps de Android

Es posible que se requieran alcances adicionales en los recursos a los que se accede durante una llamada a la herramienta. Para ver una lista de los permisos requeridos para la API de Android Management, consulta API de Android Management.

Configura un cliente de MCP para que use el servidor de MCP de la API de Android Management

Los programas host, como Claude o Gemini CLI, pueden crear instancias de clientes de MCP que se conectan a un solo servidor de MCP. Un programa host puede tener varios clientes que se conectan a diferentes servidores de MCP. Para conectarse a un servidor de MCP remoto, el cliente de MCP debe conocer, como mínimo, la URL del servidor de MCP remoto.

En tu host, busca una forma de conectarte a un servidor de MCP remoto. Se te solicitará que ingreses detalles sobre el servidor, como su nombre y URL.

Para el servidor de MCP de la API de Android Management, ingresa lo siguiente según sea necesario:

  • Nombre del servidor: Servidor de MCP de la API de Android Management
  • URL del servidor o Extremo: https://androidmanagement.googleapis.com/mcp
  • Transporte: HTTP
  • Detalles de autenticación: Según cómo desees autenticarte, puedes ingresar tus credenciales de Google Cloud, tu ID y secreto de cliente de OAuth, o bien la identidad y las credenciales de un agente. Para obtener más información sobre la autenticación, consulta Cómo autenticarse en los servidores de MCP.

Para obtener orientación específica sobre el host, consulta lo siguiente:

Para obtener orientación más general, consulta Conéctate a servidores de MCP remotos.

Herramientas disponibles

Las herramientas de MCP de solo lectura tienen el atributo de MCP mcp.tool.isReadOnly establecido en true. Es posible que desees permitir solo herramientas de solo lectura en ciertos entornos a través de tu política de la organización.

Para ver los detalles de las herramientas de MCP disponibles y sus descripciones para el servidor de MCP de la API de Android Management, consulta la referencia de MCP de la API de Android Management.

Herramientas de lista

Usa el inspector de MCP para enumerar las herramientas o envía una solicitud HTTP de tools/list directamente al servidor de MCP remoto de la API de Android Management. El método tools/list no requiere autenticación.

POST /mcp HTTP/1.1
Host: androidmanagement.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Ejemplos de casos de uso

A continuación, se incluyen ejemplos de casos de uso para el servidor de MCP de la API de Android Management:

  • Consultas en lenguaje natural: Haz preguntas complejas sobre tu flota de dispositivos sin escribir código, por ejemplo, "¿Cuáles de mis dispositivos no cumplen con el parche de seguridad más reciente?".
  • Auditorías automatizadas: Recuperan datos y compilan informes periódicamente sobre el estado del dispositivo y el cumplimiento de las políticas.
  • Alertas inteligentes: Supervisa los datos de la flota para marcar anomalías o posibles problemas en función de las estadísticas en tiempo real.

Ejemplos de instrucciones

Puedes usar las siguientes instrucciones de ejemplo para obtener información sobre los recursos de la API de Android Management:

  • Enumera los dispositivos en ENTERPRISE_ID empresarial.
  • Obtiene detalles del dispositivo DEVICE_ID en la empresa ENTERPRISE_ID.
  • Mostrar los detalles de la política POLICY_NAME
  • ¿Qué aplicaciones están disponibles en ENTERPRISE_ID para empresas?

En las instrucciones, reemplaza lo siguiente:

  • ENTERPRISE_ID: Es el nombre del recurso de la empresa, por ejemplo, enterprises/LC012345.
  • DEVICE_ID: Es el nombre del recurso del dispositivo.
  • POLICY_NAME: Es el nombre del recurso de la política.

Configuraciones opcionales de seguridad

La MCP introduce nuevos riesgos y consideraciones de seguridad debido a la amplia variedad de acciones que se pueden realizar con las herramientas de MCP. Para minimizar y administrar estos riesgos, Google Cloud ofrece políticas predeterminadas y personalizables para controlar el uso de las herramientas de MCP en tu organización o proyecto de Google Cloud.

Para obtener más información sobre la seguridad y la administración de la MCP, consulta Seguridad y protección de la IA.

Control de MCP a nivel de la organización

Puedes crear políticas de la organización personalizadas para controlar el uso de servidores de MCP en tu organización de Google Cloud con la restricción gcp.managed.allowedMCPService. Para obtener más información y ejemplos de uso, consulta Control de acceso a los servidores de MCP de Google Cloud con IAM.

¿Qué sigue?