Utiliser le serveur MCP de l'API Android Management

Le Model Context Protocol (MCP) standardise la façon dont les grands modèles de langage (LLM) et les applications ou agents d'IA se connectent à des sources de données externes. Les serveurs MCP vous permettent d'utiliser leurs outils, ressources et requêtes pour effectuer des actions et obtenir des données à jour à partir de leur service de backend.

Les serveurs MCP locaux s'exécutent généralement sur votre machine locale et utilisent les flux d'entrée et de sortie standards (stdio) pour la communication entre les services sur le même appareil. Les serveurs MCP distants s'exécutent sur l'infrastructure du service et proposent un point de terminaison HTTP aux applications d'IA pour la communication entre le client MCP d'IA et le serveur MCP. Pour en savoir plus sur l'architecture MCP, consultez Architecture MCP.

Les serveurs MCP distants Google et Google Cloud présentent les fonctionnalités et avantages suivants :

  • Découverte simplifiée et centralisée.
  • Points de terminaison HTTP mondiaux ou régionaux gérés.
  • Autorisation précise.
  • Journalisation centralisée des audits.

Pour en savoir plus sur les autres serveurs MCP et sur les contrôles de sécurité et de gouvernance disponibles pour les serveurs MCP Google Cloud, consultez Présentation des serveurs MCP Google Cloud.

Avant de commencer

Pour utiliser le serveur MCP distant de l'API Android Management, vous devez créer un projet Google Cloud et activer l'API Android Management.

  1. Dans la console Cloud, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  2. Enable the Android Management API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

Rôles requis

Pour obtenir les autorisations nécessaires pour utiliser le serveur MCP distant de l'API Android Management, demandez à votre administrateur de vous accorder les rôles IAM (Identity and Access Management) suivants sur le projet Google Cloud dans lequel vous souhaitez activer le serveur MCP de l'API Android Management :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour utiliser le serveur MCP distant de l'API Android Management. Pour afficher les autorisations exactes requises, développez la section Autorisations requises.

Autorisations requises

Les autorisations suivantes sont requises pour utiliser le serveur MCP Android Management à distance :

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update
  • Effectuer des appels d'outils MCP : mcp.tools.call
  • Accéder aux ressources Android Management :
    • androidmanagement.enterprises.get
    • androidmanagement.devices.list

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Activer ou désactiver le serveur MCP de l'API Android Management

Vous pouvez activer ou désactiver le serveur MCP de l'API Android Management dans un projet à l'aide de la commande gcloud beta services mcp enable. Pour en savoir plus, consultez les sections suivantes.

Activer le serveur MCP de l'API Android Management dans un projet

Si vous utilisez différents projets pour vos identifiants client (clés de compte de service, ID client OAuth ou clés API, par exemple) et pour héberger vos ressources, vous devez activer le service Android Management API et le serveur MCP distant Android Management API dans les deux projets.

Pour activer le serveur MCP de l'API Android Management dans votre projet Google Cloud, exécutez la commande suivante :

gcloud beta services mcp enable SERVICE \
    --project=PROJECT_ID

Remplacez les éléments suivants :

  • PROJECT_ID : ID de projet Google Cloud.
  • SERVICE : androidmanagement.googleapis.com.

Le serveur MCP distant de l'API Android Management est activé pour être utilisé dans votre projet Google Cloud. Si le service de l'API Android Management n'est pas activé pour votre projet Google Cloud, vous êtes invité à l'activer avant d'activer le serveur MCP distant de l'API Android Management.

Pour respecter les bonnes pratiques de sécurité, nous vous recommandons d'activer les serveurs MCP uniquement pour les services nécessaires au fonctionnement de votre application d'IA.

Désactiver le serveur MCP de l'API Android Management dans un projet

Pour désactiver le serveur MCP de l'API Android Management dans votre projet Google Cloud, exécutez la commande suivante :

gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

Le serveur MCP de l'API Android Management est désactivé pour votre projet Google Cloud.

Authentification et autorisation

Les serveurs MCP de l'API Android Management utilisent le protocole OAuth 2.0 avec Identity and Access Management pour l'authentification et l'autorisation. Toutes les identités Google Cloud sont acceptées pour l'authentification auprès des serveurs MCP.

Le serveur MCP distant de l'API Android Management n'accepte pas les clés API.

Nous vous recommandons de créer une identité distincte pour les agents qui utilisent les outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.

Habilitations OAuth MCP de l'API Android Management

OAuth 2.0 utilise des niveaux d'accès et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 chez Google, consultez Utiliser OAuth 2.0 pour accéder aux API Google.

L'API Android Management dispose des champs d'application OAuth suivants pour l'outil MCP :

URI du champ d'application pour gcloud Description
https://www.googleapis.com/auth/androidmanagement Gérez les appareils et les applications Android.

Des champs d'application supplémentaires peuvent être requis pour les ressources auxquelles l'outil accède lors d'un appel. Pour afficher la liste des habilitations requises pour l'API Android Management, consultez API Android Management.

Configurer un client MCP pour qu'il utilise le serveur MCP de l'API Android Management

Les programmes hôtes, tels que Claude ou Gemini CLI, peuvent instancier des clients MCP qui se connectent à un seul serveur MCP. Un programme hôte peut comporter plusieurs clients qui se connectent à différents serveurs MCP. Pour se connecter à un serveur MCP distant, le client MCP doit connaître au minimum l'URL du serveur MCP distant.

Dans votre hôte, recherchez un moyen de vous connecter à un serveur MCP distant. Vous êtes invité à saisir des informations sur le serveur, comme son nom et son URL.

Pour le serveur MCP de l'API Android Management, saisissez les informations suivantes, le cas échéant :

  • Nom du serveur : serveur MCP de l'API Android Management
  • URL du serveur ou Point de terminaison : https://androidmanagement.googleapis.com/mcp
  • Transport : HTTP
  • Informations d'authentification : selon la méthode d'authentification que vous souhaitez utiliser, vous pouvez saisir vos identifiants Google Cloud, votre ID et votre code secret de client OAuth, ou les identifiants d'un agent. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.

Pour obtenir des conseils spécifiques à un hôte, consultez les articles suivants :

Pour obtenir des conseils plus généraux, consultez Se connecter à des serveurs MCP distants.

Outils disponibles

Les outils MCP en lecture seule ont l'attribut MCP mcp.tool.isReadOnly défini sur true. Vous pouvez choisir d'autoriser uniquement les outils en lecture seule dans certains environnements via votre règle d'administration.

Pour afficher les détails des outils MCP disponibles et leurs descriptions pour le serveur MCP de l'API Android Management, consultez la documentation de référence sur le MCP de l'API Android Management.

Outils de liste

Utilisez l'inspecteur MCP pour lister les outils ou envoyez une requête HTTP tools/list directement au serveur MCP distant de l'API Android Management. La méthode tools/list ne nécessite pas d'authentification.

POST /mcp HTTP/1.1
Host: androidmanagement.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Exemples de cas d'utilisation

Voici des exemples de cas d'utilisation du serveur MCP de l'API Android Management :

  • Requêtes en langage naturel : posez des questions complexes sur votre parc d'appareils sans écrire de code (par exemple, "Quels sont mes appareils qui ne sont pas conformes au dernier correctif de sécurité ?").
  • Audits automatisés : récupèrent régulièrement des données et compilent des rapports sur l'état des appareils et le respect des règles.
  • Alertes intelligentes : surveillez les données de votre parc pour signaler les anomalies ou les problèmes potentiels en fonction d'insights en temps réel.

Exemples de requêtes

Vous pouvez utiliser les exemples de requêtes suivants pour obtenir des informations sur les ressources de l'API Android Management :

  • Affichez la liste des appareils dans l'ENTERPRISE_ID de l'entreprise.
  • Obtenez des informations sur l'appareil DEVICE_ID dans l'entreprise ENTERPRISE_ID.
  • Affiche les détails de la règle POLICY_NAME.
  • Quelles applications sont disponibles dans ENTERPRISE_ID Enterprise ?

Dans les requêtes, remplacez les éléments suivants :

  • ENTERPRISE_ID : nom de ressource de l'entreprise, par exemple enterprises/LC012345.
  • DEVICE_ID : nom de ressource de l'appareil.
  • POLICY_NAME : nom de ressource de la règle.

Configurations de sécurité et de protection facultatives

Le MCP introduit de nouveaux risques et considérations de sécurité en raison de la grande variété d'actions qui peuvent être effectuées avec les outils MCP. Pour minimiser et gérer ces risques, Google Cloud propose des règles par défaut et personnalisables permettant de contrôler l'utilisation des outils de gestion de la configuration et de la conformité dans votre organisation ou projet Google Cloud.

Pour en savoir plus sur la sécurité et la gouvernance de MCP, consultez Sécurité et sûreté de l'IA.

Contrôle MCP au niveau de l'organisation

Vous pouvez créer des règles d'administration personnalisées pour contrôler l'utilisation des serveurs MCP dans votre organisation Google Cloud à l'aide de la contrainte gcp.managed.allowedMCPService. Pour en savoir plus et obtenir des exemples d'utilisation, consultez Contrôle des accès aux serveurs MCP Google Cloud avec IAM.

Étape suivante