שימוש בשרת MCP של Android Management API

פרוטוקול הקשר של המודל (MCP) מבצע סטנדרטיזציה של האופן שבו מודלים גדולים של שפה (LLM) ואפליקציות או סוכני AI מתחברים למקורות נתונים חיצוניים. שרתי MCP מאפשרים לכם להשתמש בכלים, במשאבים ובהנחיות שלהם כדי לבצע פעולות ולקבל נתונים מעודכנים משירות הקצה העורפי שלהם.

שרתי MCP מקומיים פועלים בדרך כלל במחשב המקומי ומשתמשים בזרמי הקלט והפלט הרגילים (stdio) לתקשורת בין שירותים באותו מכשיר. שרתי MCP מרוחקים פועלים בתשתית של השירות ומציעים נקודת קצה של HTTP לאפליקציות AI לצורך תקשורת בין לקוח ה-AI MCP לבין שרת ה-MCP. מידע נוסף על ארכיטקטורת MCP זמין במאמר ארכיטקטורת MCP.

לשרתי MCP מרחוק של Google ו-Google Cloud יש את התכונות והיתרונות הבאים:

גילוי פשוט ומרכזי.
נקודות קצה גלובליות או אזוריות של HTTP מנוהלות.
הרשאה פרטנית.
רישום מרכזי ביומן הביקורת.

מידע על שרתים אחרים של MCP ועל אמצעי אבטחה ובקרה שזמינים לשרתי MCP של Google Cloud מופיע במאמר סקירה כללית על שרתי MCP של Google Cloud.

לפני שמתחילים

כדי להשתמש בשרת MCP מרחוק של Android Management API, צריך ליצור פרויקט ב-Google Cloud ולהפעיל את Android Management API.

במסוף Cloud, בדף לבחירת הפרויקט, בוחרים פרויקט או יוצרים פרויקט חדש ב-Google Cloud.

כניסה לדף לבחירת הפרויקט
Enable the Android Management API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the API

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לשימוש בשרת MCP מרוחק של Android Management API, צריך לבקש מהאדמין להקצות לכם את התפקידים הבאים בניהול זהויות והרשאות גישה (IAM) בפרויקט Google Cloud שבו רוצים להפעיל את שרת ה-MCP של Android Management API:

אדמין בשימוש בשירות (roles/serviceusage.serviceUsageAdmin)
תבצע קריאות לכלים של MCP: MCP Tool User (roles/mcp.toolUser)
גישה למשאבים של Android Management: משתמש ב-Android Management (roles/androidmanagement.user)

כדי לקרוא הסבר על מתן תפקידים, קראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות לשימוש בשרת ה-MCP המרוחק של Android Management API. כדי לראות את ההרשאות הנדרשות, מרחיבים את הקטע ההרשאות הנדרשות.

ההרשאות הנדרשות

כדי להשתמש בשרת ה-MCP המרוחק של Android Management, נדרשות ההרשאות הבאות:

serviceusage.mcppolicy.get
serviceusage.mcppolicy.update
ביצוע שיחות בכלי ה-MCP: mcp.tools.call
גישה למשאבים של ניהול Android:
- androidmanagement.enterprises.get
- androidmanagement.devices.list

יכול להיות שתוכלו לקבל את ההרשאות האלה גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

הפעלה או השבתה של שרת ה-MCP של Android Management API

אפשר להפעיל או להשבית את שרת ה-MCP של Android Management API בפרויקט באמצעות הפקודה gcloud beta services mcp enable. בסעיפים הבאים יש מידע נוסף בנושא.

הפעלת שרת MCP של Android Management API בפרויקט

אם אתם משתמשים בפרויקטים שונים בשביל פרטי הכניסה של הלקוח, כמו מפתחות של חשבון שירות, מזהה לקוח OAuth או מפתחות API, ובשביל אירוח המשאבים, אתם צריכים להפעיל את שירות Android Management API ואת שרת ה-MCP המרוחק של Android Management API בשני הפרויקטים.

כדי להפעיל את שרת ה-MCP של Android Management API בפרויקט Google Cloud, מריצים את הפקודה הבאה:

gcloud beta services mcp enable SERVICE \
    --project=PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

‫PROJECT_ID: מזהה הפרויקט ב-Google Cloud.
SERVICE: androidmanagement.googleapis.com.

שרת ה-MCP המרוחק של Android Management API מופעל לשימוש בפרויקט שלכם ב-Google Cloud. אם שירות Android Management API לא מופעל בפרויקט Google Cloud שלכם, תתבקשו להפעיל את השירות לפני הפעלת שרת ה-MCP המרוחק של Android Management API.

כשיטה מומלצת לאבטחה, מומלץ להפעיל שרתי MCP רק בשירותים שנדרשים כדי שאפליקציית ה-AI שלכם תפעל.

השבתה של שרת ה-MCP של Android Management API בפרויקט

כדי להשבית את שרת ה-MCP של Android Management API בפרויקט Google Cloud, מריצים את הפקודה הבאה:

gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

השרת של Android Management API MCP מושבת לשימוש בפרויקט שלכם ב-Google Cloud.

אימות והרשאה

שרתי MCP של Android Management API משתמשים בפרוטוקול OAuth 2.0 עם ניהול זהויות והרשאות גישה לאימות ולהרשאה. כל הזהויות ב-Google Cloud נתמכות לאימות לשרתי MCP.

שרת ה-MCP המרוחק של Android Management API לא מקבל מפתחות API.

אנחנו ממליצים ליצור זהות נפרדת לסוכנים באמצעות כלי MCP, כדי שיהיה אפשר לשלוט בגישה למשאבים ולעקוב אחריה. מידע נוסף על אימות זמין במאמר אימות לשרתי MCP.

היקפי הרשאות OAuth של Android Management API MCP

ב-OAuth 2.0 משתמשים בהיקפי הרשאות ובפרטי כניסה כדי לקבוע אם לגורם מאומת יש הרשאה לבצע פעולה ספציפית במשאב. מידע נוסף על היקפי OAuth 2.0 ב-Google זמין במאמר שימוש ב-OAuth 2.0 כדי לגשת אל Google APIs.

ל-Android Management API יש את היקפי ההרשאות הבאים של OAuth בכלי MCP:

היקף URI ל-gcloud	תיאור
`https://www.googleapis.com/auth/androidmanagement`	ניהול מכשירים ואפליקציות ל-Android.

יכול להיות שיידרשו היקפי הרשאות נוספים במשאבים שאליהם ניגשים במהלך הפעלת כלי. רשימת ההיקפים הנדרשים ל-Android Management API מופיעה במאמר בנושא Android Management API.

הגדרת לקוח MCP לשימוש בשרת MCP של Android Management API

תוכנות מארחות, כמו Claude או Gemini CLI, יכולות ליצור מופעים של לקוחות MCP שמתחברים לשרת MCP יחיד. לתוכנית מארחת יכולים להיות כמה לקוחות שמתחברים לשרתי MCP שונים. כדי להתחבר לשרת MCP מרוחק, לקוח ה-MCP צריך לדעת לפחות את כתובת ה-URL של שרת ה-MCP המרוחק.

במארח, מחפשים דרך להתחבר לשרת MCP מרוחק. תתבקשו להזין פרטים על השרת, כמו השם וכתובת ה-URL שלו.

בשרת ה-MCP של Android Management API, מזינים את הפרטים הבאים לפי הצורך:

שם השרת: שרת MCP של Android Management API
כתובת ה-URL של השרת או נקודת הקצה: https://androidmanagement.googleapis.com/mcp
Transport: HTTP
פרטי אימות: בהתאם לאופן שבו רוצים לבצע אימות, אפשר להזין את פרטי הכניסה ל-Google Cloud, את מזהה הלקוח וסוד הלקוח של OAuth, או את הזהות ופרטי הכניסה של נציג. מידע נוסף על אימות זמין במאמר אימות לשרתי MCP.

הנחיות ספציפיות למארחים:

Claude
‫Gemini CLI

הנחיות כלליות נוספות זמינות במאמר התחברות לשרתי MCP מרוחקים.

באילו כלים אפשר להשתמש

בכלי MCP לקריאה בלבד, מאפיין ה-MCP‏ mcp.tool.isReadOnly מוגדר לערך true. יכול להיות שתרצו לאפשר שימוש בכלי קריאה בלבד בסביבות מסוימות באמצעות מדיניות הארגון.

כדי לראות פרטים על כלי MCP זמינים ותיאורים שלהם בשרת ה-MCP של Android Management API, אפשר לעיין בהפניה ל-MCP של Android Management API.

כלים ליצירת רשימות

אפשר להשתמש בכלי לבדיקת MCP כדי להציג רשימה של כלים, או לשלוח בקשת HTTP tools/list ישירות לשרת MCP מרוחק של Android Management API. בשיטה tools/list לא נדרש אימות.

POST /mcp HTTP/1.1
Host: androidmanagement.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

תרחישים לדוגמה

אלה דוגמאות לתרחישי שימוש בשרת MCP של Android Management API:

שאילתות בשפה טבעית: אפשר לשאול שאלות מורכבות על צי המכשירים בלי לכתוב קוד. לדוגמה: "אילו מהמכשירים שלי לא תואמים לתיקון האבטחה האחרון?"
ביקורות אוטומטיות: אחזור נתונים באופן תקופתי והרכבת דוחות על סטטוס המכשיר ועמידה במדיניות.
התראות חכמות: מעקב אחרי נתוני צי הרכב כדי לסמן חריגות או בעיות פוטנציאליות על סמך תובנות בזמן אמת.

הנחיות לדוגמה

אפשר להשתמש בהנחיות לדוגמה הבאות כדי לקבל מידע על משאבי Android Management API:

מציגים ברשימה את המכשירים בארגון ENTERPRISE_ID.
קבלת פרטים על מכשיר DEVICE_ID בארגון ENTERPRISE_ID.
הצגת פרטי המדיניות של מדיניות POLICY_NAME.
אילו אפליקציות זמינות ב-ENTERPRISE_ID Enterprise?

בהנחיות, מחליפים את הפרטים הבאים:

‫ENTERPRISE_ID: שם המשאב של הארגון, לדוגמה enterprises/LC012345.
‫DEVICE_ID: שם המשאב של המכשיר.
‫POLICY_NAME: שם המשאב של המדיניות.

הגדרות אבטחה ובטיחות אופציונליות

ה-MCP מציג סיכוני אבטחה חדשים ושיקולים חדשים בגלל המגוון הרחב של פעולות שאפשר לבצע באמצעות כלי ה-MCP. כדי לצמצם את הסיכונים האלה ולנהל אותם, Google Cloud מציעה הגדרות ברירת מחדל ומדיניות שניתנת להתאמה אישית כדי לשלוט בשימוש בכלי MCP בארגון או בפרויקט שלכם ב-Google Cloud.

מידע נוסף על אבטחה וניהול של MCP זמין במאמר בנושא אבטחה ובטיחות של AI.

שליטה ב-MCP ברמת הארגון

אתם יכולים ליצור כללי מדיניות ארגוניים בהתאמה אישית כדי לשלוט בשימוש בשרתי MCP בארגון שלכם ב-Google Cloud באמצעות האילוץ gcp.managed.allowedMCPService. מידע נוסף ודוגמאות לשימוש זמינים במאמר בקרת גישה באמצעות IAM לשרתי Google Cloud MCP.

המאמרים הבאים

אפשר לקרוא את מאמרי העזרה של Android Management API MCP.
מידע נוסף על השרתים של Google Cloud MCP