Utilizzare il server MCP dell'API Android Management

Il Model Context Protocol (MCP) standardizza il modo in cui i modelli linguistici di grandi dimensioni (LLM) e le applicazioni o gli agenti AI si connettono a origini dati esterne. I server MCP ti consentono di utilizzare i loro strumenti, risorse e prompt per eseguire azioni e ottenere dati aggiornati dal loro servizio di backend.

I server MCP locali vengono in genere eseguiti sulla macchina locale e utilizzano i flussi di input e output standard (stdio) per la comunicazione tra i servizi sullo stesso dispositivo. I server MCP remoti vengono eseguiti sull'infrastruttura del servizio e offrono un endpoint HTTP alle applicazioni AI per la comunicazione tra il client AI MCP e il server MCP. Per saperne di più sull'architettura MCP, consulta la pagina Architettura MCP.

I server MCP remoti di Google e Google Cloud offrono le seguenti caratteristiche e vantaggi:

  • Individuazione semplificata e centralizzata.
  • Endpoint HTTP globali o regionali gestiti.
  • Autorizzazione granulare.
  • Audit logging centralizzato.

Per informazioni su altri server MCP e sui controlli di sicurezza e governance disponibili per i server MCP di Google Cloud, consulta la panoramica dei server MCP di Google Cloud.

Prima di iniziare

Per utilizzare il server MCP remoto dell'API Android Management, devi creare un progetto Google Cloud e abilitare l'API Android Management.

  1. Nella console Google Cloud, nella pagina di selezione del progetto, seleziona o crea un progetto Google Cloud.

    Vai al selettore di progetti

  2. Enable the Android Management API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per utilizzare il server MCP remoto dell'API Android Management, chiedi all'amministratore di concederti i seguenti ruoli Identity and Access Management nel progetto Google Cloud in cui vuoi abilitare il server MCP dell'API Android Management:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare il server MCP remoto dell'API Android Management. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie.

Autorizzazioni obbligatorie

Per utilizzare il server MCP remoto di Android Management sono necessarie le seguenti autorizzazioni:

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update
  • Effettua chiamate allo strumento MCP: mcp.tools.call
  • Accedi alle risorse di Android Management:
    • androidmanagement.enterprises.get
    • androidmanagement.devices.list

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Attivare o disattivare il server MCP dell'API Android Management

Puoi abilitare o disabilitare il server MCP dell'API Android Management in un progetto con il comando gcloud beta services mcp enable. Per ulteriori informazioni, consulta le sezioni seguenti.

Abilitare il server MCP dell'API Android Management in un progetto

Se utilizzi progetti diversi per le credenziali client, ad esempio chiavi del service account, ID client OAuth o chiavi API, e per l'hosting delle risorse, devi abilitare il servizio API Android Management e il server MCP remoto dell'API Android Management in entrambi i progetti.

Per abilitare il server MCP dell'API Android Management nel tuo progetto Google Cloud, esegui questo comando:

gcloud beta services mcp enable SERVICE \
    --project=PROJECT_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto Google Cloud.
  • SERVICE: androidmanagement.googleapis.com.

Il server MCP remoto dell'API Android Management è abilitato per l'utilizzo nel tuo progetto Google Cloud. Se il servizio API Android Management non è abilitato per il tuo progetto Google Cloud, ti viene chiesto di abilitare il servizio prima di abilitare il server MCP remoto dell'API Android Management.

Come best practice di sicurezza, ti consigliamo di abilitare i server MCP solo per i servizi necessari per il funzionamento della tua applicazione di AI.

Disabilitare il server MCP dell'API Android Management in un progetto

Per disattivare il server MCP dell'API Android Management nel tuo progetto Google Cloud, esegui questo comando:

gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

Il server MCP dell'API Android Management è disabilitato per l'utilizzo nel tuo progetto Google Cloud.

Autenticazione e autorizzazione

I server MCP dell'API Android Management utilizzano il protocollo OAuth 2.0 con Identity and Access Management per l'autenticazione e l'autorizzazione. Tutte le identità Google Cloud sono supportate per l'autenticazione ai server MCP.

Il server MCP remoto dell'API Android Management non accetta chiavi API.

Consigliamo di creare un'identità separata per gli agenti che utilizzano gli strumenti MCP in modo che l'accesso alle risorse possa essere controllato e monitorato. Per saperne di più sull'autenticazione, consulta Autenticarsi sui server MCP.

Ambiti OAuth MCP dell'API Android Management

OAuth 2.0 utilizza ambiti e credenziali per determinare se un principal autenticato è autorizzato a eseguire un'azione specifica su una risorsa. Per saperne di più sugli ambiti OAuth 2.0 in Google, leggi Utilizzare OAuth 2.0 per accedere alle API di Google.

L'API Android Management ha i seguenti ambiti OAuth dello strumento MCP:

URI dell'ambito per gcloud Descrizione
https://www.googleapis.com/auth/androidmanagement Gestire i dispositivi e le app Android.

Potrebbero essere necessari ambiti aggiuntivi per le risorse a cui si accede durante una chiamata allo strumento. Per visualizzare un elenco degli ambiti richiesti per l'API Android Management, consulta API Android Management.

Configurare un client MCP per utilizzare il server MCP dell'API Android Management

I programmi host, come Claude o Gemini CLI, possono creare istanze di client MCP che si connettono a un singolo server MCP. Un programma host può avere più client che si connettono a server MCP diversi. Per connettersi a un server MCP remoto, il client MCP deve conoscere almeno l'URL del server MCP remoto.

Nell'host, cerca un modo per connetterti a un server MCP remoto. Ti viene chiesto di inserire i dettagli del server, come nome e URL.

Per il server MCP dell'API Android Management, inserisci quanto segue in base alle esigenze:

  • Nome server: server MCP dell'API Android Management
  • URL server o Endpoint: https://androidmanagement.googleapis.com/mcp
  • Trasporto: HTTP
  • Dettagli di autenticazione: a seconda di come vuoi eseguire l'autenticazione, puoi inserire le tue credenziali Google Cloud, l'ID client OAuth e il segreto o un'identità e credenziali dell'agente. Per saperne di più sull'autenticazione, consulta Autenticarsi sui server MCP.

Per indicazioni specifiche per l'host, consulta:

Per indicazioni più generali, vedi Connettersi ai server MCP remoti.

Strumenti disponibili

Gli strumenti MCP di sola lettura hanno l'attributo MCP mcp.tool.isReadOnly impostato su true. Potresti voler consentire solo strumenti di sola lettura in determinati ambienti tramite i criteri dell'organizzazione.

Per visualizzare i dettagli degli strumenti MCP disponibili e le relative descrizioni per il server MCP dell'API Android Management, consulta il riferimento MCP dell'API Android Management.

Strumenti per le liste

Utilizza lo strumento di controllo MCP per elencare gli strumenti o invia una richiesta HTTP tools/list direttamente al server MCP remoto dell'API Android Management. Il metodo tools/list non richiede l'autenticazione.

POST /mcp HTTP/1.1
Host: androidmanagement.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Esempi di casi d'uso

Di seguito sono riportati alcuni casi d'uso di esempio per il server MCP dell'API Android Management:

  • Query in linguaggio naturale:poni domande complesse sulla tua flotta di dispositivi senza scrivere codice, ad esempio "Quali dei miei dispositivi non sono conformi all'ultima patch di sicurezza?"
  • Controlli automatizzati:recupera periodicamente i dati e compila report sullo stato del dispositivo e sul rispetto delle norme.
  • Avvisi intelligenti: monitora i dati della flotta per segnalare anomalie o potenziali problemi in base a informazioni in tempo reale.

Prompt di esempio

Puoi utilizzare i seguenti prompt di esempio per ottenere informazioni sulle risorse dell'API Android Management:

  • Elenca i dispositivi nell'azienda ENTERPRISE_ID.
  • Visualizza i dettagli del dispositivo DEVICE_ID nell'azienda ENTERPRISE_ID.
  • Mostra i dettagli delle norme per la norma POLICY_NAME.
  • Quali applicazioni sono disponibili in ENTERPRISE_ID per le aziende?

Nei prompt, sostituisci quanto segue:

  • ENTERPRISE_ID: il nome della risorsa dell'impresa, ad esempio enterprises/LC012345.
  • DEVICE_ID: il nome della risorsa del dispositivo.
  • POLICY_NAME: il nome della risorsa della policy.

Configurazioni di sicurezza facoltative

MCP introduce nuovi rischi e considerazioni sulla sicurezza a causa dell'ampia varietà di azioni che possono essere intraprese con gli strumenti MCP. Per ridurre al minimo e gestire questi rischi, Google Cloud offre policy predefinite e personalizzabili per controllare l'utilizzo degli strumenti MCP nella tua organizzazione o nel tuo progetto Google Cloud.

Per saperne di più sulla sicurezza e sulla governance di MCP, consulta Sicurezza e protezione dell'AI.

Controllo MCP a livello di organizzazione

Puoi creare policy dell'organizzazione personalizzate per controllare l'utilizzo dei server MCP nella tua organizzazione Google Cloud utilizzando il vincolo gcp.managed.allowedMCPService. Per ulteriori informazioni ed esempi di utilizzo, consulta Controllo dell'accesso con IAM per i server Google Cloud MCP.

Passaggi successivi