Sử dụng máy chủ MCP Android Management API

Giao thức ngữ cảnh mô hình (MCP) chuẩn hoá cách các mô hình ngôn ngữ lớn (LLM) và ứng dụng hoặc tác nhân AI kết nối với các nguồn dữ liệu bên ngoài. Máy chủ MCP cho phép bạn sử dụng các công cụ, tài nguyên và câu lệnh của chúng để thực hiện các hành động và nhận dữ liệu mới nhất từ dịch vụ phụ trợ của chúng.

Các máy chủ MCP cục bộ thường chạy trên máy cục bộ và sử dụng các luồng đầu vào và đầu ra tiêu chuẩn (stdio) để giao tiếp giữa các dịch vụ trên cùng một thiết bị. Các máy chủ MCP từ xa chạy trên cơ sở hạ tầng của dịch vụ và cung cấp một điểm cuối HTTP cho các ứng dụng AI để giao tiếp giữa ứng dụng AI MCP và máy chủ MCP. Để biết thêm thông tin về cấu trúc MCP, hãy xem bài viết Cấu trúc MCP.

Máy chủ MCP từ xa của Google và Google Cloud có các tính năng và lợi ích sau:

Đơn giản hoá và tập trung hoá việc khám phá.
Quản lý các điểm cuối HTTP toàn cầu hoặc theo khu vực.
Uỷ quyền chi tiết.
Ghi nhật ký kiểm tra tập trung.

Để biết thông tin về các máy chủ MCP khác và thông tin về các biện pháp kiểm soát bảo mật và quản trị có sẵn cho máy chủ MCP của Google Cloud, hãy xem Tổng quan về máy chủ MCP của Google Cloud.

Trước khi bắt đầu

Để sử dụng máy chủ MCP từ xa của Android Management API, bạn phải tạo một dự án trên Google Cloud và bật Android Management API.

Trong Cloud Console, trên trang chọn dự án, hãy chọn hoặc tạo một dự án trên Google Cloud.

Chuyển đến bộ chọn dự án
Enable the Android Management API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the API

Vai trò bắt buộc

Để có được các quyền cần thiết để sử dụng máy chủ MCP từ xa của Android Management API, hãy yêu cầu quản trị viên cấp cho bạn các vai trò Quản lý danh tính và quyền truy cập sau đây trên dự án Google Cloud mà bạn muốn bật máy chủ MCP của Android Management API:

Quản trị viên sử dụng dịch vụ (roles/serviceusage.serviceUsageAdmin)
Thực hiện các lệnh gọi công cụ MCP: Người dùng công cụ MCP (roles/mcp.toolUser)
Truy cập vào các tài nguyên của dịch vụ Quản lý Android: Người dùng dịch vụ Quản lý Android (roles/androidmanagement.user)

Để biết thêm thông tin về cách cấp vai trò, hãy xem bài viết Quản lý quyền truy cập vào dự án, thư mục và tổ chức.

Các vai trò được xác định trước này chứa những quyền cần thiết để sử dụng máy chủ MCP từ xa của Android Management API. Để xem chính xác những quyền cần thiết, hãy mở rộng phần Các quyền bắt buộc.

Các quyền bắt buộc

Bạn cần có các quyền sau đây để sử dụng máy chủ MCP từ xa của Android Management:

serviceusage.mcppolicy.get
serviceusage.mcppolicy.update
Gọi công cụ MCP: mcp.tools.call
Truy cập vào tài nguyên Quản lý Android:
- androidmanagement.enterprises.get
- androidmanagement.devices.list

Bạn cũng có thể nhận được những quyền này bằng vai trò tuỳ chỉnh hoặc vai trò xác định trước khác.

Bật hoặc tắt máy chủ MCP của Android Management API

Bạn có thể bật hoặc tắt máy chủ MCP Android Management API trong một dự án bằng lệnh gcloud beta services mcp enable. Để biết thêm thông tin, hãy xem các phần sau.

Bật máy chủ MCP Android Management API trong một dự án

Nếu đang sử dụng các dự án khác nhau cho thông tin đăng nhập của ứng dụng, chẳng hạn như khoá tài khoản dịch vụ, mã ứng dụng OAuth hoặc khoá API và để lưu trữ tài nguyên, thì bạn phải bật dịch vụ Android Management API và máy chủ MCP từ xa Android Management API trên cả hai dự án.

Để bật máy chủ MCP Android Management API trong dự án Google Cloud, hãy chạy lệnh sau:

gcloud beta services mcp enable SERVICE \
    --project=PROJECT_ID

Thay thế nội dung sau:

PROJECT_ID: mã dự án trên Google Cloud.
SERVICE: androidmanagement.googleapis.com.

Máy chủ MCP từ xa của Android Management API được bật để sử dụng trong dự án Google Cloud của bạn. Nếu dịch vụ Android Management API chưa được bật cho dự án Google Cloud của bạn, thì bạn sẽ được nhắc bật dịch vụ này trước khi bật máy chủ MCP từ xa của Android Management API.

Theo phương pháp hay nhất về bảo mật, bạn chỉ nên bật các máy chủ MCP cho những dịch vụ cần thiết để ứng dụng AI của bạn hoạt động.

Tắt máy chủ MCP Android Management API trong một dự án

Để tắt máy chủ MCP của Android Management API trong dự án Google Cloud, hãy chạy lệnh sau:

gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

Máy chủ MCP của Android Management API bị vô hiệu hoá để sử dụng trong dự án Google Cloud của bạn.

Xác thực và uỷ quyền

Các máy chủ MCP của Android Management API sử dụng giao thức OAuth 2.0 với Quản lý danh tính và quyền truy cập để xác thực và uỷ quyền. Tất cả danh tính trên Google Cloud đều được hỗ trợ để xác thực với các máy chủ MCP.

Máy chủ MCP từ xa của Android Management API không chấp nhận khoá API.

Bạn nên tạo một danh tính riêng biệt cho những nhân viên sử dụng các công cụ MCP để có thể kiểm soát và theo dõi quyền truy cập vào tài nguyên. Để biết thêm thông tin về quy trình xác thực, hãy xem phần Xác thực với máy chủ MCP.

Phạm vi OAuth MCP của Android Management API

OAuth 2.0 sử dụng các phạm vi và thông tin đăng nhập để xác định xem một chủ thể đã xác thực có được phép thực hiện một hành động cụ thể trên một tài nguyên hay không. Để biết thêm thông tin về các phạm vi OAuth 2.0 tại Google, hãy đọc bài viết Sử dụng OAuth 2.0 để truy cập vào các API của Google.

Android Management API có các phạm vi OAuth sau đây của công cụ MCP:

URI phạm vi cho gcloud	Mô tả
`https://www.googleapis.com/auth/androidmanagement`	Quản lý thiết bị và ứng dụng Android.

Có thể bạn cần có thêm phạm vi trên các tài nguyên được truy cập trong quá trình gọi công cụ. Để xem danh sách các phạm vi bắt buộc đối với Android Management API, hãy xem Android Management API.

Định cấu hình ứng dụng MCP để sử dụng máy chủ MCP Android Management API

Các chương trình lưu trữ, chẳng hạn như Claude hoặc Gemini CLI, có thể tạo các ứng dụng MCP kết nối với một máy chủ MCP duy nhất. Một chương trình lưu trữ có thể có nhiều máy khách kết nối với các máy chủ MCP khác nhau. Để kết nối với một máy chủ MCP từ xa, ít nhất thì ứng dụng MCP phải biết URL của máy chủ MCP từ xa.

Trong máy chủ lưu trữ, hãy tìm cách kết nối với một máy chủ MCP từ xa. Bạn sẽ được nhắc nhập thông tin chi tiết về máy chủ, chẳng hạn như tên và URL của máy chủ.

Đối với máy chủ MCP của Android Management API, hãy nhập những thông tin sau đây theo yêu cầu:

Tên máy chủ: Máy chủ MCP Android Management API
URL máy chủ hoặc Điểm cuối: https://androidmanagement.googleapis.com/mcp
Vận chuyển: HTTP
Thông tin xác thực: Tuỳ thuộc vào cách bạn muốn xác thực, bạn có thể nhập thông tin đăng nhập Google Cloud, mã ứng dụng và khoá bí mật OAuth hoặc thông tin nhận dạng và thông tin đăng nhập của nhân viên hỗ trợ. Để biết thêm thông tin về quy trình xác thực, hãy xem phần Xác thực với máy chủ MCP.

Để biết hướng dẫn cụ thể cho từng máy chủ lưu trữ, hãy xem phần sau:

Để biết hướng dẫn chung hơn, hãy xem bài viết Kết nối với các máy chủ MCP từ xa.

Các công cụ có sẵn

Các Công cụ MCP chỉ có thể đọc có thuộc tính MCP mcp.tool.isReadOnly được đặt thành true. Bạn có thể chỉ cho phép các công cụ chỉ đọc trong một số môi trường nhất định thông qua chính sách của tổ chức.

Để xem thông tin chi tiết về các công cụ MCP hiện có và nội dung mô tả của các công cụ này cho máy chủ MCP của Android Management API, hãy xem tài liệu tham khảo về MCP của Android Management API.

Công cụ danh sách

Sử dụng trình kiểm tra MCP để liệt kê các công cụ hoặc gửi yêu cầu HTTP tools/list trực tiếp đến máy chủ MCP từ xa của Android Management API. Phương thức tools/list không yêu cầu xác thực.

POST /mcp HTTP/1.1
Host: androidmanagement.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Các trường hợp sử dụng mẫu

Sau đây là các trường hợp sử dụng mẫu cho máy chủ MCP của Android Management API:

Câu hỏi bằng ngôn ngữ tự nhiên: Đặt các câu hỏi phức tạp về nhóm thiết bị của bạn mà không cần viết mã, ví dụ: "Thiết bị nào của tôi không tuân thủ bản vá bảo mật mới nhất?"
Kiểm tra tự động: Định kỳ tìm nạp dữ liệu và biên soạn báo cáo về trạng thái thiết bị và việc tuân thủ chính sách.
Cảnh báo thông minh: Giám sát dữ liệu về đội xe để gắn cờ các điểm bất thường hoặc vấn đề tiềm ẩn dựa trên thông tin chi tiết theo thời gian thực.

Câu lệnh mẫu

Bạn có thể sử dụng các câu lệnh mẫu sau để nhận thông tin về các tài nguyên của Android Management API:

Liệt kê các thiết bị trong ENTERPRISE_ID của doanh nghiệp.
Xem thông tin chi tiết về thiết bị DEVICE_ID trong doanh nghiệp ENTERPRISE_ID.
Hiện chi tiết chính sách cho chính sách POLICY_NAME.
Những ứng dụng nào có trong ENTERPRISE_ID dành cho doanh nghiệp?

Trong các câu lệnh, hãy thay thế nội dung sau:

ENTERPRISE_ID: tên tài nguyên của doanh nghiệp – ví dụ: enterprises/LC012345.
DEVICE_ID: tên tài nguyên của thiết bị.
POLICY_NAME: tên tài nguyên của chính sách.

Cấu hình bảo mật và an toàn không bắt buộc

MCP mang đến những rủi ro và điểm cần cân nhắc mới về bảo mật do có nhiều hành động có thể thực hiện bằng các công cụ MCP. Để giảm thiểu và quản lý những rủi ro này, Google Cloud cung cấp các chính sách mặc định và có thể tuỳ chỉnh để kiểm soát việc sử dụng các công cụ MCP trong tổ chức hoặc dự án của bạn trên Google Cloud.

Để biết thêm thông tin về tính bảo mật và hoạt động quản trị của MCP, hãy xem bài viết Tính bảo mật và an toàn của AI.

Chế độ kiểm soát MCP ở cấp tổ chức

Bạn có thể tạo các chính sách tuỳ chỉnh cho tổ chức để kiểm soát việc sử dụng các máy chủ MCP trong tổ chức Google Cloud của mình bằng cách sử dụng quy tắc ràng buộc gcp.managed.allowedMCPService. Để biết thêm thông tin và ví dụ về cách sử dụng, hãy xem bài viết Kiểm soát quyền truy cập vào các máy chủ MCP của Google Cloud bằng IAM.

Bước tiếp theo

Đọc tài liệu tham khảo về MCP của Android Management API.
Tìm hiểu thêm về máy chủ MCP của Google Cloud.