Sử dụng máy chủ MCP của Android Management API

Giao thức bối cảnh mô hình (MCP) chuẩn hoá cách các mô hình ngôn ngữ lớn (LLM) và ứng dụng hoặc tác nhân AI kết nối với các nguồn dữ liệu bên ngoài. Máy chủ MCP cho phép bạn sử dụng các công cụ, tài nguyên và câu lệnh của máy chủ để thực hiện hành động và nhận dữ liệu cập nhật từ dịch vụ phụ trợ của máy chủ.

Máy chủ MCP cục bộ và máy chủ MCP từ xa khác nhau như thế nào?

Máy chủ MCP cục bộ

Thường chạy trên máy cục bộ và sử dụng các luồng đầu vào và đầu ra tiêu chuẩn (stdio) để giao tiếp giữa các dịch vụ trên cùng một thiết bị.

Máy chủ MCP từ xa

Chạy trên cơ sở hạ tầng của dịch vụ và cung cấp một điểm cuối HTTP cho các ứng dụng AI để giao tiếp giữa ứng dụng MCP AI và máy chủ MCP. Để biết thêm thông tin về kiến trúc MCP, hãy xem Kiến trúc MCP.

Trước khi bắt đầu

Để sử dụng máy chủ MCP từ xa của Android Management API, bạn phải tạo một dự án trên Google Cloud và bật Android Management API.

1. Trong bảng điều khiển Cloud, trên trang chọn dự án, hãy chọn hoặc tạo một dự án trên Google Cloud.

   Chuyển đến bộ chọn dự án

2. Bật Android Management API.

   Các vai trò cần thiết để bật API

   Để bật API, bạn cần có vai trò IAM Quản trị viên sử dụng dịch vụ (roles/serviceusage.serviceUsageAdmin), vai trò này chứa quyền serviceusage.services.enable. Tìm hiểu cách cấp vai trò.

   Bật API

Các vai trò bắt buộc

Để có được các quyền cần thiết để sử dụng máy chủ MCP từ xa của Android Management API, hãy yêu cầu quản trị viên cấp cho bạn các vai trò Quản lý danh tính và quyền truy cập sau đây trên dự án Google Cloud mà bạn muốn bật máy chủ MCP của Android Management API:

• Thực hiện lệnh gọi công cụ MCP: Người dùng công cụ MCP (roles/mcp.toolUser)
• Truy cập vào tài nguyên Quản lý Android: Người dùng Quản lý Android (roles/androidmanagement.user)

Để biết thêm thông tin về cách cấp vai trò, hãy xem bài viết Quản lý quyền truy cập vào dự án, thư mục và tổ chức.

Các vai trò xác định trước này chứa các quyền cần thiết để sử dụng máy chủ MCP từ xa của Android Management API. Để xem các quyền chính xác cần thiết, hãy mở rộng phần Các quyền bắt buộc.

Xác thực và uỷ quyền

Máy chủ MCP của Android Management API sử dụng giao thức OAuth 2.0 với tính năng Quản lý danh tính và quyền truy cập để xác thực và uỷ quyền. Tất cả danh tính trên Google Cloud đều được hỗ trợ để xác thực với máy chủ MCP.

Máy chủ MCP từ xa của Android Management API không chấp nhận khoá API.

Bạn nên tạo một danh tính riêng cho các tác nhân sử dụng công cụ MCP để có thể kiểm soát và giám sát quyền truy cập vào tài nguyên. Để biết thêm thông tin về quy trình xác thực, hãy xem bài viết Xác thực với máy chủ MCP.

Phạm vi OAuth của MCP trong Android Management API

OAuth 2.0 sử dụng phạm vi và thông tin xác thực để xác định xem một thực thể đã xác thực có được phép thực hiện một hành động cụ thể trên một tài nguyên hay không. Để biết thêm thông tin về phạm vi OAuth 2.0 tại Google, hãy đọc bài viết Sử dụng OAuth 2.0 để truy cập vào các API của Google.

Android Management API có các phạm vi OAuth của công cụ MCP sau đây:

Bạn có thể cần thêm phạm vi trên các tài nguyên được truy cập trong lệnh gọi công cụ. Để xem danh sách các phạm vi cần thiết cho Android Management API, hãy xem Android Management API.

Định cấu hình ứng dụng MCP để sử dụng máy chủ MCP của Android Management API

Các chương trình lưu trữ, chẳng hạn như Claude hoặc Gemini CLI, có thể khởi tạo các ứng dụng MCP kết nối với một máy chủ MCP. Một chương trình lưu trữ có thể có nhiều ứng dụng kết nối với các máy chủ MCP khác nhau. Để kết nối với máy chủ MCP từ xa, ứng dụng MCP phải biết tối thiểu URL của máy chủ MCP từ xa.

Trong máy chủ lưu trữ của bạn, hãy tìm cách kết nối với máy chủ MCP từ xa. Bạn sẽ được nhắc nhập thông tin chi tiết về máy chủ, chẳng hạn như tên và URL của máy chủ.

Đối với máy chủ MCP của Android Management API, hãy nhập các thông tin sau đây theo yêu cầu:

• Tên máy chủ: Máy chủ MCP của Android Management API
• URL máy chủ hoặc Điểm cuối: https://androidmanagement.googleapis.com/mcp
• Giao thức truyền tải: HTTP
• Thông tin chi tiết về quy trình xác thực: Tuỳ thuộc vào cách bạn muốn xác thực, bạn có thể nhập thông tin xác thực trên Google Cloud, mã ứng dụng khách và mật khẩu OAuth hoặc danh tính và thông tin xác thực của tác nhân. Để biết thêm thông tin về quy trình xác thực, hãy xem bài viết Xác thực với máy chủ MCP.

Để được hướng dẫn cụ thể cho từng chương trình lưu trữ, hãy xem các bài viết sau:

• Claude
• Gemini CLI

Để được hướng dẫn chung hơn, hãy xem bài viết Kết nối với máy chủ MCP từ xa.

Các công cụ có sẵn

Để xem thông tin chi tiết về các công cụ MCP có sẵn và nội dung mô tả của các công cụ đó cho máy chủ MCP của Android Management API, hãy xem bài viết Tài liệu tham khảo về MCP của Android Management API.

Liệt kê các công cụ

Sử dụng trình kiểm tra MCP để liệt kê các công cụ hoặc gửi trực tiếp tools/list yêu cầu HTTP đến máy chủ MCP từ xa của Android Management API. Phương thức tools/list không yêu cầu xác thực.

POST /mcp HTTP/1.1
Host: androidmanagement.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Các trường hợp sử dụng mẫu

Sau đây là các trường hợp sử dụng mẫu cho máy chủ MCP của Android Management API:

• Câu hỏi bằng ngôn ngữ tự nhiên: Đặt các câu hỏi phức tạp về đội thiết bị mà không cần viết mã, chẳng hạn như "Thiết bị nào của tôi không tuân thủ bản vá bảo mật mới nhất?"
• Kiểm tra tự động: Định kỳ tìm nạp dữ liệu và biên soạn báo cáo về trạng thái thiết bị và việc tuân thủ chính sách.
• Cảnh báo thông minh: Giám sát dữ liệu đội thiết bị để gắn cờ các điểm bất thường hoặc vấn đề tiềm ẩn dựa trên thông tin chi tiết theo thời gian thực.

Câu lệnh mẫu

Bạn có thể sử dụng các câu lệnh mẫu sau đây để lấy thông tin về tài nguyên của Android Management API:

• Liệt kê các thiết bị trong doanh nghiệp ENTERPRISE_ID.
• Lấy thông tin chi tiết về thiết bị DEVICE_ID trong doanh nghiệp ENTERPRISE_ID.
• Hiển thị thông tin chi tiết về chính sách POLICY_NAME.
• Những ứng dụng nào có trong doanh nghiệp ENTERPRISE_ID?

Trong câu lệnh, hãy thay thế các thông tin sau:

• ENTERPRISE_ID: tên tài nguyên của doanh nghiệp, chẳng hạn như enterprises/LC012345.
• DEVICE_ID: tên tài nguyên của thiết bị.
• POLICY_NAME: tên tài nguyên của chính sách.

Các cấu hình bảo mật và an toàn không bắt buộc

MCP mang đến các rủi ro và cân nhắc mới về bảo mật do nhiều hành động có thể được thực hiện bằng các công cụ MCP. Để giảm thiểu và quản lý các rủi ro này, Google Cloud cung cấp các chính sách mặc định và có thể tuỳ chỉnh để kiểm soát việc sử dụng các công cụ MCP trong tổ chức hoặc dự án của bạn trên Google Cloud.

Để biết thêm thông tin về tính bảo mật và quản trị của MCP, hãy xem Tính bảo mật và an toàn của AI.

Kiểm soát việc sử dụng MCP bằng chính sách từ chối của IAM

Chính sách từ chối của tính năng Quản lý danh tính và quyền truy cập (IAM) giúp bạn bảo mật các máy chủ MCP từ xa của Google Cloud. Định cấu hình các chính sách này để chặn quyền truy cập không mong muốn vào công cụ MCP.

Ví dụ: bạn có thể từ chối hoặc cho phép truy cập dựa trên:

• Thực thể.
• Thuộc tính công cụ, chẳng hạn như chỉ đọc.
• Mã ứng dụng OAuth của ứng dụng.

Để biết thêm thông tin, hãy xem bài viết Kiểm soát việc sử dụng MCP bằng tính năng Quản lý danh tính và quyền truy cập

Bước tiếp theo

• Đọc tài liệu tham khảo về MCP của Android Management API.
• Tìm hiểu thêm về máy chủ MCP của Google Cloud.