使用 Android Management API MCP 服务器

Model Context Protocol (MCP) 可规范大语言模型 (LLM) 和 AI 应用或代理连接到外部数据源的方式。借助 MCP 服务器，您可以使用其工具、资源和提示来执行操作，并从其后端服务获取更新后的数据。

本地 MCP 服务器通常在本地机器上运行，并使用标准输入和输出流 (stdio) 在同一设备上的服务之间进行通信。远程 MCP 服务器在服务的基础设施上运行，并向 AI 应用提供 HTTP 端点，以便 AI MCP 客户端与 MCP 服务器进行通信。如需详细了解 MCP 架构，请参阅 MCP 架构。

Google 和 Google Cloud 远程 MCP 服务器具有以下特性和优势：

简化、集中化的发现。
托管式全球或区域 HTTP 端点。
精细授权。
集中式审核日志记录。

如需了解其他 MCP 服务器，以及适用于 Google Cloud MCP 服务器的安全性和治理控制措施，请参阅 Google Cloud MCP 服务器概览。

准备工作

如需使用 Android Management API 远程 MCP 服务器，您必须创建 Google Cloud 项目并启用 Android Management API。

在 Cloud 控制台的项目选择器页面上，选择或创建一个 Google Cloud 项目。

转到“项目选择器”
Enable the Android Management API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the API

所需的角色

如需获得使用 Android Management API 远程 MCP 服务器所需的权限，请让管理员向您授予 Google Cloud 项目的以下 Identity and Access Management 角色，以便您在该项目中启用 Android Management API MCP 服务器：

Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
进行 MCP 工具调用： MCP Tool User (roles/mcp.toolUser)
访问 Android Management 资源：Android Management User (roles/androidmanagement.user)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

这些预定义角色包含使用 Android Management API 远程 MCP 服务器所需的权限。如需查看所需的确切权限，请展开所需权限部分。

所需权限

使用 Android Management 远程 MCP 服务器需要以下权限：

serviceusage.mcppolicy.get
serviceusage.mcppolicy.update
进行 MCP 工具调用：mcp.tools.call
访问 Android Management 资源：
- androidmanagement.enterprises.get
- androidmanagement.devices.list

您也可以使用自定义角色或其他预定义角色来获取这些权限。

启用或停用 Android Management API MCP 服务器

您可以使用 gcloud beta services mcp enable 命令在项目中启用或停用 Android Management API MCP 服务器。如需了解详情，请参阅以下部分。

在项目中启用 Android Management API MCP 服务器

如果您使用不同的项目来存储客户端凭证（例如服务账号密钥、OAuth 客户端 ID 或 API 密钥）和托管资源，则必须在两个项目中都启用 Android Management API 服务和 Android Management API 远程 MCP 服务器。

如需在 Google Cloud 项目中启用 Android Management API MCP 服务器，请运行以下命令：

gcloud beta services mcp enable SERVICE \
    --project=PROJECT_ID

替换以下内容：

PROJECT_ID：Google Cloud 项目 ID。
SERVICE：androidmanagement.googleapis.com。

Android Management API 远程 MCP 服务器已启用，可在您的 Google Cloud 项目中使用。如果没有为 Google Cloud 项目启用 Android Management API 服务，系统会提示您先启用该服务，然后再启用 Android Management API 远程 MCP 服务器。

作为安全性最佳实践，我们建议您仅为 AI 应用正常运行所需的服务启用 MCP 服务器。

在项目中停用 Android Management API MCP 服务器

如需在 Google Cloud 项目中停用 Android Management API MCP 服务器，请运行以下命令：

gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

Android Management API MCP 服务器已停用，无法在您的 Google Cloud 项目中使用。

身份验证和授权

Android Management API MCP 服务器使用 OAuth 2.0 协议和 Identity and Access Management 进行身份验证和授权。支持所有 Google Cloud 身份用于向 MCP 服务器进行身份验证。

Android Management API 远程 MCP 服务器不接受 API 密钥。

我们建议使用 MCP 工具为代理创建单独的身份，以便控制和监控对资源的访问权限。如需详细了解身份验证，请参阅向 MCP 服务器进行身份验证。

Android Management API MCP OAuth 范围

OAuth 2.0 使用范围和凭证来确定经过身份验证的主账号是否有权对资源执行特定操作。如需详细了解 Google 的 OAuth 2.0 范围，请参阅使用 OAuth 2.0 访问 Google API。

Android Management API 具有以下 MCP 工具 OAuth 范围：

gcloud 的范围 URI	说明
`https://www.googleapis.com/auth/androidmanagement`	管理 Android 设备和应用。

在工具调用期间访问的资源可能需要额外的范围。如需查看 Android Management API 所需的范围列表，请参阅 Android Management API。

配置 MCP 客户端以使用 Android Management API MCP 服务器

Claude 或 Gemini CLI 等主机程序可以实例化连接到单个 MCP 服务器的 MCP 客户端。一个主机程序可以有多个连接到不同 MCP 服务器的客户端。如需连接到远程 MCP 服务器，MCP 客户端必须至少知道远程 MCP 服务器的网址。

在主机中，寻找连接到远程 MCP 服务器的方式。系统会提示您输入有关服务器的详细信息，例如其名称和网址。

对于 Android Management API MCP 服务器，请根据需要输入以下内容：

服务器名称：Android Management API MCP 服务器
服务器网址或端点：https://androidmanagement.googleapis.com/mcp
传输：HTTP
身份验证详细信息：您可以根据所需的身份验证方式，输入 Google Cloud 凭据、OAuth 客户端 ID 和密钥，或代理身份和凭证。如需详细了解身份验证，请参阅向 MCP 服务器进行身份验证。

如需查看特定于主机的指导，请参阅以下内容：

如需查看更通用的指导，请参阅连接到远程 MCP 服务器。

可用的工具

只读 MCP 工具的 MCP 属性 mcp.tool.isReadOnly 设置为 true。您可能希望通过组织政策仅允许在特定环境中使用只读工具。

如需查看 Android Management API MCP 服务器的可用 MCP 工具的详细信息及其说明，请参阅 Android Management API MCP 参考文档。

列出工具

使用 MCP 检查器列出工具，或直接向 Android Management API 远程 MCP 服务器发送 tools/list HTTP 请求。tools/list 方法不需要进行身份验证。

POST /mcp HTTP/1.1
Host: androidmanagement.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

示例应用场景

以下是 Android Management API MCP 服务器的示例用例：

自然语言查询：无需编写代码即可提出有关设备群组的复杂问题，例如“我的哪些设备不符合最新的安全补丁要求？”
自动审核：定期提取数据并编制有关设备状态和政策遵守情况的报告。
智能提醒：监控车队数据，根据实时数据分析洞见标记异常情况或潜在问题。

示例提示

您可以使用以下示例提示来获取有关 Android Management API 资源的信息：

列出企业 ENTERPRISE_ID 中的设备。
获取企业版 ENTERPRISE_ID 中设备 DEVICE_ID 的详细信息。
显示政策 POLICY_NAME 的政策详情。
企业版 ENTERPRISE_ID 中有哪些应用？

在提示中，替换以下内容：

ENTERPRISE_ID：企业的资源名称，例如 enterprises/LC012345。
DEVICE_ID：设备的资源名称。
POLICY_NAME：政策的资源名称。

可选的安全配置

由于 MCP 工具可执行各种操作，因此 MCP 会引发新的安全风险和注意事项。为了最大限度地降低这些风险并进行管理，Google Cloud 提供了默认政策和可自定义的政策，用于控制 MCP 工具在 Google Cloud 组织或项目中的使用。

如需详细了解 MCP 安全性和治理，请参阅 AI 安全性。

组织级 MCP 控制

您可以创建自定义组织政策，以使用 gcp.managed.allowedMCPService 限制条件控制 MCP 服务器在 Google Cloud 组织中的使用。如需了解详情和使用示例，请参阅使用 IAM 进行 Google Cloud MCP 服务器访问权限控制。

后续步骤

请参阅 Android Management API MCP 参考文档。
详细了解 Google Cloud MCP 服务器。