使用 Android Management API MCP 伺服器

Model Context Protocol (MCP) 可將大型語言模型 (LLM) 和 AI 應用程式/代理程式連線至外部資料來源的方式標準化。MCP 伺服器可讓您使用工具、資源和提示,從後端服務執行動作及取得更新資料。

本機 MCP 伺服器通常在本機執行,並使用標準輸入和輸出串流 (stdio),在同一部裝置上的服務之間進行通訊。遠端 MCP 伺服器會在服務的基礎架構上執行,並為 AI 應用程式提供 HTTP 端點,供 AI MCP 用戶端與 MCP 伺服器通訊。如要進一步瞭解 MCP 架構,請參閱 MCP 架構

Google 和 Google Cloud 遠端 MCP 伺服器具備下列功能和優勢:

  • 簡化集中式探索作業。
  • 管理全域或區域 HTTP 端點。
  • 精細授權。
  • 集中式稽核記錄。

如要瞭解其他 MCP 伺服器,以及 Google Cloud MCP 伺服器適用的安全性與控管措施,請參閱 Google Cloud MCP 伺服器總覽

事前準備

如要使用 Android Management API 遠端 MCP 伺服器,您必須建立 Google Cloud 專案並啟用 Android Management API。

  1. 在 Cloud 控制台的專案選取器頁面中,選取或建立 Google Cloud 專案。

    前往專案選取器

  2. Enable the Android Management API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

必要的角色

如要取得使用 Android Management API 遠端 MCP 伺服器所需的權限,請要求管理員在要啟用 Android Management API MCP 伺服器的 Google Cloud 專案中,授予下列 Identity and Access Management 角色:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

這些預先定義的角色具備使用 Android Management API 遠端 MCP 伺服器所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分。

所需權限

如要使用 Android Management 遠端 MCP 伺服器,必須具備下列權限:

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update
  • 發出 MCP 工具呼叫:mcp.tools.call
  • 存取 Android Management 資源:
    • androidmanagement.enterprises.get
    • androidmanagement.devices.list

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

啟用或停用 Android Management API MCP 伺服器

您可以使用 gcloud beta services mcp enable 指令,在專案中啟用或停用 Android Management API MCP 伺服器。詳情請參閱以下各節。

在專案中啟用 Android Management API MCP 伺服器

如果您使用不同的專案做為用戶端憑證 (例如服務帳戶金鑰、OAuth 用戶端 ID 或 API 金鑰),以及用於代管資源,則必須在這兩個專案中啟用 Android Management API 服務和 Android Management API 遠端 MCP 伺服器。

如要在 Google Cloud 專案中啟用 Android Management API MCP 伺服器,請執行下列指令:

gcloud beta services mcp enable SERVICE \
    --project=PROJECT_ID

更改下列內容:

  • PROJECT_ID:Google Cloud 專案 ID。
  • SERVICEandroidmanagement.googleapis.com

Android Management API 遠端 MCP 伺服器已啟用,可在 Google Cloud 專案中使用。如果 Google Cloud 專案尚未啟用 Android Management API 服務,系統會提示您先啟用服務,再啟用 Android Management API 遠端 MCP 伺服器。

為確保安全,建議您只為 AI 應用程式運作所需的服務啟用 MCP 伺服器。

在專案中停用 Android Management API MCP 伺服器

如要在 Google Cloud 專案中停用 Android Management API MCP 伺服器,請執行下列指令:

gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

Android Management API MCP 伺服器已停用,無法在 Google Cloud 專案中使用。

驗證及授權

Android Management API MCP 伺服器會使用 OAuth 2.0 通訊協定搭配 Identity and Access Management 進行驗證及授權。所有Google Cloud 身分都支援向 MCP 伺服器進行驗證。

Android Management API 遠端 MCP 伺服器不接受 API 金鑰。

建議您使用 MCP 工具為代理商建立個別身分,以便控管及監控資源存取權。如要進一步瞭解驗證,請參閱「向 MCP 伺服器進行驗證」。

Android Management API MCP OAuth 範圍

OAuth 2.0 會使用範圍和憑證,判斷經過驗證的主體是否有權對資源執行特定動作。如要進一步瞭解 Google 的 OAuth 2.0 範圍,請參閱「使用 OAuth 2.0 存取 Google API」。

Android Management API 具有下列 MCP 工具 OAuth 範圍:

gcloud 的範圍 URI 說明
https://www.googleapis.com/auth/androidmanagement 管理 Android 裝置和應用程式。

在工具呼叫期間存取的資源可能需要其他範圍。如要查看 Android Management API 要求的範圍清單,請參閱「Android Management API」。

設定 MCP 用戶端,以使用 Android Management API MCP 伺服器

主機程式 (例如 Claude 或 Gemini CLI) 可以例項化 MCP 用戶端,連線至單一 MCP 伺服器。主機程式可以有多個連線至不同 MCP 伺服器的用戶端。如要連線至遠端 MCP 伺服器,MCP 用戶端至少須知道遠端 MCP 伺服器的網址。

在主機中,尋找連線至遠端 MCP 伺服器的方法。系統會提示您輸入伺服器的詳細資料,例如名稱和網址。

如果是 Android Management API MCP 伺服器,請視需要輸入下列資訊:

  • 伺服器名稱:Android Management API MCP 伺服器
  • 伺服器網址端點:https://androidmanagement.googleapis.com/mcp
  • 傳輸:HTTP
  • 驗證詳細資料:視驗證方式而定,您可以輸入 Google Cloud 憑證、OAuth 用戶端 ID 和密鑰,或是代理程式身分和憑證。如要進一步瞭解驗證,請參閱「向 MCP 伺服器進行驗證」。

如需特定主機的指引,請參閱下列文章:

如需一般指引,請參閱「連線至遠端 MCP 伺服器」。

可用的工具

唯讀 MCP 工具的 MCP 屬性會設為 mcp.tool.isReadOnlytrue。您可能只想透過機構政策,在特定環境中允許唯讀工具。

如要查看 Android Management API MCP 伺服器的可用 MCP 工具詳細資料和說明,請參閱 Android Management API MCP 參考資料

列出工具

使用 MCP 檢查器列出工具,或直接將 tools/list HTTP 要求傳送至 Android Management API 遠端 MCP 伺服器。tools/list 方法不需要驗證。

POST /mcp HTTP/1.1
Host: androidmanagement.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

應用實例

以下是 Android Management API MCP 伺服器的用途範例:

  • 自然語言查詢:不必編寫程式碼,即可詢問裝置群組的複雜問題,例如「哪些裝置不符合最新的安全性修補程式?」
  • 自動稽核:定期擷取資料,並彙整裝置狀態和政策遵循情況的報表。
  • 智慧警報:監控車隊資料,根據即時洞察資料標記異常狀況或潛在問題。

提示範例

您可以使用下列提示範例,取得 Android Management API 資源的相關資訊:

  • 列出企業 ENTERPRISE_ID 中的裝置。
  • 取得企業中裝置 DEVICE_ID 的詳細資料 ENTERPRISE_ID
  • 顯示政策 POLICY_NAME 的政策詳細資料。
  • 企業版 ENTERPRISE_ID 提供哪些應用程式?

在提示中,請替換下列項目:

  • ENTERPRISE_ID:企業的資源名稱,例如 enterprises/LC012345
  • DEVICE_ID:裝置的資源名稱。
  • POLICY_NAME:政策的資源名稱。

選用的安全防護設定

由於 MCP 工具可執行的動作種類繁多,因此會帶來新的安全風險和考量。為盡量降低及管理這些風險,Google Cloud 提供預設和可自訂的政策,控管 Google Cloud 機構或專案中 MCP 工具的使用情形。

如要進一步瞭解 MCP 安全性和控管措施,請參閱這篇文章

組織層級 MCP 控制項

您可以建立自訂機構政策,使用 gcp.managed.allowedMCPService 限制,控管 Google Cloud 機構中 MCP 伺服器的使用情形。如需更多資訊和使用範例,請參閱「Google Cloud MCP 伺服器:使用 IAM 控管存取權」。

後續步驟