Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Средства foundry MCP Server (предварительная версия) автоматизируют операции чтения и записи в ресурсах Foundry, включая развертывания, наборы данных, оценки, мониторинг и аналитику. Это руководство поможет вам проверить намерение, уменьшить риск и применить методики безопасности и управления перед запуском средств MCP.
В этой статье вы узнаете:
- Интерпретация ответов СЕРВЕРА MCP и проверка точности
- Влияние операций записи на ресурсы Foundry
- Рекомендации по безопасному выполнению инструментов, управлению ресурсами и отслеживанию изменений
- Элементы управления безопасностью и управлением, включая идентификацию, RBAC, условный доступ, сетевую изоляцию и размещение данных
- Устранение распространенных проблем
Примечание
Эта функция сейчас доступна в общедоступной предварительной версии. Эта предварительная версия предоставляется без соглашения об уровне обслуживания, и мы не рекомендуем ее для рабочих нагрузок. Некоторые функции могут не поддерживаться или могут иметь ограниченные возможности. Дополнительные сведения см. в разделе Supplemental Terms of Use for Microsoft Azure Previews.
Необходимые условия
- Учетная запись Azure с активной подпиской.
- Проект Foundry с ролью Участника или выше.
- Чтобы настроить политики условного доступа, вам необходима роль Администратор условного доступа в Microsoft Entra ID.
-
Azure CLI (требуется только для команды
az ad sp create).
Интерпретация ответа
MCP Server предоставляет выходные данные, передаваемые в языковую модель, выбранную для агента (например, Visual Studio Code с GitHub Copilot). Языковая модель объединяет эти выходные данные с контекстом беседы для создания окончательного ответа на основе его возможностей. Всегда проверяйте точность ответа языковой модели. Это может включать сведения, которые интерпретируются или генерируются сверх исходного вывода MCP-сервера.
Влияние операций записи
Операции записи оказывают критическое влияние на ресурсы Foundry. При взаимодействии с Сервером Foundry MCP следует соблюдать осторожность и правильное планирование, как и при использовании портала, пакетов SDK или REST API. Например:
- Развертывания: немедленно влияют на динамические приложения и выставление счетов.
- Удаления: окончательное удаление ресурсов, что может привести к нарушению работы зависимых служб.
- Оценка на использование квоты вычислительных ресурсов и возникающие затраты.
- Наборы данных: может перезаписать существующие версии.
Примеры влияния на ресурсы:
- Удаление развертывания нарушает работу всех приложений, использующих эту конечную точку.
- Крупные оценочные процессы могут использовать значительное выделение ресурсов квоты.
- Новые развертывания немедленно начинают выставление счетов.
- Перезапись набора данных влияет на воспроизводимость оценки.
Рекомендации по безопасному выполнению
Следуйте этим рекомендациям, чтобы убедиться, что операции записи выполняются так, как вы задумали.
Проверка выполнения работы инструмента
Проверьте выбор инструмента: подтвердите правильное средство MCP и параметры, соответствующие вашему намерению перед выполнением.
Проверьте параметры: проверьте все параметры средства (идентификаторы ресурсов, имена развертываний, пути набора данных) для точности. Распространенные форматы параметров:
Тип параметра Формат Где найти его Идентификатор ресурса Foundry /subscriptions/{subscription_id}/resourceGroups/{resource_group_name}/providers/Microsoft.CognitiveServices/accounts/{account_name}страница Azure портала Properties для учетной записи Конечная точка проекта https://{account_name}.services.ai.azure.com/api/projects/{project_name}Страница сведений о проекте Foundry идентификатор ресурса проекта /subscriptions/{subscription_id}/resourceGroups/{resource_group_name}/providers/Microsoft.CognitiveServices/accounts/{account_name}/projects/{project_name}страница свойств портала Azure Properties или страница сведений о проекте Foundry Если указать идентификатор ресурса проекта, языковая модель в узле MCP извлекает необходимые значения и сформулирует параметры для передачи в средства MCP. Подтвердите перед утверждением, что предполагаемые значения параметров передаются средствам MCP.
Проверьте целевую среду: убедитесь, что конечные точки ресурсов и URL-адреса проекта указывают на целевую среду.
Управление ресурсами с помощью сервера MCP
- Проверьте зависимости: используйте средства мониторинга, чтобы убедиться, что приложение не зависит от ресурса перед удалением.
- Проверьте квоту: Узнайте состояние квоты перед созданием новых развертываний или выполнением крупных оценок.
- Обнаружение ресурсов. Перечислите существующие развертывания и наборы данных перед внесением изменений.
- Емкость плана. Проверьте доступные метрики квоты и использования перед ресурсоемкими операциями.
Безопасные методики работы MCP
- Сначала протестируйте в непроизводственных средах: используйте конечные точки проекта разработки.
- Внесите добавочные изменения: измените один ресурс за раз, а не выполняйте массовые обновления.
- Проверка изменений. Используйте средства только для чтения, чтобы подтвердить, что изменения вступили в силу.
- Обработка ошибок: отслеживайте ответы на ошибки или непредвиденные результаты.
Документация и отслеживание
- операции Log. Используйте журналы действий ресурсов Azure для отслеживания затронутых ресурсов.
- Резервное копирование конфигурации: экспорт текущих конфигураций развертывания и набора данных перед их изменением.
- Отслеживание изменений. Запись сведений об операции MCP для устранения неполадок и отката.
Безопасность и управление
В этом разделе приведены рекомендации по идентификации, управлению доступом, политике, сетевой изоляции и месту размещения данных, которые помогут вам применить управление перед операциями MCP.
Управление удостоверениями и доступом
Аутентификация на сервере Foundry MCP с токеном Microsoft Entra в области действия https://mcp.ai.azure.com.
Azure управление доступом на основе ролей (RBAC) применяется ко всем операциям с ресурсами Foundry, поддерживаемыми Сервером Foundry MCP. Операции выполняются в соответствии с разрешениями прошедших проверку подлинности пользователей. В следующей таблице приведены сведения о сопоставлении ролей RBAC с типами операций MCP:
| Тип операции | Минимальная требуемая роль | Примеры |
|---|---|---|
| Чтение (просмотр списка, получение, запрос) | Читатель | Список развертываний, получение сведений о модели, результаты анализа запросов |
| Записать (создать, обновить) | Автор | Создание развертываний, обновление наборов данных, запуск вычислений |
| Удалить | Автор | Удаление развертываний, удаление наборов данных |
| Управление доступом | Владелец или администратор доступа пользователей | Назначение ролей, управление разрешениями |
Дополнительные сведения о назначениях ролей см. в разделе Управление доступом на основе ролей для Microsoft Foundry.
Управление доступом с помощью политик условного доступа
Администраторы арендатора могут использовать политики условного доступа для предоставления или блокировки доступа к Серверу Foundry MCP для выбранных пользователей или идентификаций рабочих нагрузок.
Материализируйте субъект-службу для идентификатора приложения Foundry MCP Server, выполнив следующую команду:
az ad sp create --id fcdfa2de-b65b-4b54-9a1c-81c8a18282d9Идентификатор приложения в этой команде представляет сервер Foundry MCP. Этот идентификатор приложения можно проверить, выполнив поиск "Foundry MCP Server" в списке корпоративных приложений Entra ID.
Найдите корпоративное приложение для сервера Foundry MCP с помощью идентификатора приложения. Откройте страницу Entra ID портала Azure и найдите идентификатор приложения
fcdfa2de-b65b-4b54-9a1c-81c8a18282d9.
Выберите условный доступ в разделе "Безопасность " в левой области выбранного приложения, а затем выберите "Новая политика ", чтобы настроить управление доступом.
- В разделе "Пользователи" выберите "Определенные пользователи" и добавьте пользователей или группы, которые вы хотите ограничить.
- В разделе "Целевые ресурсы" убедитесь, что выбрано приложение Foundry MCP Server.
Выберите "Предоставить", затем выберите "Блокировать доступ".
После внедрения политики назначенные пользователи и группы не могут получить токен Entra, необходимый для подключения.
Сетевая изоляция
В настоящее время сервер Foundry MCP не поддерживает сетевую изоляцию. Он предоставляет общедоступную конечную точку https://mcp.ai.azure.com , которую может использовать любой клиент MCP. Он подключается к ресурсу Foundry через общедоступную конечную точку. Если ресурсы Foundry используют Azure Private Links, сервер не может связаться с ними, и операции завершаются ошибкой подключения.
Примечание
Это ограничение распространяется на размещенный сервер Foundry MCP (mcp.ai.azure.com). Если вы создаете собственный сервер MCP и подключаете его к службе агента Foundry, служба агента поддерживает частные конечные точки сервера MCP через стандартную настройку агента с частными сетями.
Резидентность данных
Сервер Foundry MCP использует глобальную архитектуру прокси-сервера без хранения состояния. Данные, созданные внутренними службами, взаимодействующими с сервером MCP, остаются зашифрованными в выбранном регионе. Сам MCP-сервер не хранит данные. Для повышения производительности и доступности запросы и ответы можно обрабатывать в центрах обработки данных в Европейском союзе (ЕС) или США (США) со всеми данными, зашифрованными во время передачи.
Важно
С помощью этой функции предварительной версии вы подтверждаете и даете согласие на любую обработку между регионами, которая может произойти. Например, ресурс ЕС, к которым обращается пользователь США, может быть перенаправлен через инфраструктуру США. Если вашей организации требуется строгая обработка в регионе, не используйте сервер Foundry MCP или ограничьте его использование сценариям, оставшимся в выбранном регионе.
Устранение неполадок
Используйте этот раздел для быстрой диагностики распространенных проблем с сервером MCP.
Сбои проверки подлинности
Если появится сообщение об ошибке 401 Unauthorized или запрос на вход не отображается:
- Выйдите из учетной записи Azure в Visual Studio Code или в другом используемом вами средстве.
- Войдите снова с помощью учётной записи Microsoft, имеющей доступ к подписке Azure.
- Убедитесь, что токен доступа действителен, выполнив
az account get-access-token --resource https://mcp.ai.azure.comв терминале.
Если запрос токена завершится ошибкой, убедитесь, что у вашей учетной записи есть необходимые разрешения Entra ID. Дополнительные сведения см. в разделе Управляемые пользователи и проверка подлинности в Entra ID.
Ошибки разрешений
Если при выполнении инструментов MCP возникают ошибки 403 Forbidden или "Отказано в доступе":
- Откройте портал Azure и перейдите к проекту Foundry.
- Выберите Управление доступом (IAM) и убедитесь, что у вашей учетной записи роль Участник или более высокая.
- Если вы недавно получили назначение роли, подождите несколько минут для распространения и повторите попытку.
Для получения дополнительной информации см. управление доступом на основе ролей для Microsoft Foundry.
Проблемы с подключением к серверу
Если серверу MCP не удается запуститься или истекает время ожидания:
- Убедитесь, что сеть разрешает исходящие подключения HTTPS к
https://mcp.ai.azure.com. - Проверьте наличие правил прокси-сервера или брандмауэра, которые могут блокировать конечную точку.
- Попробуйте открыть
https://mcp.ai.azure.comв браузере, чтобы подтвердить доступность.
Если ресурсы Foundry используют Azure Private Links, хостингованный сервер Foundry MCP не может связаться с ними через общедоступную конечную точку. Отключите Приватный канал, используйте пакеты SDK/REST API или используйте сервер custom MCP с частными сетями через службу агента Foundry.
Проблемы обнаружения инструментов
Если средства Foundry не отображаются в списке инструментов режима агента:
- Откройте представление Output в Visual Studio Code и выберите канал журнала сервера MCP.
- Убедитесь, что сервер показывает успешное подключение и регистрацию инструмента.
- Перезапустите Visual Studio Code или перезагрузите рабочую область.
- Если средства по-прежнему не отображаются, удалите и повторно добавьте конфигурацию сервера.
Связанное содержимое
- Просмотрите доступные инструменты и примеры запросов для сервера Foundry MCP
- Начало работы с сервером Foundry MCP
- Узнайте, как создать собственный сервер MCP