Acesse seu SRE Agent de qualquer IDE, terminal ou assistente de IA

---

Seu time já utiliza um SRE Agent — ele monitora serviços, aprende a arquitetura e executa tarefas operacionais. Agora os desenvolvedores podem conversar com esse agente em linguagem natural a partir das interfaces que já usam no dia a dia: seu editor, seu terminal, seu assistente de IA. Verificar o que o agente sabe, fazer uma pergunta, buscar em suas memórias, integrá-lo a um workflow — tudo sem sair da ferramenta onde já escrevem código.

TL;DR: O Azure MCP Server acaba de ser atualizado com ferramentas completas de SRE Agent, permitindo que times de operação gerenciem e consultem seus agentes diretamente de qualquer cliente compatível com MCP — VS Code, Copilot CLI, Cursor, Claude Desktop. A conclusão principal: elimina a necessidade de CLIs separadas ou navegação no portal, integrando o SRE Agent ao fluxo de trabalho diário. Para empresas brasileiras, isso significa maior agilidade na resposta a incidentes e automação operacional, com segurança robusta embutida.

O que está sendo anunciado?

As ferramentas do Azure SRE Agent estão agora disponíveis no Azure MCP Server. O pacote @azure/mcp inclui um conjunto completo de funcionalidades que permitem gerenciar e operar seus SRE Agents a partir de qualquer cliente compatível com o protocolo MCP — GitHub Copilot CLI, VS Code Copilot, Cursor, Claude Desktop ou qualquer framework de agentes que suporte MCP. Nada de CLI separada, aba de portal ou código de integração customizado. Seu SRE Agent se torna acessível onde quer que você já pense e trabalhe.

Isso significa encontrar os desenvolvedores onde eles estão. Seu SRE Agent possui contexto profundo sobre seus sistemas — histórico de incidentes, conhecimento de arquitetura, padrões operacionais. Agora essa expertise está acessível do VS Code, do terminal, de qualquer assistente de IA compatível com MCP. Basta digitar uma pergunta em linguagem natural e seu agente responde, dentro do workflow que você já está usando. Seu SRE Agent deixa de ser um destino que você visita e passa a fazer parte do dia a dia do time.

Este artigo mostra o que é possível fazer e como colocar em funcionamento, usando o GitHub Copilot CLI como exemplo. A mesma configuração funciona no VS Code Copilot, Claude Desktop, Cursor e qualquer outro cliente compatível com MCP.

O que isso desbloqueia na prática?

Uma vez que o Azure MCP Server esteja conectado ao Copilot CLI, você pode conversar com sua infraestrutura de SRE Agent da mesma forma que perguntaria a um colega:

• "Liste meus SRE agents na subscription <sub-id>"
• "Crie um conector Kusto chamado prod-logs no agent myagent apontando para o cluster https://help.kusto.windows.net, database Samples"
• "Busque memórias no agent myagent por 'falhas de deployment'"
• "Pause a tarefa agendada noturna no agent myagent"
• "Gere um plano de arquitetura para uma aplicação web multi-região"

O conjunto completo de capacidades se divide em sete áreas:

1. Gerenciar SRE Agents. Listar, obter e criar recursos Microsoft.App/agents na sua subscription. Descobrir quais ferramentas um determinado agente tem acesso. Os resource groups são resolvidos automaticamente via Resource Graph.
2. Configurar conectores. Criar e gerenciar conectores Kusto, conectores MCP (transportes http e stdio), conectores Azure Monitor, entre outros. Conectores passam pelo ARM e aparecem no portal do Azure junto com qualquer coisa criada por lá. Conectores MCP usam identidade gerenciada atribuída pelo sistema por padrão.
3. Executar e inspecionar threads. Criar e listar threads de conversa, obter detalhes da thread, enviar mensagens e gerenciar hooks em uma thread. É assim que você conversa com o agente programaticamente ou inspeciona o que ele está fazendo durante a execução.
4. Agendar trabalhos recorrentes. Criar, listar, pausar, retomar e excluir tarefas agendadas.
5. Gerenciar incidentes. Listar incidentes ativos e executar comandos de configuração de incidentes para PagerDuty e ServiceNow.
6. Conhecimento e prompts. Gerenciar prompts comuns como regras de segurança e instruções permanentes. Buscar, enviar e excluir memórias. Listar e excluir skills. Obter documentos do agente por tópico.
7. Criar workflows. Gerar planos de arquitetura a partir de requisitos. Gerar, validar e aplicar workflows em YAML.

Como a segurança é tratada?

Dar a um assistente de IA acesso amplo de gerenciamento aos seus SRE Agents significa que vale a pena conhecer as proteções existentes:

• Operações destrutivas exigem --confirm true. Qualquer exclusão (conectores, hooks, memórias, skills, tarefas agendadas, sub-agentes) se recusa a executar sem a flag explícita. Não há como derrubar algo acidentalmente através de um comando autocompletado.
• Segredos são removidos antes de chegar ao seu cliente. Bearer tokens, API keys, senhas, connection strings e cabeçalhos Authorization são redigidos das respostas de conectores e ferramentas.
• Mensagens de erro são sanitizadas. Corpos de erro upstream são limpos de segredos e truncados antes de serem exibidos, para que credenciais não vazem por texto de erro.
• Chamadas ao data-plane são fixadas em *.azuresre.ai. HTTPS é obrigatório; o sufixo do host é imposto para prevenir SSRF. http:// só é permitido para localhost.
• Hosts de terceiros são fixados. Conectores ServiceNow são restritos a .service-now.com e .servicenowservices.com. Subdomínios do PagerDuty devem ser rótulos DNS válidos.
• Segredos de conectores MCP devem ser referenciados por env. Valores de cabeçalho e ambiente para conectores MCP devem usar a sintaxe ${env:NOME} — segredos literais são rejeitados para que nunca entrem no contexto do LLM.

Pré-requisitos: o que instalar antes de começar?

Antes de conectar qualquer coisa, certifique-se de ter o seguinte instalado e autenticado.

Node.js LTS

Copiarnode --version

Se você não estiver em uma versão LTS atual, atualize via nodejs.org ou seu gerenciador de pacotes. O Azure MCP Server é testado com as versões LTS ativas do Node.js.

Azure CLI

O servidor MCP usa DefaultAzureCredential, que pega as credenciais do az login. Você precisa do Azure CLI instalado e logado.

Instale: https://learn.microsoft.com/cli/azure/install-azure-cli

Copiaraz --version
az login

Se você trabalha em múltiplos tenants:

Copiaraz login --tenant <tenant-id>

Se você tem múltiplas subscriptions, defina uma padrão:

Copiaraz account set --subscription <subscription-id>

GitHub Copilot CLI

Instale o Copilot CLI seguindo as instruções oficiais: https://docs.github.com/en/copilot/how-tos/use-copilot-agents/use-copilot-cli

Após a instalação, inicie e autentique com sua conta GitHub.

Como conectar o Azure MCP Server ao Copilot CLI?

O Azure MCP Server é executado como um pacote npm (@azure/mcp) e inicia via npx. A maneira mais fácil de adicioná-lo é interativamente de dentro do Copilot CLI:

Copiar/mcp add

Siga as instruções: nomeie como azure, defina o comando como npx e os argumentos como -y @azure/mcp@latest server start.

Ou adicione manualmente ao seu arquivo de configuração MCP (~/.copilot/mcp.json ou .copilot/mcp.json no repositório):

Copiar{
  "mcpServers": {
    "azure": {
      "type": "stdio",
      "command": "npx",
      "args": ["-y", "@azure/mcp@latest", "server", "start"]
    }
  }
}

Reinicie o Copilot CLI após salvar. Na próxima inicialização, o npx baixa o @azure/mcp e inicia o servidor automaticamente.

Se preferir instalar globalmente:

Copiarnpm install -g @azure/mcp
azmcp server start

Mantendo-se atualizado

@latest significa que o npx puxa a versão mais nova a cada inicialização, mas o npx faz cache agressivamente. Se você atualizar e a versão antiga ainda estiver rodando:

Copiarnpx clear-npx-cache
# ou:
rm -rf ~/.npm/_npx

Depois reinicie o Copilot CLI. Para ambientes onde a estabilidade de versão é desejada, fixe uma versão exata:

Copiar"args": ["-y", "@azure/[email protected]", "server", "start"]

Altere a string de versão quando estiver pronto para atualizar.

Como configurar o acesso aos seus SRE Agents?

O servidor MCP não fixa um agente específico. Ele descobre agentes dinamicamente da sua subscription e você seleciona um por comando. Dois passos para configurar o acesso.

Atribuir RBAC

Você precisa de duas roles no recurso Microsoft.App/agents (ou no resource group ou nível de subscription):

Role	O que cobre
Reader	Control-plane: listar e obter agentes e conectores via ARM
SRE Agent Administrator	Data-plane: threads, memórias, tarefas agendadas, prompts e tudo no endpoint do agente

Copiaraz role assignment create \
  --assignee <seu-upn-ou-objectid> \
  --role "Reader" \
  --scope /subscriptions/<sub>/resourceGroups/<rg>/providers/Microsoft.App/agents/<agentName>

az role assignment create \
  --assignee <seu-upn-ou-objectid> \
  --role "SRE Agent Administrator" \
  --scope /subscriptions/<sub>/resourceGroups/<rg>/providers/Microsoft.App/agents/<agentName>

No Windows PowerShell, use uma única linha ou continuações com backtick em vez de \.

Encontrar seus agents

Do Copilot CLI, pergunte:

"List my SRE agents in subscription "

Isso retorna o nome, resource group e endpoint de cada agente. De posse disso, você está pronto para trabalhar.

Como as chamadas funcionam internamente?

Duas camadas distintas, vale a pena saber qual é qual.

• Control-plane (agentes, conectores): passa pelo Azure Resource Manager em Microsoft.App/agents, API versão 2025-05-01-preview. Qualquer coisa que você criar ou modificar aparece no portal do Azure.
• Data-plane (threads, memórias, tarefas agendadas, incidentes, prompts, skills, hooks, docs, workflows): passa pelo endpoint do próprio agente em https://<nome>--<hash>.<região>.azuresre.ai.

O servidor trata automaticamente o público do token do SRE Agent. Você não precisa gerenciar credenciais separadas para o data-plane. Sua sessão az login cobre ambos.

Quando algo dá errado?

Sintoma	O que está acontecendo	Correção
401/403 em chamadas data-plane	Falta a role SRE Agent Administrator	Atribua a role no escopo do agente
403 em chamadas ARM	Falta a role Reader	Atribua Reader na subscription, RG ou escopo do agente
"No agent endpoint"	Agente não totalmente provisionado	Verifique provisioningState no portal
Ferramentas sreagent_* não aparecem	Cache do npx desatualizado	npx clear-npx-cache, reinicie o Copilot CLI
Erros de tenant errado	Credenciais de um tenant diferente	az login --tenant <id>, reinicie o Copilot CLI

Verificando se está funcionando

Pergunte ao Copilot CLI: "List my Azure subscriptions" ou "List my SRE agents." Se as ferramentas sreagent_* aparecerem na lista de ferramentas e retornarem resultados, você está conectado e em uma versão que inclui este release.

Como começar com o Azure SRE Agent?

Se você ainda não tem um SRE Agent, pode criar um em minutos a partir do portal do Azure ou via CLI. Conecte-o ao seu código, logs e fontes de incidentes — e ele começa a construir expertise desde o primeiro dia. Depois de adicionar o Azure MCP Server ao seu editor, seu agente está a uma frase de distância em cada sessão.

Recursos

• Documentação do SRE Agent — https://aka.ms/sreagent/newdocs
• Visão geral do SRE Agent — https://aka.ms/sreagent/newdocsoverview
• Azure MCP Server — https://aka.ms/azmcp
• Primeiros passos com Azure MCP Server — https://learn.microsoft.com/azure/developer/azure-mcp-server/get-started
• Blog sobre Deep Context — https://aka.ms/sreagent/blogs/deepcontextblog

---

Artigo originalmente publicado em Azure Updates - Latest from Azure Charts.

Perguntas Frequentes

• Quais ferramentas de SRE Agent estão disponíveis no Azure MCP Server?
  O pacote @azure/mcp inclui um conjunto completo de ferramentas para gerenciar SRE Agents: listar, criar e configurar agentes, conectar-se a fontes de dados (Kusto, Azure Monitor, MCP), gerenciar threads de conversa, agendar tarefas recorrentes, lidar com incidentes (PagerDuty, ServiceNow), gerenciar memórias e prompts, e gerar workflows YAML.

• Como conectar o Azure MCP Server ao Copilot CLI?
  Execute /mcp add dentro do Copilot CLI, nomeie como azure, defina o comando como npx e os argumentos como -y @azure/mcp@latest server start. Como alternativa, adicione a configuração manualmente no arquivo ~/.copilot/mcp.json. Após reiniciar o Copilot CLI, o servidor MCP será carregado automaticamente.

• Quais são as proteções de segurança ao conceder acesso ao SRE Agent via MCP?
  Operações destrutivas exigem --confirm true. Segredos como tokens e senhas são removidos das respostas. Mensagens de erro são sanitizadas para evitar vazamento de credenciais. Chamadas ao data-plane são restritas a *.azuresre.ai com HTTPS obrigatório para evitar SSRF. Conectores de terceiros (ServiceNow, PagerDuty) têm hosts fixos. Segredos em conectores MCP devem usar ${env:NOME} — valores literais são rejeitados.

• Preciso de permissões especiais para usar as ferramentas do SRE Agent no MCP?
  Sim, são necessárias duas roles no recurso Microsoft.App/agents: Reader para operações de control-plane (listar agentes via ARM) e SRE Agent Administrator para acessar o data-plane (threads, memórias, tarefas agendadas, etc.). Atribua-as via az role assignment create no escopo do agente, resource group ou subscription.

• O que fazer se as ferramentas sreagent_* não aparecerem no Copilot CLI?
  Provavelmente o cache do npx está desatualizado. Execute npx clear-npx-cache ou remova a pasta ~/.npm/_npx e reinicie o Copilot CLI. Se o problema persistir, verifique se a versão do @azure/mcp inclui o release mais recente.