Delegování Správa tiskárny pomocí Správa istrativních jednotek v Microsoft Entra ID
Tento článek popisuje, jak se Univerzální tisk integruje s jednotkami pro správu v Microsoft Entra ID. Jednotky pro správu omezují oprávnění v rámci role na libovolnou část vaší organizace, kterou definujete. Pomocí jednotek pro správu můžete například delegovat roli tiskárny Správa istrator na regionální správce tisku, aby mohli spravovat tiskárny pouze v oblasti, kterou podporují.
Další podrobnosti o tom, co nabízí, najdete v Správa istrativních lekcích v Microsoft Entra ID.
Požadavky
- Konfigurace azure Správa istrativní jednotky
- Správa účet s rolí Privileged Role Správa istrator nebo globální rolí Správa istrator
- Delegovaná tiskárna Správa istrator
- Licence Microsoft Entra ID Premium P1 nebo P2 přiřazená ke každé tiskárně Správa istrator v rámci jednotky pro správu
- Licence s nárokem na univerzální tisk je přiřazena ke každé tiskárně Správa istrator v rámci jednotky pro správu.
Konfigurace Správa istrativní jednotky
Krok 1: Vytvoření jednotky pro správu
Podrobnosti o různých možnostech najdete v tématu Vytvoření nebo odstranění jednotek pro správu.
- Přihlaste se k webu Azure Portal pomocí účtu privilegované role Správa istrator nebo globálního Správa istratoru.
- Vyberte Microsoft Entra ID>Jednotky pro správu.
- Vyberte Přidat.
- Do pole Název zadejte název jednotky pro správu. Volitelně můžete přidat popis jednotky pro správu.
- Vyberte Další: Přiřadit role >.
- Vyberte roli Správce tiskárny a pak vyberte uživatele nebo skupiny, kterým chcete přiřadit roli s tímto oborem jednotky pro správu.
- Na kartě Zkontrolovat a vytvořit zkontrolujte jednotku správy a všechna přiřazení rolí.
- Vyberte tlačítko Vytvořit.
Krok 2: Přiřazení tiskáren ke správě vymezeným správcem
Azure Správa istrativní jednotky nabízí 2 způsoby, jak Správa definovat sadu zařízení, která jsou v rozsahu přiřazených práv pro správu.
- Dynamické členství zařízení
- Členové se automaticky aktualizují na základě Správa nastavení pravidel členství.
- Přiřazené členství
- Členové jsou ručně přiřazeni a aktualizováni Správa Správa istrativní jednotky.
Možnost 1: Pravidlo členství v dynamické tiskárně
Další podrobnosti najdete v tématu Správa uživatelů nebo zařízení pro jednotku pro správu s pravidly dynamického členství.
Poznámka:
Vyhodnocení seznamu tiskáren v jednotce pro správu může nějakou dobu trvat podle pravidel členství v dynamických zařízeních.
Delegování Správa odpovědností Konektor pro Univerzální tisk
Po počátečním vytvoření jednotky pro správu se vraťte do Správa istrativních jednotek.
Vyberte vytvořenou jednotku pro správu, do které chcete přidat tiskárny.
Vyberte Vlastnosti.
V seznamu Typů členství vyberte Dynamické zařízení.
Vyberte Přidat dynamický dotaz.
Pomocí tvůrce pravidel určete pravidlo dynamického členství. Další informace najdete v tématu Tvůrce pravidel na webu Azure Portal.
V tvůrci pravidel
Vlastnost Operátor Hodnota systemLabels Contains PrinterStandard extensionAttribute2 Začíná na <Schéma pojmenování konektoru>
Tip
Poznamenejte si pole a hodnoty vlastnosti použité v pravidle dynamického dotazu. Ty budou potřeba později v procesu nasazení.
Delegování Správa odpovědností podle umístění tiskárny
Po počátečním vytvoření jednotky pro správu se vraťte do Správa istrativních jednotek.
Vyberte vytvořenou jednotku pro správu, do které chcete přidat tiskárny.
Vyberte Vlastnosti.
V seznamu Typů členství vyberte Dynamické zařízení.
Vyberte Přidat dynamický dotaz.
Pomocí tvůrce pravidel určete pravidlo dynamického členství. Další informace najdete v tématu Tvůrce pravidel na webu Azure Portal.
V tvůrci pravidel
Vlastnost Operátor Hodnota systemLabels Contains PrinterStandard extensionAttribute3 Contains USA
Tip
Poznamenejte si pole a hodnoty vlastnosti použité v pravidle dynamického dotazu. Ty budou potřeba později v procesu nasazení.
Možnost 2: Seznam členství ve statické tiskárně
Další podrobnosti najdete v tématu Přidání uživatelů, skupin nebo zařízení do jednotky pro správu.
- Po počátečním vytvoření jednotky pro správu se vraťte do Správa istrativních jednotek.
- Vyberte vytvořenou jednotku pro správu, do které chcete přidat tiskárny.
- Vyberte Vlastnosti.
- V seznamu Typ členství vyberte Přiřazeno.
- Pokud došlo ke změně, nezapomeňte změny uložit .
- Vyberte Zařízení.
- Vyberte Přidat zařízení.
- V podokně Vybrat vyberte tiskárny, které chcete přidat do jednotky pro správu, a pak vyberte Vybrat.
Synchronizovat vlastnosti tiskárny
Integrace univerzálního tisku s objekty zařízení Microsoft Entra ID a jednotkami pro správu poskytují velkou flexibilitu a přizpůsobení způsobu delegování role Tiskárny Správa istrator. Díky využití objektu zařízení Microsoft Entra ID "extensionAttributeX" mohou organizace vybrat a zvolit kombinaci metadat tiskárny, která se mají použít k definování různých oborů správce tiskárny.
Pro podporu této flexibility je vyžadována pravidelná synchronizace metadat tiskárny z univerzálního tisku do Microsoft Entra ID. Můžete to provést spuštěním skriptu, jako je následující ukázka nebo jakákoli jiná forma automatizace.
Následující ukázka obsahuje výchozí referenci, zákazníci by měli skript upravit tak, aby vyhovoval potřebám jejich vlastního nasazení.
Ukázkový skript PowerShellu
$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"
$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"
# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
$printer = $_
Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
$device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1
# The display name of the Microsoft Entra ID device is set to the initial display name
# of the printer. This sets extensionAttribute1 to the current name.
$extensionAttribute1 = "$($printer.DisplayName)"
# If the printer was registered with the Universal Print connector then the
# display name of the connector will be present in extensionAttribute2.
$extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"
# If the printer has a country or region set in its location properties it
# will be set to extensionAttribute15. Other location properties can be used
# as well.
$extensionAttribute3 = "$($printer.Location.CountryOrRegion)"
$existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
$extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
$extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
{
Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
Update-MgDevice -DeviceId $device.Id -BodyParameter @{
"extensionAttributes" = @{
"extensionAttribute1" = $extensionAttribute1
"extensionAttribute2" = $extensionAttribute2
"extensionAttribute3" = $extensionAttribute3
}
}
}
}
Poznámka:
Provedení tohoto ukázkového skriptu vyžaduje, aby uživatelský účet byl
- A "Windows 365 Správa istrator" a "Printer Správa istrator"
- Nebo globální Správa istrator
Správa s vymezeným oborem vs. Správa tiskárny tenanta
Obor správce tiskárny má mnoho přístupových práv jako tenant Printer Správa istrator role. Následující tabulka shrnuje podobnosti a rozdíly.
| akce Správa | Role Správa tiskárny | Správa 1 s vymezeným oborem tiskárny |
|---|---|---|
| Registrace tiskárny | Ano | Ano2 |
| Registrace Připojení or | Ano | Ano2 |
| Zrušení registrace tiskárny | Ano | Yes |
| Zrušení registrace Připojení oru | Yes | No |
| Výpis tiskáren | Ano | Ano3 |
| Výpis sdílených složek tiskárny | Ano | Ano3 |
| Výpis konektorů | Ano | Ano3 |
| Vlastnosti tiskárny | Ano | Ano3 |
| Vlastnosti sdílené složky tiskárny | Ano | Ano3 |
| Sdílení tiskárny | Ano | Yes |
| Řízení přístupu k tiskárně | Ano | Yes |
| Prohodit sdílenou složku tiskárny | Ano | Yes |
| Zobrazení stavu úlohy ve tiskové frontě | Ano | Yes |
| Převod dokumentů | Yes | No |
| Využití a sestavy | Yes | No |
Poznámka:
- Správci s vymezeným oborem můžou spravovat pouze sadu tiskáren definovaných v konfiguraci Azure AU, pokud není uvedeno jinak.
- Správci s vymezeným oborem můžou provést akci na libovolné tiskárně nebo konektoru.
- Správci s vymezeným oborem vidí všechny tiskárny, sdílené složky tiskáren a konektory, ale jsou omezeni na přístup jen pro čtení k tiskárnám mimo konfiguraci Azure AU.