Delegieren der Druckerverwaltung mithilfe des Azure-Portals

Wenn Sie Ihre Installation von Universal Print ausweiten, kann es für einen IT-Admin schwierig werden, alles zu verwalten. Vielleicht möchten Sie bestimmte Verwaltungsaufgaben, wie die Registrierung neuer Drucker oder die Wartung von Druckern in einer bestimmten Niederlassung, an bestimmte Personen delegieren.

An dieser Stelle kommt die delegierte Administration ins Spiel. Verwaltungseinheiten in Microsoft Entra ID können verwendet werden, um regelbasierte Berechtigungen in Ihrer Organisation zu konfigurieren.

So können Sie z. B. Verwaltungseinheiten verwenden, damit eine Person nur Drucker in der Region verwalten kann, die sie unterstützt.

Voraussetzungen

• Die Benutzerin oder der Benutzer, die bzw. der Berechtigungen delegiert, muss über eine Rolle Admin für privilegierte Rollen oderGlobaler Admin verfügen.
• Der delegierte Druckeradmin muss über eine berechtigte Universal Print-Lizenz verfügen, um Drucker verwalten zu können.

Konfigurieren der administrativen Einheiten

1. Schritt: Administrative Gruppe erstellen

Weitere Informationen zu den verschiedenen Optionen finden Sie unter Erstellen oder Löschen von Verwaltungseinheiten.

1. Melden Sie sich mit einemPrivileged Role Administrator- oder Global Administrator-Konto beim Azure-Portal an.
2. Wählen Sie Microsoft Entra ID>Verwaltungseinheiten aus.
3. Wählen Sie Hinzufügen aus.
4. Geben Sie im Feld Name den Namen der Verwaltungseinheit ein. Fügen Sie optional eine Beschreibung der Verwaltungseinheit hinzu.
5. Wählen Sie Weiter: Rollen zuweisen> aus.
6. Wählen Sie die Rolle Druckeradministrator und dann die Benutzer oder Gruppen aus, denen die Rolle mit dem Geltungsbereich dieser Verwaltungseinheit zugewiesen werden soll.
7. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Verwaltungseinheit und alle Rollenzuweisungen.
8. Wählen Sie die Schaltfläche Erstellen.

Schritt 2: Zuweisen von Druckern, die vom delegierten Admin verwaltet werden sollen

Administrative Einheiten in Microsoft Entra ID bieten zwei Möglichkeiten zum Definieren der Gruppe von Druckern, die ein delegierter Admin verwalten kann:

Option 1: Dynamische Regel

Mithilfe dynamischer Drucker-Mitgliedschaftsregeln ist es möglich, delegierten Admins auf der Grundlage einer Reihe von Kriterien Verwaltungsberechtigungen zuzuweisen. Ein Admin könnte beispielsweise über Verwaltungsberechtigungen für alle Drucker verfügen, die sich an einem bestimmten Standort befinden oder über einen bestimmten Connector registriert wurden.

Siehe Verwalten von Benutzern oder Geräten für eine Verwaltungseinheit mit dynamischen Mitgliedschaftsregeln für weitere Details.

Hinweis

Es kann einige Zeit dauern, bis die Liste der Drucker in einer Verwaltungseinheit nach den dynamischen Gerätemitgliedschaftsregeln ausgewertet ist.

Delegieren von Administratoraufgaben durch Connectors für Universelles Drucken

1. Nachdem die Verwaltungseinheit erstellt wurde, wechseln Sie zurück zu Verwaltungseinheiten.

2. Wählen Sie die erstellte Verwaltungseinheit aus, der Sie Drucker hinzufügen möchten.

3. Wählen Sie Eigenschaften aus.

4. Wählen Sie in der Liste Mitgliedschaftstyp die Option Dynamisches Gerät.

5. Wählen Sie Dynamische Abfrage hinzufügen aus.

6. Verwenden Sie den Regel-Generator, um die dynamische Mitgliedschaftsregel anzugeben. Weitere Informationen finden Sie unter Regel-Generator im Azure-Portal.

7. Im Regel-Generator:

   Eigenschaft	Operator	Wert
   systemLabels	Contains	PrinterStandard
   extensionAttribute2	Starts With	<Benennungsschema für Connectors>

Tipp

Beachten Sie die Felder und Werte der „Eigenschaft“, die in der dynamischen Abfrageregel verwendet werden. Diese werden später im Bereitstellungsprozess benötigt.

Delegieren von Verwaltungsaufgaben nach Druckerstandort

1. Nachdem die Verwaltungseinheit erstellt wurde, wechseln Sie zurück zu Verwaltungseinheiten.

2. Wählen Sie die erstellte Verwaltungseinheit aus, der Sie Drucker hinzufügen möchten.

3. Wählen Sie Eigenschaften aus.

4. Wählen Sie in der Liste Mitgliedschaftstyp die Option Dynamisches Gerät.

5. Wählen Sie Dynamische Abfrage hinzufügen aus.

6. Verwenden Sie den Regel-Generator, um die dynamische Mitgliedschaftsregel anzugeben. Weitere Informationen finden Sie unter Regel-Generator im Azure-Portal.

7. Im Regel-Generator

   Eigenschaft	Operator	Wert
   systemLabels	Contains	PrinterStandard
   extensionAttribute3	Contains	USA

Tipp

Beachten Sie die Felder und Werte der „Eigenschaft“, die in der dynamischen Abfrageregel verwendet werden. Diese werden später im Bereitstellungsprozess benötigt.

Option 2: Statische Liste

Mit dieser Option können privilegierte Admins den delegierten Zugriff auf eine bestimmte Liste von Druckern manuell zuweisen.

Weitere Informationen finden Sie unter Hinzufügen von Benutzern, Gruppen oder Geräten zu einer Verwaltungseinheit.

1. Nachdem die Verwaltungseinheit erstellt wurde, wechseln Sie zurück zu Verwaltungseinheiten.
2. Wählen Sie die erstellte Verwaltungseinheit aus, der Sie Drucker hinzufügen möchten.
3. Wählen Sie Eigenschaften aus.
4. Wählen Sie in der Liste Mitgliedschaftstyp die Option Zugewiesen aus.
5. Wenn eine Änderung vorgenommen wurde, vergessen Sie nicht, die Änderungen zu speichern.
6. Klicken Sie auf Geräte.
7. Klicken Sie auf Gerät hinzufügen.
8. Wählen Sie im Bereich Auswählen die Drucker aus, die Sie der Verwaltungseinheit hinzufügen möchten, und wählen Sie dann Auswählen.

Synchronisieren der Druckereigenschaften

Die Integration von Universelles Drucken mit Azure AD-Geräteobjekten und Verwaltungseinheiten bietet viel Flexibilität und Anpassungsmöglichkeiten bei der Zuweisung der Rolle des Druckeradministrators. Durch die Nutzung des extensionAttributeX des Azure AD-Geräteobjekts können Organisationen die Kombination von Druckermetadaten auswählen, die zur Definition der verschiedenen Druckeradministratorbereiche verwendet werden sollen.

Um diese Flexibilität zu unterstützen, ist eine regelmäßige Synchronisierung der Druckermetadaten von Universelles Drucken mit Azure AD erforderlich. Dies kann durch die Ausführung eines Skripts, wie das folgende Beispiel, oder durch eine andere Form der Automatisierung erfolgen.

Das folgende Beispiel enthält einen Startverweis. Ändern Sie das Skript so, dass es Ihren eigenen Bereitstellungsanforderungen entspricht.

Beispiel-PowerShell-Skript

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Azure AD device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Hinweis

Für die Ausführung dieses Beispielskripts muss das Benutzerkonto entweder

• ein „Windows 365-Administrator“ und „Druckeradministrator“,
• oder „Globaler Administrator“ sein.

Delegierter Admin vs. Mandantenadmin

Die Berechtigungen von delegierten Admins und Mandantenadmins unterscheiden sich nicht nur darin, welche Drucker verwaltet werden können. In der folgenden Tabelle finden Sie eine Zusammenfassung der Ähnlichkeiten und Unterschiede:

Administratoraktion	Druckeradministrator-Rolle	Bereichsbezogener Druckeradministrator1
Drucker registrieren	Ja	Ja2
Connector registrieren	Ja	Ja2
Registrierung des Druckers aufheben	Ja	Ja
Registrierung des Connectors aufheben	Ja	No
Drucker auflisten	Ja	Ja3
Druckerfreigaben auflisten	Ja	Ja3
Connectors auflisten	Ja	Ja3
Druckereigenschaften	Ja	Ja3
Druckerfreigabeeigenschaften	Ja	Ja3
Drucker freigeben	Ja	Ja
Drucker-Access Control	Ja	Ja
Druckerfreigabe austauschen	Ja	Ja
Auftragsstatus in der Druckwarteschlange anzeigen	Ja	Ja
Konvertieren von Dokumenten	Ja	No
Verbrauch und Berichte	Ja	No

*Hinweis:

1. Bereichsbezogene Admins können nur die in der Konfiguration der Verwaltungseinheit definierten Drucker verwalten, sofern nicht anders angegeben.
2. Bereichsbezogene Administratoren können die Aktion für jeden Drucker oder Konnektor durchführen.
3. Bereichsbezogene Administratoren sehen alle Drucker, Druckerfreigaben und Connectors, haben jedoch nur Lesezugriff auf diejenigen außerhalb der Azure AU-Konfiguration.

Weitere Informationen

• Lesen Sie „Navigieren in Universal Print“ im Azure-Portal, um mehr über andere Funktionen von Universal Print im Azure-Portal zu erfahren.