Delegieren der Druckerverwaltung mit Verwaltungseinheiten in Azure AD

  • Artikel

In diesem Artikel werden Verwaltungseinheiten in Azure Active Directory (Azure AD) beschrieben. Mit Verwaltungseinheiten können Sie die Berechtigungen einer Rolle auf einen beliebigen von Ihnen zu definierenden Bereich in Ihrer Organisation beschränken. Mit Verwaltungseinheiten können Sie beispielsweise die Rolle Helpdeskadministrator an regionale Supportspezialisten delegieren, sodass diese nur in der von ihnen unterstützten Region Benutzer verwalten können.

Weitere Details zu den Möglichkeiten finden Sie unter Verwaltungseinheiten in Azure Active Directory.

Voraussetzungen

  • Konfigurieren der Azure-Verwaltungseinheit
    • Admin-Konto mit der Rolle Privilegierter Administrator oder Globaler Administrator
  • Delegierter Druckeradministrator
    • Azure AD Premium P1- oder P2-Lizenz, die jedem Druckeradministrator innerhalb der Verwaltungseinheit zugewiesen wird
    • Eine für Universelles Drucken geeignete Lizenz wird jedem Druckeradministrator innerhalb der Verwaltungseinheit zugewiesen.

Konfigurieren der Verwaltungseinheit

1. Schritt: Administrative Gruppe erstellen

Weitere Informationen zu den verschiedenen Optionen finden Sie unter Erstellen oder Löschen von Verwaltungseinheiten.

  1. Melden Sie sich im Azure-Portal als Globaler Administrator oder Administrator für privilegierte Rollen an.
  2. Klicken Sie auf Azure Active Directory>Verwaltungseinheiten.
  3. Klicken Sie auf Hinzufügen.
  4. Geben Sie im Feld Name den Namen der Verwaltungseinheit ein. Fügen Sie optional eine Beschreibung der Verwaltungseinheit hinzu.
  5. Wählen Sie Weiter: Rollen zuweisen> aus.
  6. Wählen Sie die Rolle Druckeradministrator und dann die Benutzer oder Gruppen aus, denen die Rolle mit dem Geltungsbereich dieser Verwaltungseinheit zugewiesen werden soll.
  7. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Verwaltungseinheit und alle Rollenzuweisungen.
  8. Wählen Sie die Schaltfläche Erstellen.

Schritt 2: Zuweisen von Druckern, die vom Bereichsadministrator verwaltet werden sollen

Azure-Verwaltungseinheiten bieten Administratoren zwei Möglichkeiten, den Satz von Geräten zu definieren, die in den Geltungsbereich der zugewiesenen Verwaltungsrechte fallen.

  1. Dynamische Gerätemitgliedschaft
    • Die Mitglieder werden automatisch basierend auf den vom Administrator festgelegten Mitgliedschaftsregeln aktualisiert
  2. Mitgliedschaft zuweisen
    • Mitglieder werden vom Administrator der Verwaltungseinheit manuell zugewiesen und aktualisiert.

Option 1: Dynamische Mitgliedschaftsregel für Drucker

Siehe Verwalten von Benutzern oder Geräten für eine Verwaltungseinheit mit dynamischen Mitgliedschaftsregeln für weitere Details.

Hinweis

Es kann einige Zeit dauern, bis die Liste der Drucker in einer Verwaltungseinheit nach den dynamischen Gerätemitgliedschaftsregeln ausgewertet ist.

Delegieren von Administratoraufgaben durch Connectors für Universelles Drucken

  1. Nachdem die Verwaltungseinheit erstellt wurde, wechseln Sie zurück zu Verwaltungseinheiten.

  2. Wählen Sie die erstellte Verwaltungseinheit aus, der Sie Drucker hinzufügen möchten.

  3. Wählen Sie Eigenschaften aus.

  4. Wählen Sie in der Liste Mitgliedschaftstyp die Option Dynamisches Gerät.

  5. Wählen Sie Dynamische Abfrage hinzufügen aus.

  6. Verwenden Sie den Regel-Generator, um die dynamische Mitgliedschaftsregel anzugeben. Weitere Informationen finden Sie unter Regel-Generator im Azure-Portal.

  7. Im Regel-Generator

    Eigenschaft Operator Wert
    systemLabels Enthält PrinterStandard
    extensionAttribute2 Starts With <Benennungsschema für Connectors>

Tipp

Beachten Sie die Felder und Werte der „Eigenschaft“, die in der dynamischen Abfrageregel verwendet werden. Diese werden später im Bereitstellungsprozess benötigt.

Delegieren von Verwaltungsaufgaben nach Druckerstandort

  1. Nachdem die Verwaltungseinheit erstellt wurde, wechseln Sie zurück zu Verwaltungseinheiten.

  2. Wählen Sie die erstellte Verwaltungseinheit aus, der Sie Drucker hinzufügen möchten.

  3. Wählen Sie Eigenschaften aus.

  4. Wählen Sie in der Liste Mitgliedschaftstyp die Option Dynamisches Gerät.

  5. Wählen Sie Dynamische Abfrage hinzufügen aus.

  6. Verwenden Sie den Regel-Generator, um die dynamische Mitgliedschaftsregel anzugeben. Weitere Informationen finden Sie unter Regel-Generator im Azure-Portal.

  7. Im Regel-Generator

    Eigenschaft Operator Wert
    systemLabels Enthält PrinterStandard
    extensionAttribute3 Enthält USA

Tipp

Beachten Sie die Felder und Werte der „Eigenschaft“, die in der dynamischen Abfrageregel verwendet werden. Diese werden später im Bereitstellungsprozess benötigt.

Option 2: Statische Druckermitgliedschaftsliste

Weitere Informationen finden Sie unter Hinzufügen von Benutzern, Gruppen oder Geräten zu einer Verwaltungseinheit.

  1. Nachdem die Verwaltungseinheit erstellt wurde, wechseln Sie zurück zu Verwaltungseinheiten.
  2. Wählen Sie die erstellte Verwaltungseinheit aus, der Sie Drucker hinzufügen möchten.
  3. Wählen Sie Eigenschaften aus.
  4. Wählen Sie in der Liste Mitgliedschaftstyp die Option Zugewiesen aus.
  5. Wenn eine Änderung vorgenommen wurde, vergessen Sie nicht, die Änderungen zu speichern.
  6. Klicken Sie auf Geräte.
  7. Klicken Sie auf Gerät hinzufügen.
  8. Wählen Sie im Bereich Auswählen die Drucker aus, die Sie der Verwaltungseinheit hinzufügen möchten, und wählen Sie dann Auswählen.

Synchronisieren der Druckereigenschaften

Die Integration von Universelles Drucken mit Azure AD-Geräteobjekten und Verwaltungseinheiten bietet viel Flexibilität und Anpassungsmöglichkeiten bei der Zuweisung der Rolle des Druckeradministrators. Durch die Nutzung des extensionAttributeX des Azure AD-Geräteobjekts können Organisationen die Kombination von Druckermetadaten auswählen, die zur Definition der verschiedenen Druckeradministratorbereiche verwendet werden sollen.

Um diese Flexibilität zu unterstützen, ist eine regelmäßige Synchronisierung der Druckermetadaten von Universelles Drucken mit Azure AD erforderlich. Dies kann durch die Ausführung eines Skripts, wie das folgende Beispiel, oder durch eine andere Form der Automatisierung erfolgen.

Das folgende Beispiel dient als Ausgangsreferenz. Kunden sollten das Skript an ihre eigenen Bereitstellungsanforderungen anpassen.

Beispiel-PowerShell-Skript

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Azure AD device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Hinweis

Für die Ausführung dieses Beispielskripts muss das Benutzerkonto entweder

  • ein „Windows 365-Administrator“ und „Druckeradministrator“,
  • oder „Globaler Administrator“ sein.

Bereichsbezogener Administrator vs. Mandanten-Druckeradministrator

Ein bereichsbezogener Druckeradministrator verfügt über viele der Zugriffsrechte einer Rolle als Mandanten-Druckeradministrator. Die folgende Tabelle enthält eine Übersicht über die Ähnlichkeiten und Unterschiede.

Administratoraktion Druckeradministrator-Rolle Bereichsbezogener Druckeradministrator1
Drucker registrieren Ja Ja2
Connector registrieren Ja Ja2
Registrierung des Druckers aufheben Ja Ja
Registrierung des Connectors aufheben Ja Nein
Drucker auflisten Ja Ja3
Druckerfreigaben auflisten Ja Ja3
Connectors auflisten Ja Ja3
Druckereigenschaften Ja Ja3
Druckerfreigabeeigenschaften Ja Ja3
Drucker freigeben Ja Ja
Drucker-Access Control Ja Ja
Druckerfreigabe austauschen Ja Ja
Auftragsstatus in der Druckwarteschlange anzeigen Ja Ja
Konvertieren von Dokumenten Ja Nein
Verbrauch und Berichte Ja Nein

Hinweis:

  1. Bereichsbezogene Administratoren können nur die in der Azure AU-Konfiguration festgelegten Drucker verwalten, sofern nicht anders angegeben.
  2. Bereichsbezogene Administratoren können die Aktion für jeden Drucker oder Konnektor durchführen.
  3. Bereichsbezogene Administratoren sehen alle Drucker, Druckerfreigaben und Connectors, haben jedoch nur Lesezugriff auf diejenigen außerhalb der Azure AU-Konfiguration.