Delegar Administración istration de impresora con unidades Administración istrative en el id. de Entra de Microsoft
En este artículo se describe cómo se integra Universal Print con unidades administrativas en Microsoft Entra ID. Las unidades administrativas restringen los permisos de un rol a cualquier parte de la organización que defina. Por ejemplo, podría usar unidades administrativas para delegar el rol Printer Administración istrator a los administradores de impresión regionales, por lo que pueden administrar impresoras solo en la región que admiten.
Consulte unidades Administración istrative en Microsoft Entra ID para obtener más información sobre lo que ofrece.
Requisitos previos
- Configuración de la unidad Administración isterativa de Azure
- Administración cuenta con rol con privilegios Administración istrator o rol de Administración istrator global
- Impresora delegada Administración istrator
- Licencia de Microsoft Entra ID Premium P1 o P2 asignada a cada impresora Administración istrator dentro de la unidad administrativa
- La licencia válida para impresión universal se asigna a cada impresora Administración istrator dentro de la unidad administrativa
Configuración de la unidad Administración istrative
Paso 1: Crear la unidad administrativa
Consulte Crear o eliminar unidades administrativas para obtener más información sobre las distintas opciones.
- Inicie sesión en Azure Portal con una cuenta de Administración istrator o global de Administración istrator.
- Seleccione Microsoft Entra ID>Unidades administrativas.
- Seleccione Agregar.
- En el cuadro Nombre, escriba el nombre de la unidad administrativa. Si quiere, agregue una descripción de la unidad administrativa.
- Seleccione Siguiente: Asignar roles >.
- Seleccione Rol de administrador de impresoras y, a continuación, seleccione los usuarios o grupos a los que asignar el rol con este ámbito de unidad administrativa.
- En la pestaña Revisar y crear, revise la unidad administrativa y todas las asignaciones de roles.
- Seleccione el botón Crear.
Paso 2: Asignación de impresoras para administrarlas mediante el administrador con ámbito
Las unidades Administración isterativas de Azure ofrecen 2 maneras de Administración definir el conjunto de dispositivos que están dentro del ámbito de los derechos administrativos asignados.
- Pertenencia dinámica a dispositivos
- Los miembros se actualizan automáticamente en función de las reglas de pertenencia Administración establecer
- Pertenencia asignada
- Los miembros se asignan y actualizan manualmente por el Administración de la unidad Administración istrative
Opción 1: Regla de pertenencia dinámica de impresoras
Consulte Administrar usuarios o dispositivos para una unidad administrativa con reglas de pertenencia dinámica para obtener más detalles.
Nota:
La lista de impresoras de una unidad administrativa puede tardar algún tiempo en evaluarse según las reglas de pertenencia dinámica de dispositivos.
Delegación de responsabilidades de Administración por conector de Impresión universal
Una vez creada inicialmente la unidad administrativa, vuelva a Administración unidadesisterativas.
Seleccione la unidad administrativa creada a la que desea agregar impresoras.
Seleccionar Propiedades.
En la lista Tipo de pertenencia, seleccione Dispositivo dinámico.
Seleccione Agregar una consulta dinámica.
Use el generador de reglas para especificar la regla de pertenencia dinámica. Para obtener más información, consulte Generador de reglas en Azure Portal.
En el generador de reglas
Propiedad Operator Valor systemLabels Contiene PrinterStandard extensionAttribute2 Empieza por <esquema de nomenclatura del conector>
Sugerencia
Tome nota de los campos y valores "Property" usados en la regla de consulta dinámica. Estos serán necesarios más adelante en el proceso de implementación.
Delegación de responsabilidades de Administración por ubicación de impresora
Una vez creada inicialmente la unidad administrativa, vuelva a Administración unidadesisterativas.
Seleccione la unidad administrativa creada a la que desea agregar impresoras.
Seleccionar Propiedades.
En la lista Tipo de pertenencia, seleccione Dispositivo dinámico.
Seleccione Agregar una consulta dinámica.
Use el generador de reglas para especificar la regla de pertenencia dinámica. Para obtener más información, consulte Generador de reglas en Azure Portal.
En el generador de reglas
Propiedad Operator Valor systemLabels Contiene PrinterStandard extensionAttribute3 Contiene EE. UU.
Sugerencia
Tome nota de los campos y valores "Property" usados en la regla de consulta dinámica. Estos serán necesarios más adelante en el proceso de implementación.
Opción 2: Lista estática de pertenencia a impresoras
Consulte Agregar usuarios, grupos o dispositivos a una unidad administrativa para obtener más información.
- Una vez creada inicialmente la unidad administrativa, vuelva a Administración unidadesisterativas.
- Seleccione la unidad administrativa creada a la que desea agregar impresoras.
- Seleccione Propiedades.
- En la lista Tipo de pertenencia, seleccione Asignado.
- Si se realizó un cambio, recuerde Guardar los cambios.
- Seleccione Dispositivos.
- Seleccione Agregar dispositivo.
- En el panel Seleccionar , seleccione las impresoras que desea agregar a la unidad administrativa y, a continuación, seleccione Seleccionar.
Sincronizar propiedades de impresora
La integración de Universal Print con los objetos de dispositivo de Id. de Microsoft Entra y las unidades administrativas proporcionan una gran flexibilidad y personalización en la forma en que se puede delegar el rol impresora Administración istrator. Al aprovechar el "extensionAttributeX" del objeto de dispositivo de Id. de Microsoft Entra, las organizaciones pueden elegir y elegir la combinación de metadatos de impresora que se usarán para definir los distintos ámbitos de administrador de impresoras.
Para admitir esta flexibilidad, se requiere la sincronización periódica de metadatos de impresora de impresión universal a id. de Microsoft Entra. Para ello, ejecute un script, como el ejemplo siguiente, o cualquier otra forma de automatización.
En el ejemplo siguiente se proporciona una referencia inicial, los clientes deben modificar el script para satisfacer sus propias necesidades de implementación.
Script de PowerShell de ejemplo
$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"
$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"
# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
$printer = $_
Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
$device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1
# The display name of the Microsoft Entra ID device is set to the initial display name
# of the printer. This sets extensionAttribute1 to the current name.
$extensionAttribute1 = "$($printer.DisplayName)"
# If the printer was registered with the Universal Print connector then the
# display name of the connector will be present in extensionAttribute2.
$extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"
# If the printer has a country or region set in its location properties it
# will be set to extensionAttribute15. Other location properties can be used
# as well.
$extensionAttribute3 = "$($printer.Location.CountryOrRegion)"
$existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
$extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
$extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
{
Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
Update-MgDevice -DeviceId $device.Id -BodyParameter @{
"extensionAttributes" = @{
"extensionAttribute1" = $extensionAttribute1
"extensionAttribute2" = $extensionAttribute2
"extensionAttribute3" = $extensionAttribute3
}
}
}
}
Nota:
La ejecución de este script de ejemplo requiere que la cuenta de usuario sea cualquiera de las dos
- Un "Windows 365 Administración istrator" y "Printer Administración istrator"
- O bien, un "Administración istrator global"
Administración de ámbito frente a Administración de impresora de inquilinos
Un administrador de impresora con ámbito tiene muchos de los derechos de acceso como un rol de impresora de inquilino Administración istrator. En la tabla siguiente se resumen las similitudes y diferencias.
acción de Administración | Rol de Administración impresora | Impresora con ámbito Administración 1 |
---|---|---|
Registrar impresora | Sí | Sí2 |
Registrar Conectar or | Sí | Sí2 |
Anular el registro de la impresora | Sí | Sí |
Anular el registro del Conectar or | Sí | No |
Enumerar impresoras | Sí | Sí3 |
Enumerar recursos compartidos de impresoras | Sí | Sí3 |
Enumerar conectores | Sí | Sí3 |
Propiedades de la impresora | Sí | Sí3 |
Propiedades del recurso compartido de impresora | Sí | Sí3 |
Compartir impresora | Sí | Sí |
Control de acceso de impresora | Sí | Sí |
Intercambiar recurso compartido de impresora | Sí | Sí |
Ver el estado del trabajo en la cola de impresión | Sí | Sí |
Conversión de documentos | Sí | No |
Uso e informes | Sí | No |
Nota:
- Los administradores con ámbito solo pueden administrar el conjunto de impresoras definidas en la configuración de Azure AU, a menos que se especifique lo contrario.
- Los administradores con ámbito pueden realizar la acción en cualquier impresora o conector.
- Los administradores con ámbito ven todas las impresoras, los recursos compartidos de impresoras y los conectores, pero están limitados al acceso de solo lectura a los que están fuera de la configuración de Azure AU.