Déléguer l’imprimante Administration istration avec des unités Administration istratives dans Microsoft Entra ID
Cet article décrit comment l’impression universelle s’intègre aux unités administratives dans Microsoft Entra ID. Les unités administratives limitent les autorisations d’un rôle en fonction du service auquel il appartient au sein de l’organisation. Vous pouvez, par exemple, utiliser des unités administratives pour déléguer le rôle d’imprimante Administration istrateur aux administrateurs d’impression régionaux, afin qu’ils puissent gérer uniquement les imprimantes dans la région qu’ils prennent en charge.
Reportez-vous à Administration istrative Units in Microsoft Entra ID pour plus d’informations sur ce qu’il offre.
Prérequis
- Configuration de l’unité azure Administration istrative
- compte Administration avec le rôle privileged Role Administration istrator ou Global Administration istrator
- Imprimante déléguée Administration istrateur
- Licence Microsoft Entra ID Premium P1 ou P2 attribuée à chaque imprimante Administration istrator au sein de l’unité administrative
- Une licence éligible à l’impression universelle est attribuée à chaque Administration istrateur d’imprimante au sein de l’unité administrative
Configurer l’unité Administration istrative
Étape 1 : Créer l’unité administrative
Reportez-vous à Créer ou supprimer des unités administratives pour plus d’informations sur les différentes options.
- Connectez-vous au Portail Azure avec un compte Privileged Role Administration istrator ou Global Administration istrator.
- Sélectionnez les Unités administratives>Microsoft Entra ID.
- Sélectionnez Ajouter.
- Dans la zone Nom, entrez le nom de l’unité administrative. Si vous le souhaitez, ajoutez une description de l’unité administrative.
- Sélectionnez Suivant : Attribuer des rôles >.
- Sélectionnez le rôle d’administrateur d’imprimante, puis sélectionnez les utilisateurs ou les groupes auxquels attribuer le rôle avec cette étendue d’unité administrative.
- Dans l’onglet Réviser + créer, passez en revue l’unité administrative et toutes les attributions de rôles.
- Cliquez sur le bouton Créer.
Étape 2 : Affecter des imprimantes à gérer par un administrateur étendu
Azure Administration istrative Units offre 2 façons pour Administration s de définir l’ensemble d’appareils qui se trouvent dans la portée des droits d’administration attribués.
- Appartenance à un appareil dynamique
- Les membres sont automatiquement mis à jour en fonction des règles d’appartenance Administration définir
- Appartenance affectée
- Les membres sont affectés manuellement et mis à jour par l’Administration de l’unité Administration istrative
Option 1 : Règle d’appartenance à l’imprimante dynamique
Pour plus d’informations, consultez Gérer les utilisateurs ou les appareils d’une unité administrative avec des règles d’appartenance dynamique.
Remarque
La liste des imprimantes d’une unité administrative peut prendre un certain temps en fonction des règles d’appartenance aux appareils dynamiques.
Délégation des responsabilités Administration par les connecteurs d’impression universelle
Une fois l’unité administrative créée initialement, revenez aux unités Administration istratives.
Sélectionnez l’unité administrative créée à laquelle vous souhaitez ajouter des imprimantes.
Sélectionnez Propriétés.
Dans la liste des types d’appartenances, sélectionnez Appareil dynamique.
Sélectionnez Ajouter une requête dynamique.
Utilisez le générateur de règles pour spécifier la règle d’appartenance dynamique. Pour plus d’informations, consultez Générateur de règles dans le portail Azure.
Dans le générateur de règles
Propriété Opérateur Valeur systemLabels contient PrinterStandard extensionAttribute2 Starts With <schéma d’affectation de noms de connecteur>
Conseil
Notez les champs et valeurs « Property » utilisés dans la règle de requête dynamique. Celles-ci seront nécessaires ultérieurement dans le processus de déploiement.
Délégation des responsabilités Administration par emplacement de l’imprimante
Une fois l’unité administrative créée initialement, revenez aux unités Administration istratives.
Sélectionnez l’unité administrative créée à laquelle vous souhaitez ajouter des imprimantes.
Sélectionnez Propriétés.
Dans la liste des types d’appartenances, sélectionnez Appareil dynamique.
Sélectionnez Ajouter une requête dynamique.
Utilisez le générateur de règles pour spécifier la règle d’appartenance dynamique. Pour plus d’informations, consultez Générateur de règles dans le portail Azure.
Dans le générateur de règles
Propriété Opérateur Valeur systemLabels contient PrinterStandard extensionAttribute3 contient États-Unis
Conseil
Notez les champs et valeurs « Property » utilisés dans la règle de requête dynamique. Celles-ci seront nécessaires ultérieurement dans le processus de déploiement.
Option 2 : Liste d’appartenances à l’imprimante statique
Pour plus d’informations, reportez-vous à Ajouter des utilisateurs, des groupes ou des appareils à une unité administrative.
- Une fois l’unité administrative créée initialement, revenez aux unités Administration istratives.
- Sélectionnez l’unité administrative créée à laquelle vous souhaitez ajouter des imprimantes.
- Sélectionner Propriétés.
- Dans la liste Type d’appartenance, sélectionnez Affectée.
- Si une modification a été apportée, n’oubliez pas d’enregistrer les modifications.
- Sélectionnez Périphériques.
- Sélectionnez Ajouter un appareil.
- Dans le volet Sélectionner , sélectionnez les imprimantes que vous souhaitez ajouter à l’unité administrative, puis sélectionnez Sélectionner.
Synchroniser les propriétés de l’imprimante
L’intégration de Universal Print avec les objets d’appareil Microsoft Entra ID et les unités administratives offre une grande flexibilité et une personnalisation dans la façon dont le rôle d’imprimante Administration istrateur peut être délégué. En tirant parti de l’objet d’appareil Microsoft Entra ID « extensionAttributeX », les organisations peuvent choisir et choisir la combinaison de métadonnées d’imprimante à utiliser pour définir les différentes étendues d’administrateur d’imprimante.
Pour prendre en charge cette flexibilité, la synchronisation périodique des métadonnées d’imprimante de l’id d’impression universelle vers l’ID Microsoft Entra est requise. Pour ce faire, exécutez un script, tel que l’exemple suivant ou toute autre forme d’automatisation.
L’exemple suivant fournit une référence de départ, les clients doivent modifier le script pour répondre à leurs propres besoins de déploiement.
Exemple de script PowerShell
$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"
$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"
# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
$printer = $_
Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
$device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1
# The display name of the Microsoft Entra ID device is set to the initial display name
# of the printer. This sets extensionAttribute1 to the current name.
$extensionAttribute1 = "$($printer.DisplayName)"
# If the printer was registered with the Universal Print connector then the
# display name of the connector will be present in extensionAttribute2.
$extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"
# If the printer has a country or region set in its location properties it
# will be set to extensionAttribute15. Other location properties can be used
# as well.
$extensionAttribute3 = "$($printer.Location.CountryOrRegion)"
$existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
$extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
$extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
{
Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
Update-MgDevice -DeviceId $device.Id -BodyParameter @{
"extensionAttributes" = @{
"extensionAttribute1" = $extensionAttribute1
"extensionAttribute2" = $extensionAttribute2
"extensionAttribute3" = $extensionAttribute3
}
}
}
}
Remarque
L’exécution de cet exemple de script nécessite que le compte d’utilisateur soit
- Un « Administration istrateur Windows 365 » et un « imprimante Administration istrator »
- Ou, un « Administration istrateur global »
Administration délimités et les Administration de l’imprimante client
Un administrateur d’imprimante délimité dispose de nombreux droits d’accès en tant que rôle d’imprimante client Administration istrator. Le tableau suivant récapitule les similitudes et les différences.
action de Administration | Rôle Administration d’imprimante | Imprimante étendue Administration 1 |
---|---|---|
Inscrire l’imprimante | Oui | Oui2 |
Inscrire Connecter or | Oui | Oui2 |
Désinscrire l’imprimante | Oui | Oui |
Désinscrire Connecter or | Oui | Non |
Répertorier les imprimantes | Oui | Oui3 |
Répertorier les partages d’imprimantes | Oui | Oui3 |
Lister les connecteurs | Oui | Oui3 |
Propriétés de l’imprimante | Oui | Oui3 |
Propriétés du partage d’imprimante | Oui | Oui3 |
Partage de l’imprimante | Oui | Oui |
Contrôle d’accès à l’imprimante | Oui | Oui |
Échanger le partage d’imprimante | Oui | Oui |
Afficher l’état du travail dans la file d’attente d’impression | Oui | Oui |
Conversion de document | Oui | Non |
Utilisation et rapports | Oui | Non |
Remarque :
- Les administrateurs étendus ne peuvent gérer que l’ensemble d’imprimantes définis dans la configuration Azure AU, sauf indication contraire.
- Les administrateurs étendus peuvent effectuer l’action sur n’importe quelle imprimante ou connecteur.
- Les administrateurs étendus voient toutes les imprimantes, partages d’imprimantes et connecteurs, mais sont limités à l’accès en lecture seule à ceux situés en dehors de la configuration Azure AU.