Mendelegasikan Administrasi Printer dengan Unit Administratif di ID Microsoft Entra
Artikel ini menjelaskan bagaimana Universal Print terintegrasi dengan unit administratif di MICROSOFT Entra ID. Unit administratif membatasi izin dalam peran ke bagian organisasi apa pun yang Anda tetapkan. Misalnya, Anda dapat menggunakan unit administratif untuk mendelegasikan peran Administrator Printer ke admin cetak regional, sehingga mereka hanya dapat mengelola printer di wilayah yang didukungnya.
Lihat Unit Administratif di ID Microsoft Entra untuk detail tambahan tentang apa yang ditawarkannya.
Prasyarat
- Mengonfigurasi Unit Administratif Azure
- Akun admin dengan peran Administrator Peran Istimewa atau Administrator Global
- Administrator Printer yang Didelegasikan
- Lisensi Microsoft Entra ID Premium P1 atau P2 yang ditetapkan untuk setiap Administrator Printer dalam unit administratif
- Lisensi universal print-eligible ditetapkan untuk setiap Administrator Printer dalam unit administratif
Mengonfigurasi Unit Administratif
Langkah 1: Membuat unit administratif
Lihat Membuat atau menghapus unit administratif untuk detail tentang berbagai opsi.
- Masuk ke portal Azure dengan Akun Administrator Peran Istimewa atau Administrator Global.
- Pilih Microsoft Entra ID>Unit Administratif.
- Pilih Tambahkan.
- Dalam kotak Nama, masukkan nama unit administratif. Secara opsional, tambahkan deskripsi unit administratif.
- Pilih Berikutnya: Tetapkan peran >.
- Pilih Peran administrator printer lalu pilih pengguna atau grup untuk menetapkan peran dengan cakupan unit administratif ini.
- Pada tab Tinjau + buat, tinjau unit administratif dan penetapan peran apa pun.
- Pilih tombol Buat.
Langkah 2: Menetapkan printer yang akan dikelola oleh admin terlingkup
Unit Administratif Azure menawarkan 2 cara bagi Admin untuk menentukan kumpulan perangkat yang berada dalam cakupan hak administratif yang ditetapkan.
- Keanggotaan Perangkat Dinamis
- Anggota diperbarui secara otomatis berdasarkan aturan keanggotaan set admin
- Keanggotaan yang Ditetapkan
- Anggota ditetapkan dan diperbarui secara manual oleh Admin Unit Administratif
Opsi 1: Aturan keanggotaan printer dinamis
Lihat Mengelola pengguna atau perangkat untuk unit administratif dengan aturan keanggotaan dinamis untuk detail tambahan.
Catatan
Diperlukan beberapa waktu agar daftar printer di unit administratif dievaluasi sesuai dengan aturan keanggotaan perangkat dinamis.
Mendelegasikan tanggung jawab Admin berdasarkan Konektor Pencetakan Universal
Setelah unit administratif awalnya dibuat, kembali ke Unit administratif.
Pilih unit administratif yang dibuat yang ingin Anda tambahkan printernya.
Pilih Properti.
Di daftar Jenis keanggotaan, pilih Perangkat Dinamis.
Pilih Tambahkan kueri dinamis.
Gunakan penyusun aturan untuk menentukan aturan keanggotaan dinamis. Untuk informasi selengkapnya, lihat penyusun aturan di portal Microsoft Azure.
Di penyusun aturan
Properti Operator Nilai systemLabels Berisi PrinterStandard extensionAttribute2 Dimulai dengan <skema penamaan konektor>
Tip
Catat bidang dan nilai "Properti" yang digunakan dalam aturan kueri dinamis. Ini akan diperlukan nanti dalam proses penyebaran.
Mendelegasikan tanggung jawab Admin berdasarkan lokasi printer
Setelah unit administratif awalnya dibuat, kembali ke Unit administratif.
Pilih unit administratif yang dibuat yang ingin Anda tambahkan printernya.
Pilih Properti.
Di daftar Jenis keanggotaan, pilih Perangkat Dinamis.
Pilih Tambahkan kueri dinamis.
Gunakan penyusun aturan untuk menentukan aturan keanggotaan dinamis. Untuk informasi selengkapnya, lihat penyusun aturan di portal Microsoft Azure.
Di penyusun aturan
Properti Operator Nilai systemLabels Berisi PrinterStandard extensionAttribute3 Berisi AS
Tip
Catat bidang dan nilai "Properti" yang digunakan dalam aturan kueri dinamis. Ini akan diperlukan nanti dalam proses penyebaran.
Opsi 2: Daftar keanggotaan printer statis
Lihat Menambahkan pengguna, grup, atau perangkat ke unit administratif untuk detail tambahan.
- Setelah unit administratif awalnya dibuat, kembali ke Unit administratif.
- Pilih unit administratif yang dibuat yang ingin Anda tambahkan printernya.
- Pilih Properti.
- Dalam daftar Jenis keanggotaan, pilih Ditetapkan.
- Jika perubahan dilakukan, ingatlah untuk Menyimpan perubahan.
- Pilih Perangkat.
- Pilih Tambahkan perangkat.
- Di panel Pilih , pilih printer yang ingin Anda tambahkan ke unit administratif lalu pilih Pilih.
Sinkronkan Properti Printer
Integrasi Universal Print dengan objek perangkat MICROSOFT Entra ID dan unit administratif memberikan banyak fleksibilitas dan kustomisasi dalam bagaimana peran Administrator Printer dapat didelegasikan. Dengan memanfaatkan "extensionAttributeX" objek perangkat ID Microsoft Entra, organisasi dapat memilih dan memilih kombinasi metadata printer yang akan digunakan untuk menentukan cakupan administrator printer yang berbeda.
Untuk mendukung fleksibilitas ini, diperlukan sinkronisasi berkala metadata printer dari Universal Print ke MICROSOFT Entra ID. Ini dapat dilakukan dengan menjalankan skrip, seperti sampel berikut, atau bentuk otomatisasi lainnya.
Sampel berikut memberikan referensi awal, pelanggan harus memodifikasi skrip untuk memenuhi kebutuhan penyebaran mereka sendiri.
Sampel Skrip PowerShell
$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"
$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"
# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
$printer = $_
Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
$device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1
# The display name of the Microsoft Entra ID device is set to the initial display name
# of the printer. This sets extensionAttribute1 to the current name.
$extensionAttribute1 = "$($printer.DisplayName)"
# If the printer was registered with the Universal Print connector then the
# display name of the connector will be present in extensionAttribute2.
$extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"
# If the printer has a country or region set in its location properties it
# will be set to extensionAttribute15. Other location properties can be used
# as well.
$extensionAttribute3 = "$($printer.Location.CountryOrRegion)"
$existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
$extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
$extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
{
Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
Update-MgDevice -DeviceId $device.Id -BodyParameter @{
"extensionAttributes" = @{
"extensionAttribute1" = $extensionAttribute1
"extensionAttribute2" = $extensionAttribute2
"extensionAttribute3" = $extensionAttribute3
}
}
}
}
Catatan
Eksekusi skrip sampel ini mengharuskan akun pengguna menjadi
- "Administrator Windows 365" dan "Administrator Printer"
- Atau, "Administrator Global"
Admin Terlingkup vs Admin Printer Penyewa
Admin printer terlingkup memiliki banyak hak akses sebagai peran Administrator Printer penyewa. Tabel berikut ini meringkas persamaan dan perbedaan.
| Tindakan Admin | Peran Admin Printer | AdminPrinter Terlingkup 1 |
|---|---|---|
| Daftarkan Printer | Ya | Ya2 |
| Daftarkan Koneksi or | Ya | Ya2 |
| Batalkan pendaftaran Printer | Ya | Ya |
| Membatalkan pendaftaran Koneksi or | Ya | Tidak |
| Daftar Printer | Ya | Ya3 |
| Mencantumkan Berbagi Printer | Ya | Ya3 |
| Daftar Koneksi or | Ya | Ya3 |
| Properti Printer | Ya | Ya3 |
| Properti Berbagi Printer | Ya | Ya3 |
| Berbagi Printer | Ya | Ya |
| Kontrol Akses Printer | Ya | Ya |
| Tukar Berbagi Printer | Ya | Ya |
| Tampilkan Status Pekerjaan dalam Antrean Cetak | Ya | Ya |
| Konversi Dokumen | Ya | Tidak |
| Penggunaan dan Laporan | Ya | Tidak |
Catatan:
- Admin terlingkup hanya dapat mengelola kumpulan printer yang ditentukan dalam konfigurasi Azure AU, kecuali ditentukan lain.
- Admin terlingkup dapat melakukan tindakan pada printer atau konektor apa pun.
- Admin tercakup melihat semua printer, berbagi printer, dan konektor, tetapi terbatas pada akses baca-saja ke yang di luar konfigurasi Azure AU.