Printer Beheer beheer delegeren met Beheer istratieve eenheden in Microsoft Entra-id
In dit artikel wordt beschreven hoe Universal Print kan worden geïntegreerd met beheereenheden in Microsoft Entra-id. Beheereenheden beperken de machtigingen voor een rol tot elk deel van uw organisatie dat u definieert. U kunt bijvoorbeeld beheereenheden gebruiken om de rol Printer Beheer istrator te delegeren aan regionale afdrukbeheerders, zodat ze alleen printers kunnen beheren in de regio die ze ondersteunen.
Raadpleeg Beheer istische eenheden in Microsoft Entra ID voor meer informatie over wat het biedt.
Vereisten
- Azure Beheer istratieve eenheid configureren
- Beheer account met de rol Privileged Role Beheer istrator of Global Beheer istrator
- Gedelegeerde printer Beheer istrator
- Microsoft Entra ID Premium P1- of P2-licentie die is toegewezen aan elke printer Beheer istrator binnen de beheereenheid
- Universal Print-in aanmerking komende licentie wordt toegewezen aan elke printer Beheer istrator binnen de beheereenheid
Beheer istratieve eenheid configureren
Stap 1: De beheereenheid maken
Raadpleeg Beheereenheden maken of verwijderen voor meer informatie over de verschillende opties.
- Meld u aan bij Azure Portal met een bevoorrechte rol Beheer istrator- of Global Beheer istrator-account.
- Selecteer Microsoft Entra ID> Beheereenheden.
- Selecteer Toevoegen.
- Voer in het vak Naam de naam van de beheereenheid in. Voeg eventueel een beschrijving van de beheereenheid toe.
- Selecteer Volgende: Rollen >toewijzen.
- Selecteer de rol Printerbeheerder en selecteer vervolgens de gebruikers of groepen waaraan u de rol wilt toewijzen met dit beheereenheidbereik.
- Controleer op het tabblad Controleren en maken de beheereenheid en eventuele roltoewijzingen.
- Selecteer de knop Maken.
Stap 2: Printers toewijzen die moeten worden beheerd door een beheerder binnen het bereik
Azure Beheer istratieve eenheden biedt twee manieren voor Beheer s om de set apparaten te definiëren die binnen het bereik van de toegewezen beheerdersrechten vallen.
- Dynamisch apparaatlidmaatschap
- Leden worden automatisch bijgewerkt op basis van de Beheer lidmaatschapsregels instellen
- Toegewezen lidmaatschap
- Leden worden handmatig toegewezen en bijgewerkt door de Beheer van de Beheer istratieve eenheid
Optie 1: regel voor dynamisch printerlidmaatschap
Raadpleeg Gebruikers of apparaten beheren voor een beheereenheid met dynamische lidmaatschapsregels voor meer informatie.
Notitie
Het kan enige tijd duren voordat de lijst met printers in een beheereenheid wordt geëvalueerd volgens de regels voor dynamisch lidmaatschap van apparaten.
Delegeren van Beheer verantwoordelijkheden door connector voor Universeel afdrukken s
Nadat de beheereenheid in eerste instantie is gemaakt, gaat u terug naar Beheer istratieve eenheden.
Selecteer de gemaakte beheereenheid waaraan u printers wilt toevoegen.
Selecteer Eigenschappen.
Selecteer Dynamisch apparaat in de lijst Lidmaatschapstype.
Selecteer Dynamische query toevoegen.
Gebruik de opbouwfunctie voor regels om de dynamische lidmaatschapsregel op te geven. Zie De opbouwfunctie voor regels in Azure Portal voor meer informatie.
In de opbouwfunctie voor regels
Eigenschappen Operator Weergegeven als systemLabels Contains PrinterStandard extensionAttribute2 Begint met <naamgevingsschema van connector>
Tip
Noteer de velden en waarden 'Eigenschap' die worden gebruikt in de dynamische queryregel. Deze zijn later nodig in het implementatieproces.
Delegeren van Beheer verantwoordelijkheden per printerlocatie
Nadat de beheereenheid in eerste instantie is gemaakt, gaat u terug naar Beheer istratieve eenheden.
Selecteer de gemaakte beheereenheid waaraan u printers wilt toevoegen.
Selecteer Eigenschappen.
Selecteer Dynamisch apparaat in de lijst Lidmaatschapstype.
Selecteer Dynamische query toevoegen.
Gebruik de opbouwfunctie voor regels om de dynamische lidmaatschapsregel op te geven. Zie De opbouwfunctie voor regels in Azure Portal voor meer informatie.
In de opbouwfunctie voor regels
Eigenschappen Operator Weergegeven als systemLabels Contains PrinterStandard extensionAttribute3 Contains USA
Tip
Noteer de velden en waarden 'Eigenschap' die worden gebruikt in de dynamische queryregel. Deze zijn later nodig in het implementatieproces.
Optie 2: lidmaatschapslijst van statische printer
Raadpleeg Gebruikers, groepen of apparaten toevoegen aan een beheereenheid voor meer informatie.
- Nadat de beheereenheid in eerste instantie is gemaakt, gaat u terug naar Beheer istratieve eenheden.
- Selecteer de gemaakte beheereenheid waaraan u printers wilt toevoegen.
- Selecteer Eigenschappen.
- Selecteer Toegewezen in de lijst Lidmaatschapstype.
- Als er een wijziging is aangebracht, moet u de wijzigingen opslaan .
- Selecteer Apparaten.
- Selecteer Apparaat toevoegen.
- Selecteer in het deelvenster Selecteren de printers die u wilt toevoegen aan de beheereenheid en selecteer vervolgens Selecteren.
Eigenschappen van synchronisatieprinter
De integratie van Universal Print met Microsoft Entra ID-apparaatobjecten en beheereenheden biedt veel flexibiliteit en aanpassing in de wijze waarop de rol printer Beheer istrator kan worden gedelegeerd. Door gebruik te maken van de extensieAttributeX van het Microsoft Entra ID-apparaatobject, kunnen organisaties de combinatie van metagegevens van de printer kiezen en kiezen om de verschillende printerbeheerdersbereiken te definiëren.
Ter ondersteuning van deze flexibiliteit is periodieke synchronisatie van printermetagegevens van Universal Print naar Microsoft Entra ID vereist. U kunt dit doen door een script uit te voeren, zoals het volgende voorbeeld of een andere vorm van automatisering.
Het volgende voorbeeld bevat een beginreferentie. Klanten moeten het script aanpassen om te voldoen aan hun eigen implementatiebehoeften.
PowerShell-voorbeeldscript
$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"
$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"
# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
$printer = $_
Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
$device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1
# The display name of the Microsoft Entra ID device is set to the initial display name
# of the printer. This sets extensionAttribute1 to the current name.
$extensionAttribute1 = "$($printer.DisplayName)"
# If the printer was registered with the Universal Print connector then the
# display name of the connector will be present in extensionAttribute2.
$extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"
# If the printer has a country or region set in its location properties it
# will be set to extensionAttribute15. Other location properties can be used
# as well.
$extensionAttribute3 = "$($printer.Location.CountryOrRegion)"
$existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
$extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
$extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
{
Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
Update-MgDevice -DeviceId $device.Id -BodyParameter @{
"extensionAttributes" = @{
"extensionAttribute1" = $extensionAttribute1
"extensionAttribute2" = $extensionAttribute2
"extensionAttribute3" = $extensionAttribute3
}
}
}
}
Notitie
Voor het uitvoeren van dit voorbeeldscript moet het gebruikersaccount een van beide zijn
- Een "Windows 365 Beheer istrator" en "Printer Beheer istrator"
- Of een 'Global Beheer istrator'
Scoped Beheer versus Tenant Printer-Beheer
Een printerbeheerder met een bereik heeft veel van de toegangsrechten als tenantprinter Beheer istratorrol. De volgende tabel bevat een overzicht van de overeenkomsten en verschillen.
| Beheer actie | Printer Beheer-rol | Printerbereik Beheer 1 |
|---|---|---|
| Printer registreren | Ja | Ja2 |
| Verbinding maken or registreren | Ja | Ja2 |
| Registratie van printer ongedaan maken | Ja | Ja |
| Registratie van Verbinding maken or ongedaan maken | Ja | Nr. |
| Printers weergeven | Ja | Ja3 |
| Printershares weergeven | Ja | Ja3 |
| Connectors weergeven | Ja | Ja3 |
| Printereigenschappen | Ja | Ja3 |
| Eigenschappen van printershare | Ja | Ja3 |
| Printer delen | Ja | Ja |
| Printertoegangsbeheer | Ja | Ja |
| Printershare wisselen | Ja | Ja |
| Taakstatus weergeven in afdrukwachtrij | Ja | Ja |
| Documentconversie | Ja | Nr. |
| Gebruik en rapporten | Ja | Nr. |
Opmerking:
- Scoped beheerders kunnen alleen de set printer(en) beheren die zijn gedefinieerd in de Azure AU-configuratie, tenzij anders is opgegeven.
- Scoped beheerders kunnen de actie uitvoeren op elke printer of connector.
- Scoped beheerders zien alle printers, printershares en connectors, maar zijn beperkt tot alleen-lezentoegang tot printers buiten de Azure AU-configuratie.