Delegowanie Administracja istracji drukarki przy użyciu jednostek Administracja istracyjnych w identyfikatorze Entra firmy Microsoft
W tym artykule opisano sposób integrowania usługi Universal Print z jednostkami administracyjnymi w usłudze Microsoft Entra ID. Jednostki administracyjne ograniczają uprawnienia w roli do dowolnej zdefiniowanej części organizacji. Możesz na przykład użyć jednostek administracyjnych, aby delegować rolę Administracja istrator drukarki do regionalnych administratorów wydruku, aby zarządzać drukarkami tylko w regionie, w którym są one obsługiwane.
Wymagania wstępne
- Konfigurowanie jednostki usługi Azure Administracja istrative
- konto Administracja z rolą uprzywilejowaną Administracja istratora lub globalnego Administracja istratora
- Administracja istrator drukarki delegowanej
- Licencja Microsoft Entra ID Premium P1 lub P2 przypisana do każdego Administracja istratora drukarki w ramach jednostki administracyjnej
- Licencja kwalifikująca się do drukowania uniwersalnego jest przypisywana do każdego Administracja istratora drukarki w ramach jednostki administracyjnej
Konfigurowanie jednostki Administracja istratywnej
Krok 1. Tworzenie jednostki administracyjnej
Aby uzyskać szczegółowe informacje na temat różnych opcji, zobacz Tworzenie lub usuwanie jednostek administracyjnych.
- Zaloguj się do witryny Azure Portal przy użyciu konta Administracja istratora uprzywilejowanego lub globalnego Administracja istratora.
- Wybierz Microsoft Entra ID>Jednostki administracyjne.
- Wybierz Dodaj.
- W polu Nazwa wprowadź nazwę jednostki administracyjnej. Opcjonalnie dodaj opis jednostki administracyjnej.
- Wybierz pozycję Dalej: Przypisz role >.
- Wybierz rolę administratora drukarki, a następnie wybierz użytkowników lub grupy, do których chcesz przypisać rolę z tym zakresem jednostki administracyjnej.
- Na karcie Przeglądanie i tworzenie przejrzyj jednostkę administracyjną i wszystkie przypisania ról.
- Zaznacz przycisk Utwórz.
Krok 2. Przypisywanie drukarek do zarządzania przez administratora o określonym zakresie
Usługa Azure Administracja istrative Units oferuje 2 sposoby Administracja na zdefiniowanie zestawu urządzeń, które znajdują się w zakresie przypisanych praw administracyjnych.
- Członkostwo w urządzeniu dynamicznym
- Członkowie są automatycznie aktualizowani na podstawie Administracja ustawiania reguł członkostwa
- Przypisane członkostwo
- Członkowie są przypisywani i aktualizowani ręcznie przez Administracja jednostki Administracja istrative
Opcja 1. Reguła członkostwa w drukarce dynamicznej
Aby uzyskać dodatkowe informacje, zobacz Zarządzanie użytkownikami lub urządzeniami dla jednostki administracyjnej z regułami członkostwa dynamicznego.
Uwaga
Ocena listy drukarek w jednostce administracyjnej może zająć trochę czasu zgodnie z dynamicznymi regułami członkostwa w urządzeniach.
Delegowanie obowiązków Administracja przez łącznik Drukowanie uniwersalne
Po początkowym utworzeniu jednostki administracyjnej wróć do Administracja istracyjnych jednostek.
Wybierz utworzoną jednostkę administracyjną, do której chcesz dodać drukarki.
Wybierz Właściwości.
Na liście Typ członkostwa wybierz pozycję Urządzenie dynamiczne.
Wybierz pozycję Dodaj zapytanie dynamiczne.
Użyj konstruktora reguł, aby określić regułę członkostwa dynamicznego. Aby uzyskać więcej informacji, zobacz Konstruktor reguł w witrynie Azure Portal.
W konstruktorze reguł
Właściwości Operator Wartość systemLabels Contains DrukarkaStandard extensionAttribute2 Rozpoczyna się od <Schemat nazewnictwa łączników>
Napiwek
Zanotuj pola i wartości "Właściwość" używane w regule zapytania dynamicznego. Będą one potrzebne później w procesie wdrażania.
Delegowanie obowiązków Administracja według lokalizacji drukarki
Po początkowym utworzeniu jednostki administracyjnej wróć do Administracja istracyjnych jednostek.
Wybierz utworzoną jednostkę administracyjną, do której chcesz dodać drukarki.
Wybierz Właściwości.
Na liście Typ członkostwa wybierz pozycję Urządzenie dynamiczne.
Wybierz pozycję Dodaj zapytanie dynamiczne.
Użyj konstruktora reguł, aby określić regułę członkostwa dynamicznego. Aby uzyskać więcej informacji, zobacz Konstruktor reguł w witrynie Azure Portal.
W konstruktorze reguł
Właściwości Operator Wartość systemLabels Contains DrukarkaStandard extensionAttribute3 Contains USA
Napiwek
Zanotuj pola i wartości "Właściwość" używane w regule zapytania dynamicznego. Będą one potrzebne później w procesie wdrażania.
Opcja 2. Lista członkostwa w statycznej drukarce
Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników, grup lub urządzeń do jednostki administracyjnej.
- Po początkowym utworzeniu jednostki administracyjnej wróć do Administracja istracyjnych jednostek.
- Wybierz utworzoną jednostkę administracyjną, do której chcesz dodać drukarki.
- Wybierz Właściwości.
- Na liście Typ członkostwa wybierz pozycję Przypisane.
- Jeśli wprowadzono zmianę, pamiętaj o zapisaniu zmian.
- Wybierz Urządzenia.
- Wybierz pozycję Dodaj urządzenie.
- W okienku Wybierz wybierz drukarki, które chcesz dodać do jednostki administracyjnej, a następnie wybierz pozycję Wybierz.
Właściwości drukarki synchronizacji
Integracja usługi Universal Print z obiektami urządzeń Microsoft Entra ID i jednostkami administracyjnymi zapewnia dużą elastyczność i dostosowywanie sposobu delegowania roli Administracja istratora drukarki. Korzystając z obiektu urządzenia Microsoft Entra ID "extensionAttributeX", organizacje mogą wybrać i wybrać kombinację metadanych drukarki do użycia w celu zdefiniowania różnych zakresów administratora drukarki.
Aby zapewnić tę elastyczność, wymagane jest okresowe synchronizowanie metadanych drukarki z usługi Universal Print do identyfikatora Entra firmy Microsoft. Można to zrobić, wykonując skrypt, taki jak poniższy przykład lub dowolną inną formę automatyzacji.
Poniższy przykład zawiera informacje początkowe. Klienci powinni zmodyfikować skrypt w celu spełnienia własnych potrzeb związanych z wdrożeniem.
Przykładowy skrypt programu PowerShell
$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"
$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"
# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
$printer = $_
Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
$device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1
# The display name of the Microsoft Entra ID device is set to the initial display name
# of the printer. This sets extensionAttribute1 to the current name.
$extensionAttribute1 = "$($printer.DisplayName)"
# If the printer was registered with the Universal Print connector then the
# display name of the connector will be present in extensionAttribute2.
$extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"
# If the printer has a country or region set in its location properties it
# will be set to extensionAttribute15. Other location properties can be used
# as well.
$extensionAttribute3 = "$($printer.Location.CountryOrRegion)"
$existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
$extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
$extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
{
Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
Update-MgDevice -DeviceId $device.Id -BodyParameter @{
"extensionAttributes" = @{
"extensionAttribute1" = $extensionAttribute1
"extensionAttribute2" = $extensionAttribute2
"extensionAttribute3" = $extensionAttribute3
}
}
}
}
Uwaga
Wykonanie tego przykładowego skryptu wymaga, aby konto użytkownika było albo
- "Windows 365 Administracja istrator" i "Printer Administracja istrator"
- Lub "Globalny Administracja istrator"
Administracja w zakresie a Administracja drukarki dzierżawy
Administrator drukarki w zakresie ma wiele praw dostępu jako rolę Administracja istratora drukarki dzierżawy. W poniższej tabeli podsumowano podobieństwa i różnice.
| akcja Administracja | Rola Administracja drukarki | Drukarka o zakresie Administracja 1 |
|---|---|---|
| Zarejestruj drukarkę | Tak | Tak2 |
| Rejestrowanie Połączenie or | Tak | Tak2 |
| Wyrejestrowywanie drukarki | Tak | Tak |
| Wyrejestrowywanie Połączenie or | Tak | Nie. |
| Drukarki listy | Tak | Tak3 |
| Wyświetlanie listy udziałów drukarek | Tak | Tak3 |
| Wyświetl listę łączników | Tak | Tak3 |
| Właściwości drukarki | Tak | Tak3 |
| Właściwości udziału drukarki | Tak | Tak3 |
| Udostępnianie drukarki | Tak | Tak |
| Kontrola dostępu do drukarek | Tak | Tak |
| Wymiana udziału drukarki | Tak | Tak |
| Wyświetlanie stanu zadania w kolejce wydruku | Tak | Tak |
| Konwertowanie dokumentów | Tak | Nie. |
| Użycie i raporty | Tak | Nie. |
Uwaga:
- Administratorzy o określonym zakresie mogą zarządzać tylko zestawem drukarek zdefiniowanych w konfiguracji usługi Azure AU, chyba że określono inaczej.
- Administratorzy o określonym zakresie mogą wykonać akcję na dowolnej drukarce lub łączniku.
- Administratorzy o określonym zakresie widzą wszystkie drukarki, udziały drukarek i łączniki, ale są ograniczone do dostępu tylko do odczytu do tych poza konfiguracją usługi Azure AU.