Delegar administração de impressora com unidades administrativas no Microsoft Entra ID
Este artigo descreve como o Universal Print se integra com unidades administrativas no Microsoft Entra ID. As unidades administrativas restringem as permissões de uma função a qualquer parte da organização que você definir. Você pode, por exemplo, usar unidades administrativas para delegar a função Administrador de Impressora a administradores de impressão regionais, para que eles possam gerenciar impressoras somente na região que oferecem suporte.
Consulte Unidades administrativas na ID do Microsoft Entra para obter detalhes adicionais sobre o que ele oferece.
Pré-requisitos
- Configurando a Unidade Administrativa do Azure
- Conta de administrador com função de Administrador de Função Privilegiada ou Administrador Global
- Administrador de impressora delegada
- Licença do Microsoft Entra ID Premium P1 ou P2 atribuída a cada Administrador de Impressora dentro da unidade administrativa
- A licença qualificada para impressão universal é atribuída a cada administrador de impressora dentro da unidade administrativa
Configurar unidade administrativa
Etapa 1: Criar a unidade administrativa
Consulte Criar ou excluir unidades administrativas para obter detalhes sobre as várias opções.
- Entre no portal do Azure com uma conta de Administrador de Função Privilegiada ou Administrador Global.
- Selecione Microsoft Entra ID>Unidades administrativas.
- Selecione Adicionar.
- Na caixa Nome, insira o nome da unidade administrativa. Se você quiser, também pode adicionar uma descrição da unidade administrativa.
- Selecione Avançar: Atribuir funções >.
- Selecione Função de administrador da impressora e, em seguida, selecione os usuários ou grupos aos quais atribuir a função com esse escopo de unidade administrativa.
- Na guia Revisar + criar, examine a unidade administrativa e as atribuições de função.
- Selecione o botão Criar.
Etapa 2: Atribuir impressoras a serem gerenciadas pelo administrador com escopo
As Unidades Administrativas do Azure oferecem 2 maneiras para os administradores definirem o conjunto de dispositivos que estão dentro do escopo dos direitos administrativos atribuídos.
- Associação dinâmica de dispositivos
- Os membros são atualizados automaticamente com base nas regras de associação definidas pelo administrador
- Associação atribuída
- Os membros são atribuídos e atualizados manualmente pelo administrador da Unidade Administrativa
Opção 1: Regra de associação de impressora dinâmica
Consulte Gerenciar usuários ou dispositivos de uma unidade administrativa com regras de associação dinâmica para obter detalhes adicionais.
Observação
Pode levar algum tempo para que a lista de impressoras em uma unidade administrativa seja avaliada de acordo com as regras de associação dinâmica de dispositivos.
Delegando responsabilidades de administrador por conectores de impressão universais
Depois que a unidade administrativa for inicialmente criada, volte para Unidades administrativas.
Selecione a unidade administrativa criada à qual você deseja adicionar impressoras.
Selecione Propriedades.
Na lista Tipo de associação, selecione Dispositivo dinâmico.
Selecione Adicionar consulta dinâmica.
Use o construtor de regras para especificar a regra de associação dinâmica. Para obter mais informações, confira Construtor de regras no portal do Azure.
No construtor de regras
Propriedade Operador Valor systemLabels Contém ImpressoraPadrão extensionAttribute2 Começa com <esquema de nomenclatura do conector>
Dica
Anote os campos e valores "Propriedade" usados na regra de consulta dinâmica. Eles serão necessários mais tarde no processo de implantação.
Delegando responsabilidades de administrador por local da impressora
Depois que a unidade administrativa for inicialmente criada, volte para Unidades administrativas.
Selecione a unidade administrativa criada à qual você deseja adicionar impressoras.
Selecione Propriedades.
Na lista Tipo de associação, selecione Dispositivo dinâmico.
Selecione Adicionar consulta dinâmica.
Use o construtor de regras para especificar a regra de associação dinâmica. Para obter mais informações, confira Construtor de regras no portal do Azure.
No construtor de regras
Propriedade Operador Valor systemLabels Contém ImpressoraPadrão extensionAttribute3 Contém EUA
Dica
Anote os campos e valores "Propriedade" usados na regra de consulta dinâmica. Eles serão necessários mais tarde no processo de implantação.
Opção 2: Lista de associação de impressora estática
Consulte Adicionar usuários, grupos ou dispositivos a uma unidade administrativa para obter detalhes adicionais.
- Depois que a unidade administrativa for inicialmente criada, volte para Unidades administrativas.
- Selecione a unidade administrativa criada à qual você deseja adicionar impressoras.
- Selecione Propriedades.
- Na lista Tipo de associação, selecione Atribuído.
- Se uma alteração foi feita, lembre-se de Salvar as alterações.
- Selecione Dispositivos.
- Selecione Adicionar dispositivo.
- No painel Selecionar, selecione as impressoras que deseja adicionar à unidade administrativa e selecione Selecionar.
Sincronizar propriedades da impressora
A integração do Universal Print com objetos de dispositivo e unidades administrativas do Microsoft Entra ID fornece muita flexibilidade e personalização na forma como a função de Administrador de Impressora pode ser delegada. Aproveitando o "extensionAttributeX" do objeto de dispositivo ID do Microsoft Entra, as organizações podem escolher a combinação de metadados da impressora a ser usada para definir os diferentes escopos do administrador da impressora.
Para oferecer suporte a essa flexibilidade, é necessária a sincronização periódica de metadados da impressora do Universal Print para o Microsoft Entra ID. Isso pode ser feito executando um script, como o exemplo a seguir, ou qualquer outra forma de automação.
O exemplo a seguir fornece uma referência inicial, os clientes devem modificar o script para atender às suas próprias necessidades de implantação.
Exemplo de script do PowerShell
$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"
$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"
# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
$printer = $_
Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
$device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1
# The display name of the Microsoft Entra ID device is set to the initial display name
# of the printer. This sets extensionAttribute1 to the current name.
$extensionAttribute1 = "$($printer.DisplayName)"
# If the printer was registered with the Universal Print connector then the
# display name of the connector will be present in extensionAttribute2.
$extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"
# If the printer has a country or region set in its location properties it
# will be set to extensionAttribute15. Other location properties can be used
# as well.
$extensionAttribute3 = "$($printer.Location.CountryOrRegion)"
$existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
$extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
$extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
{
Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
Update-MgDevice -DeviceId $device.Id -BodyParameter @{
"extensionAttributes" = @{
"extensionAttribute1" = $extensionAttribute1
"extensionAttribute2" = $extensionAttribute2
"extensionAttribute3" = $extensionAttribute3
}
}
}
}
Observação
A execução deste script de exemplo requer que a conta de usuário seja
- Um "Administrador do Windows 365" e "Administrador de impressora"
- Ou, um "Administrador Global"
Administrador com escopo vs administrador de impressora locatário
Um administrador de impressora com escopo tem muitos dos direitos de acesso como uma função de Administrador de Impressora locatária. A tabela a seguir resume as semelhanças e diferenças.
| Ação do administrador | Função de administrador da impressora | Administrador de impressoracom escopo 1 |
|---|---|---|
| Registrar impressora | Yes | Sim2 |
| Conector de registro | Yes | Sim2 |
| Cancelar o registro da impressora | Sim | Yes |
| Cancelar registro do conector | Sim | Não |
| Listar impressoras | Yes | Sim3 |
| Listar compartilhamentos de impressora | Yes | Sim3 |
| Listar conectores | Yes | Sim3 |
| Propriedades da impressora | Yes | Sim3 |
| Propriedades de compartilhamento de impressora | Yes | Sim3 |
| Compartilhando impressora | Sim | Yes |
| Controle de Acesso à Impressora | Sim | Yes |
| Trocar compartilhamento de impressora | Sim | Yes |
| Exibir status do trabalho na fila de impressão | Sim | Yes |
| Conversão de documentos | Sim | Não |
| Uso e relatórios | Sim | Não |
Observação:
- Os administradores com escopo só podem gerenciar o(s) conjunto(s) de impressora(s) definido(s) na configuração da UA do Azure, a menos que especificado de outra forma.
- Os administradores com escopo podem executar a ação em qualquer impressora ou conector.
- Os administradores com escopo veem todas as impressoras, compartilhamentos de impressora e conectores, mas estão limitados ao acesso somente leitura àqueles fora da configuração da UA do Azure.