共用方式為

使用 Microsoft Entra 識別碼中的 管理員 istrative 單位委派印表機 管理員 設定

  • 發行項

本文說明通用列印如何與 Microsoft Entra ID 中的系統管理單位整合。 管理單位會將角色中的權限限制為您所定義之組織的任何部分。 例如,您可以使用系統管理單位,將 Printer 管理員 istrator 角色委派給區域列印系統管理員,因此他們只能在支援的區域管理印表機。

如需其供應專案的其他詳細數據,請參閱 Microsoft Entra 標識碼中的 管理員 單位。

必要條件

  • 設定 Azure 管理員 istrative 單位
    • 具有特殊許可權角色 管理員 istrator 或 Global 管理員 istrator 角色的 管理員 帳戶
  • 委派的印表機 管理員 istrator
    • Microsoft Entra ID 進階版 P1 或 P2 授權指派給管理單位內的每部列印機 管理員 istrator
    • 通用列印合格授權會指派給管理單位內的每部 Printer 管理員 istrator

設定 管理員 單位

步驟 1:建立管理單位

如需 各種選項的詳細資訊,請參閱建立或刪除管理單位

  1. 使用 Privileged Role 管理員 istrator 或 Global 管理員 istrator 帳戶登入 Azure 入口網站。
  2. 選取 Microsoft Entra ID> 管理單位
  3. 選取 [新增]。
  4. 在 [ 名稱] 方塊中,輸入管理單位的名稱。 選擇性地新增管理單位的描述。
  5. 選取 [ 下一步:指派角色 >]。
  6. 選取 [ 印表機系統管理員 角色],然後選取要使用此系統管理單位範圍將角色指派給的使用者或群組。
  7. 在 [檢閱 + 建立] 索引卷標上,檢閱管理單位和任何角色指派。
  8. 選取建立按鈕。

步驟 2:指派受範圍系統管理員管理的印表機

Azure 管理員 istrative Units 提供 2 種方式,讓 管理員 定義指派系統管理許可權範圍內的一組裝置。

  1. 動態裝置成員資格
    • 成員會根據 管理員 設定成員資格規則自動更新
  2. 指派的成員資格
    • 成員會由 管理員 單位的 管理員 手動指派和更新

選項 1:動態印表機成員資格規則

如需 其他詳細數據,請參閱使用動態成員資格規則 管理管理單位的使用者或裝置。

注意

系統管理單位中的印表機清單可能需要一些時間,才能根據動態裝置成員資格規則進行評估。

依 通用列印連線程式 委派 管理員 責任

  1. 一開始建立管理單位之後,請返回 管理員 單位

  2. 選取您要新增印表機的已建立管理單位。

  3. 選取屬性

  4. 在 [ 成員資格類型 ] 清單中,選取 [ 動態裝置]。

  5. 選取 [新增動態查詢]

  6. 使用規則產生器來指定動態成員資格規則。 如需詳細資訊,請參閱 Azure 入口網站 中的規則產生器。

  7. 在規則產生器中

    屬性 運算子
    systemLabels 包含 PrinterStandard
    extensionAttribute2 開頭為 <連接器命名架構>

提示

記下動態查詢規則中使用的「屬性」欄位和值。 稍後在部署程式中需要這些專案。

依印表機位置委派 管理員 責任

  1. 一開始建立管理單位之後,請返回 管理員 單位

  2. 選取您要新增印表機的已建立管理單位。

  3. 選取屬性

  4. 在 [ 成員資格類型 ] 清單中,選取 [ 動態裝置]。

  5. 選取 [新增動態查詢]

  6. 使用規則產生器來指定動態成員資格規則。 如需詳細資訊,請參閱 Azure 入口網站 中的規則產生器。

  7. 在規則產生器中

    屬性 運算子
    systemLabels 包含 PrinterStandard
    extensionAttribute3 包含 USA

提示

記下動態查詢規則中使用的「屬性」欄位和值。 稍後在部署程式中需要這些專案。

選項 2:靜態印表機成員資格清單

如需 其他詳細數據,請參閱將使用者、群組或裝置新增至系統管理單位

  1. 一開始建立管理單位之後,請返回 管理員 單位
  2. 選取您要新增印表機的已建立管理單位。
  3. 選取屬性
  4. 在 [ 成員資格類型 ] 列表中,選取 [ 指派]。
  5. 如果已進行變更,請記得儲存變更。
  6. 選取 [裝置]
  7. 選取 [ 新增裝置]。
  8. 在 [ 選取 ] 窗格中,選取您要新增至系統管理單位的印表機,然後選取 [ 選取]。

同步印表機屬性

通用列印與 Microsoft Entra ID 裝置物件和管理單位的整合,提供許多彈性和自定義,讓您瞭解如何委派 Printer 管理員 istrator 角色。 藉由利用 Microsoft Entra ID 裝置物件的 「extensionAttributeX」,組織可以挑選並選擇用來定義不同印表機系統管理員範圍的印表機元數據組合。

若要支援這項彈性,需要定期同步處理印表機元數據從通用列印到 Microsoft Entra ID。 執行腳本,例如下列範例或任何其他形式的自動化,即可完成此作業。

下列範例提供起始參考,客戶應修改腳本以符合自己的部署需求。

範例 PowerShell 腳本

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Microsoft Entra ID device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

注意

執行此範例腳本需要用戶帳戶為其中一項

  • “Windows 365 管理員 istrator” 和 “Printer 管理員 istrator”
  • 或者,「全域 管理員 istrator」

範圍 管理員 與租用戶印表機 管理員

範圍印表機管理員擁有租使用者 Printer 管理員 istrator 角色的許多訪問許可權。 下表摘要說明相似之處和差異。

管理員 動作 印表機 管理員 角色 範圍印表機 管理員 1
註冊印表機 Yes 2
註冊 連線 or Yes 2
取消註冊印表機 Yes Yes
取消註冊 連線 or No
列出印表機 Yes 3
列出印表機共用 Yes 3
列出連接器 Yes 3
印表機屬性 Yes 3
印表機共用屬性 Yes 3
共用印表機 Yes Yes
印表機 存取控制 Yes Yes
交換印表機共用 Yes Yes
在列印佇列中檢視作業狀態 Yes Yes
文件轉換 No
使用方式和報告 No

注意:

  1. 除非另有指定,否則限定範圍的系統管理員只能管理 Azure AU 組態中定義的印表機集。
  2. 限定範圍的系統管理員可以在任何印表機或連接器上執行動作。
  3. 限定範圍的系統管理員會看到所有印表機、印表機共用和連接器,但僅限於 Azure AU 設定以外的印表機、印表機共用和連接器的唯讀存取權。