Delegieren der Druckerverwaltung mit Verwaltungseinheiten in Microsoft Entra ID
In diesem Artikel wird beschrieben, wie universelles Drucken in Verwaltungseinheiten in Microsoft Entra ID integriert wird. Mit Verwaltungseinheiten können Sie die Berechtigungen einer Rolle auf einen beliebigen von Ihnen zu definierenden Bereich in Ihrer Organisation beschränken. Mit Verwaltungseinheiten können Sie beispielsweise die Rolle Helpdeskadministrator an regionale Supportspezialisten delegieren, sodass diese nur in der von ihnen unterstützten Region Benutzer verwalten können.
Weitere Informationen zu ihren Angeboten finden Sie unter Verwaltungseinheiten in Microsoft Entra ID.
Voraussetzungen
- Konfigurieren der Azure-Verwaltungseinheit
- Admin-Konto mit der Rolle Privilegierter Administrator oder Globaler Administrator
- Delegierter Druckeradministrator
- Microsoft Entra ID Premium P1- oder P2-Lizenz, die allen Druckeradministrator*innen innerhalb der Verwaltungseinheit zugewiesen ist
- Eine für Universelles Drucken geeignete Lizenz wird jedem Druckeradministrator innerhalb der Verwaltungseinheit zugewiesen.
Konfigurieren der Verwaltungseinheit
1. Schritt: Administrative Gruppe erstellen
Weitere Informationen zu den verschiedenen Optionen finden Sie unter Erstellen oder Löschen von Verwaltungseinheiten.
- Melden Sie sich im Azure-Portal als Globaler Administrator oder Administrator für privilegierte Rollen an.
- Wählen Sie Microsoft Entra ID>Verwaltungseinheiten aus.
- Wählen Sie Hinzufügen aus.
- Geben Sie im Feld Name den Namen der Verwaltungseinheit ein. Fügen Sie optional eine Beschreibung der Verwaltungseinheit hinzu.
- Wählen Sie Weiter: Rollen zuweisen> aus.
- Wählen Sie die Rolle Druckeradministrator und dann die Benutzer oder Gruppen aus, denen die Rolle mit dem Geltungsbereich dieser Verwaltungseinheit zugewiesen werden soll.
- Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Verwaltungseinheit und alle Rollenzuweisungen.
- Wählen Sie die Schaltfläche Erstellen.
Schritt 2: Zuweisen von Druckern, die vom Bereichsadministrator verwaltet werden sollen
Azure-Verwaltungseinheiten bieten Administratoren zwei Möglichkeiten, den Satz von Geräten zu definieren, die in den Geltungsbereich der zugewiesenen Verwaltungsrechte fallen.
- Dynamische Gerätemitgliedschaft
- Die Mitglieder werden automatisch basierend auf den vom Administrator festgelegten Mitgliedschaftsregeln aktualisiert
- Mitgliedschaft zuweisen
- Mitglieder werden vom Administrator der Verwaltungseinheit manuell zugewiesen und aktualisiert.
Option 1: Dynamische Mitgliedschaftsregel für Drucker
Siehe Verwalten von Benutzern oder Geräten für eine Verwaltungseinheit mit dynamischen Mitgliedschaftsregeln für weitere Details.
Hinweis
Es kann einige Zeit dauern, bis die Liste der Drucker in einer Verwaltungseinheit nach den dynamischen Gerätemitgliedschaftsregeln ausgewertet ist.
Delegieren von Administratoraufgaben durch Connectors für Universelles Drucken
Nachdem die Verwaltungseinheit erstellt wurde, wechseln Sie zurück zu Verwaltungseinheiten.
Wählen Sie die erstellte Verwaltungseinheit aus, der Sie Drucker hinzufügen möchten.
Wählen Sie Eigenschaften aus.
Wählen Sie in der Liste Mitgliedschaftstyp die Option Dynamisches Gerät.
Wählen Sie Dynamische Abfrage hinzufügen aus.
Verwenden Sie den Regel-Generator, um die dynamische Mitgliedschaftsregel anzugeben. Weitere Informationen finden Sie unter Regel-Generator im Azure-Portal.
Im Regel-Generator
Eigenschaft Operator Wert systemLabels Contains PrinterStandard extensionAttribute2 Starts With <Benennungsschema für Connectors>
Tipp
Beachten Sie die Felder und Werte der „Eigenschaft“, die in der dynamischen Abfrageregel verwendet werden. Diese werden später im Bereitstellungsprozess benötigt.
Delegieren von Verwaltungsaufgaben nach Druckerstandort
Nachdem die Verwaltungseinheit erstellt wurde, wechseln Sie zurück zu Verwaltungseinheiten.
Wählen Sie die erstellte Verwaltungseinheit aus, der Sie Drucker hinzufügen möchten.
Wählen Sie Eigenschaften aus.
Wählen Sie in der Liste Mitgliedschaftstyp die Option Dynamisches Gerät.
Wählen Sie Dynamische Abfrage hinzufügen aus.
Verwenden Sie den Regel-Generator, um die dynamische Mitgliedschaftsregel anzugeben. Weitere Informationen finden Sie unter Regel-Generator im Azure-Portal.
Im Regel-Generator
Eigenschaft Operator Wert systemLabels Contains PrinterStandard extensionAttribute3 Contains USA
Tipp
Beachten Sie die Felder und Werte der „Eigenschaft“, die in der dynamischen Abfrageregel verwendet werden. Diese werden später im Bereitstellungsprozess benötigt.
Option 2: Statische Druckermitgliedschaftsliste
Weitere Informationen finden Sie unter Hinzufügen von Benutzern, Gruppen oder Geräten zu einer Verwaltungseinheit.
- Nachdem die Verwaltungseinheit erstellt wurde, wechseln Sie zurück zu Verwaltungseinheiten.
- Wählen Sie die erstellte Verwaltungseinheit aus, der Sie Drucker hinzufügen möchten.
- Wählen Sie Eigenschaften aus.
- Wählen Sie in der Liste Mitgliedschaftstyp die Option Zugewiesen aus.
- Wenn eine Änderung vorgenommen wurde, vergessen Sie nicht, die Änderungen zu speichern.
- Klicken Sie auf Geräte.
- Klicken Sie auf Gerät hinzufügen.
- Wählen Sie im Bereich Auswählen die Drucker aus, die Sie der Verwaltungseinheit hinzufügen möchten, und wählen Sie dann Auswählen.
Synchronisieren der Druckereigenschaften
Die Integration von Universelles Drucken in Microsoft Entra ID-Geräteobjekte und Verwaltungseinheiten bietet eine Menge Flexibilität und Anpassung bei der Delegierung der Rolle „Druckeradministrator“. Durch die Nutzung des „extensionAttributeX“ des Microsoft Entra ID-Geräteobjekts können Organisationen die Kombination aus Druckermetadaten auswählen und entscheiden, welche Kombination zum Definieren der verschiedenen Druckeradministratorbereiche verwendet werden sollen.
Zur Unterstützung dieser Flexibilität ist eine regelmäßige Synchronisierung von Druckermetadaten von Universelles Drucken zu Microsoft Entra ID erforderlich. Dies kann durch die Ausführung eines Skripts, wie das folgende Beispiel, oder durch eine andere Form der Automatisierung erfolgen.
Das folgende Beispiel dient als Ausgangsreferenz. Kunden sollten das Skript an ihre eigenen Bereitstellungsanforderungen anpassen.
Beispiel-PowerShell-Skript
$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"
$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"
# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
$printer = $_
Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
$device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1
# The display name of the Microsoft Entra ID device is set to the initial display name
# of the printer. This sets extensionAttribute1 to the current name.
$extensionAttribute1 = "$($printer.DisplayName)"
# If the printer was registered with the Universal Print connector then the
# display name of the connector will be present in extensionAttribute2.
$extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"
# If the printer has a country or region set in its location properties it
# will be set to extensionAttribute15. Other location properties can be used
# as well.
$extensionAttribute3 = "$($printer.Location.CountryOrRegion)"
$existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
$extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
$extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
{
Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
Update-MgDevice -DeviceId $device.Id -BodyParameter @{
"extensionAttributes" = @{
"extensionAttribute1" = $extensionAttribute1
"extensionAttribute2" = $extensionAttribute2
"extensionAttribute3" = $extensionAttribute3
}
}
}
}
Hinweis
Für die Ausführung dieses Beispielskripts muss das Benutzerkonto entweder
- ein „Windows 365-Administrator“ und „Druckeradministrator“,
- oder „Globaler Administrator“ sein.
Bereichsbezogener Administrator vs. Mandanten-Druckeradministrator
Ein bereichsbezogener Druckeradministrator verfügt über viele der Zugriffsrechte einer Rolle als Mandanten-Druckeradministrator. Die folgende Tabelle enthält eine Übersicht über die Ähnlichkeiten und Unterschiede.
| Administratoraktion | Druckeradministrator-Rolle | Bereichsbezogener Druckeradministrator1 |
|---|---|---|
| Drucker registrieren | Ja | Ja2 |
| Connector registrieren | Ja | Ja2 |
| Registrierung des Druckers aufheben | Ja | Ja |
| Registrierung des Connectors aufheben | Ja | No |
| Drucker auflisten | Ja | Ja3 |
| Druckerfreigaben auflisten | Ja | Ja3 |
| Connectors auflisten | Ja | Ja3 |
| Druckereigenschaften | Ja | Ja3 |
| Druckerfreigabeeigenschaften | Ja | Ja3 |
| Drucker freigeben | Ja | Ja |
| Drucker-Access Control | Ja | Ja |
| Druckerfreigabe austauschen | Ja | Ja |
| Auftragsstatus in der Druckwarteschlange anzeigen | Ja | Ja |
| Konvertieren von Dokumenten | Ja | No |
| Verbrauch und Berichte | Ja | No |
Hinweis:
- Bereichsbezogene Administratoren können nur die in der Azure AU-Konfiguration festgelegten Drucker verwalten, sofern nicht anders angegeben.
- Bereichsbezogene Administratoren können die Aktion für jeden Drucker oder Konnektor durchführen.
- Bereichsbezogene Administratoren sehen alle Drucker, Druckerfreigaben und Connectors, haben jedoch nur Lesezugriff auf diejenigen außerhalb der Azure AU-Konfiguration.