Abilitare l'ambiente Ibrido AD/Microsoft Entra ID nella stampa universale
Si applica a: Windows Server 2016
Background
Queste informazioni consentono di decidere se abilitare la configurazione ibrida di Active Directory è la scelta giusta per l'organizzazione.
Che cos'è una configurazione ibrida di Active Directory?
Una configurazione ibrida di ACTIVE Directory è una configurazione in cui l'organizzazione usa sia AD che Microsoft Entra ID. In un ambiente di questo tipo, un account utente esiste in entrambi questi servizi directory.
Cosa significa "Abilitare la configurazione ibrida di Active Directory"
Il connettore Stampa universale viene eseguito come servizio Windows nel PC in cui è installato. Una delle funzioni del connettore consiste nel recuperare i processi di stampa da Stampa universale e inviarli alla stampante di destinazione. Il connettore usa l'account "System" per inviare processi di stampa allo spooler. Pertanto, anche se il portale di stampa universale mostrerà il nome utente microsoft Entra ID che ha inviato un processo di stampa, ogni processo di stampa stampato con Stampa universale verrà visualizzato nella coda della stampante Windows sul connettore come inviato dall'utente "System".
Alcune applicazioni di gestione della stampa legacy, che si basano su domini di Active Directory, leggono il nome utente dalla coda dello spooler e usano tali informazioni per eseguire alcune funzioni (ad esempio, detraggono il processo di stampa dalla quota di stampa mensile di un utente). Fino a quando queste applicazioni non vengono aggiornate in modo più semplice con Stampa universale, non potranno ottenere l'identità dell'utente che ha originato un processo di stampa.
Quando l'opzione "Abilita configurazione ibrida di ACTIVE Directory" è attivata nella connettore Stampa universale, il connettore tenta di eseguire il mapping dell'identità utente dell'ID di Microsoft Entra a un'identità utente di dominio AD locale corrispondente. Se viene trovata un'identità corrispondente, il servizio connettore rappresenta l'identità del dominio dell'utente prima di inviare il processo di stampa allo spooler per suo conto. In tal caso, il nome utente di dominio dell'utente che ha originato il processo di stampa verrà visualizzato nella coda dello spooler nel PC connettore, consentendo alle applicazioni legacy di leggerla.
Prerequisiti
Sono disponibili diverse sottoscrizioni, servizi e computer che è necessario acquisire prima di avviare l'installazione. Questi sono:
Sottoscrizione Premium di Microsoft Entra ID.
Vedere Introduzione a una sottoscrizione di Azure per una sottoscrizione di valutazione in Azure.
Servizio MDM, ad esempio Intune.
Vedere Microsoft Intune per una sottoscrizione di valutazione a Intune.
Computer Windows Server 2016 o versione successiva che esegue Active Directory.
Per informazioni sulla configurazione di Active Directory, vedere Procedura dettagliata: Configurazione di Active Directory in Windows Server 2016 .
Un computer Windows Server 2016 o versioni successive dedicato che esegue come server di stampa e un connettore Stampa universale.
Per altre informazioni, vedere Informazioni sui connettori application proxy dell'applicazione Entra ID Microsoft.
Nome di dominio pubblico.
È possibile usare il nome di dominio creato automaticamente da Azure (nomedominio.onmicrosoft.com) o acquistare il proprio nome di dominio. Vedere Aggiungere il nome di dominio personalizzato usando il portale Microsoft Entra ID.
Passaggi per la distribuzione
I passaggi seguenti consentono di configurare una tipica distribuzione di stampa universale necessaria per abilitare l'ambiente IBRIDO AD/Microsoft Entra ID.
Passaggio 1 - Installare Microsoft Entra ID Connect
- Microsoft Entra ID connect sincronizza l'ID Microsoft Entra con AD locale. Nel computer Windows Server con Active Directory scaricare e installare il software Microsoft Entra ID Connect con le impostazioni rapide. Vedere Introduzione a Microsoft Entra ID Connect con le impostazioni rapide.
Passaggio 2 - Configurare il server di stampa
Assicurarsi che nel server di stampa siano installati tutti gli aggiornamenti di Windows (aggiornare il server prima di procedere).
Nota: Server 2019 deve essere patchato per la build 17763.165 o successiva.
Nel computer Windows Server che funge da server di stampa, è necessario installare il ruolo server di stampa.
- Per informazioni dettagliate su come installare ruoli, ruoli e funzionalità, vedere Installare ruoli, servizi ruolo e funzionalità usando l'Aggiunta guidata ruoli e funzionalità.
Per assicurarsi che l'istanza di Active Directory locale sia mappata con gli account Microsoft Entra ID, Windows Server che funge da server di stampa deve essere aggiunto ad Azure o aggiunto ad Azure ibrido. Vedere Installazione stampa universale per assicurarsi che tutti i passaggi siano completati. Insomma
- Installare Universal Print Connector nel computer server di stampa, se non è già stato fatto.
- Registrare il connettore con Stampa universale specificando un nome univoco per il connettore.
- Condividere le stampanti registrate nel portale di amministrazione.
Passaggio 3 - Configurare la sincronizzazione della directory di Ad locale con Microsoft Entra ID
Gli utenti o i gruppi devono esistere in Active Directory locale e sincronizzati con Microsoft Entra ID. Se la soluzione viene distribuita in un dominio non instradabile (ad esempio mydomain.local), è necessario aggiungere un suffisso UPN a Active Directory locale, ad esempio domainname.onmicrosoft.com o uno acquistato da un fornitore di terze parti. Si tratta quindi esattamente dello stesso utente che pubblica stampanti (ad esempio, admin@domainname.onmicrosoft.com). Vedere Preparare un dominio non instradabile per la sincronizzazione della directory per assicurarsi che il dominio locale venga aggiunto e sincronizzato.
Nota: si tratta di un passaggio importante perché è il requisito di base per una configurazione completa. L'utente di ACTIVE Directory locale deve avere lo stesso nome utente nell'account MICROSOFT Entra ID sincronizzato.
Esempio: domain/user1 deve essere convertito in user1@example.com
Una volta eseguita la sincronizzazione (la frequenza di sincronizzazione predefinita è di 30 minuti), è possibile verificare che gli utenti di ACTIVE Directory siano sincronizzati nel portale di amministrazione. In Microsoft Entra ID selezionare la scheda utenti e verrà visualizzato un elenco di tutti gli utenti. Sarebbe facile verificare se un utente è sincronizzato nella directory in tale elenco. I dettagli di un utente devono mostrare che l'origine è Windows Server AD.
Passaggio 4- Abilitazione del supporto ibrido di AD/Microsoft Entra ID in Universal Print Connector
Nel server di stampa in cui è installato il connettore, nell'angolo superiore destro dell'applicazione deve essere presente un pulsante di attivazione/disattivazione.
- Selezionare il pulsante di opzione su Abilita configurazione ibrida di ACTIVE Directory nel connettore.
Verificare la distribuzione
Verificando che la distribuzione venga eseguita inviando un processo di stampa di test al server di stampa usando le credenziali dell'ID Microsoft Entra in un computer client aggiunto ad AD.
Il computer deve essere aggiunto a Microsoft Entra ID con lo stesso account a cui è collegato durante il passaggio di sincronizzazione. Passare a Impostazioni>Account>e-mail e account. Fare clic su Aggiungi un account aziendale o dell'istituto di istruzione e accedere usando le credenziali per aggiungere l'account ID Microsoft Entra al computer client.
Passaggi per inviare una stampa di test per verificare che la distribuzione sia riportata di seguito:
- Aggiungere una stampante e stampare una pagina di prova
- Dopo aver notato un processo di stampa in coda nella coda di stampa, il server di stampa nella cartella C:/prints deve avere un file di stampa di prova visualizzato nel nome printerName.pdf.
- Se viene visualizzato questo file, è possibile verificare se il mapping si è verificato correttamente controllando i log eventi nel percorso indicato nella sezione Risoluzione dei problemi per i log del server di stampa.
Risoluzione dei problemi
Di seguito sono riportati i problemi comuni riscontrati durante la distribuzione:
| Error | Procedura consigliata |
|---|---|
| Richiesta di aggiunta o rimozione di funzionalità nel server specificato non riuscita | Verificare che Windows Server disponga dell'aggiornamento più recente controllando la disponibilità di aggiornamenti nel server. |
| Controllare se il server è Domain e Aggiunto ad Azure | Eseguire dsregcmd al prompt dei comandi e verificare se AzureADJoined e DomainJoined sono impostati sullo stato "SÌ". |
| I processi di stampa rimangono nello stato Inviato alla stampante | |
| I processi di stampa vengono visualizzati come "interrotti" nel portale. Il registro eventi del connettore di stampa mostra l'evento 27 "Impossibile rappresentare <l'utente per <l'ID>> processo, seguito dall'evento 9 "PrintJob non riuscito System.Security.SecurityException: il nome utente o la password non è corretto...". | Verificare che l'account computer sia membro del "Gruppo di accesso all'autorizzazione di Windows" come descritto qui - Le app e le API richiedono l'accesso. |
Per altre informazioni sulla risoluzione dei problemi relativi alla stampa universale, vedi la guida alla risoluzione dei problemi di stampa universale.
Di seguito sono riportati i percorsi dei log che consentono di risolvere i problemi:
| Componente | Percorso log |
|---|---|
| Client Windows 10 | |
| Server di stampa | Usare Visualizzatore eventi per visualizzare il log del connettore di stampa. Fare clic su Start e digitare Visualizzatore eventi. Passare a Registri applicazioni e servizi > Microsoft > Windows > PrintConnector > Operational. |