Microsoft Entra ID で管理単位を使用してプリンター管理を委任する

  • [アーティクル]

この記事では、ユニバーサル プリントを Microsoft Entra ID の管理単位と統合する方法について説明します。 管理単位では、ロールのアクセス許可が、組織の任意の定義部分に限定されます。 たとえば、管理単位を使用して、プリンター管理者の役割をリージョンのプリント管理者に委任できます。そうすれば、管理者たちは自分たちのサポートするリージョンのみでプリンターを管理できます。

提供される内容の詳細については、Microsoft Entra ID の管理単位に関する記事を参照してください。

前提条件

  • Azure 管理単位の構成
    • 特権ロール管理者またはグローバル管理者ロールがある管理者アカウント
  • 委任されたプリンター 管理者
    • 管理単位内の各プリンター管理者に割り当てられた Microsoft Entra ID Premium P1 または P2 ライセンス
    • ユニバーサル プリント対象ライセンスは、管理単位内の各プリンター 管理者に割り当てられます

管理単位の構成

手順 1: 管理単位の作成

各種オプションの詳細については、「管理単位 の作成または削除」を参照してください。

  1. 特権ロール管理者またはグローバル管理者アカウントを使用して Azure portal にサインインします。
  2. [Microsoft Entra ID 管理単位>] を選択します
  3. [追加] を選択します。
  4. [名前] ボックスに、管理単位の名前を入力します。 必要に応じて、管理単位の説明を追加します。
  5. 次へ: 役割の割り当て> を選択します。
  6. [ プリンター管理者 ロール] を選択し、この管理単位スコープで役割を割り当てるユーザーまたはグループを選択します。
  7. [ 確認 + 作成 ] タブで、管理単位とロールの割り当てを確認します。
  8. [作成] ボタンを選択します。

手順 2: スコープ付き管理者が管理するプリンターを割り当てる

Azure 管理単位には、管理者が、割り当てられた管理者権限の範囲内にある一連のデバイスを定義するための 2 つの方法が用意されています。

  1. 動的 デバイス メンバーシップ
    • メンバーは、管理者セット メンバーシップ ルールに基づいて自動的に更新されます
  2. 割り当てられたメンバーシップ
    • メンバーは、管理単位の管理者によって手動で割り当てられ、更新されます

オプション 1: 動的プリンター メンバーシップ ルール

詳細については、「ダイナミック メンバーシップ ルールを使用して、管理単位のユーザーまたはデバイスを管理する」を参照してください。

Note

管理単位内のプリンターの一覧が動的デバイス メンバーシップ ルールに従って評価されるまでには時間がかかる場合があります。

ユニバーサル プリント コネクタによる管理責任の委任

  1. 管理単位が最初に作成されたら、管理単位に戻ります。

  2. プリンターに追加したい、作成された管理単位を選択します。

  3. プロパティを選択します。

  4. [メンバーシップの種類] ボックスの一覧で、[動的デバイス] を選択します。

  5. [動的クエリの追加] を選択します。

  6. ルール ビルダーを使用して、動的メンバーシップの規則を指定します。 詳細については、「Azure portal のルール ビルダー」を参照してください。

  7. ルール ビルダーで

    プロパティ 演算子 Value
    systemLabels 次を含む PrinterStandard
    extensionAttribute2 [指定値で始まる] <コネクタの名前付けスキーマ>

ヒント

動的クエリ ルールで使用される 「プロパティ」 フィールドと値を書き留めます。 これらは、展開プロセスの後で必要になります。

プリンターの場所による管理責任の委任

  1. 管理単位が最初に作成されたら、管理単位に戻ります。

  2. プリンターに追加したい、作成された管理単位を選択します。

  3. プロパティを選択します。

  4. [メンバーシップの種類] ボックスの一覧で、[動的デバイス] を選択します。

  5. [動的クエリの追加] を選択します。

  6. ルール ビルダーを使用して、動的メンバーシップの規則を指定します。 詳細については、「Azure portal のルール ビルダー」を参照してください。

  7. ルール ビルダーで

    プロパティ 演算子 Value
    systemLabels 次を含む PrinterStandard
    extensionAttribute3 次を含む 米国

ヒント

動的クエリ ルールで使用される 「プロパティ」 フィールドと値を書き留めます。 これらは、展開プロセスの後で必要になります。

オプション 2: 静的プリンター メンバーシップ リスト

詳細については、「管理単位にユーザー、グループ、またはデバイスを追加する」を参照してください。

  1. 管理単位が最初に作成されたら、管理単位に戻ります。
  2. プリンターに追加したい、作成された管理単位を選択します。
  3. プロパティを選択します。
  4. [メンバーシップの種類] リストで、[割り当て済み] を選択します。
  5. 変更が行われた場合は、忘れずに変更を保存してください。
  6. デバイスを選択します。
  7. [デバイスの追加] を選択します。
  8. [選択] ウィンドウで、管理単位に追加するプリンターを選択し、[選択] を選択します。

プリンターのプロパティの同期

ユニバーサル プリントと Microsoft Entra ID デバイス オブジェクトおよび管理単位が統合されることで、プリンター管理者の役割を委任する方法に関し、多くの柔軟性とカスタマイズが提供されます。 Microsoft Entra ID デバイス オブジェクトの "extensionAttributeX" を利用することで、組織は、さまざまなプリンター管理者スコープを定義するために使用するプリンター メタデータの組み合わせを選り好んで選択できます。

この柔軟性をサポートするには、ユニバーサル プリントから Microsoft Entra ID へのプリンター メタデータの定期的な同期が必要です。 これを行うには、次のサンプルなどのスクリプトを実行するか、他の形式の自動化を実行します。

次のサンプルでは、最初のリファレンスを提供します。ユーザーは、展開時の必要に合わせてスクリプトを変更する必要があります。

サンプル PowerShell スクリプト

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Microsoft Entra ID device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Note

このサンプル スクリプトを実行するには、ユーザー アカウントが次のいずれかである必要があります

  • "Windows 365 管理者" と "プリンター管理者"
  • または、「グローバル管理者」

スコープ付き管理者とテナント プリンターの管理者

スコープ付きプリンター管理者には、テナント のプリンター 管理者 ロールとしてのアクセス権が多くあります。 次のテーブルは、類似点と相違点をまとめたものです。

管理者の操作 プリンターの管理者ロール スコープ付きプリンター 管理者1
プリンターの登録 はい はい 2
コネクタの登録 はい はい 2
プリンターの登録解除 はい はい
コネクタの登録解除 はい いいえ
プリンターを一覧表示する はい 3
プリンター共有を一覧表示する はい 3
コネクタを一覧表示する はい 3
プリンターのプロパティ はい 3
プリンター共有のプロパティ はい 3
プリンターの共有 はい はい
プリンター のアクセス制御 はい はい
プリンター共有をスワップ はい はい
印刷キューでジョブの状態を表示する はい はい
ドキュメントの変換 はい いいえ
使用状況とレポート はい いいえ

注意:

  1. スコープ管理者は、特に指定がない限り、Azure AU 構成で定義されているプリンターのセットのみを管理できます。
  2. スコープ付き管理者は、任意のプリンターまたはコネクタでアクションを実行できます。
  3. スコープ付き管理者には、すべてのプリンター、プリンター共有、コネクタが表示されますが、Azure AU 構成外のユーザーへは読み取り専用アクセスに制限されます。