Habilitar o ambiente híbrido de ID do AD/Microsoft Entra na Impressão Universal
Aplica-se a: Windows Server 2016
Tela de fundo
Essas informações destinam-se a ajudá-lo a decidir se habilitar a configuração do AD híbrido é a escolha certa para sua organização.
O que é uma configuração híbrida do AD?
Uma configuração híbrida do AD é uma configuração em que a organização usa o AD e a ID do Microsoft Entra. Nesse ambiente, existe uma conta de usuário em ambos os serviços de diretório.
O que significa "Habilitar configuração híbrida do AD"?
O conector de Impressão Universal é executado como serviço do Windows no computador em que está instalado. Uma das funções do conector é recuperar trabalhos de impressão da Impressão Universal e enviá-los para a impressora de destino. O conector usa a conta "Sistema" para enviar trabalhos de impressão para o spooler. Portanto, embora o portal de Impressão Universal mostre o nome de usuário da ID do Microsoft Entra que enviou um trabalho de impressão, todos os trabalhos de impressão impressos usando a Impressão Universal aparecerão na fila de impressora do Windows no conector, conforme enviado pelo usuário "Sistema".
Alguns aplicativos de gerenciamento de impressão herdados, que dependem de domínios do Active Directory, leem o nome de usuário da fila do spooler e usam essas informações para executar alguma função (por exemplo, deduzir o trabalho de impressão da cota mensal de impressão de um usuário). Até que esses aplicativos sejam atualizados para funcionar mais perfeitamente com a Impressão Universal, eles não poderão obter a identidade do usuário que originou um trabalho de impressão.
Quando a opção "Habilitar configuração híbrida do AD" é ativada no conector de Impressão Universal, o conector tenta mapear a identidade de usuário da ID do Microsoft Entra para uma identidade de usuário de domínio local do AD correspondente. Se uma identidade correspondente for encontrada, o serviço do conector representará a identidade de domínio desse usuário antes de enviar o trabalho de impressão para o spooler em seu nome. Nesse caso, o nome de usuário de domínio do usuário que originou o trabalho de impressão aparecerá na fila do spooler no PC conector, permitindo que os aplicativos herdados o leiam.
Pré-requisitos
Há uma série de assinaturas, serviços e computadores que você precisará adquirir antes de iniciar esta instalação. Elas são as seguintes:
Assinatura premium do Microsoft Entra ID.
Confira Introdução a uma assinatura do Azure para obter uma assinatura de avaliação do Azure.
Serviço de MDM, como o Intune.
Consulte Microsoft Intune para obter uma assinatura de avaliação do Intune.
Computador com Windows Server 2016 ou posterior executando o Active Directory.
Confira Passo a passo: configurando o Active Directory no Windows Server 2016 para obter ajuda para configurar o Active Directory.
Um computador dedicado do Windows Server 2016 ou posterior ingressado no domínio em execução como um Servidor de Impressão e um conector de Impressão Universal.
Consulte Entender os conectores de Proxy de Aplicativo da ID do Microsoft Entra para obter mais informações.
Nome de domínio voltado para o público.
Você pode usar o nome de domínio criado para você pelo Azure (domainname.onmicrosoft.com) ou comprar seu nome de domínio. Consulte Adicionar seu nome de domínio personalizado usando o portal de ID do Microsoft Entra.
Etapas de implantação
As etapas abaixo permitem que você configure uma implantação típica de Impressão Universal necessária para habilitar o Ambiente de ID do AD Híbrido/Microsoft Entra.
Etapa 1 - Instale o Microsoft Entra ID Connect
- A conexão da ID do Microsoft Entra sincroniza a ID do Microsoft Entra com o AD local. No computador Windows Server com Active Directory, baixe e instale o software Microsoft Entra ID Connect com configurações expressas. Consulte Introdução ao Microsoft Entra ID Connect usando configurações expressas.
Etapa 2 - Configurar o servidor de impressão
Certifique-se de que o servidor de impressão tenha todo o Windows Update disponível instalado (atualize o servidor antes de prosseguir).
Observação: o Servidor 2019 precisa receber patches para o build 17763.165 ou posterior.
No computador Windows Server que atua como um servidor de impressão, precisaríamos instalar a função de servidor de impressão.
- Consulte Instalar funções, serviços de função e recursos usando o Assistente para Adicionar Funções e Recursos para obter detalhes sobre como instalar funções de servidor.
Para garantir que o AD local seja mapeado com as contas de ID do Microsoft Entra, o Windows Server que atua como Servidor de Impressão deve ser Ingressado no Híbrido/Ingressado no Azure. Consulte Configuração de Impressão Universal para garantir que todas as etapas sejam concluídas. Em suma,
- Instale o Universal Print Connector na máquina do servidor de impressão, se ainda não tiver feito isso.
- Registre o conector com a Impressão Universal fornecendo um nome exclusivo para o conector.
- Compartilhe as impressoras cadastradas no portal administrativo.
Etapa 3 - Configurar a sincronização de diretórios do AD local com o Microsoft Entra ID
Os usuários ou grupos devem existir no Active Directory local e sincronizados com a ID do Microsoft Entra. Se a solução for implantada em um domínio não roteável (por exemplo, mydomain.local), o domínio da ID do Microsoft Entra (por exemplo , domainname.onmicrosoft.com ou um adquirido de um fornecedor de terceiros) precisará ser adicionado como um sufixo UPN ao Active Directory local. Isso ocorre exatamente com o mesmo usuário que publicará impressoras (por exemplo, admin@nomedodomínio.onmicrosoft.com). Consulte Preparar um domínio não roteável para sincronização de diretório para garantir que o domínio local seja adicionado e sincronizado.
Nota: Este é um passo importante, pois é o requisito básico para uma configuração completa. O usuário local do AD deve ter o mesmo nome de usuário na conta sincronizada do Microsoft Entra ID.
Exemplo: domínio/usuário1 deve ser traduzido para user1@example.com
Depois que a sincronização ocorrer (a frequência de sincronização padrão é de 30 minutos), você poderá verificar se os usuários do AD estão sincronizados no portal administrativo. Em ID do Microsoft Entra, selecione a guia de usuários e uma lista de todos os usuários aparecerá. Seria fácil verificar se um usuário está sincronizado com o diretório nessa lista. Os detalhes de um usuário devem mostrar que a origem é o Windows Server AD.
Etapa 4 – Habilitando o suporte híbrido ao AD/Microsoft Entra ID no Universal Print Connector
No Servidor de Impressão em que o conector está instalado, deve haver um botão de alternância no canto superior direito do aplicativo.
- Selecione o botão de opção ativado para a opção Habilitar configuração do AD híbrido no conector.
Verificar a implantação
Verificar se a implantação seria enviando um trabalho de impressão de teste para o servidor de impressão usando suas credenciais de ID do Microsoft Entra em um computador cliente ingressado no AD.
O computador deve ser ingressado na ID do Microsoft Entra com a mesma conta à qual está vinculado durante a etapa de sincronização. Vá para Configurações>Contas>E-mail e Contas. Clique em Adicionar uma conta corporativa ou de estudante e faça logon usando as credenciais para adicionar a conta de ID do Microsoft Entra ao computador cliente.
As etapas para enviar uma impressão de teste para verificar a implantação estão abaixo:
- Adicionar uma impressora e imprimir uma página de teste
- Depois de notar um trabalho de impressão na fila de impressão, o servidor de impressão na pasta C:/prints deve ter um arquivo de impressão de teste exibido no nome printerName.pdf.
- Se esse arquivo for exibido, você poderá verificar se o mapeamento ocorreu com êxito verificando os logs de eventos no caminho mencionado na seção Solução de problemas para logs do Servidor de Impressão.
Solução de problemas
Abaixo estão os problemas comuns encontrados durante a implantação:
| Erro | Etapas Recomendadas |
|---|---|
| A solicitação para adicionar ou remover recursos no servidor especificado falhou | Verifique se o Windows Server tem a atualização mais recente verificando se há atualizações no servidor. |
| Verifique se o servidor está ingressado no domínio e no Azure | Execute dsregcmd no prompt de comando e verifique se AzureADJoined e DomainJoined estão definidos como o estado "YES". |
| Os trabalhos de impressão permanecem no estado Enviado à impressora | |
| Os trabalhos de impressão são exibidos como "Abortados" no portal. O log de eventos do Conector de Impressão mostra o Evento 27 "Falha ao representar <o usuário> para a ID> do trabalho<, seguido pelo Evento 9 "Falha no PrintJob System.Security.SecurityException: O nome de usuário ou a senha estão incorretos...". | Verifique se a conta do computador é membro do "Grupo de Acesso de Autorização do Windows", conforme descrito aqui – Aplicativos e APIs exigem acesso. |
Para obter mais ajuda para solução de problemas relacionados à Impressão Universal, consulte o guia de solução de problemas da Impressão Universal.
Abaixo estão os locais dos logs que podem ajudar na solução de problemas:
| Componente | Local do log |
|---|---|
| Cliente do Windows 10 | |
| Servidor de Impressão | Use o Visualizador de Eventos para ver o log do Conector de Impressão. Clique em Iniciar e digite Visualizador de Eventos. Navegue até Logs > de aplicativos e serviços Microsoft > Windows > PrintConnector > Operacional. |