Делегирование администрирования принтера с помощью портала Azure

  • Статья

Так как развертывание универсальной печати масштабируется, это может стать трудно для одного ИТ-администратора управлять всем. Может потребоваться делегировать определенные административные задачи, такие как регистрация новых принтеров или обслуживание принтеров в определенном филиале для конкретных лиц.

Это место, где делегированное администрирование входит в рисунок. Административные единицы в идентификаторе Microsoft Entra можно использовать для настройки разрешений на основе правил в организации.

Например, можно использовать административные единицы, чтобы разрешить пользователям управлять только принтерами в регионе, который они поддерживают.

Необходимые компоненты

Настройка административных единиц

Шаг 1. Создание административной единицы

Дополнительные сведения о различных параметрах см. в статье "Создание или удаление административных единиц ".

  1. Войдите в портал Azure с помощью учетной записи или Global Administrator учетной Privileged Role Administrator записи.
  2. Выберите Microsoft Entra ID>Административные единицы.
  3. Выберите Добавить.
  4. В поле Имя введите имя административной единицы. При желании добавьте описание административной единицы.
  5. Нажмите кнопку "Далее" — назначение ролей >.
  6. Выберите роль администратора принтера, а затем выберите пользователей или группы, чтобы назначить роль этой области административной единицы.
  7. На вкладке Проверка и создание проверьте настройки для административной единицы и назначения ролей.
  8. Выберите кнопку Создать.

Шаг 2. Назначение принтеров для управления делегированным администратором

Административные единицы в идентификаторе Microsoft Entra id предлагают два способа определения набора принтеров, которыми может управлять делегированный администратор:

С помощью правил членства динамических принтеров можно назначать разрешения управления делегированным администраторам на основе набора критериев. Например, администратор может иметь разрешения на управление для всех принтеров, которые находятся в определенном расположении или зарегистрированы с помощью определенного соединителя.

Дополнительные сведения см. в статье "Управление пользователями или устройствами для административной единицы с правилами динамического членства".

Примечание.

Для оценки списка принтеров в административной единице может потребоваться некоторое время в соответствии с правилами динамического членства устройств.

Делегирование обязанностей администратора по коннектор универсальной печати

  1. После первоначального создания административной единицы вернитесь в административные единицы.

  2. Выберите созданную административную единицу, в которую нужно добавить принтеры.

  3. Выберите Свойства.

  4. В списке типов членства выберите "Динамическое устройство".

  5. Выберите Добавить динамический запрос.

  6. Используйте построитель правил, чтобы указать правило динамического членства. Дополнительные сведения см. в разделе Построитель правил на портале Azure.

  7. В построителе правил:

    Свойство Оператор Значение
    systemLabels Содержит PrinterStandard
    extensionAttribute2 Начинается с <Схема именования соединителей>

Совет

Запишите поля и значения свойства, используемые в правиле динамического запроса. Они потребуются позже в процессе развертывания.

Делегирование обязанностей администратора по расположению принтера

  1. После первоначального создания административной единицы вернитесь в административные единицы.

  2. Выберите созданную административную единицу, в которую нужно добавить принтеры.

  3. Выберите Свойства.

  4. В списке типов членства выберите "Динамическое устройство".

  5. Выберите Добавить динамический запрос.

  6. Используйте построитель правил, чтобы указать правило динамического членства. Дополнительные сведения см. в разделе Построитель правил на портале Azure.

  7. В построителе правил

    Свойство Оператор Значение
    systemLabels Содержит PrinterStandard
    extensionAttribute3 Содержит USA

Совет

Запишите поля и значения свойства, используемые в правиле динамического запроса. Они потребуются позже в процессе развертывания.

Свойства принтера синхронизации

Интеграция универсальной печати с объектами устройств Azure AD и административными подразделениями обеспечивает большую гибкость и настройку того, как можно делегировать роль администратора принтера. Используя объект устройства Azure AD extensionAttributeX, организации могут выбрать и выбрать сочетание метаданных принтера для определения различных областей администратора принтера.

Для поддержки этой гибкости требуется периодическое синхронизация метаданных принтера из универсальной печати с Azure AD. Это можно сделать, выполнив скрипт, например следующий пример или любую другую форму автоматизации.

В следующем примере приведена исходная ссылка. Измените скрипт в соответствии с вашими потребностями развертывания.

Пример скрипта PowerShell

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Azure AD device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Примечание.

Выполнение этого примера сценария требует, чтобы учетная запись пользователя была либо

  • Администратор Windows 365 и "Администратор принтера"
  • Или глобальный администратор

Делегированный администратор и администратор клиента

Делегированные и разрешения администратора клиента отличаются только тем, какие принтеры можно настроить. В следующей таблице приведены общие сведения о сходствах и различиях.

Действие администратора Роль администратора принтера Администраторпринтера с областью действия 1
Регистрация принтера Да Да2
Регистрация соединителя Да Да2
Отмена регистрации принтера Да Да
Отмена регистрации соединителя Да Нет
Вывод списка принтеров Да Да3
Перечисление общих папок принтера Да Да3
Перечислить соединители Да Да3
Свойства принтера Да Да3
Свойства общего ресурса принтера Да Да3
Общий доступ к принтеру Да Да
Контроль доступа принтера Да Да
Переключение общей папки принтера Да Да
Просмотр состояния задания в очереди печати Да Да
Преобразование документов Да Нет
Использование и отчеты Да Нет

* Примечание.

  1. Администраторы с областью могут управлять только набором принтеров, определенных в конфигурации административной единицы, если иное не указано.
  2. Администраторы с областью действия могут выполнять действия на любом принтере или соединителе.
  3. Администраторы с областью действия видят все принтеры, общие папки принтера и соединители, но ограничены доступом только для чтения к тем, кто не входит в конфигурацию Azure AU.

См. также