Делегирование Администратор принтеров с Администратор istrative units in Microsoft Entra ID

  • Статья

В этой статье описывается, как универсальная печать интегрируется с административными единицами в идентификаторе Microsoft Entra ID. Административные единицы ограничивают разрешения в роли любой частью организации, которую вы определите. Например, можно использовать административные единицы для делегирования роли принтера Администратор istrator региональным администраторам печати, чтобы они могли управлять принтерами только в регионе, который они поддерживают.

Дополнительные сведения о том, что он предлагает, см. в разделе Администратор istrative Units in Microsoft Entra ID.

Необходимые компоненты

  • Настройка Администратор строительного модуля Azure
    • учетная запись Администратор с ролью привилегированной роли Администратор istrator или глобальной ролью Администратор istrator
  • Делегированный принтер Администратор istrator
    • Лицензия Microsoft Entra ID Premium P1 или P2, назначенная каждому Администратор istrator принтера в административной единице
    • Лицензия на универсальную печать назначается каждому принтеру Администратор istrator в административной единице

Настройка единицы Администратор istrative

Шаг 1. Создание административной единицы

Дополнительные сведения о различных параметрах см. в статье "Создание или удаление административных единиц ".

  1. Войдите в портал Azure с помощью учетной записи Администратор привилегированной роли Администратор istrator или глобальной учетной записи Администратор istrator.
  2. Выберите Microsoft Entra ID>Административные единицы.
  3. Выберите Добавить.
  4. В поле Имя введите имя административной единицы. При желании добавьте описание административной единицы.
  5. Нажмите кнопку "Далее" — назначение ролей >.
  6. Выберите роль администратора принтера, а затем выберите пользователей или группы, чтобы назначить роль с помощью этой административной единицы область.
  7. На вкладке Проверка и создание проверьте настройки для административной единицы и назначения ролей.
  8. Выберите кнопку Создать.

Шаг 2. Назначение принтеров для управления с помощью область администратора

Azure Администратор istrative Units предлагает 2 способа для Администратор определить набор устройств, находящихся в область назначенных административных прав.

  1. Динамическое членство устройств
    • Члены автоматически обновляются на основе правил членства Администратор
  2. Назначенное членство
    • Члены вручную назначаются и обновляются Администратор модуля Администратор istrative Unit

Вариант 1. Правило членства в динамическом принтере

Дополнительные сведения см. в статье "Управление пользователями или устройствами для административной единицы с правилами динамического членства".

Примечание.

Для оценки списка принтеров в административной единице может потребоваться некоторое время в соответствии с правилами динамического членства устройств.

Делегирование обязанностей Администратор по коннектор универсальной печати

  1. После первоначального создания административной единицы вернитесь к Администратор иститивным единицам.

  2. Выберите созданную административную единицу, в которую нужно добавить принтеры.

  3. Выберите Свойства.

  4. В списке типов членства выберите "Динамическое устройство".

  5. Выберите Добавить динамический запрос.

  6. Используйте построитель правил, чтобы указать правило динамического членства. Дополнительные сведения см. в разделе Построитель правил на портале Azure.

  7. В построителе правил

    Свойство Оператор Значение
    systemLabels Содержит PrinterStandard
    extensionAttribute2 Начинается с <Схема именования соединителей>

Совет

Запишите поля и значения свойства, используемые в правиле динамического запроса. Они потребуются позже в процессе развертывания.

Делегирование обязанностей Администратор по расположению принтера

  1. После первоначального создания административной единицы вернитесь к Администратор иститивным единицам.

  2. Выберите созданную административную единицу, в которую нужно добавить принтеры.

  3. Выберите Свойства.

  4. В списке типов членства выберите "Динамическое устройство".

  5. Выберите Добавить динамический запрос.

  6. Используйте построитель правил, чтобы указать правило динамического членства. Дополнительные сведения см. в разделе Построитель правил на портале Azure.

  7. В построителе правил

    Свойство Оператор Значение
    systemLabels Содержит PrinterStandard
    extensionAttribute3 Содержит USA

Совет

Запишите поля и значения свойства, используемые в правиле динамического запроса. Они потребуются позже в процессе развертывания.

Вариант 2. Список членства статических принтеров

Дополнительные сведения см. в статье "Добавление пользователей, групп или устройств в административную единицу ".

  1. После первоначального создания административной единицы вернитесь к Администратор иститивным единицам.
  2. Выберите созданную административную единицу, в которую нужно добавить принтеры.
  3. Выберите Свойства.
  4. В списке Тип членства выберите Назначено.
  5. Если было сделано изменение, не забудьте сохранить изменения.
  6. Выберите Устройства.
  7. Выберите Добавить устройство.
  8. В области "Выбор" выберите принтеры, которые нужно добавить в административную единицу, а затем нажмите кнопку "Выбрать".

Свойства принтера синхронизации

Интеграция универсальной печати с объектами устройств и административными подразделениями Microsoft Entra ID обеспечивает большую гибкость и настройку в том, как роль принтера Администратор istrator можно делегировать. Используя объект устройства Microsoft Entra ID "extensionAttributeX", организации могут выбрать и выбрать сочетание метаданных принтера, используемых для определения различных область администратора принтера.

Для поддержки этой гибкости требуется периодическое синхронизация метаданных принтера из универсальной печати с идентификатором Microsoft Entra ID. Это можно сделать, выполнив скрипт, например следующий пример или любую другую форму автоматизации.

В следующем примере представлена начальная ссылка, клиенты должны изменить скрипт в соответствии с собственными потребностями развертывания.

Пример скрипта PowerShell

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Microsoft Entra ID device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Примечание.

Выполнение этого примера сценария требует, чтобы учетная запись пользователя была либо

  • A "Windows 365 Администратор istrator" и "Printer Администратор istrator"
  • Или глобальный Администратор istrator

Область Администратор и принтер клиента Администратор

Администратор принтера область имеет многие права доступа в качестве роли принтера клиента Администратор istrator. В следующей таблице приведены общие сведения о сходствах и различиях.

действие Администратор Роль Администратор принтера Область действия принтера Администратор 1
Регистрация принтера Да Да2
Регистрация Подключение or Да Да2
Отмена регистрации принтера Да Да
Отмена регистрации Подключение or Да Нет
Вывод списка принтеров Да Да3
Перечисление общих папок принтера Да Да3
Перечислить соединители Да Да3
Свойства принтера Да Да3
Свойства общего ресурса принтера Да Да3
Общий доступ к принтеру Да Да
Контроль доступа принтера Да Да
Переключение общей папки принтера Да Да
Просмотр состояния задания в очереди печати Да Да
Преобразование документов Да Нет
Использование и отчеты Да Нет

Примечание.

  1. Администраторы с областью могут управлять набором принтеров, определенных в конфигурации Azure AU, только если иное не указано.
  2. Администраторы с областью действия могут выполнять действия на любом принтере или соединителе.
  3. Администраторы с областью действия видят все принтеры, общие папки принтера и соединители, но ограничены доступом только для чтения к тем, кто не входит в конфигурацию Azure AU.