Sdílet prostřednictvím

Delegování správy tiskáren pomocí webu Azure Portal

  • Článek

S vertikálním navýšením kapacity nasazení Univerzálního tisku může být obtížné, aby jeden správce IT spravil všechno. Můžete chtít delegovat určité úlohy správy, jako je registrace nových tiskáren nebo údržba tiskáren v určité pobočce, konkrétním jednotlivcům.

Tady přichází do obrázku delegovaná správa. Jednotky pro správu v Microsoft Entra ID je možné použít ke konfiguraci oprávnění založených na pravidlech ve vaší organizaci.

Pomocí jednotek pro správu můžete například umožnit někomu spravovat jenom tiskárny v rámci oblasti, kterou podporuje.

Požadavky

  • Uživatel, který deleguje oprávnění, musí mít roli správce privilegovaných rolí nebo globálního správce .
  • Pro správu tiskáren musí mít delegovaný správce tiskárny oprávněnou licenci pro univerzální tisk.

Konfigurace jednotek pro správu

Krok 1: Vytvoření jednotky pro správu

Podrobnosti o různých možnostech najdete v tématu Vytvoření nebo odstranění jednotek pro správu.

  1. Přihlaste se k webu Azure Portal pomocí Privileged Role Administrator účtu nebo Global Administrator účtu.
  2. Vyberte Microsoft Entra ID>Jednotky pro správu.
  3. Vyberte Přidat.
  4. Do pole Název zadejte název jednotky pro správu. Volitelně můžete přidat popis jednotky pro správu.
  5. Vyberte Další: Přiřadit role >.
  6. Vyberte roli Správce tiskárny a pak vyberte uživatele nebo skupiny, kterým chcete přiřadit roli s tímto oborem jednotky pro správu.
  7. Na kartě Zkontrolovat a vytvořit zkontrolujte jednotku správy a všechna přiřazení rolí.
  8. Vyberte tlačítko Vytvořit.

Krok 2: Přiřazení tiskáren ke správě delegovaným správcem

Jednotky pro správu v Microsoft Entra ID nabízejí dva způsoby definování sady tiskáren, které může delegovaný správce spravovat:

Pomocí pravidel členství v dynamické tiskárně je možné přiřadit oprávnění pro správu delegovaným správcům na základě sady kritérií. Správce může mít například oprávnění ke správě pro všechny tiskárny, které jsou v určitém umístění nebo byly zaregistrovány pomocí určitého konektoru.

Další podrobnosti najdete v tématu Správa uživatelů nebo zařízení pro jednotku pro správu s pravidly dynamického členství.

Poznámka:

Vyhodnocení seznamu tiskáren v jednotce pro správu může nějakou dobu trvat podle pravidel členství v dynamických zařízeních.

Delegování odpovědností správce podle Konektor pro Univerzální tisk

  1. Po počátečním vytvoření jednotky pro správu se vraťte k jednotkám pro správu.

  2. Vyberte vytvořenou jednotku pro správu, do které chcete přidat tiskárny.

  3. Vyberte Vlastnosti.

  4. V seznamu Typů členství vyberte Dynamické zařízení.

  5. Vyberte Přidat dynamický dotaz.

  6. Pomocí tvůrce pravidel určete pravidlo dynamického členství. Další informace najdete v tématu Tvůrce pravidel na webu Azure Portal.

  7. V tvůrci pravidel:

    Vlastnost Operátor Hodnota
    systemLabels Contains PrinterStandard
    extensionAttribute2 Začíná na <Schéma pojmenování konektoru>

Tip

Poznamenejte si pole a hodnoty vlastnosti použité v pravidle dynamického dotazu. Ty budou potřeba později v procesu nasazení.

Delegování odpovědností správce podle umístění tiskárny

  1. Po počátečním vytvoření jednotky pro správu se vraťte k jednotkám pro správu.

  2. Vyberte vytvořenou jednotku pro správu, do které chcete přidat tiskárny.

  3. Vyberte Vlastnosti.

  4. V seznamu Typů členství vyberte Dynamické zařízení.

  5. Vyberte Přidat dynamický dotaz.

  6. Pomocí tvůrce pravidel určete pravidlo dynamického členství. Další informace najdete v tématu Tvůrce pravidel na webu Azure Portal.

  7. V tvůrci pravidel

    Vlastnost Operátor Hodnota
    systemLabels Contains PrinterStandard
    extensionAttribute3 Contains USA

Tip

Poznamenejte si pole a hodnoty vlastnosti použité v pravidle dynamického dotazu. Ty budou potřeba později v procesu nasazení.

Synchronizovat vlastnosti tiskárny

Integrace univerzálního tisku s objekty zařízení Azure AD a jednotkami pro správu poskytují velkou flexibilitu a přizpůsobení způsobu delegování role Správce tiskárny. Díky využití objektu zařízení Azure AD extensionAttributeX mohou organizace vybrat a zvolit kombinaci metadat tiskárny, která se mají použít k definování různých oborů správce tiskárny.

Pro podporu této flexibility je vyžadována pravidelná synchronizace metadat tiskárny z univerzálního tisku do Azure AD. Můžete to provést spuštěním skriptu, jako je následující ukázka nebo jakákoli jiná forma automatizace.

Následující ukázka obsahuje počáteční odkaz. Upravte skript tak, aby vyhovoval vašim potřebám nasazení.

Ukázkový skript PowerShellu

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Azure AD device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Poznámka:

Provedení tohoto ukázkového skriptu vyžaduje, aby uživatelský účet byl

  • Správce systému Windows 365 a Správce tiskárny
  • Nebo globální správce

Delegovaný správce vs. správce tenanta

Delegovaná oprávnění a oprávnění správce tenanta se liší od toho, které tiskárny je možné spravovat. Následující tabulka shrnuje podobnosti a rozdíly:

Akce správce Role správce tiskárny Správce tiskárnys vymezeným oborem 1
Registrace tiskárny Ano Ano2
Registrace konektoru Ano Ano2
Zrušení registrace tiskárny Ano Yes
Zrušení registrace konektoru Yes No
Výpis tiskáren Ano Ano3
Výpis sdílených složek tiskárny Ano Ano3
Výpis konektorů Ano Ano3
Vlastnosti tiskárny Ano Ano3
Vlastnosti sdílené složky tiskárny Ano Ano3
Sdílení tiskárny Ano Yes
Řízení přístupu k tiskárně Ano Yes
Prohodit sdílenou složku tiskárny Ano Yes
Zobrazení stavu úlohy ve tiskové frontě Ano Yes
Převod dokumentů Yes No
Využití a sestavy Yes No

*Poznámka:

  1. Správci s vymezeným oborem můžou spravovat pouze sadu tiskáren definovaných v konfiguraci jednotek pro správu, pokud není uvedeno jinak.
  2. Správci s vymezeným oborem můžou provést akci na libovolné tiskárně nebo konektoru.
  3. Správci s vymezeným oborem vidí všechny tiskárny, sdílené složky tiskáren a konektory, ale jsou omezeni na přístup jen pro čtení k tiskárnám mimo konfiguraci Azure AU.

Viz také

  • Další informace o dalších funkcích univerzálního tisku na webu Azure Portal najdete v tématu Navigace na univerzálním tisku na webu Azure Portal.