Delegieren der Druckerverwaltung mithilfe des Azure-Portals
Wenn Sie Ihre Installation von Universal Print ausweiten, kann es für einen IT-Admin schwierig werden, alles zu verwalten. Vielleicht möchten Sie bestimmte Verwaltungsaufgaben, wie die Registrierung neuer Drucker oder die Wartung von Druckern in einer bestimmten Niederlassung, an bestimmte Personen delegieren.
An dieser Stelle kommt die delegierte Administration ins Spiel. Verwaltungseinheiten in Microsoft Entra ID können verwendet werden, um regelbasierte Berechtigungen in Ihrer Organisation zu konfigurieren.
So können Sie z. B. Verwaltungseinheiten verwenden, damit eine Person nur Drucker in der Region verwalten kann, die sie unterstützt.
Voraussetzungen
- Die Benutzerin oder der Benutzer, die bzw. der Berechtigungen delegiert, muss über eine Rolle Admin für privilegierte Rollen oderGlobaler Admin verfügen.
- Der delegierte Druckeradmin muss über eine berechtigte Universal Print-Lizenz verfügen, um Drucker verwalten zu können.
Konfigurieren der administrativen Einheiten
1. Schritt: Administrative Gruppe erstellen
Weitere Informationen zu den verschiedenen Optionen finden Sie unter Erstellen oder Löschen von Verwaltungseinheiten.
- Melden Sie sich mit einem
Privileged Role Administrator
- oderGlobal Administrator
-Konto beim Azure-Portal an. - Wählen Sie Microsoft Entra ID>Verwaltungseinheiten aus.
- Wählen Sie Hinzufügen aus.
- Geben Sie im Feld Name den Namen der Verwaltungseinheit ein. Fügen Sie optional eine Beschreibung der Verwaltungseinheit hinzu.
- Wählen Sie Weiter: Rollen zuweisen> aus.
- Wählen Sie die Rolle Druckeradministrator und dann die Benutzer oder Gruppen aus, denen die Rolle mit dem Geltungsbereich dieser Verwaltungseinheit zugewiesen werden soll.
- Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Verwaltungseinheit und alle Rollenzuweisungen.
- Wählen Sie die Schaltfläche Erstellen.
Schritt 2: Zuweisen von Druckern, die vom delegierten Admin verwaltet werden sollen
Administrative Einheiten in Microsoft Entra ID bieten zwei Möglichkeiten zum Definieren der Gruppe von Druckern, die ein delegierter Admin verwalten kann:
Mithilfe dynamischer Drucker-Mitgliedschaftsregeln ist es möglich, delegierten Admins auf der Grundlage einer Reihe von Kriterien Verwaltungsberechtigungen zuzuweisen. Ein Admin könnte beispielsweise über Verwaltungsberechtigungen für alle Drucker verfügen, die sich an einem bestimmten Standort befinden oder über einen bestimmten Connector registriert wurden.
Siehe Verwalten von Benutzern oder Geräten für eine Verwaltungseinheit mit dynamischen Mitgliedschaftsregeln für weitere Details.
Hinweis
Es kann einige Zeit dauern, bis die Liste der Drucker in einer Verwaltungseinheit nach den dynamischen Gerätemitgliedschaftsregeln ausgewertet ist.
Delegieren von Administratoraufgaben durch Connectors für Universelles Drucken
Nachdem die Verwaltungseinheit erstellt wurde, wechseln Sie zurück zu Verwaltungseinheiten.
Wählen Sie die erstellte Verwaltungseinheit aus, der Sie Drucker hinzufügen möchten.
Wählen Sie Eigenschaften aus.
Wählen Sie in der Liste Mitgliedschaftstyp die Option Dynamisches Gerät.
Wählen Sie Dynamische Abfrage hinzufügen aus.
Verwenden Sie den Regel-Generator, um die dynamische Mitgliedschaftsregel anzugeben. Weitere Informationen finden Sie unter Regel-Generator im Azure-Portal.
Im Regel-Generator:
Eigenschaft Operator Wert systemLabels Contains PrinterStandard extensionAttribute2 Starts With <Benennungsschema für Connectors>
Tipp
Beachten Sie die Felder und Werte der „Eigenschaft“, die in der dynamischen Abfrageregel verwendet werden. Diese werden später im Bereitstellungsprozess benötigt.
Delegieren von Verwaltungsaufgaben nach Druckerstandort
Nachdem die Verwaltungseinheit erstellt wurde, wechseln Sie zurück zu Verwaltungseinheiten.
Wählen Sie die erstellte Verwaltungseinheit aus, der Sie Drucker hinzufügen möchten.
Wählen Sie Eigenschaften aus.
Wählen Sie in der Liste Mitgliedschaftstyp die Option Dynamisches Gerät.
Wählen Sie Dynamische Abfrage hinzufügen aus.
Verwenden Sie den Regel-Generator, um die dynamische Mitgliedschaftsregel anzugeben. Weitere Informationen finden Sie unter Regel-Generator im Azure-Portal.
Im Regel-Generator
Eigenschaft Operator Wert systemLabels Contains PrinterStandard extensionAttribute3 Contains USA
Tipp
Beachten Sie die Felder und Werte der „Eigenschaft“, die in der dynamischen Abfrageregel verwendet werden. Diese werden später im Bereitstellungsprozess benötigt.
Synchronisieren der Druckereigenschaften
Die Integration von Universelles Drucken mit Azure AD-Geräteobjekten und Verwaltungseinheiten bietet viel Flexibilität und Anpassungsmöglichkeiten bei der Zuweisung der Rolle des Druckeradministrators. Durch die Nutzung des extensionAttributeX des Azure AD-Geräteobjekts können Organisationen die Kombination von Druckermetadaten auswählen, die zur Definition der verschiedenen Druckeradministratorbereiche verwendet werden sollen.
Um diese Flexibilität zu unterstützen, ist eine regelmäßige Synchronisierung der Druckermetadaten von Universelles Drucken mit Azure AD erforderlich. Dies kann durch die Ausführung eines Skripts, wie das folgende Beispiel, oder durch eine andere Form der Automatisierung erfolgen.
Das folgende Beispiel enthält einen Startverweis. Ändern Sie das Skript so, dass es Ihren eigenen Bereitstellungsanforderungen entspricht.
Beispiel-PowerShell-Skript
$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"
$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"
# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
$printer = $_
Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
$device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1
# The display name of the Azure AD device is set to the initial display name
# of the printer. This sets extensionAttribute1 to the current name.
$extensionAttribute1 = "$($printer.DisplayName)"
# If the printer was registered with the Universal Print connector then the
# display name of the connector will be present in extensionAttribute2.
$extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"
# If the printer has a country or region set in its location properties it
# will be set to extensionAttribute15. Other location properties can be used
# as well.
$extensionAttribute3 = "$($printer.Location.CountryOrRegion)"
$existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
$extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
$extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
{
Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
Update-MgDevice -DeviceId $device.Id -BodyParameter @{
"extensionAttributes" = @{
"extensionAttribute1" = $extensionAttribute1
"extensionAttribute2" = $extensionAttribute2
"extensionAttribute3" = $extensionAttribute3
}
}
}
}
Hinweis
Für die Ausführung dieses Beispielskripts muss das Benutzerkonto entweder
- ein „Windows 365-Administrator“ und „Druckeradministrator“,
- oder „Globaler Administrator“ sein.
Delegierter Admin vs. Mandantenadmin
Die Berechtigungen von delegierten Admins und Mandantenadmins unterscheiden sich nicht nur darin, welche Drucker verwaltet werden können. In der folgenden Tabelle finden Sie eine Zusammenfassung der Ähnlichkeiten und Unterschiede:
Administratoraktion | Druckeradministrator-Rolle | Bereichsbezogener Druckeradministrator1 |
---|---|---|
Drucker registrieren | Ja | Ja2 |
Connector registrieren | Ja | Ja2 |
Registrierung des Druckers aufheben | Ja | Ja |
Registrierung des Connectors aufheben | Ja | No |
Drucker auflisten | Ja | Ja3 |
Druckerfreigaben auflisten | Ja | Ja3 |
Connectors auflisten | Ja | Ja3 |
Druckereigenschaften | Ja | Ja3 |
Druckerfreigabeeigenschaften | Ja | Ja3 |
Drucker freigeben | Ja | Ja |
Drucker-Access Control | Ja | Ja |
Druckerfreigabe austauschen | Ja | Ja |
Auftragsstatus in der Druckwarteschlange anzeigen | Ja | Ja |
Konvertieren von Dokumenten | Ja | No |
Verbrauch und Berichte | Ja | No |
*Hinweis:
- Bereichsbezogene Admins können nur die in der Konfiguration der Verwaltungseinheit definierten Drucker verwalten, sofern nicht anders angegeben.
- Bereichsbezogene Administratoren können die Aktion für jeden Drucker oder Konnektor durchführen.
- Bereichsbezogene Administratoren sehen alle Drucker, Druckerfreigaben und Connectors, haben jedoch nur Lesezugriff auf diejenigen außerhalb der Azure AU-Konfiguration.
Weitere Informationen
- Lesen Sie „Navigieren in Universal Print“ im Azure-Portal, um mehr über andere Funktionen von Universal Print im Azure-Portal zu erfahren.