Compartir a través de


Delegación de la administración de impresoras mediante Azure Portal

A medida que la implementación de impresión universal se escala verticalmente, puede resultar difícil que un administrador de TI administre todo. Es posible que desee delegar determinadas tareas administrativas, como registrar nuevas impresoras o mantener impresoras en una determinada sucursal, a individuos específicos.

Aquí es donde la administración delegada entra en la imagen. Las unidades administrativas de Microsoft Entra ID se pueden usar para configurar permisos basados en reglas en su organización.

Por ejemplo, podría usar unidades administrativas para permitir que alguien administre solo impresoras dentro de la región que admitan.

Requisitos previos

  • El usuario que delegue privilegios debe tener un rol administrador de roles con privilegios o administrador global.
  • El administrador de impresoras delegada debe tener una licencia de impresión universal apta para administrar impresoras.

Configuración de unidades administrativas

Paso 1: Crear la unidad administrativa

Consulte Crear o eliminar unidades administrativas para obtener más información sobre las distintas opciones.

  1. Inicie sesión en Azure Portal con una Privileged Role Administrator cuenta o Global Administrator .
  2. Seleccione Microsoft Entra ID>Unidades administrativas.
  3. Seleccione Agregar.
  4. En el cuadro Nombre, escriba el nombre de la unidad administrativa. Si quiere, agregue una descripción de la unidad administrativa.
  5. Seleccione Siguiente: Asignar roles >.
  6. Seleccione Rol de administrador de impresoras y, a continuación, seleccione los usuarios o grupos a los que asignar el rol con este ámbito de unidad administrativa.
  7. En la pestaña Revisar y crear, revise la unidad administrativa y todas las asignaciones de roles.
  8. Seleccione el botón Crear.

Paso 2: Asignar impresoras para que el administrador delegado administre las impresoras

Las unidades administrativas de Microsoft Entra ID ofrecen dos maneras de definir el conjunto de impresoras que un administrador delegado puede administrar:

Mediante el uso de reglas dinámicas de pertenencia a impresoras, es posible asignar permisos de administración a los administradores delegados en función de un conjunto de criterios. Por ejemplo, un administrador podría tener permisos de administración para todas las impresoras que se encuentran en una ubicación determinada o que se registraron mediante un conector determinado.

Consulte Administrar usuarios o dispositivos para una unidad administrativa con reglas de pertenencia dinámica para obtener más detalles.

Nota:

La lista de impresoras de una unidad administrativa puede tardar algún tiempo en evaluarse según las reglas de pertenencia dinámica de dispositivos.

Delegación de responsabilidades de administrador por conector de Impresión universal

  1. Una vez creada inicialmente la unidad administrativa, vuelva a Unidades administrativas.

  2. Seleccione la unidad administrativa creada a la que desea agregar impresoras.

  3. Selecciona Propiedades.

  4. En la lista Tipo de pertenencia, seleccione Dispositivo dinámico.

  5. Seleccione Agregar una consulta dinámica.

  6. Use el generador de reglas para especificar la regla de pertenencia dinámica. Para obtener más información, consulte Generador de reglas en Azure Portal.

  7. En el generador de reglas:

    Propiedad Operator Valor
    systemLabels Contains PrinterStandard
    extensionAttribute2 Empieza por <esquema de nomenclatura del conector>

Sugerencia

Tome nota de los campos y valores "Property" usados en la regla de consulta dinámica. Estos serán necesarios más adelante en el proceso de implementación.

Delegación de responsabilidades de administrador por ubicación de impresora

  1. Una vez creada inicialmente la unidad administrativa, vuelva a Unidades administrativas.

  2. Seleccione la unidad administrativa creada a la que desea agregar impresoras.

  3. Selecciona Propiedades.

  4. En la lista Tipo de pertenencia, seleccione Dispositivo dinámico.

  5. Seleccione Agregar una consulta dinámica.

  6. Use el generador de reglas para especificar la regla de pertenencia dinámica. Para obtener más información, consulte Generador de reglas en Azure Portal.

  7. En el generador de reglas

    Propiedad Operator Valor
    systemLabels Contains PrinterStandard
    extensionAttribute3 Contains EE. UU.

Sugerencia

Tome nota de los campos y valores "Property" usados en la regla de consulta dinámica. Estos serán necesarios más adelante en el proceso de implementación.

Sincronizar propiedades de impresora

La integración de Universal Print con objetos de dispositivo de Azure AD y unidades administrativas proporciona mucha flexibilidad y personalización en la forma en que se puede delegar el rol Administrador de impresoras. Al aprovechar el "extensionAttributeX" del objeto de dispositivo de Azure AD, las organizaciones pueden elegir y elegir la combinación de metadatos de impresora que se usarán para definir los distintos ámbitos de administrador de impresoras.

Para admitir esta flexibilidad, se requiere la sincronización periódica de metadatos de impresora de impresión universal a Azure AD. Para ello, ejecute un script, como el ejemplo siguiente, o cualquier otra forma de automatización.

En el ejemplo siguiente se proporciona una referencia inicial. Modifique el script para satisfacer sus propias necesidades de implementación.

Script de PowerShell de ejemplo

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Azure AD device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Nota:

La ejecución de este script de ejemplo requiere que la cuenta de usuario sea cualquiera de las dos

  • Un "Administrador de Windows 365" y "Administrador de impresoras"
  • O bien, un "administrador global"

Administrador delegado frente a administrador de inquilinos

Los permisos delegados y de administrador de inquilinos difieren más allá de lo que las impresoras se pueden manegar. En la tabla siguiente se resumen las similitudes y diferencias:

Acción de administrador Rol de administrador de impresoras Administrador deimpresoras con ámbito 1
Registrar impresora 2
Registro del conector 2
Anular el registro de la impresora
Anulación del registro del conector No
Enumerar impresoras 3
Enumerar recursos compartidos de impresoras 3
Enumerar conectores 3
Propiedades de la impresora 3
Propiedades del recurso compartido de impresora 3
Compartir impresora
Control de acceso de impresora
Intercambiar recurso compartido de impresora
Ver el estado del trabajo en la cola de impresión
Conversión de documentos No
Uso e informes No

*Nota:

  1. Los administradores con ámbito solo pueden administrar el conjunto de impresoras definidas en la configuración de la unidad administrativa, a menos que se especifique lo contrario.
  2. Los administradores con ámbito pueden realizar la acción en cualquier impresora o conector.
  3. Los administradores con ámbito ven todas las impresoras, los recursos compartidos de impresoras y los conectores, pero están limitados al acceso de solo lectura a los que están fuera de la configuración de Azure AU.

Consulte también