Delegare l'amministrazione della stampante tramite il portale di Azure
Man mano che la distribuzione di stampa universale aumenta, potrebbe risultare difficile per un amministratore IT gestire tutto. È possibile delegare determinate attività amministrative, ad esempio la registrazione di nuove stampanti o la gestione di stampanti in una determinata succursale, a utenti specifici.
Qui entra in gioco l'amministrazione delegata. Le unità amministrative in Microsoft Entra ID possono essere usate per configurare le autorizzazioni basate su regole nell'organizzazione.
Ad esempio, è possibile usare unità amministrative per consentire a un utente di gestire solo le stampanti all'interno dell'area supportata.
Prerequisiti
- L'utente che delega i privilegi deve avere un ruolo di amministratore ruolo con privilegi o di amministratore globale.
- L'amministratore della stampante delegata deve disporre di una licenza di stampa universale idonea per gestire le stampanti.
Configurare le unità amministrative
Passaggio 1: Creare l'unità amministrativa
Per informazioni dettagliate sulle varie opzioni, vedere Creare o eliminare unità amministrative.
- Accedere al portale di Azure con un
Privileged Role Administrator
account oGlobal Administrator
. - Selezionare Microsoft Entra ID>unità amministrative.
- Selezionare Aggiungi.
- Nella casella Nome immettere il nome dell'unità amministrativa. Facoltativamente, aggiungere una descrizione dell'unità amministrativa.
- Selezionare Avanti: Assegnare ruoli >.
- Selezionare Ruolo amministratore stampante e quindi selezionare gli utenti o i gruppi a cui assegnare il ruolo con questo ambito di unità amministrativa.
- Nella scheda Rivedi e crea esaminare l'unità amministrativa e le assegnazioni di ruolo.
- Selezionare il pulsante Crea.
Passaggio 2: Assegnare stampanti da gestire dall'amministratore delegato
Le unità amministrative in Microsoft Entra ID offrono due modi per definire il set di stampanti che un amministratore delegato può gestire:
Usando le regole di appartenenza alle stampanti dinamiche, è possibile assegnare autorizzazioni di gestione agli amministratori delegati in base a un set di criteri. Ad esempio, un amministratore potrebbe disporre delle autorizzazioni di gestione per tutte le stampanti che si trovano in una determinata posizione o che sono state registrate usando un determinato connettore.
Per altri dettagli, vedere Gestire utenti o dispositivi per un'unità amministrativa con regole di appartenenza dinamica.
Nota
L'elenco delle stampanti in un'unità amministrativa può richiedere del tempo in base alle regole di appartenenza dinamica dei dispositivi.
Delega delle responsabilità dell'amministratore da connettore Stampa universale
Dopo la creazione iniziale dell'unità amministrativa, tornare a Unità amministrative.
Selezionare l'unità amministrativa creata a cui si desidera aggiungere stampanti.
Selezionare Proprietà.
Nell'elenco Tipo di appartenenza selezionare Dispositivo dinamico.
Selezionare Aggiungi query dinamica.
Usare il generatore di regole per specificare la regola di appartenenza dinamica. Per ulteriori informazioni, consultare Generatore di regole nel portale di Azure.
Nel generatore di regole:
Proprietà Operatore Valore systemLabels Contiene PrinterStandard extensionAttribute2 Starts With <Schema di denominazione del connettore>
Suggerimento
Prendere nota dei campi e dei valori "Proprietà" usati nella regola di query dinamica. Questi saranno necessari più avanti nel processo di distribuzione.
Delega delle responsabilità dell'amministratore in base alla posizione della stampante
Dopo la creazione iniziale dell'unità amministrativa, tornare a Unità amministrative.
Selezionare l'unità amministrativa creata a cui si desidera aggiungere stampanti.
Selezionare Proprietà.
Nell'elenco Tipo di appartenenza selezionare Dispositivo dinamico.
Selezionare Aggiungi query dinamica.
Usare il generatore di regole per specificare la regola di appartenenza dinamica. Per ulteriori informazioni, consultare Generatore di regole nel portale di Azure.
Nel generatore di regole
Proprietà Operatore Valore systemLabels Contiene PrinterStandard extensionAttribute3 Contiene USA
Suggerimento
Prendere nota dei campi e dei valori "Proprietà" usati nella regola di query dinamica. Questi saranno necessari più avanti nel processo di distribuzione.
Sincronizza proprietà stampante
L'integrazione di Stampa universale con gli oggetti dispositivo di Azure AD e le unità amministrative offre una notevole flessibilità e personalizzazione nel modo in cui è possibile delegare il ruolo Di amministratore stampante. Sfruttando l'"extensionAttributeX" dell'oggetto dispositivo di Azure AD, le organizzazioni possono scegliere e scegliere la combinazione di metadati della stampante da usare per definire i diversi ambiti di amministratore della stampante.
Per supportare questa flessibilità, è necessaria la sincronizzazione periodica dei metadati della stampante da Stampa universale ad Azure AD. Questa operazione può essere eseguita eseguendo uno script, ad esempio l'esempio seguente o qualsiasi altra forma di automazione.
L'esempio seguente fornisce un riferimento iniziale. Modificare lo script per soddisfare le proprie esigenze di distribuzione.
Script di PowerShell di esempio
$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"
$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"
# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
$printer = $_
Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
$device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1
# The display name of the Azure AD device is set to the initial display name
# of the printer. This sets extensionAttribute1 to the current name.
$extensionAttribute1 = "$($printer.DisplayName)"
# If the printer was registered with the Universal Print connector then the
# display name of the connector will be present in extensionAttribute2.
$extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"
# If the printer has a country or region set in its location properties it
# will be set to extensionAttribute15. Other location properties can be used
# as well.
$extensionAttribute3 = "$($printer.Location.CountryOrRegion)"
$existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
$extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
$extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
{
Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
Update-MgDevice -DeviceId $device.Id -BodyParameter @{
"extensionAttributes" = @{
"extensionAttribute1" = $extensionAttribute1
"extensionAttribute2" = $extensionAttribute2
"extensionAttribute3" = $extensionAttribute3
}
}
}
}
Nota
L'esecuzione di questo script di esempio richiede che l'account utente sia
- Un "Amministratore di Windows 365" e "Amministratore stampante"
- In alternativa, un "amministratore globale"
Amministratore delegato e amministratore tenant
Le autorizzazioni di amministratore delegato e tenant differiscono oltre a quelle che è possibile gestire le stampanti. La tabella seguente riepiloga le analogie e le differenze:
Azione amministratore | Ruolo amministratore stampante | Amministratorestampante con ambito 1 |
---|---|---|
Registra stampante | Sì | Sì2 |
Registrare il connettore | Sì | Sì2 |
Annullare la registrazione della stampante | Sì | Sì |
Annullare la registrazione del connettore | Sì | No |
Elencare le stampanti | Sì | Sì3 |
Elencare le condivisioni stampanti | Sì | Sì3 |
Elenca connettori | Sì | Sì3 |
Proprietà stampante | Sì | Sì3 |
Proprietà condivisione stampante | Sì | Sì3 |
Condivisione stampante | Sì | Sì |
Controllo di accesso della stampante | Sì | Sì |
Scambia condivisione stampante | Sì | Sì |
Visualizzare lo stato del processo nella coda di stampa | Sì | Sì |
Conversione di documenti | Sì | No |
Utilizzo e report | Sì | No |
*Nota:
- Gli amministratori con ambito possono gestire solo il set di stampanti definite nella configurazione dell'unità amministrativa, se non diversamente specificato.
- Gli amministratori con ambito possono eseguire l'azione su qualsiasi stampante o connettore.
- Gli amministratori con ambito visualizzano tutte le stampanti, le condivisioni stampanti e i connettori, ma sono limitati all'accesso in sola lettura a quelli esterni alla configurazione dell'unità di accesso di Azure.