Delegare l'amministrazione della stampante tramite il portale di Azure

Man mano che la distribuzione di stampa universale aumenta, potrebbe risultare difficile per un amministratore IT gestire tutto. È possibile delegare determinate attività amministrative, ad esempio la registrazione di nuove stampanti o la gestione di stampanti in una determinata succursale, a utenti specifici.

Qui entra in gioco l'amministrazione delegata. Le unità amministrative in Microsoft Entra ID possono essere usate per configurare le autorizzazioni basate su regole nell'organizzazione.

Ad esempio, è possibile usare unità amministrative per consentire a un utente di gestire solo le stampanti all'interno dell'area supportata.

Prerequisiti

• L'utente che delega i privilegi deve avere un ruolo di amministratore ruolo con privilegi o di amministratore globale.
• L'amministratore della stampante delegata deve disporre di una licenza di stampa universale idonea per gestire le stampanti.

Configurare le unità amministrative

Passaggio 1: Creare l'unità amministrativa

Per informazioni dettagliate sulle varie opzioni, vedere Creare o eliminare unità amministrative.

1. Accedere al portale di Azure con un Privileged Role Administrator account o Global Administrator .
2. Selezionare Microsoft Entra ID>unità amministrative.
3. Selezionare Aggiungi.
4. Nella casella Nome immettere il nome dell'unità amministrativa. Facoltativamente, aggiungere una descrizione dell'unità amministrativa.
5. Selezionare Avanti: Assegnare ruoli >.
6. Selezionare Ruolo amministratore stampante e quindi selezionare gli utenti o i gruppi a cui assegnare il ruolo con questo ambito di unità amministrativa.
7. Nella scheda Rivedi e crea esaminare l'unità amministrativa e le assegnazioni di ruolo.
8. Selezionare il pulsante Crea.

Passaggio 2: Assegnare stampanti da gestire dall'amministratore delegato

Le unità amministrative in Microsoft Entra ID offrono due modi per definire il set di stampanti che un amministratore delegato può gestire:

Opzione 1: Regola dinamica

Usando le regole di appartenenza alle stampanti dinamiche, è possibile assegnare autorizzazioni di gestione agli amministratori delegati in base a un set di criteri. Ad esempio, un amministratore potrebbe disporre delle autorizzazioni di gestione per tutte le stampanti che si trovano in una determinata posizione o che sono state registrate usando un determinato connettore.

Per altri dettagli, vedere Gestire utenti o dispositivi per un'unità amministrativa con regole di appartenenza dinamica.

Nota

L'elenco delle stampanti in un'unità amministrativa può richiedere del tempo in base alle regole di appartenenza dinamica dei dispositivi.

Delega delle responsabilità dell'amministratore da connettore Stampa universale

1. Dopo la creazione iniziale dell'unità amministrativa, tornare a Unità amministrative.

2. Selezionare l'unità amministrativa creata a cui si desidera aggiungere stampanti.

3. Selezionare Proprietà.

4. Nell'elenco Tipo di appartenenza selezionare Dispositivo dinamico.

5. Selezionare Aggiungi query dinamica.

6. Usare il generatore di regole per specificare la regola di appartenenza dinamica. Per ulteriori informazioni, consultare Generatore di regole nel portale di Azure.

7. Nel generatore di regole:

   Proprietà	Operatore	Valore
   systemLabels	Contiene	PrinterStandard
   extensionAttribute2	Starts With	<Schema di denominazione del connettore>

Suggerimento

Prendere nota dei campi e dei valori "Proprietà" usati nella regola di query dinamica. Questi saranno necessari più avanti nel processo di distribuzione.

Delega delle responsabilità dell'amministratore in base alla posizione della stampante

1. Dopo la creazione iniziale dell'unità amministrativa, tornare a Unità amministrative.

2. Selezionare l'unità amministrativa creata a cui si desidera aggiungere stampanti.

3. Selezionare Proprietà.

4. Nell'elenco Tipo di appartenenza selezionare Dispositivo dinamico.

5. Selezionare Aggiungi query dinamica.

6. Usare il generatore di regole per specificare la regola di appartenenza dinamica. Per ulteriori informazioni, consultare Generatore di regole nel portale di Azure.

7. Nel generatore di regole

   Proprietà	Operatore	Valore
   systemLabels	Contiene	PrinterStandard
   extensionAttribute3	Contiene	USA

Suggerimento

Prendere nota dei campi e dei valori "Proprietà" usati nella regola di query dinamica. Questi saranno necessari più avanti nel processo di distribuzione.

Opzione 2: Elenco statico

Usando questa opzione, gli amministratori con privilegi possono assegnare manualmente l'accesso delegato a un elenco specifico di stampanti.

Per altri dettagli, vedere Aggiungere utenti, gruppi o dispositivi a un'unità amministrativa.

1. Dopo la creazione iniziale dell'unità amministrativa, tornare a Unità amministrative.
2. Selezionare l'unità amministrativa creata a cui si desidera aggiungere stampanti.
3. Selezionare Proprietà.
4. Nell'elenco Tipo di appartenenza, selezionare Assegnato.
5. Se è stata apportata una modifica, ricordarsi di salvare le modifiche.
6. Seleziona Dispositivi.
7. Selezionare Aggiungi dispositivo.
8. Nel riquadro Seleziona selezionare le stampanti da aggiungere all'unità amministrativa e quindi selezionare Seleziona.

Sincronizza proprietà stampante

L'integrazione di Stampa universale con gli oggetti dispositivo di Azure AD e le unità amministrative offre una notevole flessibilità e personalizzazione nel modo in cui è possibile delegare il ruolo Di amministratore stampante. Sfruttando l'"extensionAttributeX" dell'oggetto dispositivo di Azure AD, le organizzazioni possono scegliere e scegliere la combinazione di metadati della stampante da usare per definire i diversi ambiti di amministratore della stampante.

Per supportare questa flessibilità, è necessaria la sincronizzazione periodica dei metadati della stampante da Stampa universale ad Azure AD. Questa operazione può essere eseguita eseguendo uno script, ad esempio l'esempio seguente o qualsiasi altra forma di automazione.

L'esempio seguente fornisce un riferimento iniziale. Modificare lo script per soddisfare le proprie esigenze di distribuzione.

Script di PowerShell di esempio

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Azure AD device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Nota

L'esecuzione di questo script di esempio richiede che l'account utente sia

• Un "Amministratore di Windows 365" e "Amministratore stampante"
• In alternativa, un "amministratore globale"

Amministratore delegato e amministratore tenant

Le autorizzazioni di amministratore delegato e tenant differiscono oltre a quelle che è possibile gestire le stampanti. La tabella seguente riepiloga le analogie e le differenze:

Azione amministratore	Ruolo amministratore stampante	Amministratorestampante con ambito 1
Registra stampante	Sì	Sì2
Registrare il connettore	Sì	Sì2
Annullare la registrazione della stampante	Sì	Sì
Annullare la registrazione del connettore	Sì	No
Elencare le stampanti	Sì	Sì3
Elencare le condivisioni stampanti	Sì	Sì3
Elenca connettori	Sì	Sì3
Proprietà stampante	Sì	Sì3
Proprietà condivisione stampante	Sì	Sì3
Condivisione stampante	Sì	Sì
Controllo di accesso della stampante	Sì	Sì
Scambia condivisione stampante	Sì	Sì
Visualizzare lo stato del processo nella coda di stampa	Sì	Sì
Conversione di documenti	Sì	No
Utilizzo e report	Sì	No

*Nota:

1. Gli amministratori con ambito possono gestire solo il set di stampanti definite nella configurazione dell'unità amministrativa, se non diversamente specificato.
2. Gli amministratori con ambito possono eseguire l'azione su qualsiasi stampante o connettore.
3. Gli amministratori con ambito visualizzano tutte le stampanti, le condivisioni stampanti e i connettori, ma sono limitati all'accesso in sola lettura a quelli esterni alla configurazione dell'unità di accesso di Azure.

Vedi anche

• Per altre informazioni sulle altre funzionalità di stampa universale nel portale di Azure, vedere Esplorare la stampa universale nel portale di Azure