Printerbeheer delegeren met behulp van Azure Portal

Naarmate uw Universal Print-implementatie omhoog wordt geschaald, kan het lastig worden voor één IT-beheerder om alles te beheren. U kunt bepaalde beheertaken, zoals het registreren van nieuwe printers of het onderhouden van printers in een bepaald filiaal, delegeren aan specifieke personen.

Hier komt gedelegeerd beheer in beeld. Beheereenheden in Microsoft Entra-id kunnen worden gebruikt om machtigingen op basis van regels in uw organisatie te configureren.

U kunt bijvoorbeeld beheereenheden gebruiken om iemand alleen printers te laten beheren binnen de regio die ze ondersteunen.

Vereisten

• De gebruiker die bevoegdheden delegeert, moet de rol Beheerder voor bevoorrechte rollen of globale beheerder hebben.
• De gedelegeerde printerbeheerder moet een in aanmerking komende Universal Print-licentie hebben om printers te beheren.

Beheereenheden configureren

Stap 1: De beheereenheid maken

Raadpleeg Beheereenheden maken of verwijderen voor meer informatie over de verschillende opties.

1. Meld u aan bij Azure Portal met een Privileged Role Administrator of Global Administrator account.
2. Selecteer Microsoft Entra ID> Beheereenheden.
3. Selecteer Toevoegen.
4. Voer in het vak Naam de naam van de beheereenheid in. Voeg eventueel een beschrijving van de beheereenheid toe.
5. Selecteer Volgende: Rollen >toewijzen.
6. Selecteer de rol Printerbeheerder en selecteer vervolgens de gebruikers of groepen waaraan u de rol wilt toewijzen met dit beheereenheidbereik.
7. Controleer op het tabblad Controleren en maken de beheereenheid en eventuele roltoewijzingen.
8. Selecteer de knop Maken.

Stap 2: Printers toewijzen die moeten worden beheerd door de gedelegeerde beheerder

Beheereenheden in Microsoft Entra ID bieden twee manieren om de set printers te definiëren die een gedelegeerde beheerder kan beheren:

Optie 1: Dynamische regel

Door dynamische regels voor printerlidmaatschap te gebruiken, is het mogelijk om beheermachtigingen toe te wijzen aan gedelegeerde beheerders op basis van een set criteria. Een beheerder kan bijvoorbeeld beheermachtigingen hebben voor alle printers die zich op een bepaalde locatie bevinden of die zijn geregistreerd met een bepaalde connector.

Raadpleeg Gebruikers of apparaten beheren voor een beheereenheid met dynamische lidmaatschapsregels voor meer informatie.

Notitie

Het kan enige tijd duren voordat de lijst met printers in een beheereenheid wordt geëvalueerd volgens de regels voor dynamisch lidmaatschap van apparaten.

Beheerdersverantwoordelijkheden delegeren door connector voor Universeel afdrukken s

1. Nadat de beheereenheid in eerste instantie is gemaakt, gaat u terug naar Beheereenheden.

2. Selecteer de gemaakte beheereenheid waaraan u printers wilt toevoegen.

3. Selecteer Eigenschappen.

4. Selecteer Dynamisch apparaat in de lijst Lidmaatschapstype.

5. Selecteer Dynamische query toevoegen.

6. Gebruik de opbouwfunctie voor regels om de dynamische lidmaatschapsregel op te geven. Zie De opbouwfunctie voor regels in Azure Portal voor meer informatie.

7. In de opbouwfunctie voor regels:

   Eigenschappen	Operator	Weergegeven als
   systemLabels	Contains	PrinterStandard
   extensionAttribute2	Begint met	<naamgevingsschema van connector>

Tip

Noteer de velden en waarden 'Eigenschap' die worden gebruikt in de dynamische queryregel. Deze zijn later nodig in het implementatieproces.

Beheerdersverantwoordelijkheden delegeren op printerlocatie

1. Nadat de beheereenheid in eerste instantie is gemaakt, gaat u terug naar Beheereenheden.

2. Selecteer de gemaakte beheereenheid waaraan u printers wilt toevoegen.

3. Selecteer Eigenschappen.

4. Selecteer Dynamisch apparaat in de lijst Lidmaatschapstype.

5. Selecteer Dynamische query toevoegen.

6. Gebruik de opbouwfunctie voor regels om de dynamische lidmaatschapsregel op te geven. Zie De opbouwfunctie voor regels in Azure Portal voor meer informatie.

7. In de opbouwfunctie voor regels

   Eigenschappen	Operator	Weergegeven als
   systemLabels	Contains	PrinterStandard
   extensionAttribute3	Contains	USA

Tip

Noteer de velden en waarden 'Eigenschap' die worden gebruikt in de dynamische queryregel. Deze zijn later nodig in het implementatieproces.

Optie 2: Statische lijst

Met deze optie kunnen bevoegde beheerders handmatig gedelegeerde toegang toewijzen aan een specifieke lijst met printers.

Raadpleeg Gebruikers, groepen of apparaten toevoegen aan een beheereenheid voor meer informatie.

1. Nadat de beheereenheid in eerste instantie is gemaakt, gaat u terug naar Beheereenheden.
2. Selecteer de gemaakte beheereenheid waaraan u printers wilt toevoegen.
3. Selecteer Eigenschappen.
4. Selecteer Toegewezen in de lijst Lidmaatschapstype.
5. Als er een wijziging is aangebracht, moet u de wijzigingen opslaan .
6. Selecteer Apparaten.
7. Selecteer Apparaat toevoegen.
8. Selecteer in het deelvenster Selecteren de printers die u wilt toevoegen aan de beheereenheid en selecteer vervolgens Selecteren.

Eigenschappen van synchronisatieprinter

De integratie van Universal Print met Azure AD-apparaatobjecten en beheereenheden biedt veel flexibiliteit en aanpassing in de wijze waarop de rol Printerbeheerder kan worden gedelegeerd. Door gebruik te maken van de extensieAttributeX van het Azure AD-apparaatobject, kunnen organisaties de combinatie van printermetagegevens kiezen en kiezen die moeten worden gebruikt om de verschillende printerbeheerdersbereiken te definiëren.

Ter ondersteuning van deze flexibiliteit is periodieke synchronisatie van printermetagegevens van Universal Print naar Azure AD vereist. U kunt dit doen door een script uit te voeren, zoals het volgende voorbeeld of een andere vorm van automatisering.

Het volgende voorbeeld bevat een beginreferentie. Wijzig het script om te voldoen aan uw eigen implementatiebehoeften.

PowerShell-voorbeeldscript

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Azure AD device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Notitie

Voor het uitvoeren van dit voorbeeldscript moet het gebruikersaccount een van beide zijn

• Een 'Windows 365-beheerder' en 'Printerbeheerder'
• Of een globale beheerder

Gedelegeerde beheerder versus tenantbeheerder

Gedelegeerde machtigingen en tenantbeheerdersmachtigingen verschillen verder dan alleen welke printers kunnen worden beheerd. De volgende tabel bevat een overzicht van de overeenkomsten en verschillen:

Beheeractie	Printerbeheerdersrol	Bereik printerbeheerder1
Printer registreren	Ja	Ja2
Connector registreren	Ja	Ja2
Registratie van printer ongedaan maken	Ja	Ja
Registratie van connector ongedaan maken	Ja	Nr.
Printers weergeven	Ja	Ja3
Printershares weergeven	Ja	Ja3
Connectors weergeven	Ja	Ja3
Printereigenschappen	Ja	Ja3
Eigenschappen van printershare	Ja	Ja3
Printer delen	Ja	Ja
Printertoegangsbeheer	Ja	Ja
Printershare wisselen	Ja	Ja
Taakstatus weergeven in afdrukwachtrij	Ja	Ja
Documentconversie	Ja	Nr.
Gebruik en rapporten	Ja	Nr.

*Opmerking:

1. Scoped beheerders kunnen alleen de set printer(en) beheren die zijn gedefinieerd in de configuratie van beheereenheden, tenzij anders opgegeven.
2. Scoped beheerders kunnen de actie uitvoeren op elke printer of connector.
3. Scoped beheerders zien alle printers, printershares en connectors, maar zijn beperkt tot alleen-lezentoegang tot printers buiten de Azure AU-configuratie.

Zie ook

• Lees Navigeren in Universal Print in Azure Portal voor meer informatie over andere Universal Print-functies in De Azure-portal