Delegowanie administracji drukarką przy użyciu witryny Azure Portal

W miarę skalowania wdrożenia usługi Universal Print w górę może okazać się trudne dla jednego administratora IT do zarządzania wszystkimi elementami. Możesz delegować niektóre zadania administracyjne, takie jak rejestrowanie nowych drukarek lub obsługa drukarek w określonym oddziale, do określonych osób.

Jest to miejsce, w którym administracji delegowanej wchodzi na obraz. Jednostki administracyjne w usłudze Microsoft Entra ID mogą służyć do konfigurowania uprawnień opartych na regułach w organizacji.

Na przykład można użyć jednostek administracyjnych, aby umożliwić komuś zarządzanie tylko drukarkami w regionie, w którym są one obsługiwane.

Wymagania wstępne

• Użytkownik, który deleguje uprawnienia, musi mieć rolę Administrator ról uprzywilejowanych lub Administrator globalny.
• Administrator delegowanej drukarki musi mieć kwalifikującą się licencję usługi Universal Print do zarządzania drukarkami.

Konfigurowanie jednostek administracyjnych

Krok 1. Tworzenie jednostki administracyjnej

Aby uzyskać szczegółowe informacje na temat różnych opcji, zobacz Tworzenie lub usuwanie jednostek administracyjnych.

1. Zaloguj się do witryny Azure Portal przy użyciu Privileged Role Administrator konta lub Global Administrator .
2. Wybierz Microsoft Entra ID>Jednostki administracyjne.
3. Wybierz Dodaj.
4. W polu Nazwa wprowadź nazwę jednostki administracyjnej. Opcjonalnie dodaj opis jednostki administracyjnej.
5. Wybierz pozycję Dalej: Przypisz role >.
6. Wybierz rolę administratora drukarki, a następnie wybierz użytkowników lub grupy, do których chcesz przypisać rolę z tym zakresem jednostki administracyjnej.
7. Na karcie Przeglądanie i tworzenie przejrzyj jednostkę administracyjną i wszystkie przypisania ról.
8. Zaznacz przycisk Utwórz.

Krok 2. Przypisywanie drukarek do zarządzania przez administratora delegowanego

Jednostki administracyjne w firmie Microsoft Entra ID oferują dwa sposoby definiowania zestawu drukarek, którymi administrator delegowany może zarządzać:

Opcja 1. Reguła dynamiczna

Za pomocą reguł członkostwa w drukarce dynamicznej można przypisać uprawnienia zarządzania do delegowanych administratorów na podstawie zestawu kryteriów. Na przykład administrator może mieć uprawnienia do zarządzania dla wszystkich drukarek, które znajdują się w określonej lokalizacji lub zostały zarejestrowane przy użyciu określonego łącznika.

Aby uzyskać dodatkowe informacje, zobacz Zarządzanie użytkownikami lub urządzeniami dla jednostki administracyjnej z regułami członkostwa dynamicznego.

Uwaga

Ocena listy drukarek w jednostce administracyjnej może zająć trochę czasu zgodnie z dynamicznymi regułami członkostwa w urządzeniach.

Delegowanie obowiązków administratora przez łącznik Drukowanie uniwersalne

1. Po początkowym utworzeniu jednostki administracyjnej wróć do pozycji Jednostki administracyjne.

2. Wybierz utworzoną jednostkę administracyjną, do której chcesz dodać drukarki.

3. Wybierz Właściwości.

4. Na liście Typ członkostwa wybierz pozycję Urządzenie dynamiczne.

5. Wybierz pozycję Dodaj zapytanie dynamiczne.

6. Użyj konstruktora reguł, aby określić regułę członkostwa dynamicznego. Aby uzyskać więcej informacji, zobacz Konstruktor reguł w witrynie Azure Portal.

7. W konstruktorze reguł:

   Właściwości	Operator	Wartość
   systemLabels	Contains	DrukarkaStandard
   extensionAttribute2	Rozpoczyna się od	<Schemat nazewnictwa łączników>

Napiwek

Zanotuj pola i wartości "Właściwość" używane w regule zapytania dynamicznego. Będą one potrzebne później w procesie wdrażania.

Delegowanie obowiązków administratora według lokalizacji drukarki

1. Po początkowym utworzeniu jednostki administracyjnej wróć do pozycji Jednostki administracyjne.

2. Wybierz utworzoną jednostkę administracyjną, do której chcesz dodać drukarki.

3. Wybierz Właściwości.

4. Na liście Typ członkostwa wybierz pozycję Urządzenie dynamiczne.

5. Wybierz pozycję Dodaj zapytanie dynamiczne.

6. Użyj konstruktora reguł, aby określić regułę członkostwa dynamicznego. Aby uzyskać więcej informacji, zobacz Konstruktor reguł w witrynie Azure Portal.

7. W konstruktorze reguł

   Właściwości	Operator	Wartość
   systemLabels	Contains	DrukarkaStandard
   extensionAttribute3	Contains	USA

Napiwek

Zanotuj pola i wartości "Właściwość" używane w regule zapytania dynamicznego. Będą one potrzebne później w procesie wdrażania.

Opcja 2. Lista statyczna

Korzystając z tej opcji, uprzywilejowani administratorzy mogą ręcznie przypisać delegowany dostęp do określonej listy drukarek.

Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników, grup lub urządzeń do jednostki administracyjnej.

1. Po początkowym utworzeniu jednostki administracyjnej wróć do pozycji Jednostki administracyjne.
2. Wybierz utworzoną jednostkę administracyjną, do której chcesz dodać drukarki.
3. Wybierz Właściwości.
4. Na liście Typ członkostwa wybierz pozycję Przypisane.
5. Jeśli wprowadzono zmianę, pamiętaj o zapisaniu zmian.
6. Wybierz Urządzenia.
7. Wybierz pozycję Dodaj urządzenie.
8. W okienku Wybierz wybierz drukarki, które chcesz dodać do jednostki administracyjnej, a następnie wybierz pozycję Wybierz.

Właściwości drukarki synchronizacji

Integracja usługi Universal Print z obiektami urządzeń usługi Azure AD i jednostkami administracyjnymi zapewnia dużą elastyczność i dostosowywanie sposobu delegowania roli administratora drukarki. Korzystając z obiektu urządzenia usługi Azure AD "extensionAttributeX", organizacje mogą wybierać i wybierać kombinację metadanych drukarki, które mają być używane do definiowania różnych zakresów administratora drukarki.

Aby zapewnić tę elastyczność, wymagane jest okresowe synchronizowanie metadanych drukarki z usługi Universal Print do usługi Azure AD. Można to zrobić, wykonując skrypt, taki jak poniższy przykład lub dowolną inną formę automatyzacji.

Poniższy przykład zawiera odwołanie początkowe. Zmodyfikuj skrypt w celu spełnienia własnych potrzeb związanych z wdrożeniem.

Przykładowy skrypt programu PowerShell

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Azure AD device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Uwaga

Wykonanie tego przykładowego skryptu wymaga, aby konto użytkownika było albo

• "Administrator systemu Windows 365" i "Administrator drukarki"
• Lub "Administrator globalny"

Administrator delegowany a administrator dzierżawy

Uprawnienia administratora delegowanego i administratora dzierżawy różnią się w zależności od tego, które drukarki mogą być zarządzane. Poniższa tabela zawiera podsumowanie podobieństw i różnic:

Akcja administratora	Rola administratora drukarki	Administratordrukarki o określonym zakresie 1
Zarejestruj drukarkę	Tak	Tak2
Rejestrowanie łącznika	Tak	Tak2
Wyrejestrowywanie drukarki	Tak	Tak
Wyrejestrowywanie łącznika	Tak	Nie.
Drukarki listy	Tak	Tak3
Wyświetlanie listy udziałów drukarek	Tak	Tak3
Wyświetl listę łączników	Tak	Tak3
Właściwości drukarki	Tak	Tak3
Właściwości udziału drukarki	Tak	Tak3
Udostępnianie drukarki	Tak	Tak
Kontrola dostępu do drukarek	Tak	Tak
Wymiana udziału drukarki	Tak	Tak
Wyświetlanie stanu zadania w kolejce wydruku	Tak	Tak
Konwertowanie dokumentów	Tak	Nie.
Użycie i raporty	Tak	Nie.

*Uwaga:

1. Administratorzy o określonym zakresie mogą zarządzać tylko zestawem drukarek zdefiniowanych w konfiguracji jednostki administracyjnej, chyba że określono inaczej.
2. Administratorzy o określonym zakresie mogą wykonać akcję na dowolnej drukarce lub łączniku.
3. Administratorzy o określonym zakresie widzą wszystkie drukarki, udziały drukarek i łączniki, ale są ograniczone do dostępu tylko do odczytu do tych poza konfiguracją usługi Azure AU.

Zobacz też

• Przeczytaj artykuł Navigate Universal Print in Azure Portal (Nawigowanie po usłudze Universal Print w witrynie Azure Portal ), aby dowiedzieć się więcej o innych funkcjach usługi Universal Print w witrynie Azure Portal