Delegar a administração da impressora usando o Portal do Azure

À medida que a implantação da Impressão Universal é ampliada, pode ser difícil para um administrador de TI gerenciar tudo. Talvez você queira delegar determinadas tarefas administrativas, como registrar novas impressoras ou manter impressoras em uma determinada filial, a indivíduos específicos.

É aqui que a administração delegada entra em cena. As unidades administrativas na ID do Microsoft Entra podem ser usadas para configurar permissões baseadas em regras em sua organização.

Por exemplo, você pode usar unidades administrativas para permitir que alguém gerencie apenas impressoras na região de suporte.

Pré-requisitos

• O usuário que delega privilégios deve ter uma função de Administrador de Função com Privilégios ou Administrador Global.
• O administrador de impressora delegado deve ter uma licença de Impressão Universal qualificada para gerenciar impressoras.

Configurar unidades administrativas

Etapa 1: Criar a unidade administrativa

Consulte Criar ou excluir unidades administrativas para obter detalhes sobre as várias opções.

1. Entre no portal do Azure com uma Privileged Role Administrator conta ouGlobal Administrator.
2. Selecione Microsoft Entra ID>Unidades administrativas.
3. Selecione Adicionar.
4. Na caixa Nome, insira o nome da unidade administrativa. Se você quiser, também pode adicionar uma descrição da unidade administrativa.
5. Selecione Avançar: Atribuir funções >.
6. Selecione Função de administrador de impressora e, em seguida, selecione os usuários ou grupos aos quais atribuir a função com esse escopo de unidade administrativa.
7. Na guia Revisar + criar, examine a unidade administrativa e as atribuições de função.
8. Selecione o botão Criar.

Etapa 2: Atribuir impressoras a serem gerenciadas pelo administrador delegado

As unidades administrativas na ID do Microsoft Entra oferecem duas maneiras de definir o conjunto de impressoras que um administrador delegado pode gerenciar:

Opção 1: regra dinâmica

Usando regras de associação de impressora dinâmica, é possível atribuir permissões de gerenciamento a administradores delegados com base em um conjunto de critérios. Por exemplo, um administrador pode ter permissões de gerenciamento para todas as impressoras que estão em um determinado local ou foram registradas usando um determinado conector.

Consulte Gerenciar usuários ou dispositivos para uma unidade administrativa com regras de associação dinâmica para obter detalhes adicionais.

Observação

Pode levar algum tempo para que a lista de impressoras em uma unidade administrativa seja avaliada de acordo com as regras de associação dinâmica de dispositivo.

Delegando responsabilidades de administrador por conectores de Impressão Universal

1. Depois que a unidade administrativa for criada inicialmente, volte para Unidades administrativas.

2. Selecione a unidade administrativa criada à qual você deseja adicionar impressoras.

3. Selecione Propriedades.

4. Na lista Tipo de associação, selecione Dispositivo dinâmico.

5. Selecione Adicionar consulta dinâmica.

6. Use o construtor de regras para especificar a regra de associação dinâmica. Para obter mais informações, confira Construtor de regras no portal do Azure.

7. No construtor de regras:

   Propriedade	Operador	Valor
   systemLabels	Contém	ImpressoraPadrão
   extensionAttribute2	Começa com	<Esquema de nomenclatura do conector>

Dica

Anote os campos e valores "Propriedade" usados na regra de consulta dinâmica. Estes serão necessários mais tarde no processo de implantação.

Delegando responsabilidades administrativas por local da impressora

1. Depois que a unidade administrativa for criada inicialmente, volte para Unidades administrativas.

2. Selecione a unidade administrativa criada à qual você deseja adicionar impressoras.

3. Selecione Propriedades.

4. Na lista Tipo de associação, selecione Dispositivo dinâmico.

5. Selecione Adicionar consulta dinâmica.

6. Use o construtor de regras para especificar a regra de associação dinâmica. Para obter mais informações, confira Construtor de regras no portal do Azure.

7. No construtor de regras

   Propriedade	Operador	Valor
   systemLabels	Contém	ImpressoraPadrão
   extensionAttribute3	Contém	EUA

Dica

Anote os campos e valores "Propriedade" usados na regra de consulta dinâmica. Estes serão necessários mais tarde no processo de implantação.

Opção 2: lista estática

Usando essa opção, os administradores privilegiados podem atribuir manualmente acesso delegado a uma lista específica de impressoras.

Consulte Adicionar usuários, grupos ou dispositivos a uma unidade administrativa para obter detalhes adicionais.

1. Depois que a unidade administrativa for criada inicialmente, volte para Unidades administrativas.
2. Selecione a unidade administrativa criada à qual você deseja adicionar impressoras.
3. Selecione Propriedades.
4. Na lista Tipo de associação, selecione Atribuído.
5. Se uma alteração foi feita, lembre-se de Salvar as alterações.
6. Selecione Dispositivos.
7. Selecione Adicionar dispositivo.
8. No painel Selecionar, selecione as impressoras que deseja adicionar à unidade administrativa e selecione Selecionar.

Sincronizar propriedades da impressora

A integração da Impressão Universal com objetos de dispositivo e unidades administrativas do Azure AD fornece muita flexibilidade e personalização em como a função de Administrador de Impressora pode ser delegada. Ao aproveitar o "extensionAttributeX" do objeto de dispositivo do Azure AD, as organizações podem escolher a combinação de metadados de impressora a serem usados para definir os diferentes escopos de administrador de impressora.

Para dar suporte a essa flexibilidade, é necessária a sincronização periódica de metadados da impressora da Impressão Universal para o Azure AD. Isso pode ser feito executando um script, como o exemplo a seguir, ou qualquer outra forma de automação.

O exemplo a seguir fornece uma referência inicial. Modifique o script para atender às suas próprias necessidades de implantação.

Exemplo de script do PowerShell

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Azure AD device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Observação

A execução deste script de exemplo requer que a conta de usuário seja

• Um "Administrador do Windows 365" e "Administrador de Impressora"
• Ou, um "Administrador Global"

Administrador delegado vs. administrador de locatários

As permissões de administrador de locatários e delegados diferem além de apenas quais impressoras podem ser manejadas. A tabela a seguir resume as semelhanças e diferenças:

Ação do administrador	Função de administrador de impressora	Administradorde impressora com escopo 1
Registrar impressora	Sim	Sim2
Conector de registro	Sim	Sim2
Cancelar registro da impressora	Sim	Sim
Cancelar registro do conector	Sim	No
Listar impressoras	Sim	Sim3
Listar compartilhamentos de impressora	Sim	Sim3
Listar conectores	Sim	Sim3
Propriedades da impressora	Sim	Sim3
Propriedades de compartilhamento de impressora	Sim	Sim3
Compartilhando impressora	Sim	Sim
Controle de acesso à impressora	Sim	Sim
Trocar compartilhamento de impressora	Sim	Sim
Exibir status do trabalho na fila de impressão	Sim	Sim
Conversão de documentos	Sim	No
Uso e relatórios	Sim	No

*Observação:

1. Os administradores com escopo só podem gerenciar o conjunto de impressoras definido na configuração da unidade administrativa, a menos que especificado de outra forma.
2. Os administradores com escopo podem executar a ação em qualquer impressora ou conector.
3. Os administradores com escopo veem todas as impressoras, compartilhamentos de impressora e conectores, mas estão limitados ao acesso somente leitura àqueles que estão fora da configuração do Azure AU.

Confira também

• Leia Navegar pela Impressão Universal no Portal do Azure para saber mais sobre outros recursos da Impressão Universal no Portal do Azure