Delegera skrivaradministration med Hjälp av Azure Portal

När distributionen av Universal Print skalas upp kan det bli svårt för en IT-administratör att hantera allt. Du kanske vill delegera vissa administrativa uppgifter, till exempel att registrera nya skrivare eller underhålla skrivare på ett visst avdelningskontor, till specifika personer.

Det är här delegerad administration kommer in i bilden. Administrativa enheter i Microsoft Entra-ID kan användas för att konfigurera regelbaserade behörigheter i din organisation.

Du kan till exempel använda administrativa enheter för att låta någon endast hantera skrivare inom den region som de stöder.

Förutsättningar

• Den användare som delegerar behörigheter måste ha rollen Privilegierad rolladministratör eller global administratör .
• Den delegerade skrivaradministratören måste ha en berättigad universalutskriftslicens för att hantera skrivare.

Konfigurera administrativa enheter

Steg 1: Skapa den administrativa enheten

Mer information om de olika alternativen finns i Skapa eller ta bort administrativa enheter.

1. Logga in på Azure Portal med ett Privileged Role Administrator eller Global Administrator ett konto.
2. Välj Microsoft Entra ID>Administrativa enheter.
3. Markera Lägga till.
4. I rutan Namn anger du namnet på den administrativa enheten. Du kan också lägga till en beskrivning av den administrativa enheten.
5. Välj Nästa: Tilldela roller >.
6. Välj Rollen Skrivaradministratör och välj sedan de användare eller grupper som rollen ska tilldelas till med det här administrativa enhetsomfånget.
7. På fliken Granska + skapa granskar du den administrativa enheten och eventuella rolltilldelningar.
8. Markera knappen Skapa.

Steg 2: Tilldela skrivare som ska hanteras av den delegerade administratören

Administrativa enheter i Microsoft Entra ID erbjuder två sätt att definiera den uppsättning skrivare som en delegerad administratör kan hantera:

Alternativ 1: Dynamisk regel

Genom att använda regler för dynamiskt skrivarmedlemskap är det möjligt att tilldela hanteringsbehörigheter till delegerade administratörer baserat på en uppsättning kriterier. En administratör kan till exempel ha hanteringsbehörigheter för alla skrivare som finns på en viss plats eller som har registrerats med hjälp av en viss anslutningsapp.

Mer information finns i Hantera användare eller enheter för en administrativ enhet med regler för dynamiskt medlemskap.

Kommentar

Det kan ta lite tid innan listan över skrivare i en administrativ enhet utvärderas enligt regler för dynamiskt enhetsmedlemskap.

Delegera administratörsansvar efter Anslutning för Universell utskrift

1. När den administrativa enheten har skapats går du tillbaka till Administrativa enheter.

2. Välj den skapade administrativa enhet som du vill lägga till skrivare i.

3. Välj Egenskaper.

4. I listan Medlemskapstyp väljer du Dynamisk enhet.

5. Välj Lägg till dynamisk fråga.

6. Använd regelverktyget för att ange regeln för dynamiskt medlemskap. Mer information finns i Regelbyggare i Azure Portal.

7. I regelverktyget:

   Property	Operator	Värde
   systemLabels	Innehåller	PrinterStandard
   extensionAttribute2	Börjar med	<namngivningsschema för anslutningsapp>

Dricks

Anteckna fälten och värdena för egenskapen som används i den dynamiska frågeregeln. Dessa kommer att behövas senare i distributionsprocessen.

Delegera administratörsansvar efter skrivarplats

1. När den administrativa enheten har skapats går du tillbaka till Administrativa enheter.

2. Välj den skapade administrativa enhet som du vill lägga till skrivare i.

3. Välj Egenskaper.

4. I listan Medlemskapstyp väljer du Dynamisk enhet.

5. Välj Lägg till dynamisk fråga.

6. Använd regelverktyget för att ange regeln för dynamiskt medlemskap. Mer information finns i Regelbyggare i Azure Portal.

7. I regelverktyget

   Property	Operator	Värde
   systemLabels	Innehåller	PrinterStandard
   extensionAttribute3	Innehåller	USA

Dricks

Anteckna fälten och värdena för egenskapen som används i den dynamiska frågeregeln. Dessa kommer att behövas senare i distributionsprocessen.

Alternativ 2: Statisk lista

Med det här alternativet kan privilegierade administratörer manuellt tilldela delegerad åtkomst till en specifik lista med skrivare.

Mer information finns i Lägg till användare, grupper eller enheter i en administrativ enhet .

1. När den administrativa enheten har skapats går du tillbaka till Administrativa enheter.
2. Välj den skapade administrativa enhet som du vill lägga till skrivare i.
3. Välj Egenskaper.
4. I listan Medlemskapstyp väljer du Tilldelad.
5. Om en ändring har gjorts, kom ihåg att spara ändringarna.
6. Välj Enheter.
7. Välj Lägg till enhet.
8. I fönstret Välj väljer du de skrivare som du vill lägga till i den administrativa enheten och väljer sedan Välj.

Egenskaper för synkroniseringsskrivare

Universal Prints integrering med Azure AD-enhetsobjekt och administrativa enheter ger stor flexibilitet och anpassning i hur rollen skrivaradministratör kan delegeras. Genom att använda Azure AD-enhetsobjektets "extensionAttributeX" kan organisationer välja och välja den kombination av skrivarmetadata som ska användas för att definiera de olika skrivaradministratörsomfången.

För att stödja den här flexibiliteten krävs regelbunden synkronisering av skrivarmetadata från Universal Print till Azure AD. Detta kan göras genom att köra ett skript, till exempel följande exempel eller någon annan form av automatisering.

Följande exempel innehåller en startreferens. Ändra skriptet så att det uppfyller dina egna distributionsbehov.

PowerShell-exempelskript

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Azure AD device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Kommentar

Körningen av det här exempelskriptet kräver att användarkontot är antingen

• En "Windows 365-administratör" och "skrivaradministratör"
• Eller en "global administratör"

Delegerad administratör jämfört med innehavaradministratör

Behörigheter för delegerade och innehavaradministratörer skiljer sig från vilka skrivare som kan hanteras. I följande tabell sammanfattas likheterna och skillnaderna:

Administratörsåtgärd	Skrivaradministratörsroll	Begränsad skrivaradministratör1
Registrera skrivare	Ja	Ja2
Registrera anslutningsapp	Ja	Ja2
Avregistrera skrivare	Ja	Ja
Avregistrera anslutningsapp	Ja	Nej
Lista skrivare	Ja	Ja3
Lista skrivarresurser	Ja	Ja3
Visa lista med anslutningsprogram	Ja	Ja3
Skrivaregenskaper	Ja	Ja3
Egenskaper för skrivarresurs	Ja	Ja3
Delningsskrivare	Ja	Ja
Åtkomstkontroll för skrivare	Ja	Ja
Växla skrivarresurs	Ja	Ja
Visa jobbstatus i utskriftskö	Ja	Ja
Dokumentkonvertering	Ja	Nej
Användning och rapporter	Ja	Nej

*Obs!

1. Begränsade administratörer kan bara hantera den uppsättning skrivare som definierats i konfigurationen av administrativa enheter, om inget annat anges.
2. Begränsade administratörer kan utföra åtgärden på valfri skrivare eller anslutningsapp.
3. Begränsade administratörer ser alla skrivare, skrivarresurser och anslutningsappar, men är begränsade till skrivskyddad åtkomst till dem utanför Azure AU-konfigurationen.

Se även

• Läs Navigera universell utskrift i Azure-portalen om du vill veta mer om andra universella utskriftsfunktioner i Azure-portalen