使用 Azure 门户委托打印机管理
随着通用打印部署的纵向扩展,一位 IT 管理员可能很难管理所有内容。 你可能希望将某些管理任务(例如在某一分支机构注册新打印机或维护打印机)委托给特定个人。
这是委托管理进入图片的地方。 Microsoft Entra ID 中的管理单元可用于在组织中配置基于规则的权限。
例如,可以使用管理单元让某人仅管理他们支持的区域内的打印机。
先决条件
- 委托特权的用户必须具有 特权角色管理员 或 全局管理员 角色。
- 委派的打印机管理员必须具有 符合条件的通用打印许可证 才能管理打印机。
配置管理单元
步骤 1:创建管理单元
有关 各种选项的详细信息,请参阅“创建或删除管理单元 ”。
- 使用或帐户登录到Azure 门户。
Global AdministratorPrivileged Role Administrator - 选择 Microsoft Entra ID>管理单元。
- 选择 添加 。
- 在“名称”框中,输入管理单元的名称。 (可选)添加管理单元的说明。
- 选择“ 下一步:分配角色 >”。
- 选择 打印机管理员 角色,然后选择要将此角色分配给此管理单元范围的用户或组。
- 在“查看 + 创建”选项卡上,查看管理单元和所有角色分配。
- 选择“创建”按钮。
步骤 2:分配由委派管理员管理的打印机
Microsoft Entra ID 中的管理单元提供了两种方法来定义委托管理员可以管理的打印机集:
通过使用动态打印机成员身份规则,可以根据一组条件将管理权限分配给委派的管理员。 例如,管理员可以拥有特定位置或使用特定连接器注册的所有打印机的管理权限。
有关 更多详细信息,请参阅使用动态成员身份规则 管理单元的用户或设备。
注意
可能需要一些时间才能根据动态设备成员身份规则评估管理单元中的打印机列表。
通过通用打印连接器委派管理员职责
最初创建管理单元后,返回到 管理单元。
选择要向其添加打印机的已创建管理单元。
选择“属性”。
在 “成员身份类型 ”列表中,选择“ 动态设备”。
选择“添加动态查询”。
使用规则生成器指定动态成员资格规则。 有关详细信息,请参阅 Azure 门户中的规则生成器。
在规则生成器中:
properties 运算符 值 systemLabels 包含 PrinterStandard extensionAttribute2 开头为 <连接器命名架构>
提示
记下动态查询规则中使用的“属性”字段和值。 稍后在部署过程中需要这些内容。
按打印机位置委派管理员职责
最初创建管理单元后,返回到 管理单元。
选择要向其添加打印机的已创建管理单元。
选择“属性”。
在 “成员身份类型 ”列表中,选择“ 动态设备”。
选择“添加动态查询”。
使用规则生成器指定动态成员资格规则。 有关详细信息,请参阅 Azure 门户中的规则生成器。
在规则生成器中
properties 运算符 值 systemLabels 包含 PrinterStandard extensionAttribute3 包含 USA
提示
记下动态查询规则中使用的“属性”字段和值。 稍后在部署过程中需要这些内容。
同步打印机属性
通用打印与 Azure AD 设备对象和管理单元的集成在如何委派打印机管理员角色方面提供了很大的灵活性和自定义。 通过利用 Azure AD 设备对象的“extensionAttributeX”,组织可以选取并选择用于定义不同打印机管理员范围的打印机元数据的组合。
为了支持这种灵活性,需要定期将打印机元数据从通用打印同步到 Azure AD。 可以通过执行脚本(如以下示例或任何其他形式的自动化)来完成此操作。
下面的示例提供了一个起始引用。 修改脚本以满足自己的部署需求。
示例 PowerShell 脚本
$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"
$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"
# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
$printer = $_
Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
$device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1
# The display name of the Azure AD device is set to the initial display name
# of the printer. This sets extensionAttribute1 to the current name.
$extensionAttribute1 = "$($printer.DisplayName)"
# If the printer was registered with the Universal Print connector then the
# display name of the connector will be present in extensionAttribute2.
$extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"
# If the printer has a country or region set in its location properties it
# will be set to extensionAttribute15. Other location properties can be used
# as well.
$extensionAttribute3 = "$($printer.Location.CountryOrRegion)"
$existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
$extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
$extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
{
Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
Update-MgDevice -DeviceId $device.Id -BodyParameter @{
"extensionAttributes" = @{
"extensionAttribute1" = $extensionAttribute1
"extensionAttribute2" = $extensionAttribute2
"extensionAttribute3" = $extensionAttribute3
}
}
}
}
注意
执行此示例脚本需要用户帐户
- “Windows 365 管理员”和“打印机管理员”
- 或者,“全局管理员”
委派管理员与租户管理员
委派和租户管理员权限不同于可以管理哪些打印机。 下表总结了相似性和差异:
| 管理员操作 | 打印机管理员角色 | 作用域打印机管理员1 |
|---|---|---|
| 注册打印机 | 是 | 是2 |
| 注册连接器 | 是 | 是2 |
| 注销打印机 | 是 | 是 |
| 注销连接器 | 是 | 否 |
| 列出打印机 | 是 | 是3 |
| 列出打印机共享 | 是 | 是3 |
| 列出连接器 | 是 | 是3 |
| 打印机属性 | 是 | 是3 |
| 打印机共享属性 | 是 | 是3 |
| 共享打印机 | 是 | 是 |
| 打印机访问控制 | 是 | 是 |
| 交换打印机共享 | 是 | 是 |
| 在打印队列中查看作业状态 | 是 | 是 |
| 文档转换 | 是 | 否 |
| 使用情况和报告 | 是 | 否 |
*注意:
- 作用域管理员只能管理管理单元配置中定义的打印机集,除非另有指定。
- 作用域管理员可在任何打印机或连接器上执行操作。
- 作用域内管理员会看到所有打印机、打印机共享和连接器,但仅限于对 Azure AU 配置外部的打印机、打印机共享和连接器的只读访问权限。
另请参阅
- 阅读 在 Azure 门户中 导航通用打印,了解 Azure 门户中的其他通用打印功能