Activer l’environnement d’ID Hybride AD/Microsoft Entra sur l’impression universelle

  • Article

S'applique à : Windows Server 2016

Background

Ces informations sont destinées à vous aider à déterminer si l’activation de la configuration AD hybride est le bon choix pour votre organisation.

Qu’est-ce qu’une configuration AD hybride ?

Une configuration AD hybride est une configuration où l’organisation utilise AD ainsi que Microsoft Entra ID. Dans un tel environnement, un compte d’utilisateur existe dans ces deux services d’annuaire.

Que signifie « Activer la configuration d’AD hybride » ?

Le connecteur Impression universelle s’exécute en tant que service Windows sur le PC où il est installé. L’une des fonctions du connecteur consiste à récupérer des travaux d’impression à partir de l’impression universelle et à les envoyer à l’imprimante cible. Le connecteur utilise le compte « Système » pour envoyer des travaux d’impression au spouleur. Par conséquent, bien que le portail d’impression universelle affiche le nom d’utilisateur Microsoft Entra ID qui a envoyé un travail d’impression, chaque travail d’impression imprimé à l’aide de l’impression universelle s’affiche dans la file d’attente d’imprimantes Windows sur le connecteur tel qu’il est soumis par l’utilisateur « Système ».

Certaines applications de gestion d’impression héritées, qui s’appuient sur des domaines Active Directory, lisent le nom d’utilisateur de la file d’attente du spouleur et utilisent ces informations pour effectuer une fonction (par exemple, déduire la tâche d’impression à partir du quota d’impression mensuel d’un utilisateur). Tant que ces applications ne sont pas mises à jour pour fonctionner de manière plus transparente avec l’impression universelle, elles ne pourront pas obtenir l’identité de l’utilisateur qui a créé un travail d’impression.

Lorsque l’option « Activer la configuration AD hybride » est activée dans le connecteur d’impression universelle, le connecteur tente de mapper l’identité de l’utilisateur Microsoft Entra ID à une identité d’utilisateur de domaine AD locale correspondante. Si une identité correspondante est trouvée, le service de connecteur emprunte l’identité de domaine de cet utilisateur avant de soumettre le travail d’impression au spouleur en son nom. Dans ce cas, le nom d’utilisateur de domaine de l’utilisateur qui a créé la tâche d’impression s’affiche dans la file d’attente du spouleur sur le PC du connecteur, ce qui permet aux applications héritées de le lire.

Conditions préalables

Il existe un certain nombre d’abonnements, de services et d’ordinateurs que vous devez acquérir avant de commencer cette installation. Les voici :

Étapes du déploiement

Les étapes ci-dessous vous permettent de configurer un déploiement d’impression universelle classique requis pour activer Hybrid AD/Microsoft Entra ID Environment.

Étape 1 - Installer l’ID Microsoft Entra Connecter

  1. Microsoft Entra ID connect synchronise l’ID Microsoft Entra avec AD local. Sur l’ordinateur Windows Server avec Active Directory, téléchargez et installez l’ID Microsoft Entra Connecter logiciel avec des paramètres express. Consultez Prise en main de Microsoft Entra ID Connecter à l’aide de paramètres express.

Étape 2 - Installer le Proxy d'application

Remarque : ignorez cette étape si le serveur d’impression est déjà joint à AzureAD.

Le Proxy d’application permet aux utilisateurs de votre organisation d’accéder aux applications locales à partir du cloud. Installez le proxy d’application sur le connecteur.

Étape 3 : configurer le serveur d’impression

  1. Vérifiez que le serveur d’impression dispose de toutes les mises à jour Windows Update disponibles (Mettez à jour le serveur avant de continuer).

    Remarque : Le serveur 2019 doit être corrigé pour générer 17763.165 ou version ultérieure.

    Sur l’ordinateur Windows Server qui agit en tant que serveur d’impression, nous devons installer le rôle serveur d’impression.

    Rôle du serveur d’impression

  2. Pour vous assurer que l’AD local est mappé avec les comptes Microsoft Entra ID, windows Server qui agit comme serveur d’impression doit être joint hybride/joint à Azure. Consultez le programme d’installation d’impression universelle pour vous assurer que toutes les étapes sont terminées. En bref,

    • Installez le Connecter or d’impression universelle sur l’ordinateur serveur d’impression si ce n’est pas déjà fait.
    • Inscrivez le connecteur auprès de l’impression universelle en fournissant un nom unique pour le connecteur.
    • Partagez les imprimantes inscrites sur le portail d’administration.

Étape 4 - Configurer la synchronisation d’annuaires d’AD local avec l’ID Microsoft Entra

Les utilisateurs ou les groupes doivent exister dans Active Directory local et synchronisés avec l’ID Microsoft Entra. Si la solution est déployée sur un domaine non routable (par exemple, mydomain.local), le domaine Microsoft Entra ID (par exemple, nom_domaine.onmicrosoft.com ou un domaine acheté auprès d’un fournisseur tiers) doit être ajouté en tant que suffixe UPN pour Active Directory local. Il s’agit donc exactement du même utilisateur qui publiera des imprimantes (par exemple, admin@domainname.onmicrosoft.com). Consultez Préparer un domaine non routable pour la synchronisation d’annuaires pour vous assurer que le domaine local est ajouté et synchronisé.

Remarque : Il s’agit d’une étape importante, car il s’agit de l’exigence de base d’une configuration complète. L’utilisateur AD local doit avoir le même nom d’utilisateur sur le compte Microsoft Entra ID synchronisé.
Exemple : domaine/utilisateur1 doit être traduit en user1@example.com

Une fois la synchronisation effectuée (la fréquence de synchronisation par défaut est de 30 minutes), vous pouvez vérifier que les utilisateurs AD sont synchronisés sur le portail d’administration. Sous Microsoft Entra ID, sélectionnez l’onglet Utilisateurs et une liste de tous les utilisateurs s’affiche. Il serait facile de vérifier si un utilisateur est synchronisé dans cette liste. Les détails d’un utilisateur doivent indiquer que la source est Windows Server AD.

L’utilisateur est synchronisé dans l’annuaire

Étape 5 : activation de la prise en charge d’AD/Microsoft Entra ID hybride sur le Connecter or d’impression universelle

Sur le serveur d’impression où le connecteur est installé, il doit y avoir un bouton bascule dans le coin supérieur droit de l’application.

  • Sélectionnez la case d’option pour activer l’option de configuration AD hybride sur le connecteur.

Activer la configuration d’AD hybride

Vérifier le déploiement

Vérifiez que le déploiement consiste à envoyer un travail d’impression de test au serveur d’impression à l’aide de vos informations d’identification d’ID Microsoft Entra sur un ordinateur client joint à AD.

L’ordinateur doit être joint à l’ID Microsoft Entra avec le même compte que celui auquel il est lié pendant l’étape de synchronisation. Accédez à Paramètres> Accounts>Email &Accounts. Cliquez sur Ajouter un compte professionnel ou scolaire et connectez-vous à l’aide des informations d’identification pour ajouter le compte Microsoft Entra ID à l’ordinateur client.

Les étapes d’envoi d’une impression de test pour vérifier que le déploiement est ci-dessous :

  • Ajouter une imprimante et imprimer une page de test
  • Une fois qu’un travail d’impression est mis en file d’attente dans la file d’attente d’impression, le serveur d’impression sous le dossier C :/prints doit avoir un fichier d’impression de test s’affiche dans le nom printerName.pdf.
  • Si ce fichier s’affiche, vous pouvez case activée si le mappage s’est produit correctement en case activée les journaux des événements dans le chemin d’accès mentionné dans la section Résolution des problèmes pour les journaux d’activité du serveur d’impression.

Dépannage

Voici les problèmes courants rencontrés lors du déploiement :

Error Étapes recommandées
Échec de la demande d’ajout ou de suppression de fonctionnalités sur le serveur spécifié Vérifiez que Windows Server dispose de la dernière mise à jour en case activée pour les mises à jour sur le serveur.
Vérifier si le serveur est joint à Un domaine et à Azure Exécutez dsregcmd à l’invite de commandes et case activée si AzureADJoined et DomainJoined sont définis sur l’état « YES ».
Les travaux d’impression restent à l’état Envoyé à l’imprimante
  • Vérifiez que TLS 1.2 est activé sur le connecteur. Consultez l’article lié à l’étape 2.
  • Vérifiez que HTTP2 est désactivé sur le connecteur. Consultez l’article lié à l’étape 2.
    		•
    Les travaux d’impression s’affichent comme étant « abandonnés » dans le portail. Print Connecter or event log affiche l’événement 27 « Échec de l’emprunt d’identité <de l’utilisateur> pour l’ID> de travail<, suivi de l’événement 9 « PrintJob failed System.Security.SecurityException : Le nom d’utilisateur ou le mot de passe est incorrect... ». Vérifiez que le compte d’ordinateur est membre du « groupe d’accès d’autorisation Windows », comme décrit ici : les applications et les API nécessitent un accès.

    Pour plus d’informations sur la résolution des problèmes liés à l’impression universelle, consultez le guide de résolution des problèmes d’impression universelle.

    Voici les emplacements des journaux qui peuvent vous aider à résoudre les problèmes suivants :

    Composant Emplacement du journal
    Client Windows 10
  • Utilisez l’Observateur d’événements pour afficher le journal des opérations d’ID Microsoft Entra. Cliquez sur Démarrer et tapez Observateur d'événements. Accédez aux journaux > des applications et services Microsoft > Windows Entra > ID > Operation.
  • Utilisez le Hub de commentaires pour collecter les journaux. Consultez Envoyer des commentaires à Microsoft avec l’application Hub de commentaires
    		•
    Serveur d’impression Utilisez l’Observateur d’événements pour afficher le journal de l’Connecter or d’impression. Cliquez sur Démarrer et tapez Observateur d'événements. Accédez aux journaux > d’applications et de services Que Microsoft > Windows > Print Connecter or > Operational.