Habilitar o ambiente híbrido do AD/AAD na Impressão Universal
Aplica-se a: Windows Server 2016
Tela de fundo
Essas informações destinam-se a ajudá-lo a decidir se habilitar a configuração híbrida do AD é a escolha certa para sua organização.
O que é uma configuração híbrida do AD?
Uma configuração híbrida do AD é uma configuração em que a organização usa tanto o AD quanto Azure AD. Nesse ambiente, existe uma conta de usuário em ambos os serviços de diretório.
O que significa "Habilitar a configuração híbrida do AD"?
O conector de Impressão Universal é executado como Windows serviço no computador em que ele está instalado. Uma das funções do conector é recuperar trabalhos de impressão da Impressão Universal e enviá-los para a impressora de destino. O conector usa a conta "Sistema" para enviar trabalhos de impressão para o spooler. Portanto, embora o portal de Impressão Universal mostre o nome de usuário Azure AD que enviou um trabalho de impressão, todos os trabalhos de impressão impressos usando a Impressão Universal aparecerão na fila da impressora Windows no conector, conforme enviado pelo usuário "System".
Alguns aplicativos de gerenciamento de impressão herdados, que dependem de domínios do Active Directory, leem o nome de usuário da fila do spooler e usam essas informações para executar alguma função (por exemplo, deduzir o trabalho de impressão da cota de impressão mensal de um usuário). Até que esses aplicativos sejam atualizados para funcionar mais perfeitamente com a Impressão Universal, eles não poderão obter a identidade do usuário que originou um trabalho de impressão.
Quando a opção "Habilitar configuração híbrida do AD" é ativada no conector de Impressão Universal, o conector tenta mapear a identidade do usuário Azure AD para uma identidade de usuário de domínio local correspondente do AD. Se uma identidade correspondente for encontrada, o serviço de conector representará a identidade de domínio do usuário antes de enviar o trabalho de impressão para o spooler em seu nome. Nesse caso, o nome de usuário de domínio do usuário que originou o trabalho de impressão aparecerá na fila do spooler no computador conector permitindo que aplicativos herdados o leiam.
Pré-requisitos
Há várias assinaturas, serviços e computadores que você precisará adquirir antes de iniciar essa instalação. Elas são as seguintes:
Azure AD assinatura premium.
Consulte Introdução com uma assinatura do Azure para obter uma assinatura de avaliação para o Azure.
Serviço MDM, como Intune.
Consulte Microsoft Intune para obter uma assinatura de avaliação para Intune.
Windows Server 2016 ou máquina posterior executando o Active Directory.
Consulte o passo a passo: configurando o Active Directory no Windows Server 2016 para obter ajuda para configurar o Active Directory.
Um computador dedicado, ingressado no domínio Windows Server 2016 ou posterior em execução como Servidor de Impressão e um Servidor conector.
Consulte Entender Azure AD Proxy de Aplicativo conectores para obter mais informações.
Nome de domínio voltado para o público.
Você pode usar o nome de domínio criado para você pelo Azure (domainname.onmicrosoft.com) ou comprar seu próprio nome de domínio. Confira Adicionar um nome de domínio personalizado usando o portal do Azure Active Directory.
Etapas de implantação.
As etapas abaixo permitem que você configure uma implantação de Impressão Universal típica necessária para habilitar o Ambiente híbrido do AD/AAD.
Etapa 1 – Instalar Azure AD Conexão
- Azure AD conectar sincroniza Azure AD ao AD local. No computador Windows Server com o Active Directory, baixe e instale o software Azure AD Conexão com configurações expressas. Consulte Introdução a Azure AD Conexão usando configurações expressas.
Etapa 2 – Instalar Proxy de Aplicativo
Observação: ignore esta etapa se o servidor de impressão já estiver ingressado no AzureAD.
O proxy de aplicativo permite que os usuários em sua organização acessem aplicativos locais na nuvem. Instale Proxy de Aplicativo no Servidor conector.
- Para obter instruções de instalação, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio de Proxy de Aplicativo no Azure Active Directory.
- É recomendável um grupo de conectores dedicado se a organização tiver uma topologia de rede complexa. Confira Publicar aplicativos em redes e locais separados usando grupos de conectores.
Etapa 3 – Configurar o servidor de impressão
Verifique se o Servidor de Impressão tem todos os Windows Update disponíveis instalados (atualize o servidor antes de prosseguir).
Observação: o Servidor 2019 deve ser corrigido para criar 17763.165 ou posterior.
No computador Windows Server que atua como um servidor de impressão, precisamos instalar a Função de Servidor de Impressão.
- Consulte Instalar funções, serviços de função e recursos usando o Assistente para adicionar Funções e Recursos para obter detalhes sobre como instalar funções de servidor.
Para garantir que o AD local seja mapeado com as contas do AAD, o servidor de Windows que atua como Servidor de Impressão deve ser Ingressado híbrido/Ingressado no Azure. Consulte a Instalação de Impressão Universal para garantir que todas as etapas sejam concluídas. Em suma,
- Instale o Conector de Impressão Universal no computador do Servidor de Impressão se ainda não tiver sido feito.
- Registre o conector com a Impressão Universal fornecendo um nome exclusivo para o conector.
- Compartilhe as impressoras registradas no portal administrativo.
Etapa 4 – Configurar sincronização de diretório do AD local com Azure AD
Os usuários ou grupos devem existir em Active Directory local e sincronizados com Azure AD. Se a solução for implantada em um domínio não roteável (por exemplo, mydomain.local), o domínio Azure AD (por exemplo, domainname.onmicrosoft.com ou um comprado de fornecedor de terceiros) precisará ser adicionado como um sufixo UPN para Active Directory local. Esse é exatamente o mesmo usuário que publicará impressoras (por exemplo, admin@domainname.onmicrosoft.com). Consulte Preparar um domínio não roteável para sincronização de diretório para garantir que o domínio local seja adicionado e sincronizado.
Observação: essa é uma etapa importante, pois é o requisito básico para uma configuração completa. O usuário do AD local deve ter o mesmo nome de usuário na conta do AAD sincronizada.
Exemplo: domínio/user1 deve traduzir para user1@AADDomain.com
Depois que a sincronização ocorrer (a frequência de sincronização padrão é de 30 minutos), você pode verificar se os usuários do AD estão sincronizados no portal administrativo. Em Azure Active Directory, selecione a guia usuários e uma lista de todos os usuários seria exibida. Seria fácil verificar se um usuário está sincronizado com o diretório nessa lista. Os detalhes de um usuário devem mostrar que a origem está Windows Server AD.
Etapa 5 – Habilitar o suporte híbrido do AD/AAD no Conector de Impressão Universal
No Servidor de Impressão em que o conector está instalado, deve haver um botão de alternância no canto superior direito do aplicativo.
- Selecione o botão de opção no opção habilitar a configuração híbrida do AD no conector.
Verificar a implantação
Verificar se a implantação seria enviando um trabalho de impressão de teste para o servidor de impressão usando suas credenciais do AAD em um computador cliente ingressado no AD.
O computador deve ser ingressado no AAD com a mesma conta com a qual está vinculado durante a etapa de sincronização. Vá para Configurações>Accounts>Contas de Email&. Clique em Adicionar uma conta corporativa ou de estudante e faça logon usando as credenciais para adicionar a conta do AAD ao computador cliente.
Etapas para enviar uma impressão de teste para verificar se a implantação está abaixo:
- Adicionar uma impressora e imprimir uma página de teste
- Depois que você observar um trabalho de impressão enfileirado na fila de impressão, o servidor de impressão na pasta C:/prints deverá ter um arquivo de impressão de teste exibido no nome printerName.pdf.
- Se esse arquivo for exibido, você poderá verificar se o mapeamento ocorreu com êxito verificando os logs de eventos no caminho mencionado na seção Solução de problemas para logs do Servidor de Impressão.
Solução de problemas
Abaixo estão os problemas comuns encontrados durante a implantação:
| Erro | Etapas Recomendadas |
|---|---|
| Falha na solicitação para adicionar ou remover recursos no servidor especificado | Verifique se Windows Server tem a atualização mais recente verificando se há atualizações no servidor. |
| Verificar se o servidor está ingressado no Domínio e no Azure | Execute dsregcmd no prompt de comando e verifique se AzureADJoined e DomainJoined estão definidos como estado "SIM". |
| Os trabalhos de impressão permanecem no estado enviado à impressora | |
| Os trabalhos de impressão são exibidos como "Abortados" no portal. O log de eventos do Conector de Impressão mostra o Evento 27 "Falha ao representar <o usuário> para a ID> do trabalho<, seguido pelo Evento 9 "Falha no PrintJob System.Security.SecurityException: o nome de usuário ou senha está incorreto...". | Verifique se a conta do computador é um membro do "grupo de acesso à autorização Windows", conforme descrito aqui – aplicativos e APIs exigem acesso. |
Para obter mais ajuda para solucionar problemas relacionados à Impressão Universal, consulte o guia de solução de problemas da Impressão Universal.
Abaixo estão os locais de logs que podem ajudar a solucionar problemas:
| Componente | Local do log |
|---|---|
| Cliente do Windows 10 | |
| Servidor de Impressão | Use Visualizador de Eventos para ver o log do Conector de Impressão. Clique em Iniciar e digite Visualizador de Eventos. Navegue até logs de aplicativos e serviços > Microsoft > Windows > PrintConnector > Operational. |