Delegera skrivaradministration med administrativa enheter i Microsoft Entra-ID
Den här artikeln beskriver hur Universal Print integreras med administrativa enheter i Microsoft Entra-ID. Administrativa enheter begränsar behörigheter i en roll till valfri del av organisationen som du definierar. Du kan till exempel använda administrativa enheter för att delegera rollen Skrivaradministratör till regionala utskriftsadministratörer, så att de endast kan hantera skrivare i den region som de stöder.
Mer information om vad som erbjuds finns i Administrativa enheter i Microsoft Entra-ID.
Förutsättningar
- Konfigurera en administrativ Azure-enhet
- Administratörskonto med rollen Privilegierad rolladministratör eller global administratör
- Delegerad skrivaradministratör
- Microsoft Entra ID Premium P1- eller P2-licens tilldelad till varje skrivaradministratör inom den administrativa enheten
- Universal Print-berättigad licens tilldelas varje skrivaradministratör inom den administrativa enheten
Konfigurera administrativ enhet
Steg 1: Skapa den administrativa enheten
Mer information om de olika alternativen finns i Skapa eller ta bort administrativa enheter.
- Logga in på Azure-portalen med ett konto för privilegierad rolladministratör eller global administratör.
- Välj Microsoft Entra ID>Administrativa enheter.
- Markera Lägga till.
- I rutan Namn anger du namnet på den administrativa enheten. Du kan också lägga till en beskrivning av den administrativa enheten.
- Välj Nästa: Tilldela roller >.
- Välj Rollen Skrivaradministratör och välj sedan de användare eller grupper som rollen ska tilldelas till med det här administrativa enhetsomfånget.
- På fliken Granska + skapa granskar du den administrativa enheten och eventuella rolltilldelningar.
- Markera knappen Skapa.
Steg 2: Tilldela skrivare som ska hanteras av begränsad administratör
Azure Administrative Units erbjuder två sätt för administratörer att definiera den uppsättning enheter som omfattas av de tilldelade administrativa rättigheterna.
- Dynamiskt enhetsmedlemskap
- Medlemmar uppdateras automatiskt baserat på administratörsuppsättningens medlemskapsregler
- Tilldelat medlemskap
- Medlemmar tilldelas och uppdateras manuellt av administratören för den administrativa enheten
Alternativ 1: Regel för dynamiskt skrivarmedlemskap
Mer information finns i Hantera användare eller enheter för en administrativ enhet med regler för dynamiskt medlemskap.
Kommentar
Det kan ta lite tid innan listan över skrivare i en administrativ enhet utvärderas enligt regler för dynamiskt enhetsmedlemskap.
Delegera administratörsansvar efter Anslutning för Universell utskrift
När den administrativa enheten har skapats går du tillbaka till Administrativa enheter.
Välj den skapade administrativa enhet som du vill lägga till skrivare i.
Välj Egenskaper.
I listan Medlemskapstyp väljer du Dynamisk enhet.
Välj Lägg till dynamisk fråga.
Använd regelverktyget för att ange regeln för dynamiskt medlemskap. Mer information finns i Regelbyggare i Azure-portalen.
I regelverktyget
Property Operator Värde systemLabels Innehåller PrinterStandard extensionAttribute2 Börjar med <namngivningsschema för anslutningsapp>
Dricks
Anteckna fälten och värdena för egenskapen som används i den dynamiska frågeregeln. Dessa kommer att behövas senare i distributionsprocessen.
Delegera administratörsansvar efter skrivarplats
När den administrativa enheten har skapats går du tillbaka till Administrativa enheter.
Välj den skapade administrativa enhet som du vill lägga till skrivare i.
Välj Egenskaper.
I listan Medlemskapstyp väljer du Dynamisk enhet.
Välj Lägg till dynamisk fråga.
Använd regelverktyget för att ange regeln för dynamiskt medlemskap. Mer information finns i Regelbyggare i Azure-portalen.
I regelverktyget
Property Operator Värde systemLabels Innehåller PrinterStandard extensionAttribute3 Innehåller USA
Dricks
Anteckna fälten och värdena för egenskapen som används i den dynamiska frågeregeln. Dessa kommer att behövas senare i distributionsprocessen.
Alternativ 2: Lista över statiskt skrivarmedlemskap
Mer information finns i Lägg till användare, grupper eller enheter i en administrativ enhet .
- När den administrativa enheten har skapats går du tillbaka till Administrativa enheter.
- Välj den skapade administrativa enhet som du vill lägga till skrivare i.
- Välj Egenskaper.
- I listan Medlemskapstyp väljer du Tilldelad.
- Om en ändring har gjorts, kom ihåg att spara ändringarna.
- Välj Enheter.
- Välj Lägg till enhet.
- I fönstret Välj väljer du de skrivare som du vill lägga till i den administrativa enheten och väljer sedan Välj.
Egenskaper för synkroniseringsskrivare
Universal Prints integrering med Microsoft Entra ID-enhetsobjekt och administrativa enheter ger stor flexibilitet och anpassning i hur rollen skrivaradministratör kan delegeras. Genom att använda Microsoft Entra ID-enhetsobjektets "extensionAttributeX" kan organisationer välja och välja den kombination av skrivarmetadata som ska användas för att definiera de olika skrivaradministratörsomfången.
För att stödja den här flexibiliteten krävs regelbunden synkronisering av skrivarmetadata från Universal Print till Microsoft Entra ID. Detta kan göras genom att köra ett skript, till exempel följande exempel eller någon annan form av automatisering.
Följande exempel innehåller en startreferens. Kunderna bör ändra skriptet för att uppfylla sina egna distributionsbehov.
PowerShell-exempelskript
$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"
$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"
# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
$printer = $_
Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
$device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1
# The display name of the Microsoft Entra ID device is set to the initial display name
# of the printer. This sets extensionAttribute1 to the current name.
$extensionAttribute1 = "$($printer.DisplayName)"
# If the printer was registered with the Universal Print connector then the
# display name of the connector will be present in extensionAttribute2.
$extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"
# If the printer has a country or region set in its location properties it
# will be set to extensionAttribute15. Other location properties can be used
# as well.
$extensionAttribute3 = "$($printer.Location.CountryOrRegion)"
$existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
$extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
$extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
{
Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
Update-MgDevice -DeviceId $device.Id -BodyParameter @{
"extensionAttributes" = @{
"extensionAttribute1" = $extensionAttribute1
"extensionAttribute2" = $extensionAttribute2
"extensionAttribute3" = $extensionAttribute3
}
}
}
}
Kommentar
Körningen av det här exempelskriptet kräver att användarkontot är antingen
- En "Windows 365-administratör" och "skrivaradministratör"
- Eller en "global administratör"
Begränsad administratör jämfört med skrivaradministratör för klientorganisation
En begränsad skrivaradministratör har många av åtkomsträttigheterna som innehavaradministratörsroll för skrivare. I följande tabell sammanfattas likheterna och skillnaderna.
Administratörsåtgärd | Skrivaradministratörsroll | Begränsad skrivaradministratör1 |
---|---|---|
Registrera skrivare | Ja | Ja2 |
Registrera Anslut eller | Ja | Ja2 |
Avregistrera skrivare | Ja | Ja |
Avregistrera Anslut eller | Ja | Nej |
Lista skrivare | Ja | Ja3 |
Lista skrivarresurser | Ja | Ja3 |
Visa lista med anslutningsprogram | Ja | Ja3 |
Skrivaregenskaper | Ja | Ja3 |
Egenskaper för skrivarresurs | Ja | Ja3 |
Delningsskrivare | Ja | Ja |
Åtkomstkontroll för skrivare | Ja | Ja |
Växla skrivarresurs | Ja | Ja |
Visa jobbstatus i utskriftskö | Ja | Ja |
Dokumentkonvertering | Ja | Nej |
Användning och rapporter | Ja | Nej |
Obs!
- Begränsade administratörer kan bara hantera den uppsättning skrivare som definierats i Azure AU-konfigurationen, om inget annat anges.
- Begränsade administratörer kan utföra åtgärden på valfri skrivare eller anslutningsapp.
- Begränsade administratörer ser alla skrivare, skrivarresurser och anslutningsappar, men är begränsade till skrivskyddad åtkomst till dem utanför Azure AU-konfigurationen.