Microsoft Entra Id'de Yönetici Istrative Birimleriyle Yazıcı Yönetici Temsilcisi Seçme

  • Makale

Bu makalede, Evrensel Yazdırma'nın Microsoft Entra Id'deki yönetim birimleriyle nasıl tümleştirileceği açıklanmaktadır. Yönetim birimleri, bir roldeki izinleri kuruluşunuzun tanımladığınız bir bölümüyle kısıtlar. Örneğin, Yazıcı Yönetici istrator rolünü bölgesel yazdırma yöneticilerine devretmek için yönetim birimlerini kullanabilirsiniz; böylece yazıcıları yalnızca destekledikleri bölgede yönetebilirler.

Neler sunduğuna ilişkin ek ayrıntılar için Microsoft Entra Id'deki Yönetici istrative Units bölümüne bakın.

Önkoşullar

  • Azure Yönetici istrative Unit'i yapılandırma
    • Privileged Role Yönetici istrator veya Global Yönetici istrator rolüne sahip Yönetici hesabı
  • TemsilciLi Yazıcı Yönetici Istrator
    • Yönetim birimi içindeki her Yazıcı Yönetici istrator'a atanan Microsoft Entra Id Premium P1 veya P2 lisansı
    • Yönetim birimi içindeki her Yazıcı Yönetici istrator'a Evrensel Yazdırmaya uygun lisans atanır

Yönetici Istrative Birimi Yapılandırma

1. Adım: Yönetim birimini oluşturma

Çeşitli seçeneklerle ilgili ayrıntılar için bkz. Yönetim birimleri oluşturma veya silme.

  1. Privileged Role Yönetici istrator veya Global Yönetici istrator hesabıyla Azure portalında oturum açın.
  2. Microsoft Entra ID>Yönetim birimleri'ni seçin.
  3. Ekle'yi seçin.
  4. Ad kutusuna yönetim biriminin adını girin. İsteğe bağlı olarak, yönetim biriminin açıklamasını ekleyin.
  5. İleri: Rol >ata'yı seçin.
  6. Yazıcı yöneticisi rolü'ne tıklayın ve ardından rolün bu yönetim birimi kapsamına atanacak kullanıcıları veya grupları seçin.
  7. Gözden Geçir + oluştur sekmesinde yönetim birimini ve rol atamalarını gözden geçirin.
  8. Oluştur düğmesini seçin.

2. Adım: Kapsamlı yönetici tarafından yönetilecek yazıcıları atama

Azure Yönetici istrative Units, atanan yönetim hakları kapsamındaki cihaz kümesini tanımlamak için Yönetici 2 yol sunar.

  1. Dinamik Cihaz Üyeliği
    • Üyeler, Yönetici belirlenen üyelik kurallarına göre otomatik olarak güncelleştirilir
  2. Atanan Üyelik
    • Üyeler, Yönetici istratif Birimin Yönetici tarafından el ile atanır ve güncelleştirilir

1. Seçenek: Dinamik yazıcı üyelik kuralı

Ek ayrıntılar için bkz. Dinamik üyelik kurallarıyla bir yönetim birimi için kullanıcıları veya cihazları yönetme.

Not

Bir yönetim birimindeki yazıcı listesinin dinamik cihaz üyelik kurallarına göre değerlendirilmesi biraz zaman alabilir.

Evrensel Yazdırma bağlayıcısı'lere göre Yönetici sorumlulukları devretme

  1. Yönetim birimi ilk kez oluşturulduktan sonra Yönetici istrative birimlerine geri dönün.

  2. Yazıcı eklemek istediğiniz oluşturulan yönetim birimini seçin.

  3. Özellikleri'i seçin.

  4. Üyelik türü listesinde Dinamik Cihaz'ı seçin.

  5. Dinamik sorgu ekle’yi seçin.

  6. Dinamik üyelik kuralını belirtmek için kural oluşturucusunu kullanın. Daha fazla bilgi için bkz . Azure portalında kural oluşturucu.

  7. Kural oluşturucuda

    Özellik İşleç Değer
    systemLabels Contains PrinterStandard
    extensionAttribute2 Şununla Başlar: <bağlayıcı adlandırma şeması>

İpucu

Dinamik sorgu kuralında kullanılan "Özellik" alanlarını ve değerlerini not alın. Bunlar daha sonra dağıtım işleminde gerekli olacaktır.

Yazıcı konumuna göre Yönetici sorumlulukları devretme

  1. Yönetim birimi ilk kez oluşturulduktan sonra Yönetici istrative birimlerine geri dönün.

  2. Yazıcı eklemek istediğiniz oluşturulan yönetim birimini seçin.

  3. Özellikleri'i seçin.

  4. Üyelik türü listesinde Dinamik Cihaz'ı seçin.

  5. Dinamik sorgu ekle’yi seçin.

  6. Dinamik üyelik kuralını belirtmek için kural oluşturucusunu kullanın. Daha fazla bilgi için bkz . Azure portalında kural oluşturucu.

  7. Kural oluşturucuda

    Özellik İşleç Değer
    systemLabels Contains PrinterStandard
    extensionAttribute3 Contains ABD

İpucu

Dinamik sorgu kuralında kullanılan "Özellik" alanlarını ve değerlerini not alın. Bunlar daha sonra dağıtım işleminde gerekli olacaktır.

Seçenek 2: Statik yazıcı üyelik listesi

Ek ayrıntılar için bkz. Yönetim birimine kullanıcı, grup veya cihaz ekleme.

  1. Yönetim birimi ilk kez oluşturulduktan sonra Yönetici istrative birimlerine geri dönün.
  2. Yazıcı eklemek istediğiniz oluşturulan yönetim birimini seçin.
  3. Özellikleri'i seçin.
  4. Üyelik türü listesinde Atanan'ı seçin.
  5. Bir değişiklik yapıldıysa, Değişiklikleri kaydetmeyi unutmayın.
  6. Cihazlar'ı seçin.
  7. Cihaz ekle'yi seçin.
  8. Seç bölmesinde, yönetim birimine eklemek istediğiniz yazıcıları seçin ve ardından Seç'i seçin.

Yazıcı Özelliklerini Eşitle

Universal Print'in Microsoft Entra ID cihaz nesneleri ve yönetim birimleriyle tümleştirilmesi, Yazıcı Yönetici istrator rolünün temsilci olarak atanma şekli konusunda çok fazla esneklik ve özelleştirme sağlar. Kuruluşlar, Microsoft Entra ID cihaz nesnesinin "extensionAttributeX" özelliğinden yararlanarak farklı yazıcı yöneticisi kapsamlarını tanımlamak için kullanılacak yazıcı meta verilerinin birleşimini seçebilir ve seçebilir.

Bu esnekliği desteklemek için yazıcı meta verilerinin Evrensel Yazdırma'dan Microsoft Entra Id'ye düzenli olarak eşitlenmesi gerekir. Bu, aşağıdaki örnek veya başka bir otomasyon biçimi gibi bir betik yürütülerek yapılabilir.

Aşağıdaki örnek bir başlangıç başvurusu sağlar; müşteriler betiği kendi dağıtım gereksinimlerini karşılayacak şekilde değiştirmelidir.

Örnek PowerShell Betiği

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Microsoft Entra ID device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Not

Bu örnek betiğin yürütülmesi için kullanıcı hesabının iki durumdan biri olması gerekir

  • "Windows 365 Yönetici istrator" ve "Yazıcı Yönetici istrator"
  • Veya bir "Genel Yönetici istrator"

Kapsamlı Yönetici ve Kiracı Yazıcısı Yönetici

Kapsamlı bir yazıcı yöneticisi, kiracı Yazıcı Yönetici istrator rolü olarak erişim haklarının çoğuna sahiptir. Aşağıdaki tabloda benzerlikler ve farklılıklar özetlemektedir.

Yönetici Eylemi Yazıcı Yönetici Rolü Kapsamlı Yazıcı Yönetici 1
YazıcıYı Kaydet Yes Evet2
Bağlan or'ı kaydetme Yes Evet2
Yazıcı kaydını kaldırma Yes Yes
Bağlan veya kaydını kaldırma Yes Hayır
Yazıcıları Listele Yes Evet3
Yazıcı Paylaşımlarını Listele Yes Evet3
Bağlayıcıları Listele Yes Evet3
Yazıcı Özellikleri Yes Evet3
Yazıcı Paylaşımı Özellikleri Yes Evet3
Yazıcı Paylaşımı Yes Yes
Yazıcı Erişim Denetimi Yes Yes
Yazıcı Paylaşımını Değiştir Yes Yes
Yazdırma Kuyruğunda İş Durumunu Görüntüleme Yes Yes
Belge Dönüştürme Yes Hayır
Kullanım ve Raporlar Yes Hayır

Not:

  1. Kapsamı belirlenmiş yöneticiler, aksi belirtilmedikçe yalnızca Azure AU yapılandırmasında tanımlanan yazıcı kümesini yönetebilir.
  2. Kapsamlı yöneticiler eylemi herhangi bir yazıcıda veya bağlayıcıda gerçekleştirebilir.
  3. Kapsamlı yöneticiler tüm yazıcıları, yazıcı paylaşımlarını ve bağlayıcıları görür, ancak Azure AU yapılandırması dışındakilere salt okunur erişimle sınırlıdır.