Делегирование администрирования принтеров с помощью административных единиц в Microsoft Entra ID

В этой статье описывается, как Universal Print интегрируется с административными единицами в Microsoft Entra ID. Административные единицы ограничивают разрешения в роли любой частью организации, которую вы определите. Например, можно использовать административные единицы для делегирования роли администратора принтера региональным администраторам печати, чтобы они могли управлять принтерами только в регионе, который они поддерживают.

Дополнительные сведения о его возможностях см. в разделе Административные единицы в Microsoft Entra ID.

Prerequisites

Настройка административной единицы Azure
- Учетная запись администратора с привилегированным администратором ролей или ролью глобального администратора
Делегированный администратор принтера
- Microsoft Entra ID лицензия Premium P1 или P2, назначенная каждому администратору принтера в административной единице
- Каждому администратору принтеров в административной единице назначается лицензия с поддержкой Universal Print

Настройка административной единицы

Шаг 1. Создание административной единицы

Дополнительные сведения о различных параметрах см. в статье "Создание или удаление административных единиц ".

Войдите на портал Azure с помощью учетной записи администратора привилегированных ролей или глобального администратора.
Выберите Microsoft Entra ID>Административные единицы.
Нажмите кнопку "Добавить".
В поле "Имя" введите имя административной единицы. При необходимости добавьте описание административной единицы.
Нажмите кнопку "Далее" — назначение ролей >.
Выберите роль Администратор принтера, а затем выберите пользователей или группы, которым нужно назначить эту роль в пределах этой административной единицы.
На вкладке «Проверка и создание» проверьте административную единицу и все назначения ролей.
Выберите кнопку Создать.

Шаг 2. Назначьте принтеры для управления администратору с ограниченной областью действия

Azure Administrative Units предлагает администраторам 2 способа определить набор устройств, входящих в область действия назначенных административных прав.

Динамическое членство устройств
- Состав участников автоматически обновляется на основе правил членства, заданных администратором.
Назначенное членство
- Участники назначаются и обновляются администратором административной единицы вручную.

Вариант 1: Правило динамического членства для принтера

Дополнительные сведения см. в статье "Управление пользователями или устройствами для административной единицы с правилами динамического членства ".

Note

Для оценки списка принтеров в административной единице может потребоваться некоторое время в соответствии с правилами динамического членства устройств.

Делегирование обязанностей администратора коннекторам Universal Print

После первоначального создания административной единицы вернитесь в административные единицы.
Выберите созданную административную единицу, в которую нужно добавить принтеры.
Выберите Свойства.
В списке типов членства выберите "Динамическое устройство".
Выберите "Добавить динамический запрос".
Используйте построитель правил, чтобы указать правило динамического членства. Дополнительные сведения см. в разделе Конструктор правил на портале Azure.

В построителе правил

Property	Operator	Ценность
системные метки	Содержит	PrinterStandard
extensionAttribute2	Начинается с	<Схема именования соединителей>

Tip

Обратите внимание на поля и значения «Свойство», используемые в правиле динамического запроса. Они потребуются позже в процессе развертывания.

Делегирование обязанностей администратора по расположению принтера

После первоначального создания административной единицы вернитесь в административные единицы.
Выберите созданную административную единицу, в которую нужно добавить принтеры.
Выберите Свойства.
В списке типов членства выберите "Динамическое устройство".
Выберите "Добавить динамический запрос".
Используйте построитель правил, чтобы указать правило динамического членства. Дополнительные сведения см. в разделе Конструктор правил на портале Azure.
В построителе правил

Property Operator Ценность

системные метки Содержит Стандартный принтер

расширенныйАтрибут3 Содержит USA

Property	Operator	Ценность
системные метки	Содержит	Стандартный принтер
расширенныйАтрибут3	Содержит	USA

Tip

Вариант 2. Список членства статических принтеров

Дополнительные сведения см. в статье "Добавление пользователей, групп или устройств в административную единицу ".

После первоначального создания административной единицы вернитесь в административные единицы.
Выберите созданную административную единицу, в которую нужно добавить принтеры.
Выберите Свойства.
В списке типов членства выберите "Назначено".
Если было сделано изменение, не забудьте сохранить изменения.
Выберите Устройства.
Выберите Добавить устройство.
В области "Выбор " выберите принтеры, которые нужно добавить в административную единицу, а затем нажмите кнопку "Выбрать".

Синхронизировать свойства принтера

интеграция Universal Print с объектами устройств Microsoft Entra ID и административными подразделениями обеспечивает большую гибкость и настройку того, как роль администратора принтера можно делегировать. Используя атрибут "extensionAttributeX" объекта устройства Microsoft Entra ID, организации могут гибко выбирать сочетание метаданных принтера для определения различных областей ответственности администраторов принтеров.

Для поддержки этой гибкости требуется периодическое синхронизация метаданных принтера из Universal Print на Microsoft Entra ID. Это можно сделать, выполнив скрипт, например следующий пример или любую другую форму автоматизации.

В следующем примере представлена начальная ссылка, клиенты должны изменить скрипт в соответствии с собственными потребностями развертывания.

Пример скрипта PowerShell

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Microsoft Entra ID device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}