Partager via


Déléguer l’administration d’imprimante à l’aide du portail Azure

À mesure que votre déploiement d’impression universelle augmente, il peut être difficile pour un administrateur informatique de gérer tout. Vous pouvez déléguer certaines tâches administratives, telles que l’inscription de nouvelles imprimantes ou la maintenance d’imprimantes dans une certaine succursale, à des personnes spécifiques.

C’est là que l’administration déléguée entre dans l’image. Les unités administratives de Microsoft Entra ID peuvent être utilisées pour configurer des autorisations basées sur des règles dans votre organisation.

Par exemple, vous pouvez utiliser des unités administratives pour permettre à quelqu’un de gérer uniquement les imprimantes au sein de la région prise en charge.

Prérequis

  • L’utilisateur qui délègue des privilèges doit avoir un rôle Administrateur de rôle privilégié ou Administrateur général.
  • L’administrateur délégué de l’imprimante doit disposer d’une licence d’impression universelle éligible pour gérer les imprimantes.

Configurer des unités administratives

Étape 1 : Créer l’unité administrative

Reportez-vous à Créer ou supprimer des unités administratives pour plus d’informations sur les différentes options.

  1. Connectez-vous au Portail Azure avec un ou Global Administrator un Privileged Role Administrator compte.
  2. Sélectionnez les Unités administratives>Microsoft Entra ID.
  3. Sélectionnez Ajouter.
  4. Dans la zone Nom, entrez le nom de l’unité administrative. Si vous le souhaitez, ajoutez une description de l’unité administrative.
  5. Sélectionnez Suivant : Attribuer des rôles >.
  6. Sélectionnez le rôle d’administrateur d’imprimante, puis sélectionnez les utilisateurs ou les groupes auxquels attribuer le rôle avec cette étendue d’unité administrative.
  7. Dans l’onglet Réviser + créer, passez en revue l’unité administrative et toutes les attributions de rôles.
  8. Cliquez sur le bouton Créer.

Étape 2 : Affecter des imprimantes à gérer par l’administrateur délégué

Les unités administratives de Microsoft Entra ID offrent deux façons de définir l’ensemble d’imprimantes qu’un administrateur délégué peut gérer :

En utilisant des règles d’appartenance à l’imprimante dynamique, il est possible d’attribuer des autorisations de gestion aux administrateurs délégués en fonction d’un ensemble de critères. Par exemple, un administrateur peut disposer d’autorisations de gestion pour toutes les imprimantes situées à un certain emplacement ou inscrites à l’aide d’un certain connecteur.

Pour plus d’informations, consultez Gérer les utilisateurs ou les appareils d’une unité administrative avec des règles d’appartenance dynamique.

Remarque

La liste des imprimantes d’une unité administrative peut prendre un certain temps en fonction des règles d’appartenance aux appareils dynamiques.

Délégation des responsabilités d’administrateur par les connecteurs d’impression universelle

  1. Une fois l’unité administrative créée initialement, revenez aux unités administratives.

  2. Sélectionnez l’unité administrative créée à laquelle vous souhaitez ajouter des imprimantes.

  3. Sélectionner Propriétés.

  4. Dans la liste des types d’appartenances, sélectionnez Appareil dynamique.

  5. Sélectionnez Ajouter une requête dynamique.

  6. Utilisez le générateur de règles pour spécifier la règle d’appartenance dynamique. Pour plus d’informations, consultez Générateur de règles dans le portail Azure.

  7. Dans le générateur de règles :

    Propriété Opérateur Valeur
    systemLabels Contains PrinterStandard
    extensionAttribute2 Starts With <schéma d’affectation de noms de connecteur>

Conseil

Notez les champs et valeurs « Property » utilisés dans la règle de requête dynamique. Celles-ci seront nécessaires ultérieurement dans le processus de déploiement.

Délégation des responsabilités d’administrateur par emplacement de l’imprimante

  1. Une fois l’unité administrative créée initialement, revenez aux unités administratives.

  2. Sélectionnez l’unité administrative créée à laquelle vous souhaitez ajouter des imprimantes.

  3. Sélectionner Propriétés.

  4. Dans la liste des types d’appartenances, sélectionnez Appareil dynamique.

  5. Sélectionnez Ajouter une requête dynamique.

  6. Utilisez le générateur de règles pour spécifier la règle d’appartenance dynamique. Pour plus d’informations, consultez Générateur de règles dans le portail Azure.

  7. Dans le générateur de règles

    Propriété Opérateur Valeur
    systemLabels Contains PrinterStandard
    extensionAttribute3 Contains États-Unis

Conseil

Notez les champs et valeurs « Property » utilisés dans la règle de requête dynamique. Celles-ci seront nécessaires ultérieurement dans le processus de déploiement.

Synchroniser les propriétés de l’imprimante

L’intégration de l’impression universelle avec les objets d’appareil Azure AD et les unités administratives offre une grande flexibilité et une personnalisation dans la façon dont le rôle Administrateur d’imprimante peut être délégué. En tirant parti de l’objet d’appareil Azure AD « extensionAttributeX », les organisations peuvent choisir et choisir la combinaison de métadonnées d’imprimante à utiliser pour définir les différentes étendues d’administrateur d’imprimante.

Pour prendre en charge cette flexibilité, la synchronisation périodique des métadonnées d’imprimante de l’impression universelle vers Azure AD est requise. Pour ce faire, exécutez un script, tel que l’exemple suivant ou toute autre forme d’automatisation.

L’exemple suivant fournit une référence de départ. Modifiez le script pour répondre à vos propres besoins de déploiement.

Exemple de script PowerShell

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Azure AD device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Remarque

L’exécution de cet exemple de script nécessite que le compte d’utilisateur soit

  • Un « Administrateur Windows 365 » et un « Administrateur d’imprimante »
  • Ou, un « administrateur général »

Administrateur délégué et administrateur de locataire

Les autorisations d’administrateur délégué et de locataire diffèrent au-delà des imprimantes qui peuvent être manadées. Le tableau suivant récapitule les similitudes et les différences :

Action d’administrateur Rôle d’administrateur d’imprimante Administrateurd’imprimante étendue 1
Inscrire l’imprimante Oui Oui2
Inscrire le connecteur Oui Oui2
Désinscrire l’imprimante Oui Oui
Annuler l’inscription du connecteur Oui Non
Répertorier les imprimantes Oui Oui3
Répertorier les partages d’imprimantes Oui Oui3
Lister les connecteurs Oui Oui3
Propriétés de l’imprimante Oui Oui3
Propriétés du partage d’imprimante Oui Oui3
Partage de l’imprimante Oui Oui
Contrôle d’accès à l’imprimante Oui Oui
Échanger le partage d’imprimante Oui Oui
Afficher l’état du travail dans la file d’attente d’impression Oui Oui
Conversion de document Oui Non
Utilisation et rapports Oui Non

*Remarque :

  1. Les administrateurs étendus ne peuvent gérer que l’ensemble d’imprimantes définis dans la configuration d’unité administrative, sauf indication contraire.
  2. Les administrateurs étendus peuvent effectuer l’action sur n’importe quelle imprimante ou connecteur.
  3. Les administrateurs étendus voient toutes les imprimantes, partages d’imprimantes et connecteurs, mais sont limités à l’accès en lecture seule à ceux situés en dehors de la configuration Azure AU.

Voir aussi