Déléguer l’administration d’imprimante à l’aide du portail Azure
À mesure que votre déploiement d’impression universelle augmente, il peut être difficile pour un administrateur informatique de gérer tout. Vous pouvez déléguer certaines tâches administratives, telles que l’inscription de nouvelles imprimantes ou la maintenance d’imprimantes dans une certaine succursale, à des personnes spécifiques.
C’est là que l’administration déléguée entre dans l’image. Les unités administratives de Microsoft Entra ID peuvent être utilisées pour configurer des autorisations basées sur des règles dans votre organisation.
Par exemple, vous pouvez utiliser des unités administratives pour permettre à quelqu’un de gérer uniquement les imprimantes au sein de la région prise en charge.
Prérequis
- L’utilisateur qui délègue des privilèges doit avoir un rôle Administrateur de rôle privilégié ou Administrateur général.
- L’administrateur délégué de l’imprimante doit disposer d’une licence d’impression universelle éligible pour gérer les imprimantes.
Configurer des unités administratives
Étape 1 : Créer l’unité administrative
Reportez-vous à Créer ou supprimer des unités administratives pour plus d’informations sur les différentes options.
- Connectez-vous au Portail Azure avec un ou
Global Administrator
unPrivileged Role Administrator
compte. - Sélectionnez les Unités administratives>Microsoft Entra ID.
- Sélectionnez Ajouter.
- Dans la zone Nom, entrez le nom de l’unité administrative. Si vous le souhaitez, ajoutez une description de l’unité administrative.
- Sélectionnez Suivant : Attribuer des rôles >.
- Sélectionnez le rôle d’administrateur d’imprimante, puis sélectionnez les utilisateurs ou les groupes auxquels attribuer le rôle avec cette étendue d’unité administrative.
- Dans l’onglet Réviser + créer, passez en revue l’unité administrative et toutes les attributions de rôles.
- Cliquez sur le bouton Créer.
Étape 2 : Affecter des imprimantes à gérer par l’administrateur délégué
Les unités administratives de Microsoft Entra ID offrent deux façons de définir l’ensemble d’imprimantes qu’un administrateur délégué peut gérer :
En utilisant des règles d’appartenance à l’imprimante dynamique, il est possible d’attribuer des autorisations de gestion aux administrateurs délégués en fonction d’un ensemble de critères. Par exemple, un administrateur peut disposer d’autorisations de gestion pour toutes les imprimantes situées à un certain emplacement ou inscrites à l’aide d’un certain connecteur.
Pour plus d’informations, consultez Gérer les utilisateurs ou les appareils d’une unité administrative avec des règles d’appartenance dynamique.
Remarque
La liste des imprimantes d’une unité administrative peut prendre un certain temps en fonction des règles d’appartenance aux appareils dynamiques.
Délégation des responsabilités d’administrateur par les connecteurs d’impression universelle
Une fois l’unité administrative créée initialement, revenez aux unités administratives.
Sélectionnez l’unité administrative créée à laquelle vous souhaitez ajouter des imprimantes.
Sélectionner Propriétés.
Dans la liste des types d’appartenances, sélectionnez Appareil dynamique.
Sélectionnez Ajouter une requête dynamique.
Utilisez le générateur de règles pour spécifier la règle d’appartenance dynamique. Pour plus d’informations, consultez Générateur de règles dans le portail Azure.
Dans le générateur de règles :
Propriété Opérateur Valeur systemLabels Contains PrinterStandard extensionAttribute2 Starts With <schéma d’affectation de noms de connecteur>
Conseil
Notez les champs et valeurs « Property » utilisés dans la règle de requête dynamique. Celles-ci seront nécessaires ultérieurement dans le processus de déploiement.
Délégation des responsabilités d’administrateur par emplacement de l’imprimante
Une fois l’unité administrative créée initialement, revenez aux unités administratives.
Sélectionnez l’unité administrative créée à laquelle vous souhaitez ajouter des imprimantes.
Sélectionner Propriétés.
Dans la liste des types d’appartenances, sélectionnez Appareil dynamique.
Sélectionnez Ajouter une requête dynamique.
Utilisez le générateur de règles pour spécifier la règle d’appartenance dynamique. Pour plus d’informations, consultez Générateur de règles dans le portail Azure.
Dans le générateur de règles
Propriété Opérateur Valeur systemLabels Contains PrinterStandard extensionAttribute3 Contains États-Unis
Conseil
Notez les champs et valeurs « Property » utilisés dans la règle de requête dynamique. Celles-ci seront nécessaires ultérieurement dans le processus de déploiement.
Synchroniser les propriétés de l’imprimante
L’intégration de l’impression universelle avec les objets d’appareil Azure AD et les unités administratives offre une grande flexibilité et une personnalisation dans la façon dont le rôle Administrateur d’imprimante peut être délégué. En tirant parti de l’objet d’appareil Azure AD « extensionAttributeX », les organisations peuvent choisir et choisir la combinaison de métadonnées d’imprimante à utiliser pour définir les différentes étendues d’administrateur d’imprimante.
Pour prendre en charge cette flexibilité, la synchronisation périodique des métadonnées d’imprimante de l’impression universelle vers Azure AD est requise. Pour ce faire, exécutez un script, tel que l’exemple suivant ou toute autre forme d’automatisation.
L’exemple suivant fournit une référence de départ. Modifiez le script pour répondre à vos propres besoins de déploiement.
Exemple de script PowerShell
$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"
$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"
# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
$printer = $_
Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
$device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1
# The display name of the Azure AD device is set to the initial display name
# of the printer. This sets extensionAttribute1 to the current name.
$extensionAttribute1 = "$($printer.DisplayName)"
# If the printer was registered with the Universal Print connector then the
# display name of the connector will be present in extensionAttribute2.
$extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"
# If the printer has a country or region set in its location properties it
# will be set to extensionAttribute15. Other location properties can be used
# as well.
$extensionAttribute3 = "$($printer.Location.CountryOrRegion)"
$existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
$extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
$extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
{
Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
Update-MgDevice -DeviceId $device.Id -BodyParameter @{
"extensionAttributes" = @{
"extensionAttribute1" = $extensionAttribute1
"extensionAttribute2" = $extensionAttribute2
"extensionAttribute3" = $extensionAttribute3
}
}
}
}
Remarque
L’exécution de cet exemple de script nécessite que le compte d’utilisateur soit
- Un « Administrateur Windows 365 » et un « Administrateur d’imprimante »
- Ou, un « administrateur général »
Administrateur délégué et administrateur de locataire
Les autorisations d’administrateur délégué et de locataire diffèrent au-delà des imprimantes qui peuvent être manadées. Le tableau suivant récapitule les similitudes et les différences :
Action d’administrateur | Rôle d’administrateur d’imprimante | Administrateurd’imprimante étendue 1 |
---|---|---|
Inscrire l’imprimante | Oui | Oui2 |
Inscrire le connecteur | Oui | Oui2 |
Désinscrire l’imprimante | Oui | Oui |
Annuler l’inscription du connecteur | Oui | Non |
Répertorier les imprimantes | Oui | Oui3 |
Répertorier les partages d’imprimantes | Oui | Oui3 |
Lister les connecteurs | Oui | Oui3 |
Propriétés de l’imprimante | Oui | Oui3 |
Propriétés du partage d’imprimante | Oui | Oui3 |
Partage de l’imprimante | Oui | Oui |
Contrôle d’accès à l’imprimante | Oui | Oui |
Échanger le partage d’imprimante | Oui | Oui |
Afficher l’état du travail dans la file d’attente d’impression | Oui | Oui |
Conversion de document | Oui | Non |
Utilisation et rapports | Oui | Non |
*Remarque :
- Les administrateurs étendus ne peuvent gérer que l’ensemble d’imprimantes définis dans la configuration d’unité administrative, sauf indication contraire.
- Les administrateurs étendus peuvent effectuer l’action sur n’importe quelle imprimante ou connecteur.
- Les administrateurs étendus voient toutes les imprimantes, partages d’imprimantes et connecteurs, mais sont limités à l’accès en lecture seule à ceux situés en dehors de la configuration Azure AU.
Voir aussi
- Lire Parcourir l’impression universelle dans le portail Azure pour en savoir plus sur les autres fonctionnalités d’impression universelle dans le portail Azure