Delegare Amministrazione istration della stampante con unità Amministrazione istrative in Microsoft Entra ID
Questo articolo descrive l'integrazione di Stampa universale con le unità amministrative in Microsoft Entra ID. Le unità amministrative limitano le autorizzazioni di un ruolo a qualsiasi parte dell'organizzazione definita dall'utente. È possibile, ad esempio, usare le unità amministrative per delegare il ruolo Printer Amministrazione istrator agli amministratori di stampa a livello di area, in modo che possano gestire le stampanti solo nell'area supportata.
Per informazioni aggiuntive sulle offerte, vedere Amministrazione istrative Units in Microsoft Entra ID (ID entra di Microsoft).
Prerequisiti
- Configurazione dell'unità Amministrazione strativa di Azure
- Amministrazione account con ruolo con privilegi Amministrazione istrator o ruolo Amministrazione istrator globale
- Amministrazione istrator della stampante delegata
- Licenza Microsoft Entra ID Premium P1 o P2 assegnata a ogni Amministrazione istrator stampante all'interno dell'unità amministrativa
- La licenza idonea per la stampa universale viene assegnata a ogni stampante Amministrazione istrator all'interno dell'unità amministrativa
Configurare l'unità Amministrazione istrativa
Passaggio 1: Creare l'unità amministrativa
Per informazioni dettagliate sulle varie opzioni, vedere Creare o eliminare unità amministrative.
- Accedere al portale di Azure con un account con ruolo con privilegi Amministrazione istrator o globale Amministrazione istrator.
- Selezionare Microsoft Entra ID>unità amministrative.
- Selezionare Aggiungi.
- Nella casella Nome immettere il nome dell'unità amministrativa. Facoltativamente, aggiungere una descrizione dell'unità amministrativa.
- Selezionare Avanti: Assegnare ruoli >.
- Selezionare Ruolo amministratore stampante e quindi selezionare gli utenti o i gruppi a cui assegnare il ruolo con questo ambito di unità amministrativa.
- Nella scheda Rivedi e crea esaminare l'unità amministrativa e le assegnazioni di ruolo.
- Selezionare il pulsante Crea.
Passaggio 2: Assegnare stampanti da gestire dall'amministratore con ambito
Le unità Amministrazione istrative di Azure offrono due modi per Amministrazione definire il set di dispositivi che rientrano nell'ambito dei diritti amministrativi assegnati.
- Appartenenza dinamica ai dispositivi
- I membri vengono aggiornati automaticamente in base alle regole di appartenenza impostate Amministrazione
- Appartenenza assegnata
- I membri vengono assegnati e aggiornati manualmente dal Amministrazione dell'unità Amministrazione istrativa
Opzione 1: Regola di appartenenza dinamica della stampante
Per altri dettagli, vedere Gestire utenti o dispositivi per un'unità amministrativa con regole di appartenenza dinamica.
Nota
L'elenco delle stampanti in un'unità amministrativa può richiedere del tempo in base alle regole di appartenenza dinamica dei dispositivi.
Delega delle responsabilità Amministrazione da parte di connettore Stampa universale
Dopo aver creato inizialmente l'unità amministrativa, tornare alle unità Amministrazione istrative.
Selezionare l'unità amministrativa creata a cui si desidera aggiungere stampanti.
Selezionare Proprietà.
Nell'elenco Tipo di appartenenza selezionare Dispositivo dinamico.
Selezionare Aggiungi query dinamica.
Usare il generatore di regole per specificare la regola di appartenenza dinamica. Per altre informazioni, vedere Generatore regole nel portale di Azure.
Nel generatore di regole
Proprietà Operatore Valore systemLabels Contiene PrinterStandard extensionAttribute2 Starts With <Schema di denominazione del connettore>
Suggerimento
Prendere nota dei campi e dei valori "Proprietà" usati nella regola di query dinamica. Questi saranno necessari più avanti nel processo di distribuzione.
Delega delle responsabilità Amministrazione in base alla posizione della stampante
Dopo aver creato inizialmente l'unità amministrativa, tornare alle unità Amministrazione istrative.
Selezionare l'unità amministrativa creata a cui si desidera aggiungere stampanti.
Selezionare Proprietà.
Nell'elenco Tipo di appartenenza selezionare Dispositivo dinamico.
Selezionare Aggiungi query dinamica.
Usare il generatore di regole per specificare la regola di appartenenza dinamica. Per altre informazioni, vedere Generatore regole nel portale di Azure.
Nel generatore di regole
Proprietà Operatore Valore systemLabels Contiene PrinterStandard extensionAttribute3 Contiene USA
Suggerimento
Prendere nota dei campi e dei valori "Proprietà" usati nella regola di query dinamica. Questi saranno necessari più avanti nel processo di distribuzione.
Opzione 2: Elenco di appartenenze statico della stampante
Per altri dettagli, vedere Aggiungere utenti, gruppi o dispositivi a un'unità amministrativa.
- Dopo aver creato inizialmente l'unità amministrativa, tornare alle unità Amministrazione istrative.
- Selezionare l'unità amministrativa creata a cui si desidera aggiungere stampanti.
- Selezionare Proprietà.
- Nell'elenco Tipo di appartenenza selezionare Assegnato.
- Se è stata apportata una modifica, ricordarsi di salvare le modifiche.
- Seleziona Dispositivi.
- Selezionare Aggiungi dispositivo.
- Nel riquadro Seleziona selezionare le stampanti da aggiungere all'unità amministrativa e quindi selezionare Seleziona.
Sincronizza proprietà stampante
L'integrazione di Stampa universale con gli oggetti dispositivo e le unità amministrative di Microsoft Entra ID offrono una notevole flessibilità e personalizzazione per il modo in cui è possibile delegare il ruolo Printer Amministrazione istrator. Sfruttando l'oggetto dispositivo "extensionAttributeX" di Microsoft Entra ID, le organizzazioni possono scegliere e scegliere la combinazione di metadati della stampante da usare per definire i diversi ambiti di amministratore della stampante.
Per supportare questa flessibilità, è necessaria la sincronizzazione periodica dei metadati della stampante da Stampa universale a Microsoft Entra ID. Questa operazione può essere eseguita eseguendo uno script, ad esempio l'esempio seguente o qualsiasi altra forma di automazione.
L'esempio seguente fornisce un riferimento iniziale, i clienti devono modificare lo script per soddisfare le proprie esigenze di distribuzione.
Script di PowerShell di esempio
$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"
$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"
# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
$printer = $_
Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
$device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1
# The display name of the Microsoft Entra ID device is set to the initial display name
# of the printer. This sets extensionAttribute1 to the current name.
$extensionAttribute1 = "$($printer.DisplayName)"
# If the printer was registered with the Universal Print connector then the
# display name of the connector will be present in extensionAttribute2.
$extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"
# If the printer has a country or region set in its location properties it
# will be set to extensionAttribute15. Other location properties can be used
# as well.
$extensionAttribute3 = "$($printer.Location.CountryOrRegion)"
$existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
$extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
$extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
{
Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
Update-MgDevice -DeviceId $device.Id -BodyParameter @{
"extensionAttributes" = @{
"extensionAttribute1" = $extensionAttribute1
"extensionAttribute2" = $extensionAttribute2
"extensionAttribute3" = $extensionAttribute3
}
}
}
}
Nota
L'esecuzione di questo script di esempio richiede che l'account utente sia
- "Windows 365 Amministrazione istrator" e "Printer Amministrazione istrator"
- In alternativa, "Global Amministrazione istrator"
Amministrazione con ambito e stampante tenant Amministrazione
Un amministratore della stampante con ambito ha molti dei diritti di accesso come ruolo stampante tenant Amministrazione istrator. La tabella seguente riepiloga le analogie e le differenze.
| azione Amministrazione | Ruolo Amministrazione stampante | Stampante con ambito Amministrazione 1 |
|---|---|---|
| Registra stampante | Sì | Sì2 |
| Registrare Connessione or | Sì | Sì2 |
| Annullare la registrazione della stampante | Sì | Sì |
| Annullare la registrazione di Connessione or | Sì | No |
| Elencare le stampanti | Sì | Sì3 |
| Elencare le condivisioni stampanti | Sì | Sì3 |
| Elenca connettori | Sì | Sì3 |
| Proprietà stampante | Sì | Sì3 |
| Proprietà condivisione stampante | Sì | Sì3 |
| Condivisione stampante | Sì | Sì |
| Controllo di accesso della stampante | Sì | Sì |
| Scambia condivisione stampante | Sì | Sì |
| Visualizzare lo stato del processo nella coda di stampa | Sì | Sì |
| Conversione di documenti | Sì | No |
| Utilizzo e report | Sì | No |
Nota:
- Gli amministratori con ambito possono gestire solo il set di stampanti definite nella configurazione di Azure AU, se non diversamente specificato.
- Gli amministratori con ambito possono eseguire l'azione su qualsiasi stampante o connettore.
- Gli amministratori con ambito visualizzano tutte le stampanti, le condivisioni stampanti e i connettori, ma sono limitati all'accesso in sola lettura a quelli esterni alla configurazione dell'unità di accesso di Azure.