次の方法で共有

Azure Portal を使用してプリンターの管理を委任する

  • [アーティクル]

ユニバーサル プリントの展開がスケールアップするにつれて、1 人の IT 管理者がすべてを管理することが難しくなることがあります。 新しいプリンターの登録や特定のブランチ オフィスにおけるプリンターの保守など、一定の管理タスクを特定の個人に委任することが必要になる場合があります。

このような場合に、代理管理が重要になってきます。 Microsoft Entra ID の管理単位を使用して、組織内でルール ベースのアクセス許可を構成できます。

たとえば、管理単位を使用して、あるユーザーがサポート対象のリージョン内のプリンターのみ管理できるようにすることができます。

前提条件

管理単位を構成する

手順 1: 管理単位の作成

各種オプションの詳細については、「管理単位 の作成または削除」を参照してください。

  1. Privileged Role Administrator または Global Administrator アカウントを使用して Azure portal にサインインします。
  2. [Microsoft Entra ID 管理単位>] を選択します
  3. [追加] を選択します。
  4. [名前] ボックスに、管理単位の名前を入力します。 必要に応じて、管理単位の説明を追加します。
  5. 次へ: 役割の割り当て> を選択します。
  6. [ プリンター管理者 ロール] を選択し、この管理単位スコープで役割を割り当てるユーザーまたはグループを選択します。
  7. [ 確認 + 作成 ] タブで、管理単位とロールの割り当てを確認します。
  8. [作成] ボタンを選択します。

ステップ 2: 代理管理者が管理するプリンターを割り当てる

Microsoft Entra ID の管理単位には、代理管理者が管理できるプリンターのセットを定義するための次の 2 つの方法が用意されています。

動的プリンター メンバーシップ ルールを使用すると、一連の条件に基づいて、管理アクセス許可を代理管理者に割り当てることができます。 たとえば、管理者は、特定の場所にあるか、特定のコネクタを使用して登録されたすべてのプリンターに対する管理アクセス許可を持つことができます。

詳細については、「ダイナミック メンバーシップ ルールを使用して、管理単位のユーザーまたはデバイスを管理する」を参照してください。

Note

管理単位内のプリンターの一覧が動的デバイス メンバーシップ ルールに従って評価されるまでには時間がかかる場合があります。

ユニバーサル プリント コネクタによる管理責任の委任

  1. 管理単位が最初に作成されたら、管理単位に戻ります。

  2. プリンターに追加したい、作成された管理単位を選択します。

  3. プロパティを選択します。

  4. [メンバーシップの種類] ボックスの一覧で、[動的デバイス] を選択します。

  5. [動的クエリの追加] を選択します。

  6. ルール ビルダーを使用して、動的メンバーシップの規則を指定します。 詳細については、「Azure portal のルール ビルダー」を参照してください。

  7. ルール ビルダーでは、次のとおりです。

    プロパティ 演算子 Value
    systemLabels 次を含む PrinterStandard
    extensionAttribute2 [指定値で始まる] <コネクタの名前付けスキーマ>

ヒント

動的クエリ ルールで使用される 「プロパティ」 フィールドと値を書き留めます。 これらは、展開プロセスの後で必要になります。

プリンターの場所による管理責任の委任

  1. 管理単位が最初に作成されたら、管理単位に戻ります。

  2. プリンターに追加したい、作成された管理単位を選択します。

  3. プロパティを選択します。

  4. [メンバーシップの種類] ボックスの一覧で、[動的デバイス] を選択します。

  5. [動的クエリの追加] を選択します。

  6. ルール ビルダーを使用して、動的メンバーシップの規則を指定します。 詳細については、「Azure portal のルール ビルダー」を参照してください。

  7. ルール ビルダーで

    プロパティ 演算子 Value
    systemLabels 次を含む PrinterStandard
    extensionAttribute3 次を含む 米国

ヒント

動的クエリ ルールで使用される 「プロパティ」 フィールドと値を書き留めます。 これらは、展開プロセスの後で必要になります。

プリンターのプロパティの同期

ユニバーサル プリントと Azure AD デバイス オブジェクトおよび管理単位の統合により、プリンター 管理者の役割を委任する方法に関する多くの柔軟性とカスタマイズが提供されます。 Azure AD デバイス オブジェクトの「extensionAttributeX」を利用することで、組織は、さまざまなプリンター管理者範囲を定義するために使用するプリンター メタデータの組み合わせをピックして選択できます。

この柔軟性をサポートするには、ユニバーサルプリントから Azure AD へのプリンター メタデータの定期的な同期が必要です。 これを行うには、次のサンプルなどのスクリプトを実行するか、他の形式の自動化を実行します。

次のサンプルは、開始時のリファレンスを示しています。 独自の展開ニーズに合わせてスクリプトを変更してください。

サンプル PowerShell スクリプト

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Azure AD device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Azure AD device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Azure AD device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Note

このサンプル スクリプトを実行するには、ユーザー アカウントが次のいずれかである必要があります

  • "Windows 365 管理者" と "プリンター管理者"
  • または、「グローバル管理者」

代理管理者とテナント管理者の比較

代理管理者とテナント管理者のアクセス許可は、単に管理できるプリンターが異なるだけではありません。 次の表は、類似点と相違点をまとめたものです。

管理者の操作 プリンターの管理者ロール スコープ付きプリンター 管理者1
プリンターの登録 はい はい 2
コネクタの登録 はい はい 2
プリンターの登録解除 はい はい
コネクタの登録解除 はい いいえ
プリンターを一覧表示する はい 3
プリンター共有を一覧表示する はい 3
コネクタを一覧表示する はい 3
プリンターのプロパティ はい 3
プリンター共有のプロパティ はい 3
プリンターの共有 はい はい
プリンター のアクセス制御 はい はい
プリンター共有をスワップ はい はい
印刷キューでジョブの状態を表示する はい はい
ドキュメントの変換 はい いいえ
使用状況とレポート はい いいえ

*注:

  1. スコープ管理者は、特に指定がない限り、管理単位構成で定義されているプリンターのセットのみ管理できます。
  2. スコープ付き管理者は、任意のプリンターまたはコネクタでアクションを実行できます。
  3. スコープ付き管理者には、すべてのプリンター、プリンター共有、コネクタが表示されますが、Azure AU 構成外のユーザーへは読み取り専用アクセスに制限されます。

関連項目