Microsoft Entra Id'de Yönetici Istrative Birimleriyle Yazıcı Yönetici Temsilcisi Seçme

Bu makalede, Evrensel Yazdırma'nın Microsoft Entra Id'deki yönetim birimleriyle nasıl tümleştirileceği açıklanmaktadır. Yönetim birimleri, bir roldeki izinleri kuruluşunuzun tanımladığınız bir bölümüyle kısıtlar. Örneğin, Yazıcı Yönetici istrator rolünü bölgesel yazdırma yöneticilerine devretmek için yönetim birimlerini kullanabilirsiniz; böylece yazıcıları yalnızca destekledikleri bölgede yönetebilirler.

Neler sunduğuna ilişkin ek ayrıntılar için Microsoft Entra Id'deki Yönetici istrative Units bölümüne bakın.

Önkoşullar

• Azure Yönetici istrative Unit'i yapılandırma
  • Privileged Role Yönetici istrator veya Global Yönetici istrator rolüne sahip Yönetici hesabı
• TemsilciLi Yazıcı Yönetici Istrator
  • Yönetim birimi içindeki her Yazıcı Yönetici istrator'a atanan Microsoft Entra Id Premium P1 veya P2 lisansı
  • Yönetim birimi içindeki her Yazıcı Yönetici istrator'a Evrensel Yazdırmaya uygun lisans atanır

Yönetici Istrative Birimi Yapılandırma

1. Adım: Yönetim birimini oluşturma

Çeşitli seçeneklerle ilgili ayrıntılar için bkz. Yönetim birimleri oluşturma veya silme.

1. Privileged Role Yönetici istrator veya Global Yönetici istrator hesabıyla Azure portalında oturum açın.
2. Microsoft Entra ID>Yönetim birimleri'ni seçin.
3. Ekle'yi seçin.
4. Ad kutusuna yönetim biriminin adını girin. İsteğe bağlı olarak, yönetim biriminin açıklamasını ekleyin.
5. İleri: Rol >ata'yı seçin.
6. Yazıcı yöneticisi rolü'ne tıklayın ve ardından rolün bu yönetim birimi kapsamına atanacak kullanıcıları veya grupları seçin.
7. Gözden Geçir + oluştur sekmesinde yönetim birimini ve rol atamalarını gözden geçirin.
8. Oluştur düğmesini seçin.

2. Adım: Kapsamlı yönetici tarafından yönetilecek yazıcıları atama

Azure Yönetici istrative Units, atanan yönetim hakları kapsamındaki cihaz kümesini tanımlamak için Yönetici 2 yol sunar.

1. Dinamik Cihaz Üyeliği
   • Üyeler, Yönetici belirlenen üyelik kurallarına göre otomatik olarak güncelleştirilir
2. Atanan Üyelik
   • Üyeler, Yönetici istratif Birimin Yönetici tarafından el ile atanır ve güncelleştirilir

1. Seçenek: Dinamik yazıcı üyelik kuralı

Ek ayrıntılar için bkz. Dinamik üyelik kurallarıyla bir yönetim birimi için kullanıcıları veya cihazları yönetme.

Evrensel Yazdırma bağlayıcısı'lere göre Yönetici sorumlulukları devretme

1. Yönetim birimi ilk kez oluşturulduktan sonra Yönetici istrative birimlerine geri dönün.

2. Yazıcı eklemek istediğiniz oluşturulan yönetim birimini seçin.

3. Özellikleri'i seçin.

4. Üyelik türü listesinde Dinamik Cihaz'ı seçin.

5. Dinamik sorgu ekle’yi seçin.

6. Dinamik üyelik kuralını belirtmek için kural oluşturucusunu kullanın. Daha fazla bilgi için bkz . Azure portalında kural oluşturucu.

7. Kural oluşturucuda

   Özellik	İşleç	Değer
   systemLabels	Contains	PrinterStandard
   extensionAttribute2	Şununla Başlar:	<bağlayıcı adlandırma şeması>

Yazıcı konumuna göre Yönetici sorumlulukları devretme

1. Yönetim birimi ilk kez oluşturulduktan sonra Yönetici istrative birimlerine geri dönün.

2. Yazıcı eklemek istediğiniz oluşturulan yönetim birimini seçin.

3. Özellikleri'i seçin.

4. Üyelik türü listesinde Dinamik Cihaz'ı seçin.

5. Dinamik sorgu ekle’yi seçin.

6. Dinamik üyelik kuralını belirtmek için kural oluşturucusunu kullanın. Daha fazla bilgi için bkz . Azure portalında kural oluşturucu.

7. Kural oluşturucuda

   Özellik	İşleç	Değer
   systemLabels	Contains	PrinterStandard
   extensionAttribute3	Contains	ABD

Seçenek 2: Statik yazıcı üyelik listesi

Ek ayrıntılar için bkz. Yönetim birimine kullanıcı, grup veya cihaz ekleme.

1. Yönetim birimi ilk kez oluşturulduktan sonra Yönetici istrative birimlerine geri dönün.
2. Yazıcı eklemek istediğiniz oluşturulan yönetim birimini seçin.
3. Özellikleri'i seçin.
4. Üyelik türü listesinde Atanan'ı seçin.
5. Bir değişiklik yapıldıysa, Değişiklikleri kaydetmeyi unutmayın.
6. Cihazlar'ı seçin.
7. Cihaz ekle'yi seçin.
8. Seç bölmesinde, yönetim birimine eklemek istediğiniz yazıcıları seçin ve ardından Seç'i seçin.

Yazıcı Özelliklerini Eşitle

Universal Print'in Microsoft Entra ID cihaz nesneleri ve yönetim birimleriyle tümleştirilmesi, Yazıcı Yönetici istrator rolünün temsilci olarak atanma şekli konusunda çok fazla esneklik ve özelleştirme sağlar. Kuruluşlar, Microsoft Entra ID cihaz nesnesinin "extensionAttributeX" özelliğinden yararlanarak farklı yazıcı yöneticisi kapsamlarını tanımlamak için kullanılacak yazıcı meta verilerinin birleşimini seçebilir ve seçebilir.

Bu esnekliği desteklemek için yazıcı meta verilerinin Evrensel Yazdırma'dan Microsoft Entra Id'ye düzenli olarak eşitlenmesi gerekir. Bu, aşağıdaki örnek veya başka bir otomasyon biçimi gibi bir betik yürütülerek yapılabilir.

Aşağıdaki örnek bir başlangıç başvurusu sağlar; müşteriler betiği kendi dağıtım gereksinimlerini karşılayacak şekilde değiştirmelidir.

Örnek PowerShell Betiği

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Microsoft Entra ID device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Kapsamlı Yönetici ve Kiracı Yazıcısı Yönetici

Kapsamlı bir yazıcı yöneticisi, kiracı Yazıcı Yönetici istrator rolü olarak erişim haklarının çoğuna sahiptir. Aşağıdaki tabloda benzerlikler ve farklılıklar özetlemektedir.

Not:

1. Kapsamı belirlenmiş yöneticiler, aksi belirtilmedikçe yalnızca Azure AU yapılandırmasında tanımlanan yazıcı kümesini yönetebilir.
2. Kapsamlı yöneticiler eylemi herhangi bir yazıcıda veya bağlayıcıda gerçekleştirebilir.
3. Kapsamlı yöneticiler tüm yazıcıları, yazıcı paylaşımlarını ve bağlayıcıları görür, ancak Azure AU yapılandırması dışındakilere salt okunur erişimle sınırlıdır.