Delegar administración de impresoras con unidades administrativas en Microsoft Entra ID

En este artículo se describe cómo Impresión universal se integra con unidades administrativas en Microsoft Entra ID. Las unidades administrativas restringen los permisos de un rol a cualquier ámbito de la organización que usted defina. Por ejemplo, puede usar unidades administrativas para delegar el rol de administrador de impresoras a administradores regionales de impresión, para que puedan administrar impresoras solo en la región a la que dan soporte.

Consulte Unidades administrativas en Microsoft Entra ID para obtener más información sobre lo que ofrece.

Prerequisites

  • Configuración de la unidad administrativa de Azure
    • Cuenta de administrador con el rol Administrador de roles privilegiados o el de Administrador global
  • Administrador delegado de impresoras
    • Microsoft Entra ID licencia Premium P1 o P2 asignada a cada administrador de impresoras dentro de la unidad administrativa
    • Se asigna una licencia compatible con Impresión universal a cada administrador de impresoras dentro de la unidad administrativa.

Configuración de la unidad administrativa

Paso 1: Crear la unidad administrativa

Consulte Crear o eliminar unidades administrativas para obtener más información sobre las distintas opciones.

  1. Inicie sesión en el portal Azure con una cuenta de administrador de roles con privilegios o administrador global.
  2. Seleccione Microsoft Entra ID> Unidades administrativas.
  3. Selecciona Agregar.
  4. En el cuadro Nombre , escriba el nombre de la unidad administrativa. Opcionalmente, agregue una descripción de la unidad administrativa.
  5. Seleccione Siguiente: Asignar roles >.
  6. Seleccione Rol de administrador de impresoras y, a continuación, seleccione los usuarios o grupos a los que asignar el rol con este ámbito de unidad administrativa.
  7. En la pestaña Revisar y crear, revise la unidad administrativa y las asignaciones de roles.
  8. Seleccione el botón Crear.

Paso 2: Asignar impresoras para que las administre el administrador de ámbito

Azure unidades administrativas ofrece 2 maneras para que los administradores definan el conjunto de dispositivos que están dentro del ámbito de los derechos administrativos asignados.

  1. Pertenencia dinámica de dispositivos
    • Los miembros se actualizan automáticamente según las reglas de pertenencia establecidas por el administrador.
  2. Membresía asignada
    • El administrador de la unidad administrativa asigna y actualiza manualmente los miembros.

Opción 1: Regla de pertenencia dinámica de impresoras

Consulte Administrar usuarios o dispositivos para una unidad administrativa con reglas de pertenencia dinámica para obtener más detalles.

Nota

La lista de impresoras de una unidad administrativa puede tardar algún tiempo en evaluarse según las reglas de pertenencia dinámica de dispositivos.

Delegación de funciones administrativas mediante los conectores de Impresión universal

  1. Una vez creada inicialmente la unidad administrativa, vuelva a Unidades administrativas.

  2. Seleccione la unidad administrativa creada a la que desea agregar impresoras.

  3. Seleccione Propiedades.

  4. En la lista Tipo de pertenencia , seleccione Dispositivo dinámico.

  5. Seleccione Agregar consulta dinámica.

  6. Use el generador de reglas para especificar la regla de pertenencia dinámica. Para obtener más información, consulte Rule Builder en el portal de Azure.

  7. En el generador de reglas

    Property Operador Value
    Etiquetas del sistema Contiene PrinterStandard
    extensionAttribute2 Empieza por <esquema de nomenclatura del conector>

Tip

Tome nota de los campos y valores "Property" usados en la regla de consulta dinámica. Estos serán necesarios más adelante en el proceso de implementación.

Delegación de responsabilidades de administrador por ubicación de impresora

  1. Una vez creada inicialmente la unidad administrativa, vuelva a Unidades administrativas.

  2. Seleccione la unidad administrativa creada a la que desea agregar impresoras.

  3. Seleccione Propiedades.

  4. En la lista Tipo de pertenencia , seleccione Dispositivo dinámico.

  5. Seleccione Agregar consulta dinámica.

  6. Use el generador de reglas para especificar la regla de pertenencia dinámica. Para obtener más información, consulte Rule Builder en el portal de Azure.

  7. En el generador de reglas

    Property Operador Value
    Etiquetas del sistema Contiene PrinterStandard
    extensionAttribute3 Contiene USA

Tip

Tome nota de los campos y valores "Property" usados en la regla de consulta dinámica. Estos serán necesarios más adelante en el proceso de implementación.

Opción 2: Lista estática de pertenencia a impresoras

Consulte Agregar usuarios, grupos o dispositivos a una unidad administrativa para obtener más información.

  1. Una vez creada inicialmente la unidad administrativa, vuelva a Unidades administrativas.
  2. Seleccione la unidad administrativa creada a la que desea agregar impresoras.
  3. Seleccione Propiedades.
  4. En la lista Tipo de pertenencia , seleccione Asignado.
  5. Si se realizó un cambio, recuerde Guardar los cambios.
  6. Seleccionar dispositivos.
  7. Seleccione Agregar dispositivo.
  8. En el panel Seleccionar , seleccione las impresoras que desea agregar a la unidad administrativa y, a continuación, seleccione Seleccionar.

Sincronizar propiedades de impresora

La integración de Impresión universal con los objetos de dispositivo de Microsoft Entra ID y las unidades administrativas proporciona una gran flexibilidad y capacidad de personalización a la hora de delegar el rol de Administrador de impresoras. Al usar el atributo "extensionAttributeX" del objeto de dispositivo de Microsoft Entra ID, las organizaciones pueden seleccionar la combinación de metadatos de impresora que se usará para definir los distintos ámbitos de los administradores de impresoras.

Para admitir esta flexibilidad, se requiere la sincronización periódica de metadatos de impresora de Impresión universal a Microsoft Entra ID. Para ello, ejecute un script, como el ejemplo siguiente, o cualquier otra forma de automatización.

En el ejemplo siguiente se proporciona una referencia inicial, los clientes deben modificar el script para satisfacer sus propias necesidades de implementación.

Script de ejemplo de PowerShell

$ErrorActionPreference = "Stop"
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Printer.Read.All"

$tenantId = (Get-MgContext).TenantId
Write-Host "Starting processing of Universal Print printers in tenant $tenantId"

# This streams pages of printers and does not require them to all be loaded at once.
Get-MgPrintPrinter -All -ExpandProperty "connectors" | ForEach-Object -Process {
    $printer = $_

    Write-Host "Fetching Microsoft Entra ID device for printer $($printer.DisplayName)"
    $device = Get-MgDevice -Filter "deviceId eq '$($printer.Id)'" -Top 1

    # The display name of the Microsoft Entra ID device is set to the initial display name
    # of the printer. This sets extensionAttribute1 to the current name.
    $extensionAttribute1 = "$($printer.DisplayName)"

    # If the printer was registered with the Universal Print connector then the
    # display name of the connector will be present in extensionAttribute2.
    $extensionAttribute2 = "$($printer.Connectors[0].DisplayName)"

    # If the printer has a country or region set in its location properties it
    # will be set to extensionAttribute15. Other location properties can be used
    # as well.
    $extensionAttribute3 = "$($printer.Location.CountryOrRegion)"

    $existingExtensionAttributes = $device.AdditionalProperties.extensionAttributes
    if ($extensionAttribute1 -ne "$($existingExtensionAttributes.extensionAttribute1)" -or
        $extensionAttribute2 -ne "$($existingExtensionAttributes.extensionAttribute2)" -or
        $extensionAttribute3 -ne "$($existingExtensionAttributes.extensionAttribute3)")
    {
        Write-Host "Updating Microsoft Entra ID device extension attributes for printer $($printer.DisplayName)"
        Update-MgDevice -DeviceId $device.Id -BodyParameter @{
            "extensionAttributes" = @{
                "extensionAttribute1" = $extensionAttribute1
                "extensionAttribute2" = $extensionAttribute2
                "extensionAttribute3" = $extensionAttribute3
            }
        }
    }
}

Nota

La ejecución de este script de ejemplo requiere que la cuenta de usuario sea cualquiera de las dos

  • Un "administrador de Windows 365" y "Administrador de impresoras"
  • O bien, un "administrador global"

Administrador de ámbito limitado frente a Administrador de impresoras del inquilino

Un administrador de impresoras de ámbito limitado tiene muchos de los mismos derechos de acceso que el rol Administrador de impresoras del inquilino. En la tabla siguiente se resumen las similitudes y diferencias.

Acción de administrador Rol de administrador de impresoras Administrador de impresoras de ámbito limitado1
Registrar la impresora Yes 2
Registro del conector Yes 2
Anular el registro de la impresora Yes Yes
Anular el registro del conector Yes No
Enumerar impresoras Yes 3
Mostrar impresoras compartidas Yes 3
Enumerar conectores Yes 3
Propiedades de la impresora Yes 3
Propiedades del recurso compartido de impresora Yes 3
Compartir impresora Yes Yes
Control de acceso a la impresora Yes Yes
Cambiar impresora compartida Yes Yes
Ver el estado del trabajo en la cola de impresión Yes Yes
Conversión de documentos Yes No
Uso e informes Yes No

Nota:

  1. Los administradores con ámbito definido solo pueden administrar el conjunto de impresora o impresoras definidas en la configuración de AU en Azure, a menos que se especifique lo contrario.
  2. Los administradores de ámbito limitado pueden realizar la acción sobre cualquier impresora o conector.
  3. Los administradores de ámbito restringido ven todas las impresoras, las impresoras compartidas y los conectores, pero solo tienen acceso de solo lectura a los que quedan fuera de la configuración de la AU de Azure.
  • Last updated on