Serveur d'impression

Déployer Windows Server Hybrid Cloud Print – Serveur d’impression

Le 2 mai 2019 - 11 minutes de lecture

<! – ->

S'applique à: Windows Server 2016

Cette rubrique, destinée aux administrateurs informatiques, décrit le déploiement de bout en bout de la solution Microsoft Hybrid Cloud Print. Cette solution est superposée aux serveurs Windows existants exécutés en tant que serveur d'impression et permet aux périphériques connectés à Azure Active Directory et gérés par MDM de détecter et d'imprimer sur des imprimantes gérées par l'entreprise.

Conditions préalables

Vous devez acquérir un certain nombre d'abonnements, de services et d'ordinateurs avant de commencer cette installation. Ils sont comme suit:

  • Abonnement premium Azure AD

    Voir Mise en route avec un abonnement Azure, pour un abonnement d'évaluation à Azure.

  • Service MDM, tel que Intune

    Voir Microsoft Intune pour un abonnement d'évaluation à Intune.

  • Windows Server s'exécutant en tant qu'Active Directory

    Reportez-vous à Étape par étape: Configuration d'Active Directory dans Windows Server 2016 pour obtenir de l'aide sur la configuration d'Active Directory.

  • Domaine rejoint Windows Server 2016 en tant que serveur d'impression

    Voir Installer des rôles, des services de rôle et des fonctionnalités à l'aide de l'Assistant d'ajout de rôles et de fonctionnalités, pour plus d'informations sur l'installation des rôles et des services de rôle sur Windows Server.

  • Azure AD Connect

    Voir Installation personnalisée d'Azure AD Connect pour obtenir de l'aide sur la configuration d'Azure AD Connect.

  • Azure Application Proxy Connector sur un ordinateur Windows Server joint à un domaine distinct

    Reportez-vous à la section Prise en main du proxy d'application et installation du connecteur pour obtenir de l'aide sur la configuration du connecteur Azure Application Proxy.

  • Nom de domaine public

    Vous pouvez utiliser le nom de domaine créé pour vous par Azure ou acheter votre propre nom de domaine.

Étapes de déploiement

Ce guide décrit cinq (5) étapes d’installation:

  • Étape 1: Installez Azure AD Connect pour synchroniser Azure AD et AD sur site.
  • Étape 2: Installation du package Hybrid Cloud Print sur le serveur d'impression
  • Étape 3: Installation du proxy d'application Azure (AAP) avec la délégation contrainte Kerberos (KCD)
  • Étape 4: Configurez les stratégies MDM requises
  • Étape 5: publier des imprimantes partagées

Étape 1 – Installez Azure AD Connect pour synchroniser Azure AD et AD sur site.

  1. Sur la machine Windows Server Active Directory, téléchargez le logiciel Azure AD Connect.
  2. Lancez le package d'installation Azure AD Connect et sélectionnez Utiliser les paramètres express
  3. Entrez les informations demandées lors du processus d’installation et cliquez sur Installer

Étape 2 – Installation du package Hybrid Cloud Print sur le serveur d'impression

  1. Installer les modules hybrides Cloud Print PowerShell

  2. Installer la solution Hybrid Cloud Print

    • Dans la même invite de commande PowerShell élevée, accédez au répertoire suivant. C: Program Files WindowsPowerShell Modules PublishCloudPrinter 1.0.0.0
    • Courir
      CloudPrintDeploy.ps1 -AzureTenant -AzureTenantGuid
  3. Configurez les 2 points finaux IIS pour prendre en charge SSL
    • Le certificat SSL peut être un certificat auto-signé ou un certificat émis par une autorité de certification approuvée.
    • Si vous utilisez un certificat auto-signé, assurez-vous que le certificat est importé sur la ou les machines clientes.
  4. Installer le paquet SQLite

    • Ouvrez une invite de commande PowerShell surélevée.
    • Exécutez la commande suivante pour télécharger les packages de nuget System.Data.SQLite.
      Register-PackageSource -Name nuget.org -ProviderName NuGet -Location https://www.nuget.org/api/v2/ -Trusted -Force
    • Exécutez la commande suivante pour installer les packages
      Paquet d'installation system.data.sqlite [-requiredversion x.x.x.x] -nom de fournisseur

    REMARQUE: Il est recommandé de télécharger et d'installer la dernière version en laissant de côté l'option "-requiredversion".

  5. Copier les dll SQLite dans l'application Web MopriaCloudService dossier (C: inetpub wwwroot MopriaCloudService bin):

    • Les fichiers binaires SQLite doivent être situés dans « Program Files PackageManagement NuGet Packages».

              \ System.Data.SQLite. ** Core **. X.x.x.x \ lib \ net46 \ System.Data.SQLite.dll
        - > \ System.Data.SQLite.dll
        \ System.Data.SQLite. ** Core **. X.x.x.x \ build \ net46 \ x86 \ SQLite.Interop.dll
        - > \ ** x86 ** \ SQLite.Interop.dll
        \ System.Data.SQLite. ** Core **. X.x.x.x \ build \ net46 \ x64 \ SQLite.Interop.dll
        - > \ ** x64 ** \ SQLite.Interop.dll
        \ System.Data.SQLite. ** Linq **. X.x.x.x \ lib \ net46 \ System.Data.SQLite.Linq.dll
        - > \ System.Data.SQLite.Linq.dll
        \ System.Data.SQLite. ** EF6 **. X.x.x.x \ lib \ net46 \ System.Data.SQLite.EF6.dll
        - > \ System.Data.SQLite.EF6.dll
      

    REMARQUE: x.x.x.x est la version de SQLite installée ci-dessus.

  6. Mettre à jour le c: inetpub wwwroot MopriaCloudService web.config fichier pour inclure la version SQLite x.x.x.x dans la suite / sections:

    
    
    
    
    assemblyIdentity name = "System.Data.SQLite" culture = "neutre" publicKeyToken = "db937bc2d44ff139" /
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
  7. Créez la base de données SQLite:

    • Téléchargez et installez les fichiers binaires de SQLite Tools à partir de https://www.sqlite.org/
    • Aller à c: inetpub wwwroot MopriaCloudService Database annuaire
    • Exécutez la commande suivante pour créer la base de données dans ce répertoire:
      sqlite3.exe MopriaDeviceDb.db ".read MopriaSQLiteDb.sql"
    • Dans l'Explorateur de fichiers, ouvrez les propriétés du fichier MopriaDeviceDb.db pour ajouter des utilisateurs / groupes autorisés à publier dans la base de données Mopria dans l'onglet Sécurité.
      • Recommander uniquement l'ajout du groupe d'utilisateurs requis.
  8. Enregistrez l'application Web 2 auprès d'Azure AD pour prendre en charge l'authentification OAuth2.
    • Connectez-vous en tant qu'administrateur global au portail de gestion de locataires Azure AD.
      1. Cliquez sur l'onglet "Inscriptions d'application" pour ajouter un point de terminaison d'impression.
      2. Répéter pour le noeud final de découverte
      3. Répéter pour l'application cliente native
        • Lorsque vous fournissez le nom de l'application, assurez-vous de sélectionner "Application client natif" comme "Type d'application".
        • Redirect URI = "https: /// RedirectUrl "
      4. Allez dans l'application "Native Client App"
        • Copiez la valeur "Application ID" à utiliser pour les étapes de configuration ultérieures
        • Sélectionnez "Autorisations requises"
          1. Cliquez sur "Ajouter"
          2. Cliquez sur "Sélectionner une API"
          3. Recherchez le noeud final d'impression et le noeud final de découverte par le nom que vous avez défini lors de la création du noeud final d'application.
          4. Ajouter les 2 points finaux
          5. Assurez-vous que l'option "Autorisations déléguées" pour chaque point de terminaison d'application est activée.
          6. Assurez-vous de cliquer sur le bouton "Terminé" en bas
          7. Cliquez sur "Accorder les autorisations", une fois les deux points finaux ajoutés. Sélectionnez "Oui" lorsque vous êtes invité à approuver la demande.
        • Allez à «REDIRECT URIS» et ajoutez les URI de redirection suivants à la liste:
          ms-appx-web: //Microsoft.AAD.BrokerPlugin/
          ms-appx-web: //Microsoft.AAD.BrokerPlugin/S-1-15-2-3784861210-599250757-1266852909-3189164077-45880155-1246692841-283550366

Étape 3 – Installez le proxy d'application Azure (AAP) avec la délégation contrainte Kerberos (KCD)

  1. Connectez-vous à votre portail de gestion de locataire Azure AD (AAD).
    • Dans la liste du menu AAD, sélectionnez "Proxy d'application"
    • Cliquez sur "Activer le proxy d'application" en haut de l'écran.
    • Téléchargez le "Connecteur du proxy d'application" sur un ordinateur Windows Server joint au domaine qui agira en tant que proxy d'application Web (WAP).
  2. Sur la machine WAP, connectez-vous en tant qu'administrateur et installez le "Connecteur de proxy d'application"
    • Au cours de l’installation, indiquez au connecteur du proxy d’application les informations d’identification de votre principe Azure sur lesquelles vous souhaitez activer AAP.
    • Assurez-vous que la machine WAP appartient à un domaine et à votre annuaire Active Directory local.
  3. Sur la machine Active Directory, accédez à Outils -> Utilisateurs et ordinateurs
    • Sélectionnez la machine qui exécute le connecteur de proxy d'application.
    • Faites un clic droit et sélectionnez Propriétés -> Délégation languette
    • Sélectionner Faites confiance à cet ordinateur pour la délégation à des services spécifiés uniquement.
    • Sélectionner Utilisez n'importe quel protocole d'authentification.
    • Sous Services auxquels ce compte peut présenter des informations d'identification déléguées
      • Ajoutez la valeur pour l'identité SPN de la machine qui exécute les services (services MopriaDiscoveryService et MicrosoftEnterpriseCloudPrint)
        • Pour SPN, entrez le SPN de la machine elle-même, c'est-à-dire
                "HÔTE/."
          HOST / appServer.Contoso.com
  4. Retournez sur le portail de gestion des clients hébergés AAD et ajoutez les serveurs proxy d'application.

    • Aller au Applications de l'entreprise languette
    • Cliquez sur Nouvelle application
    • Sélectionner Application sur site et remplissez les champs

      • Nom: N'importe quel nom que vous souhaitez
      • URL interne: il s'agit de l'URL interne du service Cloud de Mopria Discovery accessible sur votre machine WAP.
      • URL externe: configurez en fonction de votre organisation
      • Méthode de pré-authentification: Azure Active Directory

      Remarque: si vous ne trouvez pas tous les paramètres ci-dessus, ajoutez le proxy avec les paramètres disponibles, puis sélectionnez le proxy d’application que vous venez de créer et accédez au menu Proxy d'application onglet et ajouter toutes les informations ci-dessus.

    • Une fois créé, retournez à Applications de l'entreprise -> Toutes les applications, sélectionnez la nouvelle application que vous venez de créer

    • Aller à Authentification unique, assurez-vous que le "Mode de connexion unique" est défini sur "Authentification Windows intégrée"
    • Définissez le "SPN d'application interne" sur le SPN spécifié à l'étape 3.3 ci-dessus.
    • Assurez-vous que "Identité de connexion déléguée" est définie sur "Nom d'utilisateur principal".
  5. Répétez l'étape 4 ci-dessus pour le service d'impression en nuage d'entreprise et indiquez l'URL interne de votre service d'impression en nuage d'entreprise.

  6. Revenez sur le portail de gestion de locataires Azure AD et accédez à Enregistrements d'applications et sélectionnez l'application Native Client -> "Paramètres"

    • Sélectionner Autorisations requises
      • Ajoutez les 2 nouvelles applications proxy que vous venez de créer
      • Accorder des autorisations déléguées pour ces 2 applications
      • Une fois les deux applications proxy ajoutées, cliquez sur "Accorder les autorisations". Sélectionnez "Oui" lorsque vous êtes invité à approuver la demande.
  7. Activer l'authentification Windows dans IIS pour le ou les ordinateurs Mopria Cloud Service et Enterprise Cloud Print Service

    • Assurez-vous que la fonctionnalité d’authentification Windows est installée:
      1. Ouvrir le gestionnaire de serveur
      2. Cliquez sur Gérer
      3. Cliquez sur Ajouter des rôles et des fonctionnalités
      4. Sélectionner Installation basée sur des rôles ou des fonctionnalités
      5. Sélectionnez le serveur
      6. Sous Serveur Web (IIS) -> Serveur Web -> Sécurité, sélectionnez Authentification Windows
      7. Cliquez sur Suivant jusqu'à la fin de l'installation.
    • Activer l'authentification Windows dans IIS:
      1. Ouvrez le Gestionnaire des services Internet (IIS)
      2. Pour chaque service / site:
        1. Sélectionnez le service / site
        2. Double clic Authentification
        3. Cliquez sur Authentification Windows et cliquez Activer sous actes

Étape 4 – Configurez les stratégies MDM requises

  • Connectez-vous à votre fournisseur MDM
  • Recherchez le groupe de stratégies Enterprise Cloud Print et configurez les stratégies en suivant les instructions ci-dessous:
    • CloudPrintOAuthAuthority = https://login.microsoftonline.com/
    • CloudPrintOAuthClientId = Valeur "ID d'application" de l'application Web native que vous avez enregistrée dans le portail de gestion Azure AD
    • CloudPrinterDiscoveryEndPoint = URL externe du proxy d'application Azure du service Mopria Discovery créé à l'étape 3.3 (doit être exactement identique, mais sans le caractère de fin /)
    • MopriaDiscoveryResourceId = URL externe du proxy d'application Azure du service Mopria Discovery créé à l'étape 3.4 (doit être exactement le même, y compris le / suivant).
    • CloudPrintResourceId = URL externe du proxy Azure Application Proxy du service d'impression Cloud d'entreprise créé à l'étape 3.5 (doit être exactement identique, y compris le / suivant).
    • DiscoveryMaxPrinterLimit =

Remarque: Si vous utilisez le service Microsoft Intune, vous pouvez trouver ces paramètres dans la catégorie "Imprimante en nuage".

Nom complet Intune Politique
URL de découverte de l'imprimante CloudPrinterDiscoveryEndpoint
URL de l'autorité d'accès à l'imprimante CloudPrintOAuthAuthority
GUID de l'application du client natif Azure CloudPrintOAuthClientId
URI des ressources du service d'impression CloudPrintResourceId
Nombre maximum d'imprimantes à interroger (mobile uniquement) DiscoveryMaxPrinterLimit
URI de la ressource du service de découverte d'imprimante MopriaDiscoveryResourceId

Remarque: Si le groupe de stratégies Cloud Print n'est pas disponible mais que le fournisseur MDM prend en charge les paramètres OMA-URI, vous pouvez définir les mêmes stratégies. Veuillez vous référer à cet article pour plus d'informations.

Étape 5 – Publier les imprimantes partagées souhaitées

  1. Installer l'imprimante souhaitée sur le serveur d'impression
  2. Partager l'imprimante via l'interface utilisateur des propriétés de l'imprimante
  3. Sélectionnez le groupe d'utilisateurs à autoriser
  4. Enregistrez les modifications et fermez la fenêtre des propriétés de l'imprimante.
  5. Depuis une machine de mise à jour de Windows 10 Fall Creator, ouvrez une invite de commande Windows PowerShell avec privilèges élevés.

    1. Lancer les commandes suivantes

Vérification du déploiement

Sur un périphérique joint Azure AD sur lequel les stratégies MDM sont configurées:

  • Ouvrez un navigateur Web et accédez à https: /// mcs / services (l'URL externe du noeud final de découverte)
  • Le texte JSON décrivant l'ensemble des fonctionnalités de ce noeud final doit s'afficher.
  • Allez dans "Paramètres du système d'exploitation -> Périphériques -> Imprimantes et scanners"
    • Vous devriez voir un lien "Rechercher des imprimantes en nuage"
    • Clique sur le lien
    • Cliquez sur le lien "Veuillez sélectionner un lieu de recherche".
      • Vous devriez voir la hiérarchie des emplacements de périphériques
    • Choisissez un emplacement et cliquez D'accord puis cliquez sur Chercher bouton pour trouver les imprimantes
    • Sélectionnez une imprimante et cliquez sur Ajouter un appareil bouton
    • Une fois l’imprimante installée correctement, imprimez-la à partir de votre application préférée.

Remarque: Si vous utilisez l'imprimante «EcpPrintTest», vous pouvez trouver le fichier de sortie sur le serveur d'impression sous l'emplacement «C: ECPTestOutput EcpTestPrint.xps».

<! – ->

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.