Déployer Windows Server Hybrid Cloud Print – Serveur d’impression

15/03/2018 11 minutes pour lire

Contributeurs

Dans cet article

<! – ->

S'applique à: Windows Server 2016

Cette rubrique, destinée aux administrateurs informatiques, décrit le déploiement de bout en bout de la solution Microsoft Hybrid Cloud Print. Cette solution est superposée aux serveurs Windows existants exécutés en tant que serveur d'impression et permet aux périphériques connectés à Azure Active Directory et gérés par MDM de détecter et d'imprimer sur des imprimantes gérées par l'entreprise. Conditions préalables Vous devez acquérir un certain nombre d'abonnements, de services et d'ordinateurs avant de commencer cette installation. Ils sont comme suit:

Abonnement premium Azure AD Voir Mise en route avec un abonnement Azure, pour un abonnement d'évaluation à Azure.

Service MDM, tel que Intune Voir Microsoft Intune pour un abonnement d'évaluation à Intune.

Windows Server s'exécutant en tant qu'Active Directory Reportez-vous à Étape par étape: Configuration d'Active Directory dans Windows Server 2016 pour obtenir de l'aide sur la configuration d'Active Directory.

Domaine rejoint Windows Server 2016 en tant que serveur d'impression Voir Installer des rôles, des services de rôle et des fonctionnalités à l'aide de l'Assistant d'ajout de rôles et de fonctionnalités, pour plus d'informations sur l'installation des rôles et des services de rôle sur Windows Server.

Azure AD Connect Voir Installation personnalisée d'Azure AD Connect pour obtenir de l'aide sur la configuration d'Azure AD Connect.

Azure Application Proxy Connector sur un ordinateur Windows Server joint à un domaine distinct Reportez-vous à la section Prise en main du proxy d'application et installation du connecteur pour obtenir de l'aide sur la configuration du connecteur Azure Application Proxy.

Nom de domaine public Vous pouvez utiliser le nom de domaine créé pour vous par Azure ou acheter votre propre nom de domaine.

Étapes de déploiement Ce guide décrit cinq (5) étapes d’installation:

Étape 1: Installez Azure AD Connect pour synchroniser Azure AD et AD sur site. Étape 2: Installation du package Hybrid Cloud Print sur le serveur d'impression Étape 3: Installation du proxy d'application Azure (AAP) avec la délégation contrainte Kerberos (KCD) Étape 4: Configurez les stratégies MDM requises Étape 5: publier des imprimantes partagées

Étape 1 – Installez Azure AD Connect pour synchroniser Azure AD et AD sur site.

Sur la machine Windows Server Active Directory, téléchargez le logiciel Azure AD Connect. Lancez le package d'installation Azure AD Connect et sélectionnez Utiliser les paramètres express Entrez les informations demandées lors du processus d’installation et cliquez sur Installer

Étape 2 – Installation du package Hybrid Cloud Print sur le serveur d'impression

Installer les modules hybrides Cloud Print PowerShell

Installer la solution Hybrid Cloud Print

Dans la même invite de commande PowerShell élevée, accédez au répertoire suivant. C: Program Files WindowsPowerShell Modules PublishCloudPrinter 1.0.0.0 Courir CloudPrintDeploy.ps1 -AzureTenant -AzureTenantGuid

Configurez les 2 points finaux IIS pour prendre en charge SSL

Le certificat SSL peut être un certificat auto-signé ou un certificat émis par une autorité de certification approuvée. Si vous utilisez un certificat auto-signé, assurez-vous que le certificat est importé sur la ou les machines clientes.

Installer le paquet SQLite

Ouvrez une invite de commande PowerShell surélevée. Exécutez la commande suivante pour télécharger les packages de nuget System.Data.SQLite. Register-PackageSource -Name nuget.org -ProviderName NuGet -Location https://www.nuget.org/api/v2/ -Trusted -Force Exécutez la commande suivante pour installer les packagesPaquet d'installation system.data.sqlite [-requiredversion x.x.x.x] -nom de fournisseur

REMARQUE: Il est recommandé de télécharger et d'installer la dernière version en laissant de côté l'option "-requiredversion".

Copier les dll SQLite dans l'application Web MopriaCloudService dossier (C: inetpub wwwroot MopriaCloudService bin):

Les fichiers binaires SQLite doivent être situés dans « Program Files PackageManagement NuGet Packages». \ System.Data.SQLite. ** Core **. X.x.x.x \ lib \ net46 \ System.Data.SQLite.dll   - > \ System.Data.SQLite.dll   \ System.Data.SQLite. ** Core **. X.x.x.x \ build \ net46 \ x86 \ SQLite.Interop.dll   - > \ ** x86 ** \ SQLite.Interop.dll   \ System.Data.SQLite. ** Core **. X.x.x.x \ build \ net46 \ x64 \ SQLite.Interop.dll   - > \ ** x64 ** \ SQLite.Interop.dll   \ System.Data.SQLite. ** Linq **. X.x.x.x \ lib \ net46 \ System.Data.SQLite.Linq.dll   - > \ System.Data.SQLite.Linq.dll   \ System.Data.SQLite. ** EF6 **. X.x.x.x \ lib \ net46 \ System.Data.SQLite.EF6.dll   - > \ System.Data.SQLite.EF6.dll

REMARQUE: x.x.x.x est la version de SQLite installée ci-dessus.

Mettre à jour le c: inetpub wwwroot MopriaCloudService web.config fichier pour inclure la version SQLite x.x.x.x dans la suite / sections:

assemblyIdentity name = "System.Data.SQLite" culture = "neutre" publicKeyToken = "db937bc2d44ff139" /

Créez la base de données SQLite:

Téléchargez et installez les fichiers binaires de SQLite Tools à partir de https://www.sqlite.org/ Aller à c: inetpub wwwroot MopriaCloudService Database annuaire Exécutez la commande suivante pour créer la base de données dans ce répertoire: sqlite3.exe MopriaDeviceDb.db ".read MopriaSQLiteDb.sql" Dans l'Explorateur de fichiers, ouvrez les propriétés du fichier MopriaDeviceDb.db pour ajouter des utilisateurs / groupes autorisés à publier dans la base de données Mopria dans l'onglet Sécurité.

Recommander uniquement l'ajout du groupe d'utilisateurs requis.

Enregistrez l'application Web 2 auprès d'Azure AD pour prendre en charge l'authentification OAuth2.

Connectez-vous en tant qu'administrateur global au portail de gestion de locataires Azure AD.

Cliquez sur l'onglet "Inscriptions d'application" pour ajouter un point de terminaison d'impression. Répéter pour le noeud final de découverte Répéter pour l'application cliente native

Lorsque vous fournissez le nom de l'application, assurez-vous de sélectionner "Application client natif" comme "Type d'application". Redirect URI = "https: /// RedirectUrl "

Allez dans l'application "Native Client App"

Copiez la valeur "Application ID" à utiliser pour les étapes de configuration ultérieures Sélectionnez "Autorisations requises"

Cliquez sur "Ajouter" Cliquez sur "Sélectionner une API" Recherchez le noeud final d'impression et le noeud final de découverte par le nom que vous avez défini lors de la création du noeud final d'application. Ajouter les 2 points finaux Assurez-vous que l'option "Autorisations déléguées" pour chaque point de terminaison d'application est activée. Assurez-vous de cliquer sur le bouton "Terminé" en bas Cliquez sur "Accorder les autorisations", une fois les deux points finaux ajoutés. Sélectionnez "Oui" lorsque vous êtes invité à approuver la demande.

Allez à «REDIRECT URIS» et ajoutez les URI de redirection suivants à la liste: ms-appx-web: //Microsoft.AAD.BrokerPlugin/ ms-appx-web: //Microsoft.AAD.BrokerPlugin/S-1-15-2-3784861210-599250757-1266852909-3189164077-45880155-1246692841-283550366

Étape 3 – Installez le proxy d'application Azure (AAP) avec la délégation contrainte Kerberos (KCD)

Connectez-vous à votre portail de gestion de locataire Azure AD (AAD).

Dans la liste du menu AAD, sélectionnez "Proxy d'application" Cliquez sur "Activer le proxy d'application" en haut de l'écran. Téléchargez le "Connecteur du proxy d'application" sur un ordinateur Windows Server joint au domaine qui agira en tant que proxy d'application Web (WAP).

Sur la machine WAP, connectez-vous en tant qu'administrateur et installez le "Connecteur de proxy d'application"

Au cours de l’installation, indiquez au connecteur du proxy d’application les informations d’identification de votre principe Azure sur lesquelles vous souhaitez activer AAP. Assurez-vous que la machine WAP appartient à un domaine et à votre annuaire Active Directory local.

Sur la machine Active Directory, accédez à Outils -> Utilisateurs et ordinateurs

Sélectionnez la machine qui exécute le connecteur de proxy d'application. Faites un clic droit et sélectionnez Propriétés -> Délégation languette Sélectionner Faites confiance à cet ordinateur pour la délégation à des services spécifiés uniquement. Sélectionner Utilisez n'importe quel protocole d'authentification. Sous Services auxquels ce compte peut présenter des informations d'identification déléguées

Ajoutez la valeur pour l'identité SPN de la machine qui exécute les services (services MopriaDiscoveryService et MicrosoftEnterpriseCloudPrint)

Pour SPN, entrez le SPN de la machine elle-même, c'est-à-dire       "HÔTE/."HOST / appServer.Contoso.com

Retournez sur le portail de gestion des clients hébergés AAD et ajoutez les serveurs proxy d'application.

Aller au Applications de l'entreprise languette Cliquez sur Nouvelle application

Sélectionner Application sur site et remplissez les champs

Nom: N'importe quel nom que vous souhaitez URL interne: il s'agit de l'URL interne du service Cloud de Mopria Discovery accessible sur votre machine WAP. URL externe: configurez en fonction de votre organisation Méthode de pré-authentification: Azure Active Directory

Remarque: si vous ne trouvez pas tous les paramètres ci-dessus, ajoutez le proxy avec les paramètres disponibles, puis sélectionnez le proxy d’application que vous venez de créer et accédez au menu Proxy d'application onglet et ajouter toutes les informations ci-dessus.

Une fois créé, retournez à Applications de l'entreprise -> Toutes les applications, sélectionnez la nouvelle application que vous venez de créer

Aller à Authentification unique, assurez-vous que le "Mode de connexion unique" est défini sur "Authentification Windows intégrée" Définissez le "SPN d'application interne" sur le SPN spécifié à l'étape 3.3 ci-dessus. Assurez-vous que "Identité de connexion déléguée" est définie sur "Nom d'utilisateur principal".

Répétez l'étape 4 ci-dessus pour le service d'impression en nuage d'entreprise et indiquez l'URL interne de votre service d'impression en nuage d'entreprise.

Revenez sur le portail de gestion de locataires Azure AD et accédez à Enregistrements d'applications et sélectionnez l'application Native Client -> "Paramètres"

Sélectionner Autorisations requises

Ajoutez les 2 nouvelles applications proxy que vous venez de créer Accorder des autorisations déléguées pour ces 2 applications Une fois les deux applications proxy ajoutées, cliquez sur "Accorder les autorisations". Sélectionnez "Oui" lorsque vous êtes invité à approuver la demande.

Activer l'authentification Windows dans IIS pour le ou les ordinateurs Mopria Cloud Service et Enterprise Cloud Print Service

Assurez-vous que la fonctionnalité d’authentification Windows est installée:

Ouvrir le gestionnaire de serveur Cliquez sur Gérer Cliquez sur Ajouter des rôles et des fonctionnalités Sélectionner Installation basée sur des rôles ou des fonctionnalités Sélectionnez le serveur Sous Serveur Web (IIS) -> Serveur Web -> Sécurité, sélectionnez Authentification Windows Cliquez sur Suivant jusqu'à la fin de l'installation.

Activer l'authentification Windows dans IIS:

Ouvrez le Gestionnaire des services Internet (IIS) Pour chaque service / site:

Sélectionnez le service / site Double clic Authentification Cliquez sur Authentification Windows et cliquez Activer sous actes

Étape 4 – Configurez les stratégies MDM requises

Connectez-vous à votre fournisseur MDM Recherchez le groupe de stratégies Enterprise Cloud Print et configurez les stratégies en suivant les instructions ci-dessous:

CloudPrintOAuthAuthority = https://login.microsoftonline.com/ CloudPrintOAuthClientId = Valeur "ID d'application" de l'application Web native que vous avez enregistrée dans le portail de gestion Azure AD CloudPrinterDiscoveryEndPoint = URL externe du proxy d'application Azure du service Mopria Discovery créé à l'étape 3.3 (doit être exactement identique, mais sans le caractère de fin /) MopriaDiscoveryResourceId = URL externe du proxy d'application Azure du service Mopria Discovery créé à l'étape 3.4 (doit être exactement le même, y compris le / suivant). CloudPrintResourceId = URL externe du proxy Azure Application Proxy du service d'impression Cloud d'entreprise créé à l'étape 3.5 (doit être exactement identique, y compris le / suivant). DiscoveryMaxPrinterLimit =

Remarque: Si vous utilisez le service Microsoft Intune, vous pouvez trouver ces paramètres dans la catégorie "Imprimante en nuage".

Nom complet Intune Politique

URL de découverte de l'imprimante CloudPrinterDiscoveryEndpoint

URL de l'autorité d'accès à l'imprimante CloudPrintOAuthAuthority

GUID de l'application du client natif Azure CloudPrintOAuthClientId

URI des ressources du service d'impression CloudPrintResourceId

Nombre maximum d'imprimantes à interroger (mobile uniquement) DiscoveryMaxPrinterLimit

URI de la ressource du service de découverte d'imprimante MopriaDiscoveryResourceId

Remarque: Si le groupe de stratégies Cloud Print n'est pas disponible mais que le fournisseur MDM prend en charge les paramètres OMA-URI, vous pouvez définir les mêmes stratégies. Veuillez vous référer à cet article pour plus d'informations.

OMA-URI

CloudPrintOAuthAuthority = ./Vendor/MSFT/Policy/Config/EnterpriseCloudPrint/CloudPrintOAuthAuthority

Valeur = https://login.microsoftonline.com/

CloudPrintOAuthClientId = ./Vendor/MSFT/Policy/Config/EnterpriseCloudPrint/CloudPrintOAuthClientId

Valeur =