Zu den zahlenreichen spannenden MS-Cloud-Diensten vor allem im Umfeld der Identitätsverwaltung zählt auch Universal Print. Der Dienst wird häufig übersehen, vereinfacht aber die zentrale Cloud-basierte Verwaltung von Druckern, bzw. Druckaufträgen erheblich. Ein kurzer Quickie zur Einrichtung von UP.
Zugegeben. Folgende Demo-Szenario ist schon etwas pervers. Ich habe einen älteren IPP- und TCP-, aber nicht UP-fähigen Business-Drucker im Büro direkt neben mir stehen. Meine Miarbeiterin sitzt in Ihrem Büro ein Stockwerk über mir und kümmert sich um organisatorische Aufgaben. Sie nutzt dazu im Wesentlichen M365, Ihr Notebook ist aber aus verschiedenen Gründen kein Unternehmensgerät. Die Cat-6-Verkabelung im Haus ist schon lange stillgelegt, sodass alle Geräte im WLAN kommunizieren. Da das Notebook meiner Mitarbeiterin auch gelegentlich von anderen Personen genutzt wird, kommuniziert es ausschließlich über das Gast-WLAN mit dem Internet, ist aber selbst nicht im Unternehmensnetzwerk eingebunden. Wie bekommt sie nun am einfachsten Zugang zum Drucker?
Für und Wider
Natürlich könnte ich mich etwas Aufwand wie z. B. der Einrichtung statischer Routen dafür sorgen, dass das Notebook den Drucker „sieht“ und diesen dann per IPP oder TCP anspricht. Auch diese zöge im Detail Fragen nach sich wie DNS, statische IP-Adressen usw. . Außerdem wäre dann noch zu entscheiden, ob die passenden Treiber auf dem Gerät selbst bereitgestellt würden oder auf einen Server im Unternehmen aber im letzteren Fall bestünde wieder das Problem mit Unternehmensgerät/Domainmembership/DHCP.
Gäbe es mehr als ein solches Gerät in einem KMU-Kontext, käme man um eine saubere Unternehmensintegration ohnehin nicht herum, allerdings drängt sich auch dann die Frage auf, warum nicht die Druckerverwaltung in die Cloud verlagern? Letzteres macht natürlich nur Sinn, wenn das Unternehmen ohnehin auch andere M365-Dienste nutzt und deshalb zwangsläufig über eine zentralisierte Identitäts-, Geräte- und Berechtigungsverwaltung im Form eines Entra ID verfügt. In diesem Fall „steigt“ für das Unternehmen sein Security-Level sogar dank zusätzlicher Identitäts- und Governance-Funktionen wie MFA, Conditional Access oder Purview Information Protection.
Was an „Perversität“ bleibt ist dann die Tatsache, dass jeder Druckauftrag mein Büro im Keller über eine gesicherte ausgehende Internetverbindung in die Cloud verlässt, dort samt Treiber- und Verwaltungsaspekten von Universal Print „verarbeitet“ und gerendert wird, um dann letztlich über die gleiche ausgehende Internetverbindung initiiert durch den Universal-Print-Connector, der sich mit der Public-IP meiner Fritzbox maskiert, von diesem fertig gerendert heruntergeladen und an den Client weitergeleitet zu werden. Letzteres entfällt, wenn der Client wie beim Notebook meiner Mitarbeiterin selbst den Connector betreibt oder der Drucker nativ UP-fähig ist.
Im Detail (also in einem „richtigen“ Unternehmenskontext, das o. skizzierte Szenario ist bewusst „überspitzt“) läuft das so ab:
Universal Print ist ein cloudbasierter Druckdienst, der es ermöglicht, Druckaufträge über die Microsoft 365-Cloud zu verwalten, ohne dass lokale Druckserver erforderlich sind. Die Kommunikation läuft dabei in mehreren Schritten ab, insbesondere wenn ein Universal Print Connector verwendet wird, um nicht-native Drucker (also solche, die Universal Print nicht direkt unterstützen) anzubinden.
Kommunikationsfluss bei Universal Print mit Connector
Ok. Ich habe das jetzt grob vereinfacht und es passt auch nicht ganz zum eingangs skizzierten Szenario, denn wenn der Drucker nur im lokalen Netzwerk verfügbar ist (z. B. über IP 192.168.x.x oder über eine lokale Windows-Warteschlange), muss der Connector ebenfalls im gleichen Netzwerk sein. Ist das nicht der Fall, kann der Connector den Druckauftrag nicht weiterleiten. Meine Mitarbiterin könnte aber den Connector auch direkt und nur auf ihrem Gerät installieren und betreiben. Der Connector würde sich aber ohnehin erübrigen, hätte ich von vorne herein einen Cloud-fähiger Drucker, der direkt mit Universal Print kommuniziert.
- User (Home Office): Sendet den Druckauftrag über das Internet an die Universal Print Cloud.
- Universal Print Cloud: Speichert und rendert den Druckauftrag.
- Universal Print Connector (im Unternehmensnetzwerk): Baut eine ausgehende HTTPS-Verbindung zur Cloud auf und lädt den Druckauftrag herunter.
- Lokaler Drucker: Wird vom Connector über das lokale Netzwerk mit dem Druckauftrag versorgt.
Bei meinem älteren Brother-Drucker, der nicht UP-fähig ist, zeigt folgender Workshop das erforderlichen Vorgehen in Kürze:
Schritt 1: Sie richten einen Windows-Printserver auf einem immer erreichbaren Memberserver der eigenen Domäne ein; in produktiven Umgebungen nicht auf Domain Controllern. Ich mache das in der Demo-Umgebung nur, um Ressourcen zu sparen. Der Memberserver (in der Demo-Umgebung ein DC) läuft in meinem Fall als VM auf einem 24/7 aktiven NAS-System. Im einfachsten Fall können Sie auf dem Printserver aber auch verzichten und den Drucker als lokalen Drucker auf dem Memberserver einrichten.
Schritt 2: Von dort laden Sie den https://aka.ms/UPConnector Universal-Print-Connector herunter und installieren ihn auf dem gleichen Server. Während der Installation werden Sie aufgefordert, sich mit einem Entra-ID-Konto mit den nötigen Rechten anzumelden. Der Connector wird dann im Azure-Portal registriert.
Schritt 3: Nach der Installation erkennt der Connector die lokal installierten Drucker, d. h. Sie können im Universal Print-Portal (Azure) auswählen, welche Drucker veröffentlicht werden soll. Diese Drucker werden dann in Azure Universal Print registriert.
Schritt 4: Nun können Sie den Drucker im Azure-Portal für Benutzer oder Gruppen freigeben (z. B. mittels Entra-ID-Sicherheitsgruppen), denn nur freigegebene Drucker sind für lokale Benutzer sichtbar.
Schritt 5: Am lokalen Printserver oder Memberserver taucht der neue Drucker dann mit genau diesem Freigabenamen als weiterer Drucker auf:
Nun müssen Sie den Drucker nur noch auf den Client-Geräten verfügbar machen. Auf Windows 10/11 Clients (ab Version 1903 mit Updates) ist Universal Print nativ integriert, d. h. Benutzer können den Drucker über das Windows-Einstellungsmenü („Drucker & Scanner“) hinzufügen oder er wird automatisch angezeigt, wenn er ihnen zugewiesen wurde.
Alternativ kann auch ein PowerShell-Skript oder Intune verwendet werden, um Drucker automatisch bereitzustellen. Das Argument Intune spricht aber selbstverständlich nicht nur für Universal Print. Natürlich können Sie auch lokale Drucker und/oder Treiber via Intune verteilen.
Fazit und Preise
Und abschließend kommen wir zum eigentlichen Pferdefuß von Universal Print, dem Preis.
Ob sich Universal Print für Sie überhaupt lohnt, hängt letztendlich vom Druckvolumen und der Anzahl der Nutzer/Lizenzen, respektive Druckjobs an. Es ist nämlich für das UP-Pricing ein erheblicher Unterschied, ob wenige Nutzer UP verwenden und im Einzelfall eher wenige Print-Jobs generieren oder viele Nutzer, wenige Jobs oder irgendwas dazwischen. Universal Print wird nicht über die Azure-Subscription (Verbrauch) abgerechnet, sondern ist Bestandteil diverser M365-Pläne und daher in den üblichen „Verdächtigen“ der M365-Abonnements wie E3, E5, F5 oder Business Premium mit maximal 100 Druckaufträgen/Monat enthalten, aber auch als Einzellizenz verfügbar mit 5 Jobs pro Monat. Optional können Sie jederzeit zusätzliches Druckvolumen kaufen.
Entscheidend ist, wie Druckaufträge gezählt werden. So zählt ein einzelnes gedrucktes Dokument unabhängig von der Anzahl der gedruckten Seiten oder gedruckten Exemplare als einzelner Druckauftrag. Ein Druckauftrag wird erst dann gezählt, wenn er abgeschlossen ist. Ein Auftrag gilt als abgeschlossen, wenn er erfolgreich an einen Drucker übermittelt oder von einem Drittanbieterdienst übernommen wurde, der mit Universal Print eingesetzt wird. Mehr dazu finden Sie hier.