Что такое назначенный доступ?

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

Назначенный доступ — это функция Windows, которую можно использовать для настройки устройства в качестве киоска или с ограниченным пользовательский интерфейс.

При настройке работы киоска одно приложение универсальная платформа Windows (UWP) или Microsoft Edge выполняется в полноэкранном режиме над экраном блокировки. Пользователи могут использовать только это приложение. Если приложение киоска закрыто, оно автоматически перезапускается. Практические примеры:

• Общедоступный просмотр
• Интерактивные цифровые вывески

При настройке ограниченного пользовательского интерфейса пользователи могут выполнять только определенный список приложений с помощью специального меню "Пуск" и панели задач. Применяются различные параметры политики и правила AppLocker, что создает заблокированный интерфейс. Пользователи могут получить доступ к знакомому рабочему столу Windows, ограничивая свой доступ, уменьшая отвлекающие факторы и потенциальные возможности случайного использования. Идеально подходит для общих устройств. Вы можете создавать разные конфигурации для разных пользователей. Практические примеры:

• Рабочие устройства переднего плана
• Устройства учащихся
• Устройства лаборатории

Примечание.

При настройке ограниченного взаимодействия с пользователем к устройству применяются другие параметры политики. Некоторые параметры политики применяются только к стандартным пользователям, а некоторые — к учетным записям администратора. Дополнительные сведения см. в разделе Параметры политики назначенного доступа.

Требования

Ниже приведены требования к назначенному доступу.

• Чтобы использовать интерфейс киоска, необходимо включить контроль учетных записей пользователей (UAC)
• Чтобы использовать интерфейс киоска, необходимо выполнить вход с консоли. Взаимодействие с киоском не поддерживается через подключение к удаленному рабочему столу

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие назначенный доступ:

Windows Pro	Windows Корпоративная	Windows Pro для образовательных учреждений/SE	Windows для образовательных учреждений
Да	Да	Да	Да

Назначенные лицензии на доступ предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE	Windows Корпоративная E3	Windows Корпоративная E5	Windows для образовательных учреждений A3	Windows для образовательных учреждений A5
Да	Да	Да	Да	Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Настройка работы киоска

Существует несколько вариантов настройки работы киоска. Если необходимо настроить одно устройство с локальной учетной записью, можно использовать:

• PowerShell. Вы можете использовать Set-AssignedAccess командлет PowerShell для настройки работы киоска с помощью локальной стандартной учетной записи.
• Параметры: используйте этот параметр, если вам нужен простой метод для настройки одного устройства с локальной учетной записью стандартного пользователя.

Для дополнительных настроек можно использовать CSP назначенного доступа , чтобы настроить интерфейс киоска. CSP позволяет настроить приложение киоска, учетную запись пользователя и поведение приложения киоска. При использовании CSP необходимо создать XML-файл конфигурации, указывающий приложение киоска и учетную запись пользователя. XML-файл применяется к устройству с помощью одного из следующих параметров:

• Решение для мобильных Управление устройствами (MDM), например Microsoft Intune
• Пакеты подготовки
• PowerShell с поставщиком WMI моста MDM

Сведения о настройке XML-файла средства запуска оболочки см. в статье Создание файла конфигурации назначенного доступа.

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Intune/CSP

Устройства можно настроить с помощью настраиваемой политики с помощью поставщика CSP AssignedAccess.

• Параметр:./Vendor/MSFT/AssignedAccess/Configuration
• Значение: содержимое XML-файла конфигурации

Назначьте политику группе, содержащей в качестве участников устройства, которые требуется настроить.

PPKG

Чтобы создать пакет подготовки, используйте следующие параметры:

• Путь:AssignedAccess/AssignedAccessSettings
• Значение: Введите учетную запись и приложение, которое вы хотите использовать для назначенного доступа, используя AUMID приложения. Пример.
  • {"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}

Примените пакет подготовки к устройствам, которые требуется настроить.

PowerShell

Чтобы настроить устройство с помощью Windows PowerShell, выполните следующие действия.

1. Вход с правами администратора

2. Создание учетной записи пользователя для назначенного доступа

3. Вход в качестве учетной записи пользователя с назначенным доступом

4. Установка необходимого приложения UWP

5. Выйдите из учетной записи пользователя с назначенным доступом

6. Войдите с правами администратора и в командной строке PowerShell с повышенными привилегиями используйте одну из следующих команд:

   #Configure Assigned Access by AppUserModelID and user name
   Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
   
   #Configure Assigned Access by AppUserModelID and user SID
   Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
   
   #Configure Assigned Access by app name and user name
   Set-AssignedAccess -AppName <CustomApp> -UserName <username>
   
   #Configure Assigned Access by app name and user SID**:
   Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
   
   

Примечание.

Чтобы настроить назначенный доступ с помощью -AppName, учетная запись пользователя, которую вы ввели для параметра Назначенный доступ, должна войти в систему хотя бы один раз.

Дополнительные сведения:

• Определение идентификатора модели пользователя установленного приложения
• Set-AssignedAccess

Чтобы удалить ограниченный доступ с помощью PowerShell, запустите следующий командлет:

Clear-AssignedAccess

Для дополнительных настроек, использующих XML-файл конфигурации, можно использовать скрипты PowerShell с помощью поставщика WMI моста MDM.

Важно.

Для всех параметров устройства клиент WMI Bridge должен выполняться как учетная запись SYSTEM (LocalSystem).

Чтобы протестировать сценарий PowerShell, можно:

1. Скачивание средства psexec
2. Откройте командную строку с повышенными привилегиями и выполните следующую команду: psexec.exe -i -s powershell.exe
3. Запуск сценария в сеансе PowerShell

$shellLauncherConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Shell Launcher configuration"

Дополнительные сведения см. в статье Использование сценариев PowerShell с поставщиком моста WMI.

Параметры

Ниже приведены действия по настройке киоска с помощью приложения "Параметры".

1. Откройте приложение "Параметры", чтобы просмотреть и настроить устройство в качестве киоска. Перейдите в раздел Параметры > Учетные > записи Другие пользователи или используйте следующий ярлык:

   Другие пользователи

2. В разделе Настройка киоска выберите Начало работы.

3. В диалоговом окне Создание учетной записи введите имя учетной записи и нажмите кнопку Далее.

   Примечание.

   Если уже есть локальные учетные записи стандартных пользователей, в диалоговом окне Создание учетной записи можно выбрать существующую учетную запись.

4. Выберите приложение для запуска при входе в учетную запись киоска. В списке доступны только приложения, которые могут выполняться над экраном блокировки. Если вы выберете Microsoft Edge в качестве приложения киоска, настройте следующие параметры:

   • Следует ли отображать ваш веб-сайт в Microsoft Edge в полноэкранном режиме (цифровой сигнал) или с некоторыми элементами управления браузером (общедоступный браузер)
   • Какой URL-адрес должен быть открыт при входе в учетную запись киоска
   • Когда Microsoft Edge следует перезапустить после периода бездействия (если выбран запуск в качестве общедоступного браузера)

5. Нажмите кнопку Закрыть.

Если устройство не присоединено к домену Active Directory или Microsoft Entra ID, автоматически настраивается автоматический вход в учетную запись киоска:

• Если вы хотите, чтобы учетная запись киоска выполнялась автоматически и приложение киоска запускалось при перезапуске устройства, вам не нужно ничего делать.
• Если вы не хотите, чтобы при перезапуске устройства выполнялся автоматический вход с помощью учетной записи киоска, необходимо изменить параметр по умолчанию, прежде чем настраивать устройство в качестве киоска. Войдите с учетной записью, которую вы хотите использовать в качестве учетной записи киоска. Откройте Параметры Учетные>>записиПараметры входа. Задайте для параметра Использовать мои данные для входа, чтобы автоматически завершить настройку устройства после обновления или перезапуска значение Выкл. После изменения параметра вы можете применить конфигурацию киоска к устройству.

Совет

Практические примеры см. в кратком руководстве по настройке киоска с назначенным доступом.

Настройка ограниченного взаимодействия с пользователем

Чтобы настроить ограниченный пользовательский интерфейс с назначенным доступом, необходимо создать XML-файл конфигурации с параметрами для требуемого интерфейса. XML-файл применяется к устройству через поставщик служб CSP назначенного доступа, используя один из следующих вариантов:

• Решение для мобильных Управление устройствами (MDM), например Microsoft Intune
• Пакеты подготовки
• PowerShell с поставщиком WMI моста MDM

Сведения о настройке XML-файла назначенного доступа см. в статье Создание файла конфигурации назначенного доступа.

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Intune/CSP

Устройства можно настроить с помощью настраиваемой политики с помощью поставщика CSP AssignedAccess.

• Параметр:./Vendor/MSFT/AssignedAccess/ShellLauncher
• Значение: содержимое XML-файла конфигурации

Назначьте политику группе, содержащей в качестве участников устройства, которые требуется настроить.

PPKG

Чтобы создать пакет подготовки, используйте следующие параметры:

• Путь:AssignedAccess/MultiAppAssignedAccessSettings
• Значение: содержимое XML-файла конфигурации

Примените пакет подготовки к устройствам, которые требуется настроить.

PowerShell

Настройте устройства с помощью скриптов PowerShell с помощью поставщика WMI моста MDM.

Важно.

Для всех параметров устройства клиент WMI Bridge должен выполняться как учетная запись SYSTEM (LocalSystem).

Чтобы протестировать сценарий PowerShell, можно:

1. Скачивание средства psexec
2. Откройте командную строку с повышенными привилегиями и выполните следующую команду: psexec.exe -i -s powershell.exe
3. Запуск сценария в сеансе PowerShell

$assignedAccessConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Assigned Access configuration"

Дополнительные сведения см. в статье Использование сценариев PowerShell с поставщиком моста WMI.

Параметры

Этот параметр недоступен с помощью параметров.

Совет

Практические примеры см. в кратком руководстве по настройке ограниченного взаимодействия с пользователем с помощью назначенного доступа.

Взаимодействие с пользователем

Чтобы проверить взаимодействие с пользователем в киоске или ограниченном режиме, войдите с помощью учетной записи пользователя, указанной в файле конфигурации.

Конфигурация назначенного доступа вступает в силу при следующем входе целевого пользователя. Если эта учетная запись пользователя выполнена при применении конфигурации, выйдите и войдите обратно, чтобы проверить взаимодействие.

Примечание.

Начиная с Windows 11, ограниченный пользовательский интерфейс поддерживает использование нескольких мониторов.

Сенсорная клавиатура autotrigger

Сенсорная клавиатура автоматически активируется, когда требуется ввод и на устройствах с поддержкой сенсорного ввода не подключена физическая клавиатура. Вам не нужно настраивать какой-либо другой параметр для принудительного применения этого поведения.

Совет

Сенсорная клавиатура активируется только при касании текстового поля. Щелчки мышью не активируют сенсорную клавиатуру. Если вы тестируете эту функцию, используйте физическое устройство вместо виртуальной машины, так как сенсорная клавиатура не активируется на виртуальных машинах.

Выход из режима ограниченного доступа

По умолчанию, чтобы выйти из работы киоска, нажмите клавиши CTRL + ALT + DEL. Приложение киоска завершает работу автоматически. Если вы снова войдете в систему с учетной записью назначенного доступа или дождитесь истечения времени ожидания экрана входа, приложение киоска будет повторно запущено. Время ожидания по умолчанию составляет 30 секунд, но время ожидания можно изменить с помощью раздела реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

Чтобы изменить время возобновления назначенного доступа по умолчанию, добавьте IdleTimeOut (DWORD) и введите значения в миллисекундах в шестнадцатеричном формате.

Примечание.

IdleTimeOut не применяется к режиму терминала Microsoft Edge.

Последовательность прерывания ctrl + alt + Del используется по умолчанию, но эту последовательность можно настроить на другую последовательность ключей. Последовательность прорыва использует формат модификаторы + ключи Примером последовательности разрывов является CTRL + ALT + A, где CTRL + ALT — это модификаторы, а A — значение ключа. Дополнительные сведения см. в статье Создание XML-файла конфигурации назначенного доступа.

Сочетания клавиш

Следующие сочетания клавиш блокируются для учетных записей пользователей с назначенным доступом:

Сочетание клавиш	Действие
Ctrl + Shift + Esc	Открытие диспетчера задач
ВЫИГРАТЬ + , (запятая)	Временное включение показа рабочего стола при наведении
ВЫИГРАТЬ + A	Открытие центра уведомлений
ВЫИГРАТЬ + Alt + D	Отображение и скрытие даты и времени на рабочем столе
ВЫИГРАТЬ + Ctrl + F	Поиск объектов-компьютеров в Active Directory
ВЫИГРАТЬ + D	Отображение и скрытие рабочего стола
ВЫИГРАТЬ + E	Открытие проводника
ВЫИГРАТЬ + F	Открытие Центра отзывов
ВЫИГРАТЬ + Г	Открытие меню запущенной игры
ВЫИГРАТЬ + Я	Открытие "Параметров"
ВЫИГРАТЬ + J	Установка фокуса на подсказку Windows, когда она доступна
ВЫИГРАТЬ + O	Фиксация ориентации устройства
ВЫИГРАТЬ + Q	Открытие окна поиска
ВЫИГРАТЬ + R	Открытие диалогового окна "Выполнить"
ВЫИГРАТЬ + S	Открытие окна поиска
ВЫИГРАТЬ + Shift + C	Открытие Кортаны в режиме прослушивания
ВЫИГРАТЬ + X	Открытие меню быстрых ссылок
LaunchApp1	Откройте приложение, назначенное этому ключу
LaunchApp2	Откройте приложение, назначенное этому ключу. На многих клавиатурах Майкрософт приложение является калькулятором
LaunchMail	Открытие почтового клиента по умолчанию

Удаление назначенного доступа

При удалении ограниченного пользовательского интерфейса удаляются параметры политики, связанные с пользователями, но не могут отменить изменения все конфигурации. Например, конфигурация меню "Пуск" сохраняется.

Дальнейшие действия

Прежде чем развертывать назначенный доступ, ознакомьтесь с рекомендациями.

Рекомендации по назначенному доступу