Richtlinien zum Auswählen einer App für den zugewiesenen Zugriff (Kioskmodus)

Gilt für

  • Windows 10
  • Windows 11

Mit dem zugewiesenen Zugriff können Sie festlegen, dass Kunden in Ihrem Unternehmen nur eine Windows-App verwenden können. Ihr Gerät fungiert in diesem Fall als Kiosk. Administratoren können den zugewiesenen Zugriff verwenden, um für ein ausgewähltes Benutzerkonto den Zugriff auf eine einzelne Windows-App zu beschränken. Sie können fast alle Windows-Apps für den zugewiesenen Zugriff auswählen. Bei einigen Apps wird jedoch unter Umständen die Benutzerfreundlichkeit beeinträchtigt.

Die folgenden Richtlinien unterstützen Sie bei der Auswahl einer geeigneten Windows-App für den zugewiesenen Zugriff.

Allgemeine Richtlinien

  • Windows-Apps müssen für das Konto mit zugewiesenem Zugriff bereitgestellt oder installiert werden, bevor sie als App mit zugewiesenem Zugriff ausgewählt werden können. Erfahren Sie, wie Sie Apps bereitstellen und installieren.

  • Bei der Aktualisierung einer Windows-App kann manchmal die Anwendungsbenutzermodell-ID (Application User Model ID, AUMID) der App geändert werden. In diesem Fall müssen Sie zum Starten der aktualisierten App die Einstellungen für den zugewiesenen Zugriff aktualisieren, da der zugewiesene Zugriff mithilfe der AUMID ermittelt, welche App gestartet werden soll.

  • Apps, die mithilfe von Desktop App Converter (Desktop-Brücke) generiert werden, können als Kiosk-Apps verwendet werden.

Richtlinien für Windows-Apps, die andere Apps starten

Manche Windows-Apps können andere Apps starten. Der zugewiesene Zugriff verhindert, dass Windows-Apps andere Apps starten.

Wählen Sie keine Windows-Apps aus, deren Kernfunktion im Starten anderer Apps besteht.

Richtlinien für Webbrowser

Ab Windows 10 Version 1809+ bietet Microsoft Edge Unterstützung für den Kioskmodus. Erfahren Sie, wie Sie den Microsoft Edge-Kioskmodus bereitstellen.

Im Windows-Client können Sie die Kiosk Browser-App von Microsoft installieren, um sie als Kiosk-App zu verwenden. In Digital Signage-Szenarien können Sie den Kiosk Browser so konfigurieren, dass er zu einer URL navigiert und nur diesen Inhalt anzeigt -- keine Navigationsschaltflächen, keine Adressleiste usw. In Kiosk-Szenarien können Sie zusätzliche Einstellungen konfigurieren, z. B. zulässige und blockierte URLs, Navigationsschaltflächen und Schaltflächen zum Beenden der Sitzung. Sie können beispielsweise Ihren Kiosk so konfigurieren, dass der Online-Katalog für Ihr Geschäft angezeigt wird, in dem Kunden zwischen Abteilungen und Artikeln navigieren können, jedoch nicht auf die Website eines Mitbewerbers zugreifen dürfen.

Hinweis

Der Kiosk Bowser unterstützt eine einzelne Registerkarte. Wenn eine Website Links enthält, die einen neuen Tab öffnen, funktionieren diese Links nicht mit dem Kiosk rowser. Kiosk Browser unterstützt keine .pdfs.

Der Kiosk rowser kann nicht auf Intranet-Websites zugreifen.

Der Kiosk Browser muss für die Offline-Lizenzierung mit Microsoft Store For Business heruntergeladen werden. Sie können den Kiosk Browser auf Geräten bereitstellen, auf denen Windows 10, Version 1803 (Pro, Business, Enterprise und Education) und Windows 11 ausgeführt wird.

  1. Holen Sie sich den Kiosk Browser im Microsoft Store for Business mit Offline-Lizenztyp.
  2. Bereitstellen der Kiosk Browsers auf Kioskgeräten.
  3. Konfigurieren Sie Richtlinien mithilfe der Einstellungen des Richtlinienkonfigurationsdienstanbieters (CSP) für KioskBrowser. Diese Einstellungen können mit Ihrem MDM-Dienstanbieter oder in einem Bereitstellungspaket konfiguriert werden. Im Windows-Konfigurations-Designer befinden sich die Einstellungen unter Richtlinien > KioskBrowser, wenn Sie die erweiterte Bereitstellung für Windows-Desktop-Editionen auswählen.

Hinweis

Wenn Sie den Kiosk mithilfe eines Bereitstellungspakets konfigurieren, müssen Sie das Bereitstellungspaket anwenden, nachdem das Gerät die Out-of-Box-Erfahrung (OOBE) abgeschlossen hat.

Kiosk Browser Einstellungen

Kiosk Browser Einstellungen Verwenden Sie diese Einstellung, um
Blockierte URL-Ausnahmen Geben Sie URLs an, zu denen Personen navigieren können, obwohl sich die URL in Ihrer Liste blockierter URLs befindet. Sie können Platzhalter verwenden.

Wenn Sie beispielsweise möchten, dass Personen nur auf http://contoso.com beschränkt sind, fügen Sie der Liste der blockierten URL-Ausnahmen .contoso.com hinzu und blockieren dann alle anderen URLs.
Blockierte URLs Geben Sie URLs an, zu denen Benutzer nicht navigieren können. Sie können Platzhalter verwenden.

Wenn Sie Personen auf eine bestimmte Site beschränken möchten, fügen Sie https://* zur Liste der blockierten URLs hinzu und geben Sie dann die Site an, die in der Liste der blockierten URL-Ausnahmen zulässig sein soll.
Standard-URL Geben Sie die URL an, mit der der Kiosk Browser geöffnet wird. Tipp! Stellen Sie sicher, dass Ihre blockierten URLs nicht Ihre Standard-URL enthalten.
Aktivieren Sie die Schaltfläche "Sitzung beenden" Zeigen Sie im Kiosk Browser eine Schaltfläche an, mit der Benutzer den Browser zurücksetzen können. Sitzung beenden löscht alle Browserdaten und navigiert zurück zur Standard-URL.
Aktivieren der Start-Schaltfläche Anzeigen einer Start-Schaltfläche im Kiosk Browser. Start gibt den Browser zur Standard-URL zurück.
Aktivieren der Navigationsschaltflächen Vorwärts- und Rückwärtsschaltflächen im Kiosk-Browser anzeigen.
Neustart im Leerlauf Geben Sie an, wann der Kiosk-Browser nach einer Leerlaufzeit seit der letzten Benutzerinteraktion in einem neuen Zustand neu gestartet werden soll.

Wichtig

So konfigurieren Sie mehrere URLs für Blockierte URL-Ausnahmen oder blockierte URLs im Windows-Konfigurations-Designer:

  1. Erstellen Sie das Bereitstellungspaket. Wenn Sie zum Export bereit sind, schließen Sie das Projekt im Windows-Konfigurations-Designer.
  2. Öffnen Sie die Datei customizations.xml im Projektordner (z. B. C: C:\Users\name\Documents\Windows Imaging and Configuration Designer (WICD)\Project_18).
  3. Fügen Sie die Nullzeichenfolge zwischen die einzelnen URLs ein (z. B. www.bing.com  www.contoso.com).
  4. Speichern Sie die XML-Datei.
  5. Öffnen Sie das Projekt erneut in Windows-Konfigurations-Designer.
  6. Exportieren Sie das Paket. Stellen Sie sicher, dass Sie die im Kiosk Browser erstellten Richtlinien nicht erneut aufrufen, da sonst das Nullzeichen entfernt wird.

Tipp

Um die Schaltfläche Sitzung beenden für Kiosk Browser in Intune zu aktivieren, müssen Sie eine benutzerdefinierte OMA-URI-Richtlinie mit den folgenden Informationen erstellen:

  • OMA-URI: ./Vendor/MSFT/Policy/Config/KioskBrowser/EnableEndSessionButton
  • Datentyp: Ganze Zahl
  • Wert: 1

Regeln für URLs in den Einstellungen des Kiosk Browsers

Die Filterregeln für den Kiosk Browser basieren auf dem Chromium-Projekt.

URLs können Folgendes enthalten:

  • Ein gültiger Portwert zwischen 1 und 65.535.
  • Der Pfad zur Ressource.
  • Abfrageparameter.

Zusätzliche Richtlinien für URLs:

  • Wenn dem Host ein Punkt vorausgeht, filtert die Richtlinie nur exakte Host-Übereinstimmungen.
  • Sie können keine user:pass-Felder verwenden.
  • Wenn sowohl blockierte URL- als auch blockierte URL-Ausnahmen mit derselben Pfadlänge gelten, hat die Ausnahme Vorrang.
  • Die Richtlinie durchsucht zuletzt Platzhalter (*).
  • Die optionale Abfrage besteht aus einer Reihe von Token mit Schlüsselwerten und nur Schlüsseln, die durch '&' getrennt sind.
  • Schlüsselwert-Token werden durch '=' getrennt.
  • Ein Abfragetoken kann optional mit einem '*' enden, um die Präfixübereinstimmung anzuzeigen. Die Token-Reihenfolge wird beim Abgleich ignoriert.

Beispiele für blockierte URLs und Ausnahmen

In der folgenden Tabelle werden die Ergebnisse für verschiedene Kombinationen von blockierten URLs und blockierten URL-Ausnahmen beschrieben.

Blockierte URL-Regel URL-Ausnahmeregel blockieren Ergebnis
* contoso.com
fabrikam.com
Alle Anfragen werden blockiert, es sei denn, es handelt sich um contoso.com, fabrikam.com oder eine ihrer Subdomains.
contoso.com mail.contoso.com
.contoso.com
.www.contoso.com
Blockiert alle Anfragen an contoso.com mit Ausnahme der Hauptseite und ihrer Mail-Subdomain.
youtube.com youtube.com/watch?v=v1
youtube.com/watch?v=v2
Blockiert jeglichen Zugriff auf youtube.com mit Ausnahme der angegebenen Videos (v1 und v2).

Die folgende Tabelle enthält Beispiele für blockierte URLs.

Eintrag Ergebnis
contoso.com Blockiert alle Anfragen an contoso.com, www.contoso.com und sub.www.contoso.com
https://* Blockiert alle HTTPS-Anforderungen an eine beliebige Domäne.
mail.contoso.com Blockiert Anfragen an mail.contoso.com, jedoch nicht an www.contoso.com oder contoso.com
.contoso.com Blockiert contoso.com, aber nicht seine Subdomains wie subdomain.contoso.com.
.www.contoso.com Blockiert www.contoso.com, jedoch nicht die Subdomains.
* Blockiert alle Anfragen mit Ausnahme von URLs in der Liste Ausnahmen für blockierte URLs.
*:8080 Blockiert alle Anfragen an Port 8080.
contoso.com/stuff Blockiert alle Anfragen an contoso.com/stuff und seine Subdomains.
192.168.1.2 Blockiert Anfragen an 192.168.1.2.
youtube.com/watch?v=V1 Blockiert YouTube-Videos mit der ID V1.

Andere Browser

Sie können mit der WebView-Klasse eine eigene Webbrowser-Windows-App erstellen. Hier erfahren Sie mehr über die Entwicklung einer eigenen Webbrowser-App:

Sichern von Informationen

Wählen Sie keine Windows-Apps aus, die unter Umständen Informationen verfügbar machen, die nicht im Kiosk angezeigt werden sollen. Auf den Kiosk wird in der Regel anonym zugegriffen, und er befindet sich an einem öffentlichen Ort wie beispielsweise in einem Einkaufszentrum. Beispielsweise ermöglicht eine App mit einer Dateiauswahl dem Benutzer den Zugriff auf Dateien und Ordner auf dem System des Benutzers. Vermeiden Sie die Auswahl dieser Arten von Apps, wenn sie unnötigen Datenzugriff ermöglichen.

App-Konfiguration

Einige Apps erfordern möglicherweise zusätzliche Konfigurationen, bevor sie für den zugewiesenen Zugriff ordnungsgemäß verwendet werden können. Für Microsoft OneNote muss beispielsweise ein Microsoft-Konto für das Benutzerkonto mit dem zugewiesenen Zugriff eingerichtet werden, damit OneNote im zugewiesenen Zugriff geöffnet wird.

Überprüfen Sie die von Ihrer ausgewählten App veröffentlichten Richtlinien und richten Sie sie entsprechend ein.

Entwickeln von Kiosk-Apps

Der zugewiesene Zugriff im Windows-Client nutzt das neue Sperrframework. Wenn sich ein Benutzer mit zugewiesenem Zugriff anmeldet, wird die ausgewählte Kiosk-App über dem Sperrbildschirm gestartet. Die Kiosk-App wird als obige Sperrbildschirm-App ausgeführt.

Halten Sie sich an die bewährten Methoden für die Entwicklung von Kiosk-Apps für den zugewiesenen Zugriff.

Testen des zugewiesenen Zugriffs

Die oben genannten Richtlinien unterstützen Sie bei der Auswahl oder Entwicklung einer geeigneten Windows-App für den zugewiesenen Zugriff. Es wird empfohlen, nach dem Auswählen einer App den zugewiesenen Zugriff gründlich zu testen, um eine hohe Benutzerfreundlichkeit des Geräts sicherzustellen.