Was ist zugewiesener Zugriff?

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Der zugewiesene Zugriff ist ein Windows-Feature, mit dem Sie ein Gerät als Kiosk oder mit eingeschränkter Benutzerfreundlichkeit konfigurieren können.

Wenn Sie eine Kioskumgebung konfigurieren, wird eine einzelne Universelle Windows-Plattform -Anwendung (UWP) oder Microsoft Edge im Vollbildmodus über dem Sperrbildschirm ausgeführt. Benutzer können nur diese Anwendung verwenden. Wenn die Kiosk-App geschlossen wird, wird sie automatisch neu gestartet. Beispiele aus der Praxis sind:

• Öffentliches Surfen
• Interaktive digitale Beschilderung

Wenn Sie eine eingeschränkte Benutzeroberfläche konfigurieren, können Benutzer nur eine definierte Liste von Anwendungen mit einem maßgeschneiderten Startmenü und einer Taskleiste ausführen. Unterschiedliche Richtlinieneinstellungen und AppLocker-Regeln werden erzwungen, wodurch eine gesperrte Oberfläche entsteht. Die Benutzer können auf einen vertrauten Windows-Desktop zugreifen, während sie ihren Zugriff einschränken, Ablenkungen und das Potenzial für unbeabsichtigte Verwendungen reduzieren. Ideal für freigegebene Geräte können Sie verschiedene Konfigurationen für verschiedene Benutzer erstellen. Beispiele aus der Praxis sind:

• Mitarbeitergeräte in Service und Produktion
• Schülergeräte
• Labgeräte

Hinweis

Wenn Sie eine eingeschränkte Benutzeroberfläche konfigurieren, werden unterschiedliche Richtlinieneinstellungen auf das Gerät angewendet. Einige Richtlinieneinstellungen gelten nur für Standardbenutzer, andere für Administratorkonten. Weitere Informationen finden Sie unter Richtlinieneinstellungen für zugewiesenen Zugriff.

Anforderungen

Dies sind die Anforderungen für den zugewiesenen Zugriff:

• Um eine Kioskumgebung verwenden zu können, muss die Benutzerkontensteuerung (User Account Control, UAC) aktiviert sein.
• Um eine Kioskumgebung verwenden zu können, müssen Sie sich über die Konsole anmelden. Die Kioskumgebung wird über eine Remotedesktopverbindung nicht unterstützt.

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die den zugewiesenen Zugriff unterstützen:

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
Ja	Ja	Ja	Ja

Lizenzberechtigungen für zugewiesenen Zugriff werden von den folgenden Lizenzen gewährt:

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
Ja	Ja	Ja	Ja	Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

Konfigurieren einer Kioskumgebung

Es gibt mehrere Optionen zum Konfigurieren einer Kioskumgebung. Wenn Sie ein einzelnes Gerät mit einem lokalen Konto konfigurieren müssen, können Sie Folgendes verwenden:

• PowerShell: Sie können das Set-AssignedAccess PowerShell-Cmdlet verwenden, um eine Kioskumgebung mit einem lokalen Standardkonto zu konfigurieren.
• Einstellungen: Verwenden Sie diese Option, wenn Sie eine einfache Methode benötigen, um ein einzelnes Gerät mit einem lokalen Standardbenutzerkonto zu konfigurieren.

Für erweiterte Anpassungen können Sie den CSP für zugewiesenen Zugriff verwenden, um die Kioskoberfläche zu konfigurieren. Mit dem CSP können Sie die Kiosk-App, das Benutzerkonto und das Verhalten der Kiosk-App konfigurieren. Wenn Sie den CSP verwenden, müssen Sie eine XML-Konfigurationsdatei erstellen, die die Kiosk-App und das Benutzerkonto angibt. Die XML-Datei wird mithilfe einer der folgenden Optionen auf das Gerät angewendet:

• Eine Mobile Geräteverwaltung-Lösung (MDM), z. B. Microsoft Intune
• Bereitstellungspakete
• PowerShell mit dem MDM-Bridge-WMI-Anbieter

Informationen zum Konfigurieren der XML-Datei des Shell-Startprogramms finden Sie unter Erstellen einer Konfigurationsdatei für zugewiesenen Zugriff.

Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option aus, die Ihren Anforderungen am besten entspricht.

Intune/CSP

Sie können Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem AssignedAccess-CSP konfigurieren.

• Einstellung:./Vendor/MSFT/AssignedAccess/Configuration
• Wert: Inhalt der XML-Konfigurationsdatei

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte enthält, die Sie konfigurieren möchten.

PPKG

Verwenden Sie die folgenden Einstellungen, um ein Bereitstellungspaket zu erstellen:

• Pfad:AssignedAccess/AssignedAccessSettings
• Wert: Geben Sie das Konto und die Anwendung ein, die Sie für den zugewiesenen Zugriff verwenden möchten, indem Sie die AUMID der App verwenden. Beispiel:
  • {"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}

Wenden Sie das Bereitstellungspaket auf die Geräte an, die Sie konfigurieren möchten.

PowerShell

So konfigurieren Sie ein Gerät mit Windows PowerShell

1. Melden Sie sich als Administrator an.

2. Erstellen des Benutzerkontos für den zugewiesenen Zugriff

3. Melden Sie sich als Benutzerkonto für zugewiesenen Zugriff an.

4. Installieren der erforderlichen UWP-App

5. Melden Sie sich als Benutzerkonto für zugewiesenen Zugriff ab.

6. Melden Sie sich als Administrator an, und verwenden Sie über eine PowerShell-Eingabeaufforderung mit erhöhten Rechten einen der folgenden Befehle:

   #Configure Assigned Access by AppUserModelID and user name
   Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
   
   #Configure Assigned Access by AppUserModelID and user SID
   Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
   
   #Configure Assigned Access by app name and user name
   Set-AssignedAccess -AppName <CustomApp> -UserName <username>
   
   #Configure Assigned Access by app name and user SID**:
   Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
   
   

Hinweis

Zum Einrichten des zugewiesenen Zugriffs mit -AppNamemuss sich das Benutzerkonto, das Sie für den zugewiesenen Zugriff eingeben, mindestens einmal angemeldet haben.

Weitere Informationen finden Sie unter:

• Suchen der AUMID (Anwendungsbenutzermodell-ID) einer installierten App
• Set-AssignedAccess

Führen Sie das folgende Cmdlet aus, um den zugewiesenen Zugriff mithilfe von PowerShell zu entfernen:

Clear-AssignedAccess

Für erweiterte Anpassungen, die die XML-Konfigurationsdatei verwenden, können Sie PowerShell-Skripts über den MDM-Bridge-WMI-Anbieter verwenden.

Wichtig

Für alle Geräteeinstellungen muss der WMI-Bridge-Client als SYSTEM-Konto (LocalSystem) ausgeführt werden.

Zum Testen des PowerShell-Skripts haben Sie folgende Möglichkeiten:

1. Herunterladen des psexec-Tools
2. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie Folgendes aus: psexec.exe -i -s powershell.exe
3. Ausführen des Skripts in der PowerShell-Sitzung

$shellLauncherConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Shell Launcher configuration"

Weitere Informationen finden Sie unter Verwenden von PowerShell-Skripts mit dem WMI-Bridge-Anbieter.

Einstellungen

Hier sind die Schritte zum Konfigurieren eines Kiosks mit der Einstellungs-App:

1. Öffnen Sie die App Einstellungen, um ein Gerät als Kiosk anzuzeigen und zu konfigurieren. Wechseln Sie zu Einstellungen > Konten > Andere Benutzer, oder verwenden Sie die folgende Verknüpfung:

   Andere Benutzer

2. Wählen Sie unter Kiosk einrichten die Option Erste Schritte aus.

3. Geben Sie im Dialogfeld Konto erstellen den Kontonamen ein, und wählen Sie Weiter aus.

   Hinweis

   Wenn bereits lokale Standardbenutzerkonten vorhanden sind, bietet das Dialogfeld Konto erstellen die Option Vorhandenes Konto auswählen.

4. Wählen Sie die Anwendung aus, die ausgeführt werden soll, wenn sich das Kioskkonto anmeldet. Nur Apps, die über dem Sperrbildschirm ausgeführt werden können, sind in der Liste der Apps verfügbar, aus denen Sie auswählen können. Wenn Sie Microsoft Edge als Kiosk-App auswählen, konfigurieren Sie die folgenden Optionen:

   • Gibt an, ob Microsoft Edge Ihre Website im Vollbildmodus (digitales Zeichen) oder mit einigen verfügbaren Browsersteuerelementen (öffentlicher Browser) anzeigen soll.
   • Welche URL sollte geöffnet sein, wenn sich die Kioskkonten anmelden?
   • Wann Microsoft Edge nach einem Zeitraum der Inaktivität neu gestartet werden soll (wenn Sie sich für die Ausführung als öffentlicher Browser entscheiden)

5. Wählen Sie Schließen aus.

Wenn das Gerät nicht mit einer Active Directory-Domäne oder Microsoft Entra ID verknüpft ist, wird die automatische Anmeldung des Kioskkontos automatisch konfiguriert:

• Wenn Sie möchten, dass sich das Kioskkonto automatisch anmeldet und die Kiosk-App beim Neustart des Geräts gestartet wird, müssen Sie nichts tun.
• Wenn Sie nicht möchten, dass sich das Kioskkonto beim Neustart des Geräts automatisch anmeldet, müssen Sie die Standardeinstellung ändern, bevor Sie das Gerät als Kiosk konfigurieren. Melden Sie sich mit dem Konto an, das Sie als Kioskkonto verwenden möchten. Öffnen Sie Einstellungen>Konten>Anmeldeoptionen. Legen Sie die Einstellung Use my sign-in info to automatically finish up my device after a update or restart (Meine Anmeldeinformationen verwenden, um die Einrichtung meines Geräts nach einem Update oder Neustart automatisch abzuschließen ) auf Aus fest. Nachdem Sie die Einstellung geändert haben, können Sie die Kioskkonfiguration auf das Gerät anwenden.

Tipp

Praktische Beispiele finden Sie unter Schnellstart: Konfigurieren eines Kiosks mit zugewiesenem Zugriff.

Konfigurieren einer eingeschränkten Benutzererfahrung

Um eine eingeschränkte Benutzeroberfläche mit zugewiesenem Zugriff zu konfigurieren, müssen Sie eine XML-Konfigurationsdatei mit den Einstellungen für die gewünschte Benutzeroberfläche erstellen. Die XML-Datei wird mit einer der folgenden Optionen über den zugewiesenen Zugriff auf das Gerät angewendet:

• Eine Mobile Geräteverwaltung-Lösung (MDM), z. B. Microsoft Intune
• Bereitstellungspakete
• PowerShell mit dem MDM-Bridge-WMI-Anbieter

Informationen zum Konfigurieren der XML-Datei für zugewiesenen Zugriff finden Sie unter Erstellen einer Konfigurationsdatei für zugewiesenen Zugriff.

Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option aus, die Ihren Anforderungen am besten entspricht.

Intune/CSP

Sie können Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem AssignedAccess-CSP konfigurieren.

• Einstellung:./Vendor/MSFT/AssignedAccess/ShellLauncher
• Wert: Inhalt der XML-Konfigurationsdatei

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte enthält, die Sie konfigurieren möchten.

PPKG

Verwenden Sie die folgenden Einstellungen, um ein Bereitstellungspaket zu erstellen:

• Pfad:AssignedAccess/MultiAppAssignedAccessSettings
• Wert: Inhalt der XML-Konfigurationsdatei

Wenden Sie das Bereitstellungspaket auf die Geräte an, die Sie konfigurieren möchten.

PowerShell

Konfigurieren Sie Ihre Geräte mithilfe von PowerShell-Skripts über den MDM-Bridge-WMI-Anbieter.

Wichtig

Für alle Geräteeinstellungen muss der WMI-Bridge-Client als SYSTEM-Konto (LocalSystem) ausgeführt werden.

Zum Testen des PowerShell-Skripts haben Sie folgende Möglichkeiten:

1. Herunterladen des psexec-Tools
2. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie Folgendes aus: psexec.exe -i -s powershell.exe
3. Ausführen des Skripts in der PowerShell-Sitzung

$assignedAccessConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Assigned Access configuration"

Weitere Informationen finden Sie unter Verwenden von PowerShell-Skripts mit dem WMI-Bridge-Anbieter.

Einstellungen

Diese Option ist unter Einstellungen nicht verfügbar.

Tipp

Praktische Beispiele finden Sie im Schnellstart: Konfigurieren einer eingeschränkten Benutzeroberfläche mit zugewiesenem Zugriff.

Benutzerfreundlichkeit

Um die Kiosk- oder eingeschränkte Benutzeroberfläche zu überprüfen, melden Sie sich mit dem Benutzerkonto an, das Sie in der Konfigurationsdatei angegeben haben.

Die Konfiguration des zugewiesenen Zugriffs wird wirksam, wenn sich der Zielbenutzer das nächste Mal anmeldet. Wenn dieses Benutzerkonto beim Anwenden der Konfiguration angemeldet ist, melden Sie sich ab und wieder an, um die Benutzeroberfläche zu überprüfen.

Hinweis

Ab Windows 11 unterstützt eine eingeschränkte Benutzeroberfläche die Verwendung mehrerer Monitore.

Bildschirmtastatur automatisch auslösen

Die Bildschirmtastatur wird automatisch ausgelöst, wenn eine Eingabe erforderlich ist und auf Geräten mit Toucheingabe keine physische Tastatur angeschlossen ist. Sie müssen keine andere Einstellung konfigurieren, um dieses Verhalten zu erzwingen.

Tipp

Die Bildschirmtastatur wird nur beim Tippen auf ein Textfeld ausgelöst. Mausklicks lösen die Bildschirmtastatur nicht aus. Wenn Sie dieses Feature testen, verwenden Sie ein physisches Gerät anstelle eines virtuellen Computers (VM), da die Bildschirmtastatur auf VMs nicht ausgelöst wird.

Abmelden vom zugewiesenen Zugriff

Um die Kioskoberfläche zu beenden, drücken Sie standardmäßig STRG + ALT + ENTF. Die Kiosk-App wird automatisch beendet. Wenn Sie sich erneut als Konto für den zugewiesenen Zugriff anmelden oder auf das Timeout für den Anmeldebildschirm warten, wird die Kiosk-App neu gestartet. Das Standardtimeout beträgt 30 Sekunden, aber Sie können das Timeout mit dem Registrierungsschlüssel ändern:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

Um die Standardzeit für die Fortsetzung des zugewiesenen Zugriffs zu ändern, fügen Sie IdleTimeOut (DWORD) hinzu, und geben Sie die Wertdaten in Millisekunden hexadezimal ein.

Hinweis

IdleTimeOut gilt nicht für den Microsoft Edge-Kioskmodus.

Die Breakout-Sequenz von STRG + ALT + ENTF ist die Standardeinstellung, aber diese Sequenz kann als eine andere Sequenz von Tasten konfiguriert werden. Die Breakoutsequenz verwendet die Formatmodifizierer + Tasten. Ein Beispiel für eine Breakoutsequenz ist STRG + ALT + A, wobei STRG + ALT die Modifizierer und A der Schlüsselwert ist. Weitere Informationen finden Sie unter Erstellen einer XML-Konfigurationsdatei für den zugewiesenen Zugriff.

Tastenkombinationen

Die folgenden Tastenkombinationen werden für die Benutzerkonten mit zugewiesenem Zugriff blockiert:

Tastenkombination	Aktion
Strg + Umschalten + Esc	Task-Manager öffnen
GEWINNEN + , (Komma)	Vorübergehende Vorschau des Desktops anzeigen
GEWINNEN + Eine	Info-Center öffnen
GEWINNEN + ALT + D	Anzeigen und Ausblenden von Datum und Uhrzeit auf dem Desktop
GEWINNEN + Strg + F	Suchen von Computerobjekten in Active Directory
GEWINNEN + D	Desktop anzeigen und ausblenden
GEWINNEN + E	Datei-Explorer öffnen
GEWINNEN + F	Feedback-Hub öffnen
GEWINNEN + G	Spieleleiste bei geöffnetem Spiel öffnen
GEWINNEN + Ich	Einstellungen öffnen
GEWINNEN + J	Festlegen des Fokus auf einen Windows-Tipp, wenn einer verfügbar ist
GEWINNEN + O	Geräteausrichtung sperren
GEWINNEN + Q	Suche öffnen
GEWINNEN + R	Öffnen des Dialogfelds „Ausführen“
GEWINNEN + S	Suche öffnen
GEWINNEN + Umschalten + C	Cortana im Spracherkennungsmodus öffnen
GEWINNEN + X	Menü „Direktlink“ öffnen
LaunchApp1	Öffnen Sie die App, die diesem Schlüssel zugewiesen ist.
LaunchApp2	Öffnen Sie die App, die diesem Schlüssel zugewiesen ist. Auf vielen Microsoft-Tastaturen ist die App Rechner
LaunchMail	Öffnen des Standard-E-Mail-Clients

Zugewiesenen Zugriff entfernen

Durch das Löschen der eingeschränkten Benutzeroberfläche werden die den Benutzern zugeordneten Richtlinieneinstellungen entfernt, aber es können nicht alle Konfigurationen rückgängig machen werden. Beispielsweise wird die Konfiguration des Startmenüs beibehalten.

Nächste Schritte

Überprüfen Sie die Empfehlungen, bevor Sie den zugewiesenen Zugriff bereitstellen:

Empfehlungen für zugewiesenen Zugriff