Einrichten eines Kiosks mit mehreren Apps

Betrifft:

  • Windows 10 Pro, Enterprise und Education

Ein Kioskgerät führt in der Regel eine einzelne App aus, wobei Benutzern der Zugriff auf alle Features oder Funktionen auf dem Gerät außerhalb der Kiosk-App verhindert wird. In Windows 10, Version 1709, wurde die AssignedAccess-Konfigurationsdienstanbieter (CSP) erweitert, um für Administratoren, Kioske zu erstellen, die mehr als eine app ausführen zu erleichtern. Hat den Vorteil eines Kiosks, das nur eine oder mehrere angegebenen apps ausgeführt wird, eine leicht verständliche Erfahrung für Personen bereitstellen, indem Sie direkt verständliche nur die Dinge, die sie verwenden, und Entfernen aus der Ansicht die Dinge muss nicht zugreifen.

Die folgende Tabelle enthält die Änderungen an einen Kiosk in aktuellen Updates.

Neuen und verbesserten features Im update
-Konfigurieren einer einzelnen App-Profil in der XML-Datei

- Gruppenkonten zu einem Config-Profil zuweisen

-Konfigurieren eines Kontos für das automatische Anmelden
Windows10, Version1803
- Einige bekannte Ordner, wenn Benutzer das Dialogfeld Datei öffnet explizit zulassen

- Eine app automatisch zu starten , wenn sich der Benutzer anmeldet

– Konfigurieren Sie ein Anzeigename für die Autologon-Konto
Windows10, Version1809

Wichtig: Verwenden von Features in Windows 10, Version 1809, veröffentlicht sicherstellen, dass die XML-Datei verweist auf http://schemas.microsoft.com/AssignedAccess/201810/config.

Warnung

Das Feature mit zugewiesenem Zugriff ist für unternehmenseigene Geräte mit festem Zweck gedacht wie z.B. Kioske. Wenn die Konfiguration für mehrerer zugewiesene Apps auf dem Gerät angewendet wird, werden bestimmte Richtlinien systemweit erzwungen und wirken sich auf andere Benutzer auf dem Gerät aus. Das Löschen der Kiosk-Konfigurations entfernt den zugewiesenen Zugriff Sperrmodus-Profile, die den Benutzern zugeordnet, aber es kann nicht alle erzwungenen Richtlinien (z. B. Startlayout) zurücksetzen. Ein Zurücksetzen auf die Werkseinstellungen ist erforderlich, um alle Richtlinien, die über den zugewiesenen Zugriff erzwungen wurden, zu löschen.

Sie können mithilfe von Microsoft Intune oder eines Bereitstellungspakets Kioske mehrere Apps konfigurieren.

Konfigurieren eines Kiosks in Microsoft Intune

  1. Generieren Sie das Startlayout für das Kioskgerät.
  2. Suchen Sie im Microsoft Azure-Portal nach Intune, oder wählen Sie Weitere Dienste > Intune.
  3. Wählen Sie Gerätekonfiguration.
  4. Wählen Sie Profile.
  5. Wählen Sie Profil erstellen.
  6. Geben Sie einen Anzeigenamen für das Profil an.
  7. Wählen Sie Windows10 und höher für die Plattform.
  8. Wählen Sie Kiosk (Vorschau) für den Profiltyp.
  9. Wählen Sie die Kiosk - 1-Einstellung verfügbar.
  10. Wählen Sie Hinzufügen zum Definieren einer Konfiguration, die festlegt, welche Apps ausgeführt werden und welches Layout das Startmenü erhält.
  11. Geben Sie einen Anzeigenamen für die Konfiguration an.
  12. Wählen Sie in Kioskmodus die Option Multi-App-Kiosk.
  13. Wählen Sie einen app-Typ.
    • Hinzufügen von Win32-appGeben Sie einen Anzeigenamen für die app im App-Namen, und geben Sie den Pfad an die ausführbare Datei in Bezeichnerapp.
    • Wählen Sie für Hinzufügen verwaltete appseine app, die Sie über Intune verwalten.
    • Geben Sie für die app durch AUMID hinzufügendie Application User Model ID (AUMID) einer installierten UWP-App.
  14. Wählen Sie, ob die Taskleiste aktiviert werden soll.
  15. Suchen und wählen Sie die XML-Startlayoutdatei, die Sie in Schritt1 erstellt haben.
  16. Fügen Sie ein oder mehrere Konten hinzu. Wenn sich das Konto anmeldet, sind nur die in der Konfiguration definierten Apps verfügbar.
  17. Wählen Sie OK aus. Sie können zusätzliche Konfigurationen hinzufügen oder den Vorgang beenden.
  18. Weisen Sie das Profil einer Gerätegruppe zu, um die Geräte in dieser Gruppe als Kiosks zu konfigurieren.

Hinweis

Verwaltete sind apps, die im Microsoft Store für Unternehmen, die mit Ihrem Intune-Abonnement synchronisiert wird.

Konfigurieren eines Kiosks mittels eines Bereitstellungspakets

Verfahren:

  1. Erstellen einer XML-Datei
  2. Hinzufügen der XML-Datei zu Bereitstellungspaketen
  3. Anwenden von Bereitstellungspaketen auf das Gerät

Sehen Sie sich an, wie Sie mithilfe eines Bereitstellungspakets einen Kiosk mit mehreren Apps konfigurieren.

Wenn Sie kein Bereitstellungspaket verwenden möchten, können Sie die XML-Konfigurationsdatei durch die Verwaltung mobiler Geräte (MDM) bereitstellen oder Sie können zugewiesenen Zugriff über die MDM-WMI-Brückenanbieter konfigurieren.

Voraussetzungen

  • Windows-Konfigurations-Designer (Windows 10, Version 1709 oder höher)
  • Das kioskgerät muss Windows 10 ausgeführt werden (S, Pro, Enterprise oder Education), Version 1709 oder höher

Hinweis

Für Geräte mit Versionen von Windows10 vor der Version 1709 können Sie AppLocker-Regeln erstellen, um einen Kiosk mit mehreren Apps zu konfigurieren.

Erstellen einer XML-Datei

Betrachten wir zunächst die grundlegende Struktur der XML-Datei.

  • Eine XML-Konfigurationsdatei kann mehrere Profile definieren. Jedes Profil hat eine eindeutige ID und einen Satz von Anwendungen, die ausgeführt werden können, ob die Taskleiste sichtbar ist, und die ein benutzerdefiniertes Startlayout enthalten können.

  • Eine XML-Konfigurationsdatei kann mehrere Config-Abschnitte enthalten. Jeder Config-Abschnitt ordnet einer Standardprofil-ID ein Benutzerkonto ohne Administratorrechte zu.

  • Es kann mehreren Config-Abschnitten das gleiche Profil zugeordnet werden.

  • Ein Profil hat keine Auswirkung, wenn es nicht einem Config-Abschnitt zugeordnet ist.

    Profil = App und Config = Konto

Sie können mit Ihrer Datei beginnen, indem Sie den folgenden XML-Code (oder andere Beispiele in diesem Thema) in einen Text- oder XML-Editor einfügen und die Datei als „Dateiname.xml“ speichern. Jeder Abschnitt der XML-Datei wird in diesem Thema erläutert. Sie können sehen, dass eine vollständige Beispiel-Version in der zugewiesenen Zugriff XML-Referenz.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration 
    xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config"
    >
    <Profiles>
        <Profile Id="">
            <AllAppsList>
                <AllowedApps/>
            </AllAppsList>         
            <StartLayout/>
            <Taskbar/>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <Account/>
            <DefaultProfile Id=""/>
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Profil

Es gibt zwei Arten von Profilen, die Sie in der XML-Datei angeben:

  • Sperrmodus-Profil: Benutzer zugewiesen sind, ein sperrmodusprofil werden den Desktop im Tablet-Modus mit bestimmten apps auf dem Startbildschirm angezeigt.
  • Kiosk-Profil: Dieses Profil ersetzt neu in Windows 10, Version 1803, den KioskModeApp Knoten des AssignedAccess CSP. Ein Kiosk-Profil zugewiesenen Benutzer werden nicht den Desktop, aber nur die Kiosk-app, die Ausführung im Vollbildmodus angezeigt.

Ein Sperrmodus Profilabschnitt der XML-Datei hat die folgenden Einträge:

Ein Kiosk-Profil in der XML-Datei hat die folgenden Einträge:

ID

Die Profil-ID ist ein GUID-Attribut, um das Profil eindeutig zu identifizieren. Sie können das GUID mit einem GUID-Generator erstellen. Die GUID muss innerhalb dieser XML-Datei eindeutig sein.

<Profiles>
  <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">…</Profile>
</Profiles>
AllowedApps

AllowedApps ist eine Liste der Anwendungen, die ausgeführt werden dürfen. Dabei kann es sich um universelle Windows-Plattform (UWP) apps oder Windows-desktopanwendungen handeln. In Windows 10, Version 1809, können Sie eine einzelne app in der AllowedApps -Liste automatisch ausgeführt werden, wenn der Benutzerkonto mit zugewiesenem Zugriff anmeldet, konfigurieren.

  • Für UWP-Apps müssen Sie die Anwendungsbenutzermodell-ID (AUMID) angeben. Erfahren Sie, wie Sie die AUMID ermitteln oder erhalten Sie die AUMID vom XML-Startlayout.
  • Für Desktop-Apps müssen Sie den vollständigen Pfad der ausführbaren Datei angeben, die eine oder mehrere Systemumgebungsvariablen in Form von % VariableName % (d.h. "SystemRoot%", "% windir%") enthalten können.
  • Informationen zum Konfigurieren der app automatisch gestartet wird, wenn sich der Benutzer anmeldet, gehören rs5:AutoLaunch="true" nach den AUMID oder den Pfad. Sie können auch Argumente an die app übergeben werden einschließen. Ein Beispiel finden Sie unter der AllowedApps-Beispiel-XML.

Wenn die Kiosk-Konfiguration für mehrere Apps auf einem Gerät angewendet wird, werden AppLocker-Regeln generiert, um die Apps in der Konfiguration zuzulassen. Hier sind die vordefinierten zugewiesenen AppLocker-Zugriffsregeln für UWP-Apps:

  1. Die Standardregel ist, dass alle Benutzer die signierten Paket-Apps starten können.
  2. Die Paket-App-Verweigerungsliste wird zur Laufzeit generiert, wenn sich der Benutzer mit zugewiesenem Zugriff anmeldet. Basierend auf den installierten/bereitgestellten Paket-Apps, die für das Benutzerkonto zur Verfügung stehen, generiert der zugewiesene Zugriff die Verweigerungsliste. Diese Liste schließt standardmäßig die zulässigen mitgelieferten Paket-Apps aus, die wichtig sind, damit das System funktioniert und schließt dann die zulässigen Pakete aus, die Unternehmen in der Konfiguration des zugewiesene Zugriffs definiert haben. Wenn mehrere Apps innerhalb des gleichen Pakets vorhanden sind, werden diese Apps ausgeschlossen. Diese Verweigerungsliste wird verwendet, um zu verhindern, dass der Benutzer Zugriff auf die Apps erhält, die derzeit für den Benutzer verfügbar sind, jedoch nicht in der zugelassenen Liste aufgeführt sind.

    Hinweis

    Sie können keine AppLocker-Regeln verwalten, die von der Konfiguration des Multi-App-Kiosks in MMC-Snap-Ins generiert werden. Vermeiden Sie das Erstellen von AppLocker-Regeln, die in Konflikt mit AppLocker-Regeln stehen, die von der Multi-App Kiosk-Konfiguration generiert werden.

    Die Kiosk-Methode für mehrere Apps blockiert nicht das Unternehmen oder die Benutzer, UWP-Apps zu installieren. Wenn während der aktuellen Sitzung des Benutzers mit zugewiesenem Zugriff eine neue UWP-App installiert wird, ist diese App nicht in der Verweigerungsliste enthalten. Wenn der Benutzer sich abmeldet und erneut anmeldet, wird die App in die Verweigerungsliste mit aufgenommen. Wenn dies eine im Unternehmen bereitgestellte Branchen-App ist und Sie die Ausführung zulassen möchten, aktualisieren Sie die Konfiguration des zugewiesene Zugriffs, um sie in die Liste der zulässigen Apps aufzunehmen.

Hier sind die vordefinierten zugewiesenen AppLocker-Zugriffsregeln für Desktop-Apps:

  1. Die Standardregel ist, allen Benutzer, die mit Microsoft Certificate signiert werden, zu erlauben, Desktop Programme zu starten damit das System startet und funktioniert. Die Regel ermöglicht ebenfalls der Admin-Benutzergruppe, alle Desktop-Programme zu starten.
  2. Es gibt eine vordefinierte Verweigerungsliste für integrierte Desktop-Apps für das Benutzerkonto mit dem zugewiesenen Zugriff, und diese Verweigerungsliste wird basierend auf der Desktop-App-Liste angepasst, die Sie in der Konfiguration der Multi-App definiert haben.
  3. Die vom Unternehmen festgelegte Liste der zugelassenen Apps werden der zugelassenen AppLocker-Liste hinzugefügt.

Im folgende Beispiel ermöglicht Groove-Musik, Filme & TV, Fotos, Wetter, Rechner, Paint und Editor-apps auf dem Gerät ausführen, mit dem Editor so konfiguriert, dass automatisch starten und erstellen Sie eine Datei namens 123.text Wenn sich der Benutzer anmeldet.

<AllAppsList>
        <AllowedApps>
          <App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
          <App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
          <App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
          <App DesktopAppPath="%windir%\system32\mspaint.exe" />
          <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="123.txt"/>
        </AllowedApps>
</AllAppsList>
FileExplorerNamespaceRestrictions

Ab Windows 10, Version 1809, können Sie explizit zulassen einige bekannte Ordner zugegriffen werden, wenn der Benutzer versucht, um das Dialogfeld Datei im Kiosk-zugewiesenen Zugriff durch wie z. B. FileExplorerNamespaceRestrictions in der XML-Datei zu öffnen. Downloads ist derzeit die einzige Ordner unterstützt.

Im folgenden Beispiel wird veranschaulicht, wie Benutzerzugriff auf den Ordner "Downloads" in der Datei Standarddialogfeld soll.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config"
>     <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    ...
                </AllowedApps>
            </AllAppsList>
            <rs5:FileExplorerNamespaceRestrictions>
                <rs5:AllowedNamespace Name="Downloads"/>
            </rs5:FileExplorerNamespaceRestrictions>
            <StartLayout>
                ...
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile> 
    </Profiles>
</AssignedAccessConfiguration>
StartLayout

Nachdem Sie die Liste der zugelassenen Anwendungen definiert haben, können Sie das Startlayout für Ihre Kiosk-Erfahrung anpassen. Sie können alle zugelassenen Apps auf dem Startbildschirm anheften oder nur einen Teil, je nachdem, ob sie möchten, dass der Benutzer auf diese direkt vom Startbildschirm zugreifen kann.

Die einfachste Methode zum Erstellen eines angepassten Startlayouts für andere Windows 10-Geräte besteht darin, den Startbildschirm auf einem Testgerät einzurichten und das Layout zu exportieren. Ausführliche Schritte finden Sie unter Anpassen und Exportieren des Startlayouts.

Folgendes ist zu beachten:

  • Das Testgerät, auf dem Sie das Startseitenlayout anpassen, muss die gleiche Betriebssystemversion haben, die auf dem Gerät installiert ist, auf dem Sie die Konfiguration für mehrere zugewiesene Apps bereitstellen möchten.
  • Da die Erfahrung für mehrere zugewiesene Apps für Geräte mit festem Zweck vorgesehen ist, verwenden Sie die vollständige Start-Layoutoption anstelle des Teil-Startlayout, um sicherzustellen, dass die Gerätefunktionen einheitlich und vorhersagbar sind.
  • Es sind keine Apps auf der Taskleiste im Modus mit mehreren Apps angeheftet, und das Konfigurieren des Taskleisten-Layouts mit <CustomTaskbarLayoutCollection>-Tag in einer Layoutänderungs-XML wird nicht als Teil der Konfiguration des zugewiesenen Zugriffs unterstützt.
  • Im folgende Beispiel wird DesktopApplicationLinkPath zum Anheften der Desktop-App an das Startmenü verwendet. Wenn die Desktop-App nicht über eine Verknüpfung auf dem Zielgerät verfügt Erfahren Sie, wie Sie lnk-Dateien mit dem Windows-Konfigurations-Designer bereitstellen.

Im folgenden Beispiel werden Groove-Musik, Filme & TV, Fotos, Wetter, Rechner, Paint und Editor-Apps an die Startseite geheftet.

<StartLayout>
        <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Group1">
                              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
                              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
                              <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
                              <start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
                            </start:Group>
                            <start:Group Name="Group2">
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk" />
                              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
</StartLayout>

Hinweis

Wenn eine App nicht für den Benutzer installiert ist, aber in der Startlayout-XML enthalten ist, wird die App nicht auf dem Startbildschirm angezeigt.

So sieht der Startbildschirm aus, wenn das XML-Beispiel angewendet wird

Taskleiste

Definieren Sie, ob die Taskleiste auf dem Kioskgerät vorhanden sein soll. Für Tablet-basierte oder All-in-One-Kiosks mit Fingereingabe können Sie die Taskleiste als Teil der Multi-App-Erfahrung ausblenden, wenn Sie eine Tastatur und Maus anschließen möchten.

Im folgende Beispiel wird die Taskleiste für den Benutzer verfügbar gemacht:

<Taskbar ShowTaskbar="true"/>

Im folgenden Beispiel wird die Taskleiste ausgeblendet:

<Taskbar ShowTaskbar="false"/>

Hinweis

Dies unterscheidet sich von der Option Automatisches Ausblenden der Taskleiste im Tablet-Modus, in dem die Taskleiste angezeigt wird, wenn Sie unteren Bildschirmrand nach oben Wischen oder den Mauszeiger darauf zeigen. Das Festlegen von ShowTaskbar als False blendet die Taskleiste immer aus.

KioskModeApp

KioskModeApp wird nur für ein Kiosk-Profil verwendet. Geben Sie die AUMID für eine einzelne app. Sie können nur ein Kiosk-Profil in der XML-Datei angeben.

<KioskModeApp AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"/>

Wichtig

Das Kiosk-Profil ist für öffentlich zugängliche kioskgeräte ausgelegt. Es wird empfohlen, dass Sie ein lokales Konto ohne Administratorrechte verwenden. Wenn das Gerät mit Ihrem Unternehmensnetzwerk verbunden ist, kann mit einer Domäne oder Azure Active Directory-Konto potenziell vertrauliche Informationen gefährden.

Configs

Definieren Sie unter Configs, welches Konto dem Profil zugeordnet werden soll. Wenn sich dieses Anwenderkonto auf dem Gerät anmeldet, wird das mit dem zugewiesenen Zugriff zugeordnete Profil erzwungen, einschließlich der zulässigen Apps, dem Start-Layout und der Taskleistenkonfiguration, sowie anderen lokalen Gruppenrichtlinien oder Richtlinien für die mobile Geräteverwaltung (Mobile Device Management, MDM), die Teil der Multi-App-Erfahrung sind.

Die Erfahrung für mehrere zugewiesene Apps funktioniert jedoch nur für Benutzer ohne Administratorrechte. Sie wird nicht unterstützt, um einen Administrator mit dem zugewiesenen Zugriffsprofil zuzuordnen. Wenn Sie dies in der XML-Datei ausführen, führt es zu unerwarteten/nicht unterstützten Erfahrungen, wenn sich der Administratorbenutzer anmeldet.

Sie können zuweisen:

Hinweis

Configs, die Gruppenkonten angeben können ein Kiosk-Profil, nur ein sperrmodusprofil nicht verwenden. Wenn eine Gruppe zu einem Kiosk-Profil konfiguriert ist, wird die CSP die Anforderung abgelehnt.

Config für AutoLogon-Konto

Bei Verwendung von <AutoLogonAccount> und die Konfiguration auf ein Gerät angewendet wird, wird das angegebene Konto (vom zugewiesenen Zugriff verwaltet) auf dem Gerät als ein lokales Standardbenutzerkonto erstellt. Das angegebene Konto wird nach dem Neustart automatisch angemeldet.

Das folgende Beispiel zeigt, wie Sie ein Konto für das automatische Anmelden angeben.

<Configs>
  <Config>
    <AutoLogonAccount/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs> 

In Windows 10, Version 1809, können Sie den Anzeigenamen konfigurieren, der angezeigt werden sollen, wenn sich der Benutzer anmeldet. Im folgenden Beispiel wird veranschaulicht, wie ein AutoLogon-Konto zu erstellen, mit dem Namen "Hello World" angezeigt.

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Hello World"/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

Auf Geräte in einer Domäne werden lokale Benutzerkonten auf dem Bildschirm melden Sie sich standardmäßig nicht angezeigt. Um die AutoLogonAccount auf dem Bildschirm Anmeldung anzuzeigen, aktivieren Sie die folgenden Gruppenrichtlinien-Einstellung: Computerkonfiguration > Administrative Vorlagen > System > Anmeldung > Auflisten von lokalen Benutzer auf die Domäne eingebundene Computer. (Die entsprechende Einstellung der MDM-Richtlinie ist WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers in die Richtlinien-CSP.)

Wichtig

Wenn Exchange Active Sync (EAS) Kennwort Einschränkungen auf dem Gerät aktiviert sind, funktioniert das Feature für die automatische Anmeldung nicht. Dieses Verhalten ist entwurfsbedingt. Weitere Informationen finden Sie Informationen zum Aktivieren der automatischen Anmeldung in Windows.

Config für einzelne Konten

Individuelle Konten sind mit angegeben <Account>.

  • Das lokale Konto kann als machinename\account oder .\account oder einfach nur als account eingegeben werden.
  • Das Domänenkonto muss als domain\account angegeben werden.
  • Das Azure AD-Konto muss in folgendem Format angegeben werden:t: AzureAD\{email address}. AzureAD muss „WIE BESEHEN“ bereitgestellt (wenn es ein fester Domänenname ist), und dann die Azure AD-E-Mail-Adresse aufführen, z.B. AzureAD\jemand@contoso.onmicrosoft.com.

Warnung

Der zugewiesene Zugriff kann über WMI- oder CSP zur Ausführung der Anwendung unter einem Domänenbenutzer oder -Dienstkonto konfiguriert werden, anstelle eines lokalen Kontos. Das Verwenden von Domänenbenutzer- oder Dienstkonten bietet Risiken, dass ein Angreifer die Anwendung mit zugewiesenem Zugriff unterwandert und Zugriff auf vertrauliche Domänenressourcen unter Umständen erhält, die versehentlich für alle Domänenkonten offen geblieben sind. Es wird empfohlen, dass Kunden vorsichtig sind, wenn Sie Domänenkonten mit zugewiesenem Zugriff verwenden, und Domänenressourcen durch die Entscheidung eventuell ausgesetzt werden.

Vor dem Anwenden der Konfiguration mit mehreren Apps, stellen Sie sicher, dass das angegebene Konto auf dem Gerät verfügbar ist, da es andernfalls nicht ausgeführt werden kann.

Hinweis

Für sowohl Domänen- als auch Azure AD-Konten ist es nicht erforderlich, dass das Gerät explizit als Zielkonto hinzugefügt wird. Solange das Gerät in AD oder Azure AD eingebunden ist, kann das Konto in der Domänengesamtstruktur oder im Mandanten ermittelt werden, zu dem das Gerät gehört. Für lokale Konten ist es erforderlich, dass das Konto vorhanden ist, bevor Sie das Konto für einen zugewiesenen Zugriff konfigurieren.

<Configs>
  <Config>
    <Account>MultiAppKioskUser</Account>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs> 
Config für Gruppenkonten

Gruppenkonten werden angegeben <UserGroup>. Geschachtelte Gruppen werden nicht unterstützt. Z. B. wenn Benutzer ein Mitglied der Gruppe 1 ist, Gruppe 1 ist Mitglied der Gruppe 2, und Gruppe 2 dient <Config/>, Benutzer A hat keinen der Kiosk-Erfahrung.

  • Lokale Gruppenrichtlinien: Geben Sie den Gruppe als lokale Gruppe und fügen Sie den Namen der Gruppe in Name-Attribut.

    <Config> 
      <UserGroup Type="LocalGroup" Name="mygroup" /> 
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> 
    </Config> 
    
  • Domänengruppe: sowohl Sicherheits-und Verteilergruppen werden unterstützt. Geben Sie den Gruppentyp als ActiveDirectoryGroup. Verwenden Sie den Domänennamen als Präfix im Name-Attribut.

    <Config> 
      <UserGroup Type="ActiveDirectoryGroup" Name="mydomain\mygroup" /> 
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> 
    </Config> 
    
  • Azure AD-Gruppe: Verwenden Sie die Gruppenrichtlinien-Objekt-ID aus dem Azure-Portal zur eindeutigen Identifizierung die Gruppe in der Name-Attribut. Sie finden die Objekt-ID auf der Übersichtsseite für die Gruppe in Benutzer und Gruppen > alle Gruppen. Geben Sie den Gruppentyp als AzureActiveDirectoryGroup.

    <Config> 
      <UserGroup Type="AzureActiveDirectoryGroup" Name="a8d36e43-4180-4ac5-a627-fb8149bba1ac" /> 
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> 
    </Config> 
    

    Hinweis

    Wenn eine Azure AD-Gruppe mit einem sperrmodusprofil auf einem Gerät konfiguriert ist, ein Benutzer in der Azure AD-Gruppe muss das Kennwort ändern (nachdem das Konto mit Standardkennwort auf das Portal erstellt wurde), bevor sie mit diesem Gerät anmelden können. Wenn der Benutzer das Standardkennwort verwendet, um auf das Gerät anmelden, wird der Benutzer sofort abgemeldet.

Hinzufügen der XML-Datei zu Bereitstellungspaketen

Bevor Sie die XML-Datei zu einem Bereitstellungspaket hinzufügen, können Sie Ihre XML-Konfigurationsdatei gegen die XSD überprüfen.

Erstellen Sie ein Bereitstellungspaket mit Windows-Konfigurations-Designer. Erfahren Sie, wie Sie Windows-Konfigurations-Designer installieren.

Wichtig

Wenn Sie ein Bereitstellungspaket erstellen, können Sie vertrauliche Informationen in die Projektdateien und die Bereitstellungspaketdatei (PPKG-Datei) aufnehmen. Obwohl Sie die PPKG-Datei verschlüsseln können, werden die Projektdateien nicht verschlüsselt. Sie sollten die Projektdateien an einem sicheren Ort speichern und löschen, wenn sie nicht mehr benötigt werden.

  1. Öffnen Sie Windows-Konfigurations-Designer (standardmäßig unter %systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe).

  2. Wählen Sie Erweiterte Bereitstellung.

  3. Benennen Sie das Projekt und klicken Sie auf Weiter.

  4. Wählen Sie All Windows desktop editions, und klicken Sie auf Weiter.

  5. Klicken Sie unter Neues Projekt auf Fertig stellen. Der Arbeitsbereich für Ihr Paket wird geöffnet.

  6. Erweitern Sie Laufzeiteinstellungen > AssignedAccess und klicken Sie dann auf > MultiAppAssignedAccessSettings.

  7. Klicken Sie im mittleren Bereich auf Durchsuchen, um die Konfiguration des zugewiesene Zugriffs zu suchen und auszuwählen.

    Screenshot des Felds MultiAppAssignedAccessSettings im Windows-Konfigurations-Designer

  8. (Optional: Wenn Sie das Bereitstellungspaket nach der anfänglichen Geräteinstallation anwenden möchten, und bereits ein Administratorbenutzer auf dem Kioskgerät existiert, überspringen Sie diesen Schritt.) Erstellen Sie ein Benutzerkonto in Laufzeiteinstellungen > Konten > Benutzer **. Geben Sie einen **Benutzername und Kennwort ein, und wählen Sie UserGroup als Administrator aus. Mit diesem Konto können Sie den Bereitstellungsstatus und Protokolle bei Bedarf anzeigen.

  9. (Optional: Wenn Sie bereits ein Konto ohne Administratorrechte auf dem Kioskgerät haben, überspringen Sie diesen Schritt.) Erstellen Sie ein lokales Standardbenutzerkonto unter Laufzeiteinstellungen > Konten > Benutzer. Stellen Sie sicher, dass der Benutzername mit dem Konto identisch ist, das Sie in der XML-Konfigurationsdatei angeben. Wählen Sie UserGroup als Standardbenutzer aus.

  10. Wählen Sie im Menü Datei die Option Speichern aus.

  11. Wählen Sie im Menü Exportieren die Option Bereitstellungspaketaus.

  12. Ändern Sie Owner in IT Admin. Dadurch erhält dieses Bereitstellungspaket Vorrang gegenüber Bereitstellungspaketen, die aus anderen Quellen auf dieses Gerät angewendet werden. Wählen Sie anschließend Weiter aus.

  13. Optional. Im Fenster Provisioning package security können Sie das Paket verschlüsseln und die Paketsignierung aktivieren.

    • Paketverschlüsselung aktivieren – Wenn Sie diese Option auswählen, wird ein automatisch generiertes Kennwort auf dem Bildschirm angezeigt.

    • Paketsignierung aktivieren – Wenn Sie diese Option auswählen, müssen Sie ein gültiges Zertifikat zum Signieren des Pakets auswählen. Sie können das Zertifikat angeben, indem Sie auf Durchsuchen klicken und das Zertifikat zum Signieren des Pakets auswählen.

  14. Klicken Sie auf Weiter , um den Ausgabespeicherort anzugeben, an dem das Bereitstellungspaket nach dem Erstellen gespeichert werden soll. Standardmäßig verwendet der Windows-Designer für die Imageerstellung und -konfiguration (Imaging and Configuration Designer, ICD) den Projektordner als Ausgabespeicherort.

    Klicken Sie optional auf Durchsuchen , um den Standardausgabespeicherort zu ändern.

  15. Klicken Sie auf Weiter.

  16. Klicken Sie auf Erstellen , um mit der Paketerstellung zu beginnen. Die Erstellung eines Bereitstellungspakets dauert nicht lange. Die Projektinformationen werden auf der Buildseite angezeigt, und die Statusanzeige gibt den Buildstatus an.

    Wenn Sie den Build abbrechen müssen, klicken Sie auf Abbrechen. Dadurch wird der aktuelle Buildprozess abgebrochen, der Assistent geschlossen und wieder die Customizations Pageangezeigt.

  17. Falls der Build nicht erfolgreich verläuft, wird eine Fehlermeldung mit einem Link zum Projektordner angezeigt. Sie können die Fehlerursache anhand der Protokolle ermitteln. Nachdem Sie das Problem behoben haben, versuchen Sie, das Paket erneut zu erstellen.

    Wenn der Build erfolgreich ist, werden der Name des Bereitstellungspakets sowie das Ausgabeverzeichnis und Projektverzeichnis angezeigt.

    • Sie können das Bereitstellungspaket ggf. erneut erstellen und einen anderen Pfad für das Ausgabepaket auswählen. Klicken Sie dazu auf Zurück , um den Namen und Pfad des Ausgabepakets zu ändern, und klicken Sie dann auf Weiter , um einen weiteren Build zu starten.
    • Wenn Sie fertig sind, klicken Sie auf Fertig stellen , um den Assistenten zu schließen und zur Customizations Pagezurückzukehren.
  18. Kopieren Sie die Bereitstellungspaketdatei auf ein USB-Laufwerk in das Stammverzeichnis.

Anwenden von Bereitstellungspaketen auf das Gerät

Bereitstellungspakete können sowohl während der ersten Ausführung auf einem Gerät angewendet werden („Out-of-Box-Experience” oder „OOBE”) als auch danach („Laufzeit”).

Tipp

Zusätzlich zu den folgenden Methoden können Sie das PowerShell-Comdlet- Installation-Provisioningpackage mit -LogsDirectoryPath , Protokolle für den Vorgang zu erhalten.

Während der Ersteinrichtung von einem USB-Laufwerk

  1. Beginnen Sie mit einem Computer auf dem erstmalig ausgeführten Setupbildschirm. Wenn der PC diesen Bildschirm bereits überschritten hat, setzen Sie ihn zurück, um von vorn zu beginnen. Um den PC zurückzusetzen, wechseln Sie zu Einstellungen > Update und Sicherheit > Wiederherstellung > Diesen PC zurücksetzen.

    Der erste Bildschirm zum Einrichten eines neuen PCs

  2. Schließen Sie das USB-Laufwerk an. Windows Setup erkennt das Laufwerk und fragt, ob Sie das Gerät einrichten möchten. Wählen Sie Einrichten aus.

    Gerät einrichten?

  3. Im nächsten Bildschirm werden Sie aufgefordert, eine Bereitstellungsquelle auszuwählen. Wählen Sie Wechselmedien aus, und tippen Sie auf Weiter.

    Dieses Gerät bereitstellen

  4. Wählen Sie das anzuwendende Bereitstellungspaket (*.ppkg) aus, und tippen Sie auf Weiter.

    Paket auswählen

  5. Wählen Sie Ja, hinzufügen aus.

    Vertrauen Sie diesem Paket?

Nach der Einrichtung von einem USB-Laufwerk, Netzwerkordner oder einer SharePoint-Site

  1. Anmelden mit einem Admin-Konto.
  2. Setzen Sie das USB-Laufwerk in den Desktopcomputer ein, navigieren Sie zu Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen > Bereitstellungspaket hinzufügen oder entfernen > Paket hinzufügen, und wählen Sie das zu installierende Paket aus.

Hinweis

Wenn das Bereitstellungspaket nicht die Erstellung eines Kontos für Benutzer mit zugewiesenem Zugriff enthält, stellen Sie sicher, dass das Konto, das Sie in der Multi-App-Konfigurations-XML angegeben haben, auf dem Gerät vorhanden ist.

Option zum Hinzufügen eines Pakets

Verwenden Sie MDM zum Bereitstellen der Konfiguration mehrerer Apps

Die Kiosk-Methode für mehrere Apps über AssignedAccess-CSP ist aktiviert. Die MDM-Richtlinie kann die zugewiesene Zugriff-Konfigurations-XML enthalten.

Wenn Ihr Gerät mit einem MDM-Server registriert ist, der die Konfiguration des zugewiesene Zugriffs unterstützt, können sie es zur Anwendung der Einstellung remote verwalten.

Der OMA-URI für die Multi-App-Richtlinie ist ./Device/Vendor/MSFT/AssignedAccess/Configuration.

Überlegungen zur immersiven immersive Headsets in Windows Mixed Reality

Nach der Einführung von Mixed Reality-Geräten (Video-Link) möchten Sie möglicherweise Kioske zu erstellen, die Mixed Reality-Apps ausführen können.

Um einen Multi-App-Kiosk zu erstellen, der Mixed Reality-Apps ausführen kann, müssen Sie die folgenden Apps der AllowedApps-Liste hinzufügen:

<App AppUserModelId="MixedRealityLearning_cw5n1h2txyewy!MixedRealityLearning" />
<App AppUserModelId="HoloShell_cw5n1h2txyewy!HoloShell" />
<App AppUserModelId="Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy!App" />

Diese existieren neben den Mixed Reality-Apps, die Sie zulassen.

Vor der Anmeldung des Kiosk-Benutzers: Ein Administratorbenutzer muss sich am PC anmelden, sich mit dem Mixed Reality-Gerät verbinden und die schrittweise Anleitung für das Mixed Reality-Portal ausführen. Wenn das Mixed Reality-Portal zum ersten Mal eingerichtet wird, werden einige Dateien und Inhalte heruntergeladen. Ein Kiosk-Benutzer ist nicht zum Herunterladen berechtigt und die Einrichtung des Mixed Reality-Portals würde fehl schlagen.

Nachdem der Administrator die Installation abgeschlossen hat, kann sich das Kiosk-Konto anmelden und die Einrichtung wiederholen. Der Administratorbenutzer sollte die Kiosk-Benutzer-Installation abschließen, bevor er den PC für Mitarbeiter oder Kunden bereitstellt.

Es gibt ein Unterschied zwischen der Mixed Reality-Erfahrung für einen Kiosk-Benutzer und für andere Benutzer. Normalerweise, wenn ein Benutzer eine Verbindung zu einem Mixed Reality-Gerät erstellt, fängt er auf der Mixed Reality-Startseite an. Die Mixed Reality-Startseite ist eine Shell, die im "Hintergrund" ausgeführt wird, wenn der PC als Kiosk konfiguriert wird. Wenn ein Kiosk-Benutzer ein Mixed Reality-Gerät anschließt, sieht er nur eine leere Anzeige des Geräts und hat keinen Zugriff auf die Features und Funktionen der Startseite. Zum Ausführen einer Mixed Reality-App muss der Kiosk-Benutzer die App über den PC-Startbildschirm starten.

Richtlinien der Konfiguration des Multi-App-Kiosk

Es wird nicht empfohlen, Richtlinien, die im Multi-App-Modus mit zugewiesenem Zugriff erzwungen werden verschiedene Werte zuzuweisen, da der Multi-App-Modus optimiert wurde, um eine Sperrung zu bieten.

Wenn die Konfiguration für mehrerer zugewiesene Apps auf dem Gerät angewendet wird, werden bestimmte Richtlinien systemweit erzwungen und wirken sich auf andere Benutzer auf dem Gerät aus.

Gruppenrichtlinien

Die folgenden lokalen Richtlinien wirken sich auf alle Benutzer des Systems ohne Administratorrechte aus, unabhängig davon, ob der Benutzer als ein Benutzer mit zugewiesenem Zugriff oder nicht konfiguriert ist. Dazu gehören lokale Benutzer und Domänenbenutzer sowie Azure Active Directory-Benutzer.

Einstellung Wert
Zugriff auf die Kontextmenüs für die Taskleiste entfernen Aktiviert
Beim Beenden die Liste der zuletzt geöffneten Dokumente leeren Aktiviert
Benutzer am Anpassen ihrer Startseite hindern Aktiviert
Deinstallieren von Anwendungen aus „Start“ durch Benutzer verhindern Aktiviert
Liste „Alle Programme“ aus dem Startmenü entfernen Aktiviert
Menüeintrag „Ausführen“ aus dem Startmenü entfernen Aktiviert
Sprechblasenbenachrichtigungen als Popupbenachrichtigungen anzeigen Aktiviert
Anheften von Elementen an Sprunglisten nicht zulassen Aktiviert
Kein Anheften von Programmen an die Taskleiste zulassen Aktiviert
Keine Elemente in Sprunglisten von Remotestandorten anzeigen oder nachverfolgen Aktiviert
Benachrichtigungen und Info-Center entfernen Aktiviert
Alle Einstellungen für die Taskleiste sperren Aktiviert
Taskleiste sperren Aktiviert
Benutzern das Hinzufügen oder Entfernen von Symbolleisten nicht erlauben Aktiviert
Benutzern das Ändern der Größe der Taskleiste nicht erlauben Aktiviert
Liste häufig verwendeter Programme aus dem Startmenü entfernen Aktiviert
Entfernen Sie "Netzlaufwerk verbinden" und "Netzlaufwerk trennen" Aktiviert
Das Symbol für Sicherheit und Wartung entfernen Aktiviert
Alle Sprechblasenbenachrichtigungen deaktivieren Aktiviert
Feature-Ankündigung via Sprechblasenbenachrichtigungen deaktivieren Aktiviert
Popupbenachrichtigungen deaktivieren Aktiviert
Task-Manager entfernen Aktiviert
Die Option „Kennwort ändern” von der Sicherheitsoptionen-Benutzeroberfläche entfernen Aktiviert
Die Option „Abmelden” von der Sicherheitsoptionen-Benutzeroberfläche entfernen Aktiviert
Liste „Alle Programme“ aus dem Startmenü entfernen Aktiviert – Einstellung entfernen und deaktivieren
Zugriff auf Laufwerke vom Arbeitsplatz verhindern Aktiviert – Alle Laufwerke beschränken

Hinweis

Wenn die Option Zugriff auf Laufwerke vom Arbeitsplatz verhindern aktiviert ist, können Benutzer die Verzeichnisstruktur im Datei-Explorer durchsuchen, aber keine Ordner öffnen und auf den Inhalt zugreifen. Darüber hinaus können sie nicht das Dialogfeld Ausführen oder Netzlaufwerk zuordnen verwenden, um die Verzeichnisse auf diesen Laufwerken anzuzeigen. Die Symbole für die angegebenen Laufwerke werden weiterhin im Datei-Explorer angezeigt, aber wenn Benutzer versuchen, auf, erscheint eine Meldung, dass eine Einstellung die Aktion verhindert. Diese Einstellung verhindert nicht, dass Benutzer Programme für den Zugriff auf lokale und Netzwerklaufwerke verwenden. Es wird nicht verhindert, dass Benutzer das Datenträgerverwaltungs-Snap-In- zur Anzeige und Ändern der Eigenschaften des Laufwerks verwenden.

MDM-Richtlinie

Einige der MDM-Richtlinien auf der Grundlage der Konfigurationsdienstanbieter (CSP) wirken sich auf alle Benutzer des Systems aus (d.h. systemübergreifend).

Einstellung Wert Systemübergreifend
Experience/AllowCortana 0 - Nicht zulässig Ja
Start/AllowPinnedFolderDocuments 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderDownloads 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderFileExplorer 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderHomeGroup 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderMusic 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderNetwork 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderPersonalFolder 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderPictures 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderSettings 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderVideos 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/DisableContextMenus 1 – Kontextmenüs sind für apps Start ausgeblendet. Nein
Start/HidePeopleBar 1 – "True" (ausblenden) Nein
Start/HideChangeAccountSettings 1 – "True" (ausblenden) Ja
WindowsInkWorkspace/AllowWindowsInkWorkspace 0 – Zugriff auf Ink-Arbeitsbereich ist deaktiviert und das Feature ist deaktiviert Ja
Start/StartLayout Hängt von der Konfiguration ab Nein
WindowsLogon/DontDisplayNetworkSelectionUI <Aktiviert/> Ja

Provision .lnk-Dateien verwenden den Windows-Konfigurations-Designers

Erstellen Sie zunächst Ihre desktop-app-Verknüpfungsdatei durch die Installation der app auf einem Testgerät, verwenden den Speicherort der Standardinstallation. Klicken Sie mit der rechten Maustaste auf die installierte Anwendung, und wählen Sie Senden an > Desktop (Verknüpfung erstellen) aus. Benennen Sie die Verknüpfung um in <appName>.lnk

Als Nächstes erstellen Sie eine Batchdatei mit zwei Befehlen. Wenn die Desktop-App bereits auf dem Zielgerät installiert ist, überspringen Sie den ersten Befehl für die Installation von MSI.

msiexec /I "<appName>.msi" /qn /norestart
copy <appName>.lnk "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\<appName>.lnk"

Im Windows Configuration Designer, unter ProvisioningCommands > DeviceContext:

  • Unter CommandFilesIhre Batchdatei, Ihre LNK-Datei und Ihre desktop-app-Installationsdatei hoch.

    Wichtig

    Fügen Sie den vollständigen Pfad der LNK-Datei in das Feld CommandFiles . Wenn Sie zu wechseln, und wählen Sie die LNK-Datei, wird der Pfad auf den Pfad des Ziel für die lnk geändert werden.

  • Geben Sie unter CommandLine, cmd /c *FileName*.bat.

Andere Methoden

Umgebungen, die WMI verwenden, können die MDM-WMI-Brückenanbieter zum Konfigurieren eines Kiosksverwenden.