Einrichten eines Kiosks mit mehreren AppsSet up a multi-app kiosk

Betrifft:Applies to

  • Windows 10 Pro, Enterprise und EducationWindows 10 Pro, Enterprise, and Education

Ein Kioskgerät führt in der Regel eine einzelne App aus, wobei Benutzern der Zugriff auf alle Features oder Funktionen auf dem Gerät außerhalb der Kiosk-App verhindert wird.A kiosk device typically runs a single app, and users are prevented from accessing any features or functions on the device outside of the kiosk app. In Windows 10, Version 1709, wurde der AssignedAccess-Konfigurationsdienstanbieter (AssignedAccess Configuration Service Provider, CSP) erweitert, um Administratoren das Erstellen von Kiosken mit mehreren Apps zu erleichtern.In Windows 10, version 1709, the AssignedAccess configuration service provider (CSP) was expanded to make it easy for administrators to create kiosks that run more than one app. Der Vorteil eines Kiosks, in dem nur eine oder mehrere angegebene Apps ausgeführt werden, besteht in der bereitstellung einer einfach verständlichen Benutzererfahrung, indem nur die Dinge vor ihnen angezeigt werden, die sie verwenden müssen, und die Dinge, auf die sie nicht zugreifen müssen, aus ihrer Ansicht entfernen.The benefit of a kiosk that runs only one or more specified apps is to provide an easy-to-understand experience for individuals by putting in front of them only the things they need to use, and removing from their view the things they don’t need to access.

In der folgenden Tabelle sind Änderungen am Kiosk mit mehreren Apps in den letzten Updates aufgeführt.The following table lists changes to multi-app kiosk in recent updates.

Neue Features und VerbesserungenNew features and improvements In updateIn update
- Konfigurieren eines Kioskprofils mit einer einzelnen App in Ihrer XML-Datei- Configure a single-app kiosk profile in your XML file

– Zuweisen von Gruppenkonten zu einem Konfigurationsprofil- Assign group accounts to a config profile

- Konfigurieren eines Kontos für die automatische Anmeldung- Configure an account to sign in automatically
Windows 10, Version 1803Windows 10, version 1803
– Explizites Zulassen bekannter Ordner beim Öffnen des Dialogfelds "Datei" durch den Benutzer- Explicitly allow some known folders when user opens file dialog box

- Automatisches Starten einer App bei der Benutzerin- Automatically launch an app when the user signs in

- Konfigurieren eines Anzeigenamens für das automatische Anmeldekonto- Configure a display name for the autologon account
Windows 10, Version 1809Windows 10, version 1809

Wichtig: Um Features zu verwenden, die in Windows 10, Version 1809, veröffentlicht wurden, stellen Sie sicher, dass Ihre XML-Datei auf https://schemas.microsoft.com/AssignedAccess/201810/config verweist.Important: To use features released in Windows 10, version 1809, make sure that your XML file references https://schemas.microsoft.com/AssignedAccess/201810/config.

Warnung

Das Feature mit zugewiesenem Zugriff ist für unternehmenseigene Geräte mit festem Zweck gedacht wie z.B. Kioske.The assigned access feature is intended for corporate-owned fixed-purpose devices, like kiosks. Wenn die Konfiguration für mehrerer zugewiesene Apps auf dem Gerät angewendet wird, werden bestimmte Richtlinien systemweit erzwungen und wirken sich auf andere Benutzer auf dem Gerät aus.When the multi-app assigned access configuration is applied on the device, certain policies are enforced system-wide, and will impact other users on the device. Durch das Löschen der Kioskkonfiguration werden die den Benutzern zugeordneten Zugriffssperrenprofile entfernt, es können jedoch nicht alle erzwungenen Richtlinien wie z. B. das Startlayout wiederhergestellt werden.Deleting the kiosk configuration will remove the assigned access lockdown profiles associated with the users, but it cannot revert all the enforced policies (such as Start layout). Ein Zurücksetzen auf die Werkseinstellungen ist erforderlich, um alle Richtlinien, die über den zugewiesenen Zugriff erzwungen wurden, zu löschen.A factory reset is needed to clear all the policies enforced via assigned access.

Sie können mithilfe von Microsoft Intune oder eines Bereitstellungspakets Kioske mehrere Apps konfigurieren.You can configure multi-app kiosks using Microsoft Intune or a provisioning package.

Tipp

Überprüfen Sie unbedingt die Konfigurationsempfehlungen, bevor Sie den Kiosk einrichten.Be sure to check the configuration recommendations before you set up your kiosk.

Konfigurieren eines Kiosks in Microsoft IntuneConfigure a kiosk in Microsoft Intune

Informationen zum Konfigurieren eines Kiosks in Microsoft Intune finden Sie unter Windows 10-und Windows Holographic for Business-Geräteeinstellungen, die als dedizierter Kiosk mit Intune ausgeführt werden.To configure a kiosk in Microsoft Intune, see Windows 10 and Windows Holographic for Business device settings to run as a dedicated kiosk using Intune. Erläuterungen zu den spezifischen Einstellungen finden Sie unter Windows 10 und höher Geräteeinstellungen,die als Kiosk in Intune ausgeführt werden.For explanations of the specific settings, see Windows 10 and later device settings to run as a kiosk in Intune.

Konfigurieren eines Kiosks mittels eines BereitstellungspaketsConfigure a kiosk using a provisioning package

Verfahren:Process:

  1. Erstellen einer XML-DateiCreate XML file
  2. Hinzufügen der XML-Datei zu BereitstellungspaketenAdd XML file to provisioning package
  3. Anwenden von Bereitstellungspaketen auf das GerätApply provisioning package to device

Sehen Sie sich an, wie Sie mithilfe eines Bereitstellungspakets einen Kiosk mit mehreren Apps konfigurieren.Watch how to use a provisioning package to configure a multi-app kiosk.

Wenn Sie kein Bereitstellungspaket verwenden möchten, können Sie die XML-Konfigurationsdatei durch die Verwaltung mobiler Geräte (MDM) bereitstellen oder Sie können zugewiesenen Zugriff über die MDM-WMI-Brückenanbieter konfigurieren.If you don't want to use a provisioning package, you can deploy the configuration XML file using mobile device management (MDM) or you can configure assigned access using the MDM Bridge WMI Provider.

VoraussetzungenPrerequisites

  • Windows Configuration Designer (Windows 10, Version 1709 oder höher)Windows Configuration Designer (Windows 10, version 1709 or later)
  • Auf dem Kioskgerät muss Windows 10 (S, Pro, Enterprise oder Education), Version 1709 oder höher, ausgeführt werden.The kiosk device must be running Windows 10 (S, Pro, Enterprise, or Education), version 1709 or later

Hinweis

Für Geräte mit Versionen von Windows10 vor der Version 1709 können Sie AppLocker-Regeln erstellen, um einen Kiosk mit mehreren Apps zu konfigurieren.For devices running versions of Windows 10 earlier than version 1709, you can create AppLocker rules to configure a multi-app kiosk.

Erstellen einer XML-DateiCreate XML file

Betrachten wir zunächst die grundlegende Struktur der XML-Datei.Let's start by looking at the basic structure of the XML file.

  • Eine XML-Konfigurationsdatei kann mehrere Profile definieren.A configuration xml can define multiple profiles. Jedes Profil hat eine eindeutige ID und einen Satz von Anwendungen, die ausgeführt werden können, ob die Taskleiste sichtbar ist, und die ein benutzerdefiniertes Startlayout enthalten können.Each profile has a unique Id and defines a set of applications that are allowed to run, whether the taskbar is visible, and can include a custom Start layout.

  • Eine XML-Konfigurationsdatei kann mehrere Config-Abschnitte enthalten.A configuration xml can have multiple config sections. Jeder Config-Abschnitt ordnet einer Standardprofil-ID ein Benutzerkonto ohne Administratorrechte zu.Each config section associates a non-admin user account to a default profile Id.

  • Es kann mehreren Config-Abschnitten das gleiche Profil zugeordnet werden.Multiple config sections can be associated to the same profile.

  • Ein Profil hat keine Auswirkung, wenn es nicht einem Config-Abschnitt zugeordnet ist.A profile has no effect if it’s not associated to a config section.

    Profil = App und Config = Konto

Sie können mit Ihrer Datei beginnen, indem Sie den folgenden XML-Code (oder andere Beispiele in diesem Thema) in einen Text- oder XML-Editor einfügen und die Datei als „Dateiname.xml“ speichern.You can start your file by pasting the following XML (or any other examples in this topic) into a XML editor, and saving the file as filename.xml. Jeder Abschnitt der XML-Datei wird in diesem Thema erläutert.Each section of this XML is explained in this topic. Eine vollständige Beispielversion finden Sie in der XML-Referenz für zugewiesenen Zugriff.You can see a full sample version in the Assigned access XML reference.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
    >
    <Profiles>
        <Profile Id="">
            <AllAppsList>
                <AllowedApps/>
            </AllAppsList>
            <StartLayout/>
            <Taskbar/>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <Account/>
            <DefaultProfile Id=""/>
        </Config>
    </Configs>
</AssignedAccessConfiguration>

ProfilProfile

Es gibt zwei Arten von Profilen, die Sie im XML angeben können:There are two types of profiles that you can specify in the XML:

  • Sperrmodusprofil: Benutzern, denen ein Sperrmodusprofil zugewiesen wurde, wird der Desktop im Tablet-Modus mit den spezifischen Apps auf dem Startbildschirm angezeigt.Lockdown profile: Users assigned a lockdown profile will see the desktop in tablet mode with the specific apps on the Start screen.
  • Kioskprofil: Neu in Windows 10, Version 1803, ersetzt dieses Profil den Knoten KioskModeApp des AssignedAccess CSP.Kiosk profile: New in Windows 10, version 1803, this profile replaces the KioskModeApp node of the AssignedAccess CSP. Benutzern, denen ein Kioskprofil zugewiesen wurde, wird nicht der Desktop angezeigt, sondern nur die Kiosk-App, die im Vollbildmodus ausgeführt wird.Users assigned a kiosk profile will not see the desktop, but only the kiosk app running in full-screen mode.

Ein Sperrmodusprofilabschnitt in der XML enthält die folgenden Einträge:A lockdown profile section in the XML has the following entries:

Ein Kioskprofil in der XML hat die folgenden Einträge:A kiosk profile in the XML has the following entries:

IDId

Die Profil-ID ist ein GUID-Attribut, um das Profil eindeutig zu identifizieren.The profile Id is a GUID attribute to uniquely identify the profile. Sie können das GUID mit einem GUID-Generator erstellen.You can create a GUID using a GUID generator. Die GUID muss innerhalb dieser XML-Datei eindeutig sein.The GUID just needs to be unique within this XML file.

<Profiles>
  <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">…</Profile>
</Profiles>
AllowedAppsAllowedApps

AllowedApps ist eine Liste der Anwendungen, die ausgeführt werden dürfen.AllowedApps is a list of applications that are allowed to run. Apps können UWP-Apps (Universelle Windows-Plattform) oder Windows-Desktopanwendungen sein.Apps can be Universal Windows Platform (UWP) apps or Windows desktop applications. In Windows 10, Version 1809, können Sie eine einzelne App in der Liste AllowedApps so konfigurieren, dass sie automatisch ausgeführt wird, wenn sich das Benutzerkonto für den zugewiesenen Zugriff meldet.In Windows 10, version 1809, you can configure a single app in the AllowedApps list to run automatically when the assigned access user account signs in.

  • Für UWP-Apps müssen Sie die Anwendungsbenutzermodell-ID (AUMID) angeben.For UWP apps, you need to provide the App User Model ID (AUMID). Erfahren Sie, wie Sie die AUMID ermitteln oder erhalten Sie die AUMID vom XML-Startlayout.Learn how to get the AUMID, or get the AUMID from the Start Layout XML.
  • Für Desktop-Apps müssen Sie den vollständigen Pfad der ausführbaren Datei angeben, die eine oder mehrere Systemumgebungsvariablen in Form von % VariableName % (d.h. "SystemRoot%", "% windir%") enthalten können.For desktop apps, you need to specify the full path of the executable, which can contain one or more system environment variables in the form of %variableName% (i.e. %systemroot%, %windir%).
  • Wenn eine App von einer anderen App abhängig ist, müssen beide in der Liste zugelassener Apps enthalten sein.If an app has a dependency on another app, both must be included in the allowed apps list. Beispielsweise hat Internet Explorer 64-Bit eine Abhängigkeit von Internet Explorer 32-Bit, daher müssen Sie sowohl "C:\Program Files\internet explorer\iexplore.exe" als auch "C:\Program Files (x86)\Internet Explorer\iexplore.exe" zulassen.For example, Internet Explorer 64-bit has a dependency on Internet Explorer 32-bit, so you must allow both "C:\Program Files\internet explorer\iexplore.exe" and “C:\Program Files (x86)\Internet Explorer\iexplore.exe”.
  • Wenn Sie eine einzelne App so konfigurieren möchten, dass sie automatisch gestartet wird, wenn sich der Benutzer meldet, schließen Sie nach der AUMID oder dem Pfad rs5:AutoLaunch="true" ein.To configure a single app to launch automatically when the user signs in, include rs5:AutoLaunch="true" after the AUMID or path. Sie können auch Argumente enthalten, die an die App übergeben werden sollen.You can also include arguments to be passed to the app. Ein Beispiel finden Sie im AllowedApps-Beispiel-XML.For an example, see the AllowedApps sample XML.

Wenn die Kioskkonfiguration mit mehreren Apps auf ein Gerät angewendet wird, werden AppLocker-Regeln generiert, um die in der Konfiguration aufgeführten Apps zu ermöglichen.When the multi-app kiosk configuration is applied to a device, AppLocker rules will be generated to allow the apps that are listed in the configuration. Hier sind die vordefinierten zugewiesenen AppLocker-Zugriffsregeln für UWP-Apps:Here are the predefined assigned access AppLocker rules for UWP apps:

  1. Die Standardregel ist, dass alle Benutzer die signierten Paket-Apps starten können.Default rule is to allow all users to launch the signed package apps.

  2. Die Paket-App-Verweigerungsliste wird zur Laufzeit generiert, wenn sich der Benutzer mit zugewiesenem Zugriff anmeldet.The package app deny list is generated at runtime when the assigned access user signs in. Basierend auf den installierten/bereitgestellten Paket-Apps, die für das Benutzerkonto zur Verfügung stehen, generiert der zugewiesene Zugriff die Verweigerungsliste.Based on the installed/provisioned package apps available for the user account, assigned access generates the deny list. Diese Liste schließt standardmäßig die zulässigen mitgelieferten Paket-Apps aus, die wichtig sind, damit das System funktioniert und schließt dann die zulässigen Pakete aus, die Unternehmen in der Konfiguration des zugewiesene Zugriffs definiert haben.This list will exclude the default allowed inbox package apps which are critical for the system to function, and then exclude the allowed packages that enterprises defined in the assigned access configuration. Wenn mehrere Apps innerhalb des gleichen Pakets vorhanden sind, werden diese Apps ausgeschlossen.If there are multiple apps within the same package, all these apps will be excluded. Diese Verweigerungsliste wird verwendet, um zu verhindern, dass der Benutzer Zugriff auf die Apps erhält, die derzeit für den Benutzer verfügbar sind, jedoch nicht in der zugelassenen Liste aufgeführt sind.This deny list will be used to prevent the user from accessing the apps which are currently available for the user but not in the allowed list.

    Hinweis

    Sie können keine AppLocker-Regeln verwalten, die von der Konfiguration des Multi-App-Kiosks in MMC-Snap-Ins generiert werden. Vermeiden Sie das Erstellen von AppLocker-Regeln, die in Konflikt mit AppLocker-Regeln stehen, die von der Multi-App Kiosk-Konfiguration generiert werden.You cannot manage AppLocker rules that are generated by the multi-app kiosk configuration in MMC snap-ins. Avoid creating AppLocker rules that conflict with AppLocker rules that are generated by the multi-app kiosk configuration.

    Die Kiosk-Methode für mehrere Apps blockiert nicht das Unternehmen oder die Benutzer, UWP-Apps zu installieren.Multi-app kiosk mode doesn’t block the enterprise or the users from installing UWP apps. Wenn während der aktuellen Sitzung des Benutzers mit zugewiesenem Zugriff eine neue UWP-App installiert wird, ist diese App nicht in der Verweigerungsliste enthalten.When a new UWP app is installed during the current assigned access user session, this app will not be in the deny list. Wenn der Benutzer sich abmeldet und erneut anmeldet, wird die App in die Verweigerungsliste mit aufgenommen.When the user signs out and signs in again, the app will be included in the deny list. Wenn dies eine im Unternehmen bereitgestellte Branchen-App ist und Sie die Ausführung zulassen möchten, aktualisieren Sie die Konfiguration des zugewiesene Zugriffs, um sie in die Liste der zulässigen Apps aufzunehmen.If this is an enterprise-deployed line-of-business app and you want to allow it to run, update the assigned access configuration to include it in the allowed app list.

Hier sind die vordefinierten zugewiesenen AppLocker-Zugriffsregeln für Desktop-Apps:Here are the predefined assigned access AppLocker rules for desktop apps:

  1. Die Standardregel ist, allen Benutzer, die mit Microsoft Certificate signiert werden, zu erlauben, Desktop Programme zu starten damit das System startet und funktioniert.Default rule is to allow all users to launch the desktop programs signed with Microsoft Certificate in order for the system to boot and function. Die Regel ermöglicht ebenfalls der Admin-Benutzergruppe, alle Desktop-Programme zu starten.The rule also allows the admin user group to launch all desktop programs.
  2. Es gibt eine vordefinierte Verweigerungsliste für integrierte Desktop-Apps für das Benutzerkonto mit dem zugewiesenen Zugriff, und diese Verweigerungsliste wird basierend auf der Desktop-App-Liste angepasst, die Sie in der Konfiguration der Multi-App definiert haben.There is a predefined inbox desktop app deny list for the assigned access user account, and this deny list is adjusted based on the desktop app allow list that you defined in the multi-app configuration.
  3. Die vom Unternehmen festgelegte Liste der zugelassenen Apps werden der zugelassenen AppLocker-Liste hinzugefügt.Enterprise-defined allowed desktop apps are added in the AppLocker allow list.

Im folgenden Beispiel können Groove Musik-, Movies & TV-, Fotos-, Wetter-, Rechner-, Paint- und Editor-Apps auf dem Gerät ausgeführt werden. Editor ist so konfiguriert, dass eine Datei automatisch gestartet und erstellt wird, wenn sich der Benutzer 123.text meldet.The following example allows Groove Music, Movies & TV, Photos, Weather, Calculator, Paint, and Notepad apps to run on the device, with Notepad configured to automatically launch and create a file called 123.text when the user signs in.

<AllAppsList>
        <AllowedApps>
          <App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
          <App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
          <App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
          <App DesktopAppPath="%windir%\system32\mspaint.exe" />
          <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="123.txt">
        </AllowedApps>
</AllAppsList>
FileExplorerNamespaceRestrictionsFileExplorerNamespaceRestrictions

Ab Windows 10, Version 1809, können Sie explizit zulassen, dass auf einige bekannte Ordner zugegriffen wird, wenn der Benutzer versucht, das Dateidialogfeld im zugewiesenen Zugriff mit mehreren Apps zu öffnen, indem Sie FileExplorerNamespaceRestrictions in Ihre XML-Datei einbestellen.Starting in Windows 10, version 1809, you can explicitly allow some known folders to be accessed when the user tries to open the file dialog box in multi-app assigned access by including FileExplorerNamespaceRestrictions in your XML file. Downloads ist derzeit der einzige unterstützte Ordner.Currently, Downloads is the only folder supported. Dies kann auch mithilfe von Microsoft Intune festgelegt werden.This can also be set using Microsoft Intune.

Das folgende Beispiel zeigt, wie benutzerzugriff auf den Ordner Downloads im Dialogfeld allgemeine Datei zulassen.The following example shows how to allow user access to the Downloads folder in the common file dialog box.

Tipp

Um über den Datei-Explorer Zugriff auf den Ordner Downloads zu gewähren, fügen Sie "Explorer.exe" zur Liste der zulässigen Apps hinzu, undheften Sie eine Datei-Explorer-Verknüpfung an das Startmenü des Kiosks.To grant access to the Downloads folder through File Explorer, add "Explorer.exe" to the list of allowed apps, and pin a file explorer shortcut to the kiosk start menu.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
>     <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    ...
                </AllowedApps>
            </AllAppsList>
            <rs5:FileExplorerNamespaceRestrictions>
                <rs5:AllowedNamespace Name="Downloads"/>
            </rs5:FileExplorerNamespaceRestrictions>
            <StartLayout>
                ...
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
</AssignedAccessConfiguration>

FileExplorerNamespaceRestriction wurde in der aktuellen Windows 10 Prerelease für eine feinere Granularität und einfachere Verwendung erweitert. Weitere Informationen finden Sie unter Assigned access XML reference.FileExplorerNamespaceRestriction has been extended in current Windows 10 Prerelease for finer granularity and easier use, see in the Assigned access XML reference. für vollständige Beispiele.for full samples. Mit den Änderungen kann der IT-Administrator konfigurieren, ob benutzer mithilfe bestimmter neuer Elemente auf den Ordner "Downloads", "Wechseldatenträger" oder gar keine Einschränkung zugreifen kann.The changes will allow IT Admin to configure if user can access Downloads folder, Removable drives, or no restriction at all by using certain new elements. Beachten Sie, dass FileExplorerNamesapceRestrictions und AllowedNamespace:Downloads im Namespace verfügbar https://schemas.microsoft.com/AssignedAccess/201810/config sind, AllowRemovableDrives und NoRestriction werden in einem neuen Namespace https://schemas.microsoft.com/AssignedAccess/2020/config definiert.Note that FileExplorerNamesapceRestrictions and AllowedNamespace:Downloads are available in namespace https://schemas.microsoft.com/AssignedAccess/201810/config, AllowRemovableDrives and NoRestriction are defined in a new namespace https://schemas.microsoft.com/AssignedAccess/2020/config.

  • Wenn der Knoten FileExplorerNamespaceRestrictions nicht verwendet oder verwendet, aber leer gelassen wird, kann der Benutzer im allgemeinen Dialogfeld nicht auf einen Ordner zugreifen (z. B. Speichern unter im Microsoft Edge-Browser).When FileExplorerNamespaceRestrictions node is not used, or used but left empty, user will not be able to access any folder in common dialog (e.g. Save As in Microsoft Edge browser).
  • Wenn Downloads im zulässigen Namespace erwähnt werden, kann der Benutzer auf den Ordner Downloads zugreifen.When Downloads is mentioned in allowed namespace, user will be able to access Downloads folder.
  • Wenn AllowRemovableDrives verwendet wird, muss der Benutzer auf Wechseldatenträger zugreifen.When AllowRemovableDrives is used, user will be to access removable drives.
  • Wenn NoRestriction verwendet wird, wird keine Einschränkung auf das Dialogfeld angewendet.When NoRestriction is used, no restriction will be applied to the dialog.
  • AllowRemovableDrives und AllowedNamespace:Downloads können gleichzeitig verwendet werden.AllowRemovableDrives and AllowedNamespace:Downloads can be used at the same time.
StartLayoutStartLayout

Nachdem Sie die Liste der zugelassenen Anwendungen definiert haben, können Sie das Startlayout für Ihre Kiosk-Erfahrung anpassen.After you define the list of allowed applications, you can customize the Start layout for your kiosk experience. Sie können alle zugelassenen Apps auf dem Startbildschirm anheften oder nur einen Teil, je nachdem, ob sie möchten, dass der Benutzer auf diese direkt vom Startbildschirm zugreifen kann.You can choose to pin all the allowed apps on the Start screen or just a subset, depending on whether you want the end user to directly access them on the Start screen.

Die einfachste Methode zum Erstellen eines angepassten Startlayouts für andere Windows 10-Geräte besteht darin, den Startbildschirm auf einem Testgerät einzurichten und das Layout zu exportieren.The easiest way to create a customized Start layout to apply to other Windows 10 devices is to set up the Start screen on a test device and then export the layout. Ausführliche Schritte finden Sie unter Anpassen und Exportieren des Startlayouts.For detailed steps, see Customize and export Start layout.

Folgendes ist zu beachten:A few things to note here:

  • Das Testgerät, auf dem Sie das Startseitenlayout anpassen, muss die gleiche Betriebssystemversion haben, die auf dem Gerät installiert ist, auf dem Sie die Konfiguration für mehrere zugewiesene Apps bereitstellen möchten.The test device on which you customize the Start layout should have the same OS version that is installed on the device where you plan to deploy the multi-app assigned access configuration.
  • Da die Erfahrung für mehrere zugewiesene Apps für Geräte mit festem Zweck vorgesehen ist, verwenden Sie die vollständige Start-Layoutoption anstelle des Teil-Startlayout, um sicherzustellen, dass die Gerätefunktionen einheitlich und vorhersagbar sind.Since the multi-app assigned access experience is intended for fixed-purpose devices, to ensure the device experiences are consistent and predictable, use the full Start layout option instead of the partial Start layout.
  • Es sind keine Apps auf der Taskleiste im Modus mit mehreren Apps angeheftet, und das Konfigurieren des Taskleisten-Layouts mit <CustomTaskbarLayoutCollection>-Tag in einer Layoutänderungs-XML wird nicht als Teil der Konfiguration des zugewiesenen Zugriffs unterstützt.There are no apps pinned on the taskbar in the multi-app mode, and it is not supported to configure Taskbar layout using the <CustomTaskbarLayoutCollection> tag in a layout modification XML as part of the assigned access configuration.
  • Im folgende Beispiel wird DesktopApplicationLinkPath zum Anheften der Desktop-App an das Startmenü verwendet.The following example uses DesktopApplicationLinkPath to pin the desktop app to start. Wenn die Desktop-App nicht über eine Verknüpfung auf dem Zielgerät verfügt Erfahren Sie, wie Sie lnk-Dateien mit dem Windows-Konfigurations-Designer bereitstellen.When the desktop app doesn’t have a shortcut link on the target device, learn how to provision .lnk files using Windows Configuration Designer.

Im folgenden Beispiel werden Groove-Musik, Filme & TV, Fotos, Wetter, Rechner, Paint und Editor-Apps an die Startseite geheftet.This example pins Groove Music, Movies & TV, Photos, Weather, Calculator, Paint, and Notepad apps on Start.

<StartLayout>
        <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="httsp://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Group1">
                              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
                              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
                              <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
                              <start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
                            </start:Group>
                            <start:Group Name="Group2">
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk" />
                              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
</StartLayout>

Hinweis

Wenn eine App nicht für den Benutzer installiert ist, aber in der Startlayout-XML enthalten ist, wird die App nicht auf dem Startbildschirm angezeigt.If an app is not installed for the user but is included in the Start layout XML, the app will not be shown on the Start screen.

So sieht der Startbildschirm aus, wenn das XML-Beispiel angewendet wird

TaskleisteTaskbar

Definieren Sie, ob die Taskleiste auf dem Kioskgerät vorhanden sein soll.Define whether you want to have the taskbar present in the kiosk device. Für Tablet-basierte oder All-in-One-Kiosks mit Fingereingabe können Sie die Taskleiste als Teil der Multi-App-Erfahrung ausblenden, wenn Sie eine Tastatur und Maus anschließen möchten.For tablet-based or touch-enabled all-in-one kiosks, when you don’t attach a keyboard and mouse, you can hide the taskbar as part of the multi-app experience if you want.

Im folgende Beispiel wird die Taskleiste für den Benutzer verfügbar gemacht:The following example exposes the taskbar to the end user:

<Taskbar ShowTaskbar="true"/>

Im folgenden Beispiel wird die Taskleiste ausgeblendet:The following example hides the taskbar:

<Taskbar ShowTaskbar="false"/>

Hinweis

Dies unterscheidet sich von der Option Automatisches Ausblenden der Taskleiste im Tablet-Modus, in dem die Taskleiste angezeigt wird, wenn Sie unteren Bildschirmrand nach oben Wischen oder den Mauszeiger darauf zeigen.This is different from the Automatically hide the taskbar option in tablet mode, which shows the taskbar when swiping up from or moving the mouse pointer down to the bottom of the screen. Das Festlegen von ShowTaskbar als False blendet die Taskleiste immer aus.Setting ShowTaskbar as false will always keep the taskbar hidden.

KioskModeAppKioskModeApp

KioskModeApp wird nur für ein Kioskprofil verwendet.KioskModeApp is used for a kiosk profile only. Geben Sie die AUMID für eine einzelne App ein.Enter the AUMID for a single app. Sie können nur ein Kioskprofil in der XML angeben.You can only specify one kiosk profile in the XML.

<KioskModeApp AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"/>

Wichtig

Das Kioskprofil ist für öffentlich zugängliche Kioskgeräte konzipiert.The kiosk profile is designed for public-facing kiosk devices. Es wird empfohlen, ein lokales Konto ohne Administrator zu verwenden.We recommend that you use a local, non-administrator account. Wenn das Gerät mit Ihrem Unternehmensnetzwerk verbunden ist, kann die Verwendung einer Domäne oder eines Azure Active Directory-Kontos vertrauliche Informationen potenziell gefährdet sein.If the device is connected to your company network, using a domain or Azure Active Directory account could potentially compromise confidential information.

ConfigsConfigs

Definieren Sie unter Configs, welches Konto dem Profil zugeordnet werden soll.Under Configs, define which user account will be associated with the profile. Wenn sich dieses Anwenderkonto auf dem Gerät anmeldet, wird das mit dem zugewiesenen Zugriff zugeordnete Profil erzwungen, einschließlich der zulässigen Apps, dem Start-Layout und der Taskleistenkonfiguration, sowie anderen lokalen Gruppenrichtlinien oder Richtlinien für die mobile Geräteverwaltung (Mobile Device Management, MDM), die Teil der Multi-App-Erfahrung sind.When this user account signs in on the device, the associated assigned access profile will be enforced, including the allowed apps, Start layout, and taskbar configuration, as well as other local group policies or mobile device management (MDM) policies set as part of the multi-app experience.

Die Erfahrung für mehrere zugewiesene Apps funktioniert jedoch nur für Benutzer ohne Administratorrechte.The full multi-app assigned access experience can only work for non-admin users. Sie wird nicht unterstützt, um einen Administrator mit dem zugewiesenen Zugriffsprofil zuzuordnen. Wenn Sie dies in der XML-Datei ausführen, führt es zu unerwarteten/nicht unterstützten Erfahrungen, wenn sich der Administratorbenutzer anmeldet.It’s not supported to associate an admin user with the assigned access profile; doing this in the XML file will result in unexpected/unsupported experiences when this admin user signs in.

Sie können:You can assign:

Hinweis

Configs that specify group accounts cannot use a kiosk profile, only a lockdown profile.Configs that specify group accounts cannot use a kiosk profile, only a lockdown profile. Wenn eine Gruppe für ein Kioskprofil konfiguriert ist, lehnt der CSP die Anforderung ab.If a group is configured to a kiosk profile, the CSP will reject the request.

Config for AutoLogon AccountConfig for AutoLogon Account

Wenn Sie ein Gerät verwenden und die Konfiguration auf ein Gerät angewendet wird, wird das angegebene Konto (verwaltet von Zugewiesener Zugriff) auf dem Gerät als lokales <AutoLogonAccount> Standardbenutzerkonto erstellt.When you use <AutoLogonAccount> and the configuration is applied to a device, the specified account (managed by Assigned Access) is created on the device as a local standard user account. Das angegebene Konto wird nach dem Neustart automatisch angemeldet.The specified account is signed in automatically after restart.

Das folgende Beispiel zeigt, wie Sie ein Konto angeben, das sich automatisch anmelden soll.The following example shows how to specify an account to sign in automatically.

<Configs>
  <Config>
    <AutoLogonAccount/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

In Windows 10, Version 1809, können Sie den Anzeigenamen konfigurieren, der angezeigt wird, wenn sich der Benutzer meldet.In Windows 10, version 1809, you can configure the display name that will be shown when the user signs in. Im folgenden Beispiel wird gezeigt, wie Sie ein AutoLogon-Konto erstellen, das den Namen "Hello World" enthält.The following example shows how to create an AutoLogon Account that shows the name "Hello World".

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Hello World"/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

Auf Geräten, die der Domäne beigetreten sind, werden lokale Benutzerkonten standardmäßig nicht auf dem Anmeldebildschirm angezeigt.On domain-joined devices, local user accounts aren't shown on the sign-in screen by default. Aktivieren Sie zum Anzeigen des AutoLogonAccount auf dem Anmeldebildschirm die folgende Gruppenrichtlinieneinstellung: Computerkonfiguration > Administrative Vorlagen > System > Anmeldung > Aufzählenlokaler Benutzer auf Computern, die der Domäne beigetreten sind.To show the AutoLogonAccount on the sign-in screen, enable the following Group Policy setting: Computer Configuration > Administrative Templates > System > Logon > Enumerate local users on domain-joined computers. (Die entsprechende #A0 ist WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers im Richtlinien-CSP.)(The corresponding MDM policy setting is WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers in the Policy CSP.)

Wichtig

Wenn Exchange Active Sync (EAS)-Kennworteinschränkungen auf dem Gerät aktiv sind, funktioniert das Feature für die automatische Anmeldung nicht.When Exchange Active Sync (EAS) password restrictions are active on the device, the autologon feature does not work. Dieses Verhalten ist entwurfsbedingt.This behavior is by design. Weitere Informationen finden Sie unter Aktivieren der automatischen Anmeldung in Windows.For more informations, see How to turn on automatic logon in Windows.

Config für einzelne KontenConfig for individual accounts

Einzelne Konten werden mithilfe von <Account> angegeben.Individual accounts are specified using <Account>.

  • Das lokale Konto kann als machinename\account oder .\account oder einfach nur als account eingegeben werden.Local account can be entered as machinename\account or .\account or just account.
  • Das Domänenkonto muss als domain\account angegeben werden.Domain account should be entered as domain\account.
  • Das Azure AD-Konto muss in folgendem Format angegeben werden:t: AzureAD\{email address}.Azure AD account must be specified in this format: AzureAD\{email address}. AzureAD muss „WIE BESEHEN“ bereitgestellt (wenn es ein fester Domänenname ist), und dann die Azure AD-E-Mail-Adresse aufführen, z.B. AzureAD\jemand@contoso.onmicrosoft.com.AzureAD must be provided AS IS (consider it’s a fixed domain name), then follow with the Azure AD email address, e.g. AzureAD\someone@contoso.onmicrosoft.com.

Warnung

Der zugewiesene Zugriff kann über WMI- oder CSP zur Ausführung der Anwendung unter einem Domänenbenutzer oder -Dienstkonto konfiguriert werden, anstelle eines lokalen Kontos.Assigned access can be configured via WMI or CSP to run its applications under a domain user or service account, rather than a local account. Das Verwenden von Domänenbenutzer- oder Dienstkonten bietet Risiken, dass ein Angreifer die Anwendung mit zugewiesenem Zugriff unterwandert und Zugriff auf vertrauliche Domänenressourcen unter Umständen erhält, die versehentlich für alle Domänenkonten offen geblieben sind.However, use of domain user or service accounts introduces risks that an attacker subverting the assigned access application might gain access to sensitive domain resources that have been inadvertently left accessible to any domain account. Es wird empfohlen, dass Kunden vorsichtig sind, wenn Sie Domänenkonten mit zugewiesenem Zugriff verwenden, und Domänenressourcen durch die Entscheidung eventuell ausgesetzt werden.We recommend that customers proceed with caution when using domain accounts with assigned access, and consider the domain resources potentially exposed by the decision to do so.

Vor dem Anwenden der Konfiguration mit mehreren Apps, stellen Sie sicher, dass das angegebene Konto auf dem Gerät verfügbar ist, da es andernfalls nicht ausgeführt werden kann.Before applying the multi-app configuration, make sure the specified user account is available on the device, otherwise it will fail.

Hinweis

Für sowohl Domänen- als auch Azure AD-Konten ist es nicht erforderlich, dass das Gerät explizit als Zielkonto hinzugefügt wird.For both domain and Azure AD accounts, it’s not required that target account is explicitly added to the device. Solange das Gerät in AD oder Azure AD eingebunden ist, kann das Konto in der Domänengesamtstruktur oder im Mandanten ermittelt werden, zu dem das Gerät gehört.As long as the device is AD-joined or Azure AD-joined, the account can be discovered in the domain forest or tenant that the device is joined to. Für lokale Konten ist es erforderlich, dass das Konto vorhanden ist, bevor Sie das Konto für einen zugewiesenen Zugriff konfigurieren.For local accounts, it is required that the account exist before you configure the account for assigned access.

<Configs>
  <Config>
    <Account>MultiAppKioskUser</Account>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>
Config für GruppenkontenConfig for group accounts

Gruppenkonten werden mithilfe von <UserGroup> angegeben.Group accounts are specified using <UserGroup>. Geschachtelte Gruppen werden nicht unterstützt.Nested groups are not supported. Wenn Benutzer A z. B. Mitglied der Gruppe 1 ist, ist Gruppe 1 Mitglied der Gruppe 2, und Gruppe 2 wird in verwendet, hat Benutzer A nicht die <Config/> Kioskerfahrung.For example, if user A is member of Group 1, Group 1 is member of Group 2, and Group 2 is used in <Config/>, user A will not have the kiosk experience.

  • Lokale Gruppe: Geben Sie den Gruppentyp als LocalGroup an, und geben Sie den Gruppennamen in das Attribut Name ein.Local group: Specify the group type as LocalGroup and put the group name in Name attribute. Für alle Azure AD-Konten, die der lokalen Gruppe hinzugefügt werden, werden die Kioskeinstellungen nicht angewendet.Any Azure AD accounts that are added to the local group will not have the kiosk settings applied.

    <Config>
      <UserGroup Type="LocalGroup" Name="mygroup" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    
  • Domänengruppe: Sowohl Sicherheits- als auch Verteilergruppen werden unterstützt.Domain group: Both security and distribution groups are supported. Geben Sie den Gruppentyp als ActiveDirectoryGroup an.Specify the group type as ActiveDirectoryGroup. Verwenden Sie den Domänennamen als Präfix im Name-Attribut.Use the domain name as the prefix in the name attribute.

    <Config>
      <UserGroup Type="ActiveDirectoryGroup" Name="mydomain\mygroup" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    
  • Azure AD-Gruppe: Verwenden Sie die Gruppenobjekt-ID aus dem Azure-Portal, um die Gruppe im Attribut Name eindeutig zu identifizieren.Azure AD group: Use the group object ID from the Azure portal to uniquely identify the group in the Name attribute. Die Objekt-ID finden Sie auf der Übersichtsseite für die Gruppe unter Benutzer und GruppenAlle > Gruppen.You can find the object ID on the overview page for the group in Users and groups > All groups. Geben Sie den Gruppentyp als AzureActiveDirectoryGroup an.Specify the group type as AzureActiveDirectoryGroup. Das Kioskgerät muss eine Internetverbindung haben, wenn sich Benutzer, die zur Gruppe gehören, anmelden.The kiosk device must have internet connectivity when users that belong to the group sign in.

    <Config>
      <UserGroup Type="AzureActiveDirectoryGroup" Name="a8d36e43-4180-4ac5-a627-fb8149bba1ac" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    

    Hinweis

    Wenn eine Azure AD-Gruppe mit einem Sperrmodusprofil auf einem Gerät konfiguriert ist, muss ein Benutzer in der Azure AD-Gruppe sein Kennwort ändern (nachdem das Konto mit dem Standardkennwort im Portal erstellt wurde), bevor er sich bei diesem Gerät anmelden kann.If an Azure AD group is configured with a lockdown profile on a device, a user in the Azure AD group must change their password (after the account has been created with default password on the portal) before they can sign in to this device. Wenn der Benutzer das Standardkennwort für die Anmeldung beim Gerät verwendet, wird der Benutzer sofort abmeldet.If the user uses the default password to sign in to the device, the user will be immediately signed out.

[Vorschau] Globales Profil[Preview] Global Profile

Das globale Profil wird in der aktuellen Windows 10 Prerelease hinzugefügt.Global profile is added in current Windows 10 Prerelease. Es gibt Zeiten, in denen der IT-Administrator jedem Benutzer, der sich bei einem bestimmten Gerät an einem bestimmten Gerät anmeldet, zugriffsbenutzer zugewiesen wird, auch wenn es kein dediziertes Profil für diesen Benutzer gibt, oder es gibt Zeiten, in denen Assigned Access kein Profil für den Benutzer identifizieren konnte und ein Fallbackprofil verwendet werden soll.There are times when IT Admin wants to everyone who logging into a specific devices are assigned access users, even there is no dedicated profile for that user, or there are times that Assigned Access could not identify a profile for the user and a fallback profile is wished to use. Global Profile ist für diese Szenarien konzipiert.Global Profile is designed for these scenarios.

Die Verwendung wird unten mithilfe des neuen XML-Namespaces gezeigt und GlobalProfile aus diesem Namespace angeben.Usage is demonstrated below, by using the new xml namespace and specify GlobalProfile from that namespace. Wenn GlobalProfile konfiguriert ist, meldet sich ein Nicht-Administrator-Konto an, wenn dieser Benutzer nicht über ein bestimmtes Profil in Zugewiesener Zugriff verfügt oder zugewiesener Zugriff kein Profil für den aktuellen Benutzer bestimmt, wird das globale Profil für den Benutzer angewendet.When GlobalProfile is configured, a non-admin account logs in, if this user does not have designated profile in Assigned Access, or Assigned Access fails to determine a profile for current user, global profile will be applied for the user.

Hinweis:Note:

  1. GlobalProfile kann nur ein Multi-App-Profil seinGlobalProfile can only be multi-app profile
  2. Nur ein GlobalProfile kann in einem AssignedAccess-Konfigurations-Xml verwendet werdenOnly one GlobalProfile can be used in one AssignedAccess Configuration Xml
  3. GlobalProfile kann als einzige Konfiguration verwendet werden, oder es kann mit regulären Benutzern oder Gruppenkonfigurationen verwendet werden.GlobalProfile can be used as the only config, or it can be used among with regular user or group Config.
<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v2="https://schemas.microsoft.com/AssignedAccess/201810/config"
    xmlns:v3="https://schemas.microsoft.com/AssignedAccess/2020/config"
>
    <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    <App AppUserModelId="Microsoft.Microsoft3DViewer_8wekyb3d8bbwe!Microsoft.Microsoft3DViewer" v2:AutoLaunch="true" v2:AutoLaunchArguments="123"/>
                    <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                    <App AppUserModelId="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
                    <App DesktopAppPath="%SystemRoot%\system32\notepad.exe" />
                </AllowedApps>
            </AllAppsList>
            <StartLayout>
                <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="https://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Life at a glance">
                              <start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="microsoft.windowscommunicationsapps_8wekyb3d8bbwe!microsoft.windowsLive.calendar" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsStore_8wekyb3d8bbwe!App" />
                              <!-- A link file is required for desktop applications to show on start layout, the link file can be placed under
                                   "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs" if the link file is shared for all users or
                                   "%AppData%\Microsoft\Windows\Start Menu\Programs" if the link file is for the specific user only 
                                   see document https://docs.microsoft.com/windows/configuration/start-layout-xml-desktop
                              -->
                              <!-- for inbox desktop applications, a link file might already exist and can be used directly -->
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Accessories\paint.lnk" />
                              <!-- for 3rd party desktop application, place the link file under appropriate folder -->
                              <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationLinkPath="%AppData%\Microsoft\Windows\Start Menu\Programs\MyLOB.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
    <Configs>
        <v3:GlobalProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Configs>
</AssignedAccessConfiguration>

Hinzufügen der XML-Datei zu BereitstellungspaketenAdd XML file to provisioning package

Bevor Sie die XML-Datei zu einem Bereitstellungspaket hinzufügen, können Sie Ihre XML-Konfigurationsdatei gegen die XSD überprüfen.Before you add the XML file to a provisioning package, you can validate your configuration XML against the XSD.

Erstellen Sie ein Bereitstellungspaket mit Windows-Konfigurations-Designer.Use the Windows Configuration Designer tool to create a provisioning package. Erfahren Sie, wie Sie Windows-Konfigurations-Designer installieren.Learn how to install Windows Configuration Designer.

Wichtig

Wenn Sie ein Bereitstellungspaket erstellen, können Sie vertrauliche Informationen in die Projektdateien und die Bereitstellungspaketdatei (PPKG-Datei) aufnehmen.When you build a provisioning package, you may include sensitive information in the project files and in the provisioning package (.ppkg) file. Obwohl Sie die PPKG-Datei verschlüsseln können, werden die Projektdateien nicht verschlüsselt.Although you have the option to encrypt the .ppkg file, project files are not encrypted. Sie sollten die Projektdateien an einem sicheren Ort speichern und löschen, wenn sie nicht mehr benötigt werden.You should store the project files in a secure location and delete the project files when they are no longer needed.

  1. Öffnen Sie Windows-Konfigurations-Designer (standardmäßig unter %systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe).Open Windows Configuration Designer (by default, %systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe).

  2. Wählen Sie Erweiterte Bereitstellung.Choose Advanced provisioning.

  3. Benennen Sie das Projekt und klicken Sie auf Weiter.Name your project, and click Next.

  4. Wählen Sie All Windows desktop editions, und klicken Sie auf Weiter.Choose All Windows desktop editions and click Next.

  5. Klicken Sie unter Neues Projekt auf Fertig stellen.On New project, click Finish. Der Arbeitsbereich für Ihr Paket wird geöffnet.The workspace for your package opens.

  6. Erweitern Sie Laufzeiteinstellungen > AssignedAccess und klicken Sie dann auf > MultiAppAssignedAccessSettings.Expand Runtime settings > AssignedAccess > MultiAppAssignedAccessSettings.

  7. Klicken Sie im mittleren Bereich auf Durchsuchen, um die Konfiguration des zugewiesene Zugriffs zu suchen und auszuwählen.In the center pane, click Browse to locate and select the assigned access configuration XML file that you created.

    Screenshot des Felds MultiAppAssignedAccessSettings im Windows-Konfigurations-Designer

  8. (Optional: Wenn Sie das Bereitstellungspaket nach der anfänglichen Geräteinstallation anwenden möchten, und bereits ein Administratorbenutzer auf dem Kioskgerät existiert, überspringen Sie diesen Schritt.) Erstellen Sie ein Benutzerkonto in Laufzeiteinstellungen > Konten > **Benutzer **.(Optional: If you want to apply the provisioning package after device initial setup and there is an admin user already available on the kiosk device, skip this step.) Create an admin user account in Runtime settings > Accounts > Users. Geben Sie einen Benutzername und Kennwort ein, und wählen Sie UserGroup als Administrator aus.Provide a UserName and Password, and select UserGroup as Administrators. Mit diesem Konto können Sie den Bereitstellungsstatus und Protokolle bei Bedarf anzeigen.With this account, you can view the provisioning status and logs if needed.

  9. (Optional: Wenn Sie bereits ein Konto ohne Administratorrechte auf dem Kioskgerät haben, überspringen Sie diesen Schritt.) Erstellen Sie ein lokales Standardbenutzerkonto unter Laufzeiteinstellungen > Konten > Benutzer.(Optional: If you already have a non-admin account on the kiosk device, skip this step.) Create a local standard user account in Runtime settings > Accounts > Users. Stellen Sie sicher, dass der Benutzername mit dem Konto identisch ist, das Sie in der XML-Konfigurationsdatei angeben.Make sure the UserName is the same as the account that you specify in the configuration XML. Wählen Sie UserGroup als Standardbenutzer aus.Select UserGroup as Standard Users.

  10. Wählen Sie im Menü Datei die Option Speichern aus.On the File menu, select Save.

  11. Wählen Sie im Menü Exportieren die Option Bereitstellungspaketaus.On the Export menu, select Provisioning package.

  12. Ändern Sie Owner in IT Admin. Dadurch erhält dieses Bereitstellungspaket Vorrang gegenüber Bereitstellungspaketen, die aus anderen Quellen auf dieses Gerät angewendet werden. Wählen Sie anschließend Weiter aus.Change Owner to IT Admin, which will set the precedence of this provisioning package higher than provisioning packages applied to this device from other sources, and then select Next.

  13. Optional.Optional. Im Fenster Provisioning package security können Sie das Paket verschlüsseln und die Paketsignierung aktivieren.In the Provisioning package security window, you can choose to encrypt the package and enable package signing.

    • Paketverschlüsselung aktivieren – Wenn Sie diese Option auswählen, wird ein automatisch generiertes Kennwort auf dem Bildschirm angezeigt.Enable package encryption - If you select this option, an auto-generated password will be shown on the screen.

    • Paketsignierung aktivieren – Wenn Sie diese Option auswählen, müssen Sie ein gültiges Zertifikat zum Signieren des Pakets auswählen.Enable package signing - If you select this option, you must select a valid certificate to use for signing the package. Sie können das Zertifikat angeben, indem Sie auf Durchsuchen klicken und das Zertifikat zum Signieren des Pakets auswählen.You can specify the certificate by clicking Browse and choosing the certificate you want to use to sign the package.

  14. Klicken Sie auf Weiter , um den Ausgabespeicherort anzugeben, an dem das Bereitstellungspaket nach dem Erstellen gespeichert werden soll.Click Next to specify the output location where you want the provisioning package to go when it's built. Standardmäßig verwendet der Windows-Designer für die Imageerstellung und -konfiguration (Imaging and Configuration Designer, ICD) den Projektordner als Ausgabespeicherort.By default, Windows Imaging and Configuration Designer (ICD) uses the project folder as the output location.

    Klicken Sie optional auf Durchsuchen , um den Standardausgabespeicherort zu ändern.Optionally, you can click Browse to change the default output location.

  15. Klicken Sie auf Weiter.Click Next.

  16. Klicken Sie auf Erstellen , um mit der Paketerstellung zu beginnen.Click Build to start building the package. Die Erstellung eines Bereitstellungspakets dauert nicht lange.The provisioning package doesn't take long to build. Die Projektinformationen werden auf der Buildseite angezeigt, und die Statusanzeige gibt den Buildstatus an.The project information is displayed in the build page and the progress bar indicates the build status.

    Wenn Sie den Build abbrechen müssen, klicken Sie auf Abbrechen.If you need to cancel the build, click Cancel. Dadurch wird der aktuelle Buildprozess abgebrochen, der Assistent geschlossen und wieder die Customizations Pageangezeigt.This cancels the current build process, closes the wizard, and takes you back to the Customizations Page.

  17. Falls der Build nicht erfolgreich verläuft, wird eine Fehlermeldung mit einem Link zum Projektordner angezeigt.If your build fails, an error message will show up that includes a link to the project folder. Sie können die Fehlerursache anhand der Protokolle ermitteln.You can scan the logs to determine what caused the error. Nachdem Sie das Problem behoben haben, versuchen Sie, das Paket erneut zu erstellen.Once you fix the issue, try building the package again.

    Wenn der Build erfolgreich ist, werden der Name des Bereitstellungspakets sowie das Ausgabeverzeichnis und Projektverzeichnis angezeigt.If your build is successful, the name of the provisioning package, output directory, and project directory will be shown.

    • Sie können das Bereitstellungspaket ggf. erneut erstellen und einen anderen Pfad für das Ausgabepaket auswählen.If you choose, you can build the provisioning package again and pick a different path for the output package. Klicken Sie dazu auf Zurück , um den Namen und Pfad des Ausgabepakets zu ändern, und klicken Sie dann auf Weiter , um einen weiteren Build zu starten.To do this, click Back to change the output package name and path, and then click Next to start another build.
    • Wenn Sie fertig sind, klicken Sie auf Fertig stellen , um den Assistenten zu schließen und zur Customizations Pagezurückzukehren.If you are done, click Finish to close the wizard and go back to the Customizations Page.
  18. Kopieren Sie die Bereitstellungspaketdatei auf ein USB-Laufwerk in das Stammverzeichnis.Copy the provisioning package to the root directory of a USB drive.

Anwenden von Bereitstellungspaketen auf das GerätApply provisioning package to device

Bereitstellungspakete können sowohl während der ersten Ausführung auf einem Gerät angewendet werden („Out-of-Box-Experience” oder „OOBE”) als auch danach („Laufzeit”).Provisioning packages can be applied to a device during the first-run experience (out-of-box experience or "OOBE") and after ("runtime").

Tipp

Zusätzlich zu den unten aufgeführten Methoden können Sie das PowerShell-Comdlet install-provisioningpackage verwenden, um Protokolle -LogsDirectoryPath für den Vorgang zu erhalten.In addition to the methods below, you can use the PowerShell comdlet install-provisioningpackage with -LogsDirectoryPath to get logs for the operation.

Während der Ersteinrichtung von einem USB-LaufwerkDuring initial setup, from a USB drive

  1. Beginnen Sie mit einem Computer auf dem erstmalig ausgeführten Setupbildschirm.Start with a computer on the first-run setup screen. Wenn der PC diesen Bildschirm bereits überschritten hat, setzen Sie ihn zurück, um von vorn zu beginnen.If the PC has gone past this screen, reset the PC to start over. Um den PC zurückzusetzen, wechseln Sie zu Einstellungen > Update und Sicherheit > Wiederherstellung > Diesen PC zurücksetzen.To reset the PC, go to Settings > Update & security > Recovery > Reset this PC.

    Der erste Bildschirm zum Einrichten eines neuen PCs

  2. Schließen Sie das USB-Laufwerk an.Insert the USB drive. Windows Setup erkennt das Laufwerk und fragt, ob Sie das Gerät einrichten möchten.Windows Setup will recognize the drive and ask if you want to set up the device. Wählen Sie Einrichten aus.Select Set up.

    Gerät einrichten?

  3. Im nächsten Bildschirm werden Sie aufgefordert, eine Bereitstellungsquelle auszuwählen.The next screen asks you to select a provisioning source. Wählen Sie Wechselmedien aus, und tippen Sie auf Weiter.Select Removable Media and tap Next.

    Dieses Gerät bereitstellen

  4. Wählen Sie das anzuwendende Bereitstellungspaket (*.ppkg) aus, und tippen Sie auf Weiter.Select the provisioning package (*.ppkg) that you want to apply, and tap Next.

    Paket auswählen

  5. Wählen Sie Ja, hinzufügen aus.Select Yes, add it.

    Vertrauen Sie diesem Paket?

Nach der Einrichtung von einem USB-Laufwerk, Netzwerkordner oder einer SharePoint-SiteAfter setup, from a USB drive, network folder, or SharePoint site

  1. Anmelden mit einem Admin-Konto.Sign in with an admin account.
  2. Setzen Sie das USB-Laufwerk in den Desktopcomputer ein, navigieren Sie zu Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen > Bereitstellungspaket hinzufügen oder entfernen > Paket hinzufügen, und wählen Sie das zu installierende Paket aus.Insert the USB drive to a desktop computer, navigate to Settings > Accounts > Access work or school > Add or remove a provisioning package > Add a package, and select the package to install. Navigieren Sie für ein Bereitstellungspaket, das in einem Netzwerkordner oder auf einer SharePoint-Website gespeichert ist, zum Bereitstellungspaket, und doppelklicken Sie auf es, um mit der Installation zu beginnen.For a provisioning package stored on a network folder or on a SharePoint site, navigate to the provisioning package and double-click it to begin installation.

Hinweis

Wenn das Bereitstellungspaket nicht die Erstellung eines Kontos für Benutzer mit zugewiesenem Zugriff enthält, stellen Sie sicher, dass das Konto, das Sie in der Multi-App-Konfigurations-XML angegeben haben, auf dem Gerät vorhanden ist.if your provisioning package doesn’t include the assigned access user account creation, make sure the account you specified in the multi-app configuration XML exists on the device.

Option zum Hinzufügen eines Pakets

### Verwenden Sie MDM zum Bereitstellen der Konfiguration mehrerer AppsUse MDM to deploy the multi-app configuration

Die Kiosk-Methode für mehrere Apps über AssignedAccess-CSP ist aktiviert.Multi-app kiosk mode is enabled by the AssignedAccess configuration service provider (CSP). Die MDM-Richtlinie kann die zugewiesene Zugriff-Konfigurations-XML enthalten.Your MDM policy can contain the assigned access configuration XML.

Wenn Ihr Gerät mit einem MDM-Server registriert ist, der die Konfiguration des zugewiesene Zugriffs unterstützt, können sie es zur Anwendung der Einstellung remote verwalten.If your device is enrolled with a MDM server which supports applying the assigned access configuration, you can use it to apply the setting remotely.

Der OMA-URI für die Multi-App-Richtlinie ist ./Device/Vendor/MSFT/AssignedAccess/Configuration.The OMA-URI for multi-app policy is ./Device/Vendor/MSFT/AssignedAccess/Configuration.

Überlegungen zur immersiven immersive Headsets in Windows Mixed RealityConsiderations for Windows Mixed Reality immersive headsets

Nach der Einführung von Mixed Reality-Geräten (Video-Link) möchten Sie möglicherweise Kioske zu erstellen, die Mixed Reality-Apps ausführen können.With the advent of mixed reality devices (video link), you might want to create a kiosk that can run mixed reality apps.

Um einen Multi-App-Kiosk zu erstellen, der Mixed Reality-Apps ausführen kann, müssen Sie die folgenden Apps der AllowedApps-Liste hinzufügen:To create a multi-app kiosk that can run mixed reality apps, you must include the following apps in the AllowedApps list:

<App AppUserModelId="MixedRealityLearning_cw5n1h2txyewy!MixedRealityLearning" />
<App AppUserModelId="HoloShell_cw5n1h2txyewy!HoloShell" />
<App AppUserModelId="Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy!App" />
<App AppUserModelId="Microsoft.MixedReality.Portal_8wekyb3d8bbwe!App" />

Diese existieren neben den Mixed Reality-Apps, die Sie zulassen.These are in addition to any mixed reality apps that you allow.

Vor der Anmeldung des Kiosk-Benutzers: Ein Administratorbenutzer muss sich am PC anmelden, sich mit dem Mixed Reality-Gerät verbinden und die schrittweise Anleitung für das Mixed Reality-Portal ausführen.Before your kiosk user signs in: An admin user must sign in to the PC, connect a mixed reality device, and complete the guided setup for the Mixed Reality Portal. Wenn das Mixed Reality-Portal zum ersten Mal eingerichtet wird, werden einige Dateien und Inhalte heruntergeladen.The first time that the Mixed Reality Portal is set up, some files and content are downloaded. Ein Kiosk-Benutzer ist nicht zum Herunterladen berechtigt und die Einrichtung des Mixed Reality-Portals würde fehl schlagen.A kiosk user would not have permissions to download and so their setup of the Mixed Reality Portal would fail.

Nachdem der Administrator die Installation abgeschlossen hat, kann sich das Kiosk-Konto anmelden und die Einrichtung wiederholen.After the admin has completed setup, the kiosk account can sign in and repeat the setup. Der Administratorbenutzer sollte die Kiosk-Benutzer-Installation abschließen, bevor er den PC für Mitarbeiter oder Kunden bereitstellt.The admin user may want to complete the kiosk user setup before providing the PC to employees or customers.

Es gibt ein Unterschied zwischen der Mixed Reality-Erfahrung für einen Kiosk-Benutzer und für andere Benutzer.There is a difference between the mixed reality experiences for a kiosk user and other users. Normalerweise, wenn ein Benutzer eine Verbindung zu einem Mixed Reality-Gerät erstellt, fängt er auf der Mixed Reality-Startseite an.Typically, when a user connects a mixed reality device, they begin in the Mixed Reality home. Die Mixed Reality-Startseite ist eine Shell, die im "Hintergrund" ausgeführt wird, wenn der PC als Kiosk konfiguriert wird.The Mixed Reality home is a shell that runs in "silent" mode when the PC is configured as a kiosk. Wenn ein Kiosk-Benutzer ein Mixed Reality-Gerät anschließt, sieht er nur eine leere Anzeige des Geräts und hat keinen Zugriff auf die Features und Funktionen der Startseite.When a kiosk user connects a mixed reality device, they will see only a blank display in the device, and will not have access to the features and functionality available in the home. Zum Ausführen einer Mixed Reality-App muss der Kiosk-Benutzer die App über den PC-Startbildschirm starten.To run a mixed reality app, the kiosk user must launch the app from the PC Start screen.

Richtlinien der Konfiguration des Multi-App-KioskPolicies set by multi-app kiosk configuration

Es wird nicht empfohlen, Richtlinien, die im Multi-App-Modus mit zugewiesenem Zugriff erzwungen werden verschiedene Werte zuzuweisen, da der Multi-App-Modus optimiert wurde, um eine Sperrung zu bieten.It is not recommended to set policies enforced in assigned access multi-app mode to different values using other channels, as the multi-app mode has been optimized to provide a locked-down experience.

Wenn die Konfiguration für mehrerer zugewiesene Apps auf dem Gerät angewendet wird, werden bestimmte Richtlinien systemweit erzwungen und wirken sich auf andere Benutzer auf dem Gerät aus.When the multi-app assigned access configuration is applied on the device, certain policies are enforced system-wide, and will impact other users on the device.

GruppenrichtlinienGroup Policy

Die folgenden lokalen Richtlinien wirken sich auf alle Benutzer des Systems ohne Administratorrechte aus, unabhängig davon, ob der Benutzer als ein Benutzer mit zugewiesenem Zugriff oder nicht konfiguriert ist.The following local policies affect all non-administrator users on the system, regardless whether the user is configured as an assigned access user or not. Dazu gehören lokale Benutzer und Domänenbenutzer sowie Azure Active Directory-Benutzer.This includes local users, domain users, and Azure Active Directory users.

EinstellungSetting WertValue
Zugriff auf die Kontextmenüs für die Taskleiste entfernenRemove access to the context menus for the task bar AktiviertEnabled
Beim Beenden die Liste der zuletzt geöffneten Dokumente leerenClear history of recently opened documents on exit AktiviertEnabled
Benutzer am Anpassen ihrer Startseite hindernPrevent users from customizing their Start Screen AktiviertEnabled
Deinstallieren von Anwendungen aus „Start“ durch Benutzer verhindernPrevent users from uninstalling applications from Start AktiviertEnabled
Liste „Alle Programme“ aus dem Startmenü entfernenRemove All Programs list from the Start menu AktiviertEnabled
Menüeintrag „Ausführen“ aus dem Startmenü entfernenRemove Run menu from Start Menu AktiviertEnabled
Sprechblasenbenachrichtigungen als Popupbenachrichtigungen anzeigenDisable showing balloon notifications as toast AktiviertEnabled
Anheften von Elementen an Sprunglisten nicht zulassenDo not allow pinning items in Jump Lists AktiviertEnabled
Kein Anheften von Programmen an die Taskleiste zulassenDo not allow pinning programs to the Taskbar AktiviertEnabled
Keine Elemente in Sprunglisten von Remotestandorten anzeigen oder nachverfolgenDo not display or track items in Jump Lists from remote locations AktiviertEnabled
Benachrichtigungen und Info-Center entfernenRemove Notifications and Action Center AktiviertEnabled
Alle Einstellungen für die Taskleiste sperrenLock all taskbar settings AktiviertEnabled
Taskleiste sperrenLock the Taskbar AktiviertEnabled
Benutzern das Hinzufügen oder Entfernen von Symbolleisten nicht erlaubenPrevent users from adding or removing toolbars AktiviertEnabled
Benutzern das Ändern der Größe der Taskleiste nicht erlaubenPrevent users from resizing the taskbar AktiviertEnabled
Liste häufig verwendeter Programme aus dem Startmenü entfernenRemove frequent programs list from the Start Menu AktiviertEnabled
Entfernen von "Netzwerklaufwerk zuordnung" und "Netzwerklaufwerk trennen"Remove ‘Map Network Drive’ and ‘Disconnect Network Drive’ AktiviertEnabled
Das Symbol für Sicherheit und Wartung entfernenRemove the Security and Maintenance icon AktiviertEnabled
Alle Sprechblasenbenachrichtigungen deaktivierenTurn off all balloon notifications AktiviertEnabled
Feature-Ankündigung via Sprechblasenbenachrichtigungen deaktivierenTurn off feature advertisement balloon notifications AktiviertEnabled
Popupbenachrichtigungen deaktivierenTurn off toast notifications AktiviertEnabled
Task-Manager entfernenRemove Task Manager AktiviertEnabled
Die Option „Kennwort ändern” von der Sicherheitsoptionen-Benutzeroberfläche entfernenRemove Change Password option in Security Options UI AktiviertEnabled
Die Option „Abmelden” von der Sicherheitsoptionen-Benutzeroberfläche entfernenRemove Sign Out option in Security Options UI AktiviertEnabled
Liste „Alle Programme“ aus dem Startmenü entfernenRemove All Programs list from the Start Menu Aktiviert – Einstellung entfernen und deaktivierenEnabled – Remove and disable setting
Zugriff auf Laufwerke vom Arbeitsplatz verhindernPrevent access to drives from My Computer Aktiviert – Alle Laufwerke beschränkenEnabled - Restrict all drivers

Hinweis

Wenn die Option Zugriff auf Laufwerke vom Arbeitsplatz verhindern aktiviert ist, können Benutzer die Verzeichnisstruktur im Datei-Explorer durchsuchen, aber keine Ordner öffnen und auf den Inhalt zugreifen.When Prevent access to drives from My Computer is enabled, users can browse the directory structure in File Explorer, but they cannot open folders and access the contents. Darüber hinaus können sie nicht das Dialogfeld Ausführen oder Netzlaufwerk zuordnen verwenden, um die Verzeichnisse auf diesen Laufwerken anzuzeigen.Also, they cannot use the Run dialog box or the Map Network Drive dialog box to view the directories on these drives. Die Symbole, die die angegebenen Laufwerke darstellen, werden weiterhin im Datei-Explorer angezeigt, aber wenn Benutzer auf die Symbole doppelklicken, wird eine Meldung angezeigt, in der erklärt wird, dass eine Einstellung die Aktion verhindert.The icons representing the specified drives still appear in File Explorer, but if users double-click the icons, a message appears explaining that a setting prevents the action. Diese Einstellung verhindert nicht, dass Benutzer Programme für den Zugriff auf lokale und Netzwerklaufwerke verwenden.This setting does not prevent users from using programs to access local and network drives. Es wird nicht verhindert, dass Benutzer das Datenträgerverwaltungs-Snap-In- zur Anzeige und Ändern der Eigenschaften des Laufwerks verwenden.It does not prevent users from using the Disk Management snap-in to view and change drive characteristics.

MDM-RichtlinieMDM policy

Einige der MDM-Richtlinien auf der Grundlage der Konfigurationsdienstanbieter (CSP) wirken sich auf alle Benutzer des Systems aus (d.h. systemübergreifend).Some of the MDM policies based on the Policy configuration service provider (CSP) affect all users on the system (i.e. system-wide).

EinstellungSetting WertValue SystemübergreifendSystem-wide
Experience/AllowCortanaExperience/AllowCortana 0 - Nicht zulässig0 - Not allowed JaYes
Start/AllowPinnedFolderDocumentsStart/AllowPinnedFolderDocuments 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App0 - Shortcut is hidden and disables the setting in the Settings app JaYes
Start/AllowPinnedFolderDownloadsStart/AllowPinnedFolderDownloads 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App0 - Shortcut is hidden and disables the setting in the Settings app JaYes
Start/AllowPinnedFolderFileExplorerStart/AllowPinnedFolderFileExplorer 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App0 - Shortcut is hidden and disables the setting in the Settings app JaYes
Start/AllowPinnedFolderHomeGroupStart/AllowPinnedFolderHomeGroup 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App0 - Shortcut is hidden and disables the setting in the Settings app JaYes
Start/AllowPinnedFolderMusicStart/AllowPinnedFolderMusic 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App0 - Shortcut is hidden and disables the setting in the Settings app JaYes
Start/AllowPinnedFolderNetworkStart/AllowPinnedFolderNetwork 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App0 - Shortcut is hidden and disables the setting in the Settings app JaYes
Start/AllowPinnedFolderPersonalFolderStart/AllowPinnedFolderPersonalFolder 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App0 - Shortcut is hidden and disables the setting in the Settings app JaYes
Start/AllowPinnedFolderPicturesStart/AllowPinnedFolderPictures 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App0 - Shortcut is hidden and disables the setting in the Settings app JaYes
Start/AllowPinnedFolderSettingsStart/AllowPinnedFolderSettings 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App0 - Shortcut is hidden and disables the setting in the Settings app JaYes
Start/AllowPinnedFolderVideosStart/AllowPinnedFolderVideos 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App0 - Shortcut is hidden and disables the setting in the Settings app JaYes
Start/DisableContextMenusStart/DisableContextMenus 1 – Kontextmenüs werden für Start-Apps ausgeblendet1 - Context menus are hidden for Start apps NeinNo
Start/HidePeopleBarStart/HidePeopleBar 1 – "True" (ausblenden)1 - True (hide) NeinNo
Start/HideChangeAccountSettingsStart/HideChangeAccountSettings 1 – "True" (ausblenden)1 - True (hide) JaYes
WindowsInkWorkspace/AllowWindowsInkWorkspaceWindowsInkWorkspace/AllowWindowsInkWorkspace 0 – Zugriff auf Ink-Arbeitsbereich ist deaktiviert und das Feature ist deaktiviert0 - Access to ink workspace is disabled and the feature is turned off JaYes
Start/StartLayoutStart/StartLayout Hängt von der Konfiguration abConfiguration dependent NeinNo
WindowsLogon/DontDisplayNetworkSelectionUIWindowsLogon/DontDisplayNetworkSelectionUI <Aktiviert/><Enabled/> JaYes

Provision .lnk-Dateien verwenden den Windows-Konfigurations-DesignersProvision .lnk files using Windows Configuration Designer

Erstellen Sie zunächst die Verknüpfungsdatei Ihrer Desktop-App, indem Sie die App auf einem Testgerät unter Verwendung des Standardinstallationsspeicherorts installieren.First, create your desktop app's shortcut file by installing the app on a test device, using the default installation location. Klicken Sie mit der rechten Maustaste auf die installierte Anwendung, und wählen Sie Senden an > Desktop (Verknüpfung erstellen) aus.Right-click the installed application, and choose Send to > Desktop (create shortcut). Benennen Sie die Verknüpfung um inRename the shortcut to <appName>.lnk

Als Nächstes erstellen Sie eine Batchdatei mit zwei Befehlen.Next, create a batch file with two commands. Wenn die Desktop-App bereits auf dem Zielgerät installiert ist, überspringen Sie den ersten Befehl für die Installation von MSI.If the desktop app is already installed on the target device, skip the first command for MSI install.

msiexec /I "<appName>.msi" /qn /norestart
copy <appName>.lnk "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\<appName>.lnk"

Im Windows Configuration Designer, unter ProvisioningCommands > DeviceContext:In Windows Configuration Designer, under ProvisioningCommands > DeviceContext:

  • Laden Sie unter CommandFilesdie Batchdatei, die LNK-Datei und die Desktop-App-Installationsdatei hoch.Under CommandFiles, upload your batch file, your .lnk file, and your desktop app installation file.

    Wichtig

    Fügen Sie den vollständigen Dateipfad in die LNK-Datei in das Feld CommandFiles ein.Paste the full file path to the .lnk file in the CommandFiles field. Wenn Sie zu der Datei ".lnk" navigieren und diese auswählen, wird der Dateipfad in den Pfad des Ziels von .lnk geändert.If you browse to and select the .lnk file, the file path will be changed to the path of the target of the .lnk.

  • Geben Sie unter CommandLine cmd /c *FileName*.bat ein.Under CommandLine, enter cmd /c *FileName*.bat.

Andere MethodenOther methods

Umgebungen, die WMI verwenden, können den MDM-Bridge-WMI-Anbieter verwenden, um einen Kiosk zu konfigurieren.Environments that use WMI can use the MDM Bridge WMI Provider to configure a kiosk.