Einrichten eines Kiosks mit mehreren Apps

Betrifft

  • Windows 10 Pro, Enterprise und Education

Ein Kioskgerät führt in der Regel eine einzelne App aus, wobei Benutzern der Zugriff auf alle Features oder Funktionen auf dem Gerät außerhalb der Kiosk-App verhindert wird. In Windows 10, Version 1709, wurde der AssignedAccess-Konfigurationsdienstanbieter (CSP) erweitert, um es Administratoren einfach zu machen, Kiosks zu erstellen, die mehr als eine APP ausführen. Der Vorteil eines Kiosks, auf dem nur eine oder mehrere angegebene apps ausgeführt werden, besteht darin, eine einfach zu verstehende Benutzeroberfläche für einzelne Personen bereitzustellen, indem Sie nur die für Sie erforderlichen Elemente vor sich sehen, und die Elemente, die Sie nicht benötigen, für den Zugriff aus ihrer Ansicht entfernen.

In der folgenden Tabelle sind die Änderungen an einem Multi-App-Kiosk in den letzten Updates aufgeführt.

Neue Features und Verbesserungen In Update
– Konfigurieren eines einzelnen App-Kiosk Profils in Ihrer XML-Datei

-Zuweisen von Gruppenkonten zu einem Konfigurationsprofil

-Konfigurieren eines Kontos für die automatische Anmeldung
Windows10, Version1803
-Explizites Zulassen einiger bekannter Ordner, wenn der Benutzer die Datei öffnet (Dialogfeld )

- Automatisches Starten einer APP , wenn sich der Benutzer anmeldet

– Konfigurieren eines Anzeigenamens für das Autologon-Konto
Windows10, Version1809

Wichtig: Wenn Sie in Windows 10, Version 1809, freigegebene Features verwenden möchten, stellen http://schemas.microsoft.com/AssignedAccess/201810/configSie sicher, dass Ihre XML-Datei verweist.

Warnung

Das Feature mit zugewiesenem Zugriff ist für unternehmenseigene Geräte mit festem Zweck gedacht wie z.B. Kioske. Wenn die Konfiguration für mehrerer zugewiesene Apps auf dem Gerät angewendet wird, werden bestimmte Richtlinien systemweit erzwungen und wirken sich auf andere Benutzer auf dem Gerät aus. Beim Löschen der Kiosk-Konfiguration werden die zugewiesenen Access-Lockdown-Profile entfernt, die den Benutzern zugeordnet sind, aber nicht alle erzwungenen Richtlinien (wie Start Layout) werden zurückgesetzt. Ein Zurücksetzen auf die Werkseinstellungen ist erforderlich, um alle Richtlinien, die über den zugewiesenen Zugriff erzwungen wurden, zu löschen.

Sie können mithilfe von Microsoft Intune oder eines Bereitstellungspakets Kioske mehrere Apps konfigurieren.

Tipp

Überprüfen Sie unbedingt die Konfigurationsempfehlungen , bevor Sie Ihren Kiosk einrichten.

Konfigurieren eines Kiosks in Microsoft Intune

Informationen zum Konfigurieren eines Kiosks in Microsoft InTune finden Sie unter unter Windows 10 und Windows holographische Geräteeinstellungen für Unternehmen, die mithilfe von InTune als dedizierter Kiosk ausgeführtwerden. Erläuterungen zu den spezifischen Einstellungen finden Sie unter Geräteeinstellungen für Windows 10 und höher, die als Kiosk in InTune ausgeführt werden.

Konfigurieren eines Kiosks mittels eines Bereitstellungspakets

Verfahren:

  1. Erstellen einer XML-Datei
  2. Hinzufügen der XML-Datei zu Bereitstellungspaketen
  3. Anwenden von Bereitstellungspaketen auf das Gerät

Sehen Sie sich an, wie Sie mithilfe eines Bereitstellungspakets einen Kiosk mit mehreren Apps konfigurieren.

Wenn Sie kein Bereitstellungspaket verwenden möchten, können Sie die XML-Konfigurationsdatei durch die Verwaltung mobiler Geräte (MDM) bereitstellen oder Sie können zugewiesenen Zugriff über die MDM-WMI-Brückenanbieter konfigurieren.

Voraussetzungen

  • Windows-Konfigurations-Designer (Windows 10, Version 1709 oder höher)
  • Auf dem Kiosk Gerät muss Windows 10 (S, pro, Enterprise oder Education), Version 1709 oder höher, ausgeführt werden.

Hinweis

Für Geräte mit Versionen von Windows10 vor der Version 1709 können Sie AppLocker-Regeln erstellen, um einen Kiosk mit mehreren Apps zu konfigurieren.

Erstellen einer XML-Datei

Betrachten wir zunächst die grundlegende Struktur der XML-Datei.

  • Eine XML-Konfigurationsdatei kann mehrere Profile definieren. Jedes Profil hat eine eindeutige ID und einen Satz von Anwendungen, die ausgeführt werden können, ob die Taskleiste sichtbar ist, und die ein benutzerdefiniertes Startlayout enthalten können.

  • Eine XML-Konfigurationsdatei kann mehrere Config-Abschnitte enthalten. Jeder Config-Abschnitt ordnet einer Standardprofil-ID ein Benutzerkonto ohne Administratorrechte zu.

  • Es kann mehreren Config-Abschnitten das gleiche Profil zugeordnet werden.

  • Ein Profil hat keine Auswirkung, wenn es nicht einem Config-Abschnitt zugeordnet ist.

    Profil = App und Config = Konto

Sie können mit Ihrer Datei beginnen, indem Sie den folgenden XML-Code (oder andere Beispiele in diesem Thema) in einen Text- oder XML-Editor einfügen und die Datei als „Dateiname.xml“ speichern. Jeder Abschnitt der XML-Datei wird in diesem Thema erläutert. Sie können eine vollständige Beispiel Version in der zugewiesenen Access-XML-Referenz sehen.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration 
    xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config"
    >
    <Profiles>
        <Profile Id="">
            <AllAppsList>
                <AllowedApps/>
            </AllAppsList>         
            <StartLayout/>
            <Taskbar/>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <Account/>
            <DefaultProfile Id=""/>
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Profil

Es gibt zwei Arten von Profilen, die Sie in der XML-Datei angeben können:

  • Lockdown-Profil: Benutzern, denen ein Lockdown-Profil zugewiesen ist, wird der Desktop im Tablet-Modus mit den spezifischen apps auf dem Start Bildschirm angezeigt.
  • Kiosk-Profil: neu in Windows 10, Version 1803, ersetzt dieses Profil den KioskModeApp-Knoten des AssignedAccess-CSP. Benutzern, denen ein Kiosk-Profil zugewiesen ist, wird der Desktop nicht angezeigt, sondern nur die Kiosk-APP, die im Vollbildmodus ausgeführt wird.

Ein Lockdown-Profil Abschnitt in der XML-Datei enthält die folgenden Einträge:

Ein Kiosk-Profil in der XML-Datei enthält die folgenden Einträge:

ID

Die Profil-ID ist ein GUID-Attribut, um das Profil eindeutig zu identifizieren. Sie können das GUID mit einem GUID-Generator erstellen. Die GUID muss innerhalb dieser XML-Datei eindeutig sein.

<Profiles>
  <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">…</Profile>
</Profiles>
AllowedApps

AllowedApps ist eine Liste der Anwendungen, die ausgeführt werden dürfen. Apps können UWP-Apps (universelle Windows-Plattform) oder Windows-Desktopanwendungen sein. In Windows 10, Version 1809, können Sie eine einzelne APP in der AllowedApps -Liste so konfigurieren, dass Sie automatisch ausgeführt wird, wenn sich das zugewiesene Access-Benutzerkonto anmeldet.

  • Für UWP-Apps müssen Sie die Anwendungsbenutzermodell-ID (AUMID) angeben. Erfahren Sie, wie Sie die AUMID ermitteln oder erhalten Sie die AUMID vom XML-Startlayout.
  • Für Desktop-Apps müssen Sie den vollständigen Pfad der ausführbaren Datei angeben, die eine oder mehrere Systemumgebungsvariablen in Form von % VariableName % (d.h. "SystemRoot%", "% windir%") enthalten können.
  • Wenn eine APP eine Abhängigkeit von einer anderen APP aufweist, müssen beide in der Liste der zulässigen Apps enthalten sein. Beispielsweise hat Internet Explorer 64-Bit eine Abhängigkeit von Internet Explorer 32-Bit, sodass Sie sowohl "c:\Program c:\Programme\Internet Explorer\IEXPLORE.exe" als auch "c:\Program Files (x86) \Internet Explorer\iexplore.exe" zulassen müssen.
  • Wenn Sie eine einzelne APP so konfigurieren möchten, dass Sie automatisch gestartet wird, rs5:AutoLaunch="true" wenn sich der Benutzer anmeldet, fügen Sie nach dem AUMID oder Pfad ein. Sie können auch Argumente einbeziehen, die an die APP übergeben werden. Ein Beispiel finden Sie im AllowedApps-Beispiel XML.

Wenn die Kiosk-Konfiguration für mehrere Apps auf einem Gerät angewendet wird, werden AppLocker-Regeln generiert, um die Apps in der Konfiguration zuzulassen. Hier sind die vordefinierten zugewiesenen AppLocker-Zugriffsregeln für UWP-Apps:

  1. Die Standardregel ist, dass alle Benutzer die signierten Paket-Apps starten können.
  2. Die Paket-App-Verweigerungsliste wird zur Laufzeit generiert, wenn sich der Benutzer mit zugewiesenem Zugriff anmeldet. Basierend auf den installierten/bereitgestellten Paket-Apps, die für das Benutzerkonto zur Verfügung stehen, generiert der zugewiesene Zugriff die Verweigerungsliste. Diese Liste schließt standardmäßig die zulässigen mitgelieferten Paket-Apps aus, die wichtig sind, damit das System funktioniert und schließt dann die zulässigen Pakete aus, die Unternehmen in der Konfiguration des zugewiesene Zugriffs definiert haben. Wenn mehrere Apps innerhalb des gleichen Pakets vorhanden sind, werden diese Apps ausgeschlossen. Diese Verweigerungsliste wird verwendet, um zu verhindern, dass der Benutzer Zugriff auf die Apps erhält, die derzeit für den Benutzer verfügbar sind, jedoch nicht in der zugelassenen Liste aufgeführt sind.

    Hinweis

    Sie können keine AppLocker-Regeln verwalten, die von der Konfiguration des Multi-App-Kiosks in MMC-Snap-Ins generiert werden. Vermeiden Sie das Erstellen von AppLocker-Regeln, die in Konflikt mit AppLocker-Regeln stehen, die von der Multi-App Kiosk-Konfiguration generiert werden.

    Die Kiosk-Methode für mehrere Apps blockiert nicht das Unternehmen oder die Benutzer, UWP-Apps zu installieren. Wenn während der aktuellen Sitzung des Benutzers mit zugewiesenem Zugriff eine neue UWP-App installiert wird, ist diese App nicht in der Verweigerungsliste enthalten. Wenn der Benutzer sich abmeldet und erneut anmeldet, wird die App in die Verweigerungsliste mit aufgenommen. Wenn dies eine im Unternehmen bereitgestellte Branchen-App ist und Sie die Ausführung zulassen möchten, aktualisieren Sie die Konfiguration des zugewiesene Zugriffs, um sie in die Liste der zulässigen Apps aufzunehmen.

Hier sind die vordefinierten zugewiesenen AppLocker-Zugriffsregeln für Desktop-Apps:

  1. Die Standardregel ist, allen Benutzer, die mit Microsoft Certificate signiert werden, zu erlauben, Desktop Programme zu starten damit das System startet und funktioniert. Die Regel ermöglicht ebenfalls der Admin-Benutzergruppe, alle Desktop-Programme zu starten.
  2. Es gibt eine vordefinierte Verweigerungsliste für integrierte Desktop-Apps für das Benutzerkonto mit dem zugewiesenen Zugriff, und diese Verweigerungsliste wird basierend auf der Desktop-App-Liste angepasst, die Sie in der Konfiguration der Multi-App definiert haben.
  3. Die vom Unternehmen festgelegte Liste der zugelassenen Apps werden der zugelassenen AppLocker-Liste hinzugefügt.

Im folgenden Beispiel können Groove-Musik, Filme #a0 TV-, Fotos-, Wetter-, Taschenrechner-, Paint-und Notepad-apps auf dem Gerät ausgeführt werden, wobei Notepad so konfiguriert 123.text ist, dass eine Datei, die beim Anmelden des Benutzers aufgerufen wird, automatisch gestartet und erstellt wird.

xml <AllAppsList> <AllowedApps> <App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" /> <App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" /> <App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" /> <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" /> <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" /> <App DesktopAppPath="%windir%\system32\mspaint.exe" /> <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="123.txt"/> </AllowedApps> </AllAppsList>

FileExplorerNamespaceRestrictions

Ab Windows 10, Version 1809, können Sie explizit zulassen, dass auf einige bekannte Ordner zugegriffen wird, wenn der Benutzer versucht, das Dialogfeld "Datei" in einer Multi-APP zu öffnen, der der Zugriff zugeordnet ist, indem Sie FileExplorerNamespaceRestrictions in Ihre XML-Datei einbeziehen. Derzeit ist Downloads der einzige unterstützte Ordner.

Im folgenden Beispiel wird gezeigt, wie der Benutzer Zugriff auf den Ordner "Downloads" im Dialogfeld "allgemeine Datei" ermöglicht wird.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config"
>     <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    ...
                </AllowedApps>
            </AllAppsList>
            <rs5:FileExplorerNamespaceRestrictions>
                <rs5:AllowedNamespace Name="Downloads"/>
            </rs5:FileExplorerNamespaceRestrictions>
            <StartLayout>
                ...
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile> 
    </Profiles>
</AssignedAccessConfiguration>
StartLayout

Nachdem Sie die Liste der zugelassenen Anwendungen definiert haben, können Sie das Startlayout für Ihre Kiosk-Erfahrung anpassen. Sie können alle zugelassenen Apps auf dem Startbildschirm anheften oder nur einen Teil, je nachdem, ob sie möchten, dass der Benutzer auf diese direkt vom Startbildschirm zugreifen kann.

Die einfachste Methode zum Erstellen eines angepassten Startlayouts für andere Windows 10-Geräte besteht darin, den Startbildschirm auf einem Testgerät einzurichten und das Layout zu exportieren. Ausführliche Schritte finden Sie unter Anpassen und Exportieren des Startlayouts.

Folgendes ist zu beachten:

  • Das Testgerät, auf dem Sie das Startseitenlayout anpassen, muss die gleiche Betriebssystemversion haben, die auf dem Gerät installiert ist, auf dem Sie die Konfiguration für mehrere zugewiesene Apps bereitstellen möchten.
  • Da die Erfahrung für mehrere zugewiesene Apps für Geräte mit festem Zweck vorgesehen ist, verwenden Sie die vollständige Start-Layoutoption anstelle des Teil-Startlayout, um sicherzustellen, dass die Gerätefunktionen einheitlich und vorhersagbar sind.
  • Es sind keine Apps auf der Taskleiste im Modus mit mehreren Apps angeheftet, und das Konfigurieren des Taskleisten-Layouts mit <CustomTaskbarLayoutCollection>-Tag in einer Layoutänderungs-XML wird nicht als Teil der Konfiguration des zugewiesenen Zugriffs unterstützt.
  • Im folgende Beispiel wird DesktopApplicationLinkPath zum Anheften der Desktop-App an das Startmenü verwendet. Wenn die Desktop-App nicht über eine Verknüpfung auf dem Zielgerät verfügt Erfahren Sie, wie Sie lnk-Dateien mit dem Windows-Konfigurations-Designer bereitstellen.

Im folgenden Beispiel werden Groove-Musik, Filme & TV, Fotos, Wetter, Rechner, Paint und Editor-Apps an die Startseite geheftet.

<StartLayout>
        <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Group1">
                              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
                              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
                              <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
                              <start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
                            </start:Group>
                            <start:Group Name="Group2">
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk" />
                              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
</StartLayout>

Hinweis

Wenn eine App nicht für den Benutzer installiert ist, aber in der Startlayout-XML enthalten ist, wird die App nicht auf dem Startbildschirm angezeigt.

So sieht der Startbildschirm aus, wenn das XML-Beispiel angewendet wird

Taskleiste

Definieren Sie, ob die Taskleiste auf dem Kioskgerät vorhanden sein soll. Für Tablet-basierte oder All-in-One-Kiosks mit Fingereingabe können Sie die Taskleiste als Teil der Multi-App-Erfahrung ausblenden, wenn Sie eine Tastatur und Maus anschließen möchten.

Im folgende Beispiel wird die Taskleiste für den Benutzer verfügbar gemacht:

<Taskbar ShowTaskbar="true"/>

Im folgenden Beispiel wird die Taskleiste ausgeblendet:

<Taskbar ShowTaskbar="false"/>

Hinweis

Dies unterscheidet sich von der Option Automatisches Ausblenden der Taskleiste im Tablet-Modus, in dem die Taskleiste angezeigt wird, wenn Sie unteren Bildschirmrand nach oben Wischen oder den Mauszeiger darauf zeigen. Das Festlegen von ShowTaskbar als False blendet die Taskleiste immer aus.

KioskModeApp

KioskModeApp wird nur für ein Kiosk-Profil verwendet. Geben Sie den AUMID für eine einzelne APP ein. In der XML-Datei können Sie nur ein Kiosk-Profil angeben.

<KioskModeApp AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"/>

Wichtig

Das Kiosk-Profil ist für öffentlich zugängliche Kiosk Geräte konzipiert. Wir empfehlen, ein lokales, nicht-Administratorkonto zu verwenden. Wenn das Gerät mit Ihrem Unternehmensnetzwerk verbunden ist, kann die Verwendung eines Domänen-oder Azure Active Directory-Kontos potenziell vertrauliche Informationen gefährden.

Configs

Definieren Sie unter Configs, welches Konto dem Profil zugeordnet werden soll. Wenn sich dieses Anwenderkonto auf dem Gerät anmeldet, wird das mit dem zugewiesenen Zugriff zugeordnete Profil erzwungen, einschließlich der zulässigen Apps, dem Start-Layout und der Taskleistenkonfiguration, sowie anderen lokalen Gruppenrichtlinien oder Richtlinien für die mobile Geräteverwaltung (Mobile Device Management, MDM), die Teil der Multi-App-Erfahrung sind.

Die Erfahrung für mehrere zugewiesene Apps funktioniert jedoch nur für Benutzer ohne Administratorrechte. Sie wird nicht unterstützt, um einen Administrator mit dem zugewiesenen Zugriffsprofil zuzuordnen. Wenn Sie dies in der XML-Datei ausführen, führt es zu unerwarteten/nicht unterstützten Erfahrungen, wenn sich der Administratorbenutzer anmeldet.

Sie können Folgendes zuweisen:

Hinweis

Für configs, die Gruppenkonten angeben, kann kein Kiosk-Profil, sondern nur ein Lockdown-Profil verwendet werden. Wenn eine Gruppe für ein Kiosk-Profil konfiguriert ist, lehnt der CSP die Anforderung ab.

Config für das AutoLogon-Konto

Wenn Sie die <AutoLogonAccount> Konfiguration verwenden und auf ein Gerät angewendet wird, wird das angegebene Konto (verwaltet durch zugewiesener Zugriff) auf dem Gerät als lokales Standardbenutzerkonto erstellt. Das angegebene Konto wird nach dem Neustart automatisch angemeldet.

Im folgenden Beispiel wird gezeigt, wie ein Konto für die automatische Anmeldung angegeben wird.

<Configs>
  <Config>
    <AutoLogonAccount/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs> 

In Windows 10, Version 1809, können Sie den Anzeigenamen konfigurieren, der angezeigt wird, wenn sich der Benutzer anmeldet. Im folgenden Beispiel wird gezeigt, wie Sie ein Autologon-Konto erstellen, das den Namen "Hello World" anzeigt.

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Hello World"/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

Auf Domänen verbundenen Geräten werden die lokalen Benutzerkonten standardmäßig nicht auf dem Anmeldebildschirm angezeigt. Wenn Sie die AutoLogonAccount auf dem Anmeldebildschirm anzeigen möchten, aktivieren Sie die folgende Gruppenrichtlinieneinstellung: Computer Konfiguration #a0 administrative Vorlagen #a1 System #a2 Logon #a3 lokale Benutzer auf einem Computer mit Domänenbeitrittauflisten. (Die entsprechende MDM-Richtlinieneinstellung ist WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers im Richtlinien-CSP.)

Wichtig

Wenn die Kennworteinschränkungen von Exchange Active Sync (EAS) auf dem Gerät aktiviert sind, funktioniert das Feature "Autologon" nicht. Dieses Verhalten ist entwurfsbedingt. Weitere Informationen finden Sie unter Aktivieren der automatischen Anmeldung in Windows.

Konfiguration für einzelne Konten

Einzelne Konten werden mit <Account>angegeben.

  • Das lokale Konto kann als machinename\account oder .\account oder einfach nur als account eingegeben werden.
  • Das Domänenkonto muss als domain\account angegeben werden.
  • Das Azure AD-Konto muss in folgendem Format angegeben werden:t: AzureAD\{email address}. AzureAD muss „WIE BESEHEN“ bereitgestellt (wenn es ein fester Domänenname ist), und dann die Azure AD-E-Mail-Adresse aufführen, z.B. AzureAD\jemand@contoso.onmicrosoft.com.

Warnung

Der zugewiesene Zugriff kann über WMI- oder CSP zur Ausführung der Anwendung unter einem Domänenbenutzer oder -Dienstkonto konfiguriert werden, anstelle eines lokalen Kontos. Das Verwenden von Domänenbenutzer- oder Dienstkonten bietet Risiken, dass ein Angreifer die Anwendung mit zugewiesenem Zugriff unterwandert und Zugriff auf vertrauliche Domänenressourcen unter Umständen erhält, die versehentlich für alle Domänenkonten offen geblieben sind. Es wird empfohlen, dass Kunden vorsichtig sind, wenn Sie Domänenkonten mit zugewiesenem Zugriff verwenden, und Domänenressourcen durch die Entscheidung eventuell ausgesetzt werden.

Vor dem Anwenden der Konfiguration mit mehreren Apps, stellen Sie sicher, dass das angegebene Konto auf dem Gerät verfügbar ist, da es andernfalls nicht ausgeführt werden kann.

Hinweis

Für sowohl Domänen- als auch Azure AD-Konten ist es nicht erforderlich, dass das Gerät explizit als Zielkonto hinzugefügt wird. Solange das Gerät in AD oder Azure AD eingebunden ist, kann das Konto in der Domänengesamtstruktur oder im Mandanten ermittelt werden, zu dem das Gerät gehört. Für lokale Konten ist es erforderlich, dass das Konto vorhanden ist, bevor Sie das Konto für einen zugewiesenen Zugriff konfigurieren.

<Configs>
  <Config>
    <Account>MultiAppKioskUser</Account>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs> 
Konfiguration für Gruppenkonten

Gruppenkonten werden mit <UserGroup>angegeben. Geschachtelte Gruppen werden nicht unterstützt. Wenn beispielsweise Benutzer a Mitglied von Gruppe 1 ist, Gruppe 1 Mitglied von Gruppe 2 und Gruppe 2 in <Config/>verwendet wird, hat Benutzer a nicht die Erfahrung mit dem Kiosk.

  • Lokale Gruppe: Geben Sie den Gruppentyp als lokale Gruppe an, und setzen Sie den Gruppennamen in Name-Attribut. Für alle Azure Ad-Konten, die der lokalen Gruppe hinzugefügt werden, werden die Kiosk Einstellungen nicht angewendet.

    <Config> 
      <UserGroup Type="LocalGroup" Name="mygroup" /> 
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> 
    </Config> 
    
  • Domänengruppe: beide Sicherheits-und Verteilergruppen werden unterstützt. Geben Sie den Gruppentyp alsActiveDirectoryGroup an. Verwenden Sie den Domänennamen als Präfix im Name-Attribut.

    <Config> 
      <UserGroup Type="ActiveDirectoryGroup" Name="mydomain\mygroup" /> 
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> 
    </Config> 
    
  • Azure Ad-Gruppe: Verwenden Sie die Gruppenobjekt-ID aus dem Azure-Portal, um die Gruppe im Name-Attribut eindeutig zu identifizieren. Sie finden die Objekt-ID auf der Übersichtsseite für die Gruppe in Benutzer und Gruppen > alle Gruppen. Geben Sie den Gruppentyp als AzureActiveDirectoryGroupan. Das Kiosk Gerät muss über eine Internetverbindung verfügen, wenn Benutzer, die zur Gruppe gehören, sich anmelden.

    <Config> 
      <UserGroup Type="AzureActiveDirectoryGroup" Name="a8d36e43-4180-4ac5-a627-fb8149bba1ac" /> 
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> 
    </Config> 
    

    Hinweis

    Wenn eine Azure Ad-Gruppe mit einem Lockdown-Profil auf einem Gerät konfiguriert ist, muss ein Benutzer in der Azure Ad-Gruppe sein Kennwort ändern (nachdem das Konto mit dem Standardkennwort auf dem Portal erstellt wurde), bevor Sie sich bei diesem Gerät anmelden können. Wenn der Benutzer das Standardkennwort für die Anmeldung beim Gerät verwendet, wird der Benutzer sofort abgemeldet.

Hinzufügen der XML-Datei zu Bereitstellungspaketen

Bevor Sie die XML-Datei zu einem Bereitstellungspaket hinzufügen, können Sie Ihre XML-Konfigurationsdatei gegen die XSD überprüfen.

Erstellen Sie ein Bereitstellungspaket mit Windows-Konfigurations-Designer. Erfahren Sie, wie Sie Windows-Konfigurations-Designer installieren.

Wichtig

Wenn Sie ein Bereitstellungspaket erstellen, können Sie vertrauliche Informationen in die Projektdateien und die Bereitstellungspaketdatei (PPKG-Datei) aufnehmen. Obwohl Sie die PPKG-Datei verschlüsseln können, werden die Projektdateien nicht verschlüsselt. Sie sollten die Projektdateien an einem sicheren Ort speichern und löschen, wenn sie nicht mehr benötigt werden.

  1. Öffnen Sie Windows-Konfigurations-Designer (standardmäßig unter %systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe).

  2. Wählen Sie Erweiterte Bereitstellung.

  3. Benennen Sie das Projekt und klicken Sie auf Weiter.

  4. Wählen Sie All Windows desktop editions, und klicken Sie auf Weiter.

  5. Klicken Sie unter Neues Projekt auf Fertig stellen. Der Arbeitsbereich für Ihr Paket wird geöffnet.

  6. Erweitern Sie Laufzeiteinstellungen > AssignedAccess und klicken Sie dann auf > MultiAppAssignedAccessSettings.

  7. Klicken Sie im mittleren Bereich auf Durchsuchen, um die Konfiguration des zugewiesene Zugriffs zu suchen und auszuwählen.

    Screenshot des Felds MultiAppAssignedAccessSettings im Windows-Konfigurations-Designer

  8. (Optional: Wenn Sie das Bereitstellungspaket nach der anfänglichen Geräteinstallation anwenden möchten, und bereits ein Administratorbenutzer auf dem Kioskgerät existiert, überspringen Sie diesen Schritt.) Erstellen Sie ein Benutzerkonto in Laufzeiteinstellungen > Konten > Benutzer **. Geben Sie einen **Benutzername und Kennwort ein, und wählen Sie UserGroup als Administrator aus. Mit diesem Konto können Sie den Bereitstellungsstatus und Protokolle bei Bedarf anzeigen.

  9. (Optional: Wenn Sie bereits ein Konto ohne Administratorrechte auf dem Kioskgerät haben, überspringen Sie diesen Schritt.) Erstellen Sie ein lokales Standardbenutzerkonto unter Laufzeiteinstellungen > Konten > Benutzer. Stellen Sie sicher, dass der Benutzername mit dem Konto identisch ist, das Sie in der XML-Konfigurationsdatei angeben. Wählen Sie UserGroup als Standardbenutzer aus.

  10. Wählen Sie im Menü Datei die Option Speichern aus.

  11. Wählen Sie im Menü Exportieren die Option Bereitstellungspaketaus.

  12. Ändern Sie Owner in IT Admin. Dadurch erhält dieses Bereitstellungspaket Vorrang gegenüber Bereitstellungspaketen, die aus anderen Quellen auf dieses Gerät angewendet werden. Wählen Sie anschließend Weiter aus.

  13. Optional. Im Fenster Provisioning package security können Sie das Paket verschlüsseln und die Paketsignierung aktivieren.

    • Paketverschlüsselung aktivieren – Wenn Sie diese Option auswählen, wird ein automatisch generiertes Kennwort auf dem Bildschirm angezeigt.

    • Paketsignierung aktivieren – Wenn Sie diese Option auswählen, müssen Sie ein gültiges Zertifikat zum Signieren des Pakets auswählen. Sie können das Zertifikat angeben, indem Sie auf Durchsuchen klicken und das Zertifikat zum Signieren des Pakets auswählen.

  14. Klicken Sie auf Weiter , um den Ausgabespeicherort anzugeben, an dem das Bereitstellungspaket nach dem Erstellen gespeichert werden soll. Standardmäßig verwendet der Windows-Designer für die Imageerstellung und -konfiguration (Imaging and Configuration Designer, ICD) den Projektordner als Ausgabespeicherort.

    Klicken Sie optional auf Durchsuchen , um den Standardausgabespeicherort zu ändern.

  15. Klicken Sie auf Weiter.

  16. Klicken Sie auf Erstellen , um mit der Paketerstellung zu beginnen. Die Erstellung eines Bereitstellungspakets dauert nicht lange. Die Projektinformationen werden auf der Buildseite angezeigt, und die Statusanzeige gibt den Buildstatus an.

    Wenn Sie den Build abbrechen müssen, klicken Sie auf Abbrechen. Dadurch wird der aktuelle Buildprozess abgebrochen, der Assistent geschlossen und wieder die Customizations Pageangezeigt.

  17. Falls der Build nicht erfolgreich verläuft, wird eine Fehlermeldung mit einem Link zum Projektordner angezeigt. Sie können die Fehlerursache anhand der Protokolle ermitteln. Nachdem Sie das Problem behoben haben, versuchen Sie, das Paket erneut zu erstellen.

    Wenn der Build erfolgreich ist, werden der Name des Bereitstellungspakets sowie das Ausgabeverzeichnis und Projektverzeichnis angezeigt.

    • Sie können das Bereitstellungspaket ggf. erneut erstellen und einen anderen Pfad für das Ausgabepaket auswählen. Klicken Sie dazu auf Zurück , um den Namen und Pfad des Ausgabepakets zu ändern, und klicken Sie dann auf Weiter , um einen weiteren Build zu starten.
    • Wenn Sie fertig sind, klicken Sie auf Fertig stellen , um den Assistenten zu schließen und zur Customizations Pagezurückzukehren.
  18. Kopieren Sie die Bereitstellungspaketdatei auf ein USB-Laufwerk in das Stammverzeichnis.

Anwenden von Bereitstellungspaketen auf das Gerät

Bereitstellungspakete können sowohl während der ersten Ausführung auf einem Gerät angewendet werden („Out-of-Box-Experience” oder „OOBE”) als auch danach („Laufzeit”).

Tipp

Zusätzlich zu den nachstehenden Methoden können Sie die PowerShell -comdlet-Installations-provisioningpackage mit -LogsDirectoryPath verwenden, um Protokolle für den Vorgang abzurufen.

Während der Ersteinrichtung von einem USB-Laufwerk

  1. Beginnen Sie mit einem Computer auf dem erstmalig ausgeführten Setupbildschirm. Wenn der PC diesen Bildschirm bereits überschritten hat, setzen Sie ihn zurück, um von vorn zu beginnen. Um den PC zurückzusetzen, wechseln Sie zu Einstellungen > Update und Sicherheit > Wiederherstellung > Diesen PC zurücksetzen.

    Der erste Bildschirm zum Einrichten eines neuen PCs

  2. Schließen Sie das USB-Laufwerk an. Windows Setup erkennt das Laufwerk und fragt, ob Sie das Gerät einrichten möchten. Wählen Sie Einrichten aus.

    Gerät einrichten?

  3. Im nächsten Bildschirm werden Sie aufgefordert, eine Bereitstellungsquelle auszuwählen. Wählen Sie Wechselmedien aus, und tippen Sie auf Weiter.

    Dieses Gerät bereitstellen

  4. Wählen Sie das anzuwendende Bereitstellungspaket (*.ppkg) aus, und tippen Sie auf Weiter.

    Paket auswählen

  5. Wählen Sie Ja, hinzufügen aus.

    Vertrauen Sie diesem Paket?

Nach der Einrichtung von einem USB-Laufwerk, Netzwerkordner oder einer SharePoint-Site

  1. Anmelden mit einem Admin-Konto.
  2. Setzen Sie das USB-Laufwerk in den Desktopcomputer ein, navigieren Sie zu Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen > Bereitstellungspaket hinzufügen oder entfernen > Paket hinzufügen, und wählen Sie das zu installierende Paket aus. Navigieren Sie für ein Bereitstellungspaket, das in einem Netzwerkordner oder auf einer SharePoint-Website gespeichert ist, zum Bereitstellungspaket, und doppelklicken Sie darauf, um mit der Installation zu beginnen.

Hinweis

Wenn das Bereitstellungspaket nicht die Erstellung eines Kontos für Benutzer mit zugewiesenem Zugriff enthält, stellen Sie sicher, dass das Konto, das Sie in der Multi-App-Konfigurations-XML angegeben haben, auf dem Gerät vorhanden ist.

Option zum Hinzufügen eines Pakets

Verwenden Sie MDM zum Bereitstellen der Konfiguration mehrerer Apps

Die Kiosk-Methode für mehrere Apps über AssignedAccess-CSP ist aktiviert. Die MDM-Richtlinie kann die zugewiesene Zugriff-Konfigurations-XML enthalten.

Wenn Ihr Gerät mit einem MDM-Server registriert ist, der die Konfiguration des zugewiesene Zugriffs unterstützt, können sie es zur Anwendung der Einstellung remote verwalten.

Der OMA-URI für die Multi-App-Richtlinie ist ./Device/Vendor/MSFT/AssignedAccess/Configuration.

Überlegungen zur immersiven immersive Headsets in Windows Mixed Reality

Nach der Einführung von Mixed Reality-Geräten (Video-Link) möchten Sie möglicherweise Kioske zu erstellen, die Mixed Reality-Apps ausführen können.

Um einen Multi-App-Kiosk zu erstellen, der Mixed Reality-Apps ausführen kann, müssen Sie die folgenden Apps der AllowedApps-Liste hinzufügen:

<App AppUserModelId="MixedRealityLearning_cw5n1h2txyewy!MixedRealityLearning" />
<App AppUserModelId="HoloShell_cw5n1h2txyewy!HoloShell" />
<App AppUserModelId="Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy!App" />

Diese existieren neben den Mixed Reality-Apps, die Sie zulassen.

Vor der Anmeldung des Kiosk-Benutzers: Ein Administratorbenutzer muss sich am PC anmelden, sich mit dem Mixed Reality-Gerät verbinden und die schrittweise Anleitung für das Mixed Reality-Portal ausführen. Wenn das Mixed Reality-Portal zum ersten Mal eingerichtet wird, werden einige Dateien und Inhalte heruntergeladen. Ein Kiosk-Benutzer ist nicht zum Herunterladen berechtigt und die Einrichtung des Mixed Reality-Portals würde fehl schlagen.

Nachdem der Administrator die Installation abgeschlossen hat, kann sich das Kiosk-Konto anmelden und die Einrichtung wiederholen. Der Administratorbenutzer sollte die Kiosk-Benutzer-Installation abschließen, bevor er den PC für Mitarbeiter oder Kunden bereitstellt.

Es gibt ein Unterschied zwischen der Mixed Reality-Erfahrung für einen Kiosk-Benutzer und für andere Benutzer. Normalerweise, wenn ein Benutzer eine Verbindung zu einem Mixed Reality-Gerät erstellt, fängt er auf der Mixed Reality-Startseite an. Die Mixed Reality-Startseite ist eine Shell, die im "Hintergrund" ausgeführt wird, wenn der PC als Kiosk konfiguriert wird. Wenn ein Kiosk-Benutzer ein Mixed Reality-Gerät anschließt, sieht er nur eine leere Anzeige des Geräts und hat keinen Zugriff auf die Features und Funktionen der Startseite. Zum Ausführen einer Mixed Reality-App muss der Kiosk-Benutzer die App über den PC-Startbildschirm starten.

Richtlinien der Konfiguration des Multi-App-Kiosk

Es wird nicht empfohlen, Richtlinien, die im Multi-App-Modus mit zugewiesenem Zugriff erzwungen werden verschiedene Werte zuzuweisen, da der Multi-App-Modus optimiert wurde, um eine Sperrung zu bieten.

Wenn die Konfiguration für mehrerer zugewiesene Apps auf dem Gerät angewendet wird, werden bestimmte Richtlinien systemweit erzwungen und wirken sich auf andere Benutzer auf dem Gerät aus.

Gruppenrichtlinien

Die folgenden lokalen Richtlinien wirken sich auf alle Benutzer des Systems ohne Administratorrechte aus, unabhängig davon, ob der Benutzer als ein Benutzer mit zugewiesenem Zugriff oder nicht konfiguriert ist. Dazu gehören lokale Benutzer und Domänenbenutzer sowie Azure Active Directory-Benutzer.

Einstellung Wert
Zugriff auf die Kontextmenüs für die Taskleiste entfernen Aktiviert
Beim Beenden die Liste der zuletzt geöffneten Dokumente leeren Aktiviert
Benutzer am Anpassen ihrer Startseite hindern Aktiviert
Deinstallieren von Anwendungen aus „Start“ durch Benutzer verhindern Aktiviert
Liste „Alle Programme“ aus dem Startmenü entfernen Aktiviert
Menüeintrag „Ausführen“ aus dem Startmenü entfernen Aktiviert
Sprechblasenbenachrichtigungen als Popupbenachrichtigungen anzeigen Aktiviert
Anheften von Elementen an Sprunglisten nicht zulassen Aktiviert
Kein Anheften von Programmen an die Taskleiste zulassen Aktiviert
Keine Elemente in Sprunglisten von Remotestandorten anzeigen oder nachverfolgen Aktiviert
Benachrichtigungen und Info-Center entfernen Aktiviert
Alle Einstellungen für die Taskleiste sperren Aktiviert
Taskleiste sperren Aktiviert
Benutzern das Hinzufügen oder Entfernen von Symbolleisten nicht erlauben Aktiviert
Benutzern das Ändern der Größe der Taskleiste nicht erlauben Aktiviert
Liste häufig verwendeter Programme aus dem Startmenü entfernen Aktiviert
Entfernen Sie das Netzlaufwerk "Karte" und "Netzlaufwerk trennen". Aktiviert
Das Symbol für Sicherheit und Wartung entfernen Aktiviert
Alle Sprechblasenbenachrichtigungen deaktivieren Aktiviert
Feature-Ankündigung via Sprechblasenbenachrichtigungen deaktivieren Aktiviert
Popupbenachrichtigungen deaktivieren Aktiviert
Task-Manager entfernen Aktiviert
Die Option „Kennwort ändern” von der Sicherheitsoptionen-Benutzeroberfläche entfernen Aktiviert
Die Option „Abmelden” von der Sicherheitsoptionen-Benutzeroberfläche entfernen Aktiviert
Liste „Alle Programme“ aus dem Startmenü entfernen Aktiviert – Einstellung entfernen und deaktivieren
Zugriff auf Laufwerke vom Arbeitsplatz verhindern Aktiviert – Alle Laufwerke beschränken

Hinweis

Wenn die Option Zugriff auf Laufwerke vom Arbeitsplatz verhindern aktiviert ist, können Benutzer die Verzeichnisstruktur im Datei-Explorer durchsuchen, aber keine Ordner öffnen und auf den Inhalt zugreifen. Darüber hinaus können sie nicht das Dialogfeld Ausführen oder Netzlaufwerk zuordnen verwenden, um die Verzeichnisse auf diesen Laufwerken anzuzeigen. Die Symbole, die die angegebenen Laufwerke darstellen, werden weiterhin im Datei-Explorer angezeigt, aber wenn Benutzer auf die Symbole doppelklicken, wird eine Meldung angezeigt, die besagt, dass eine Einstellung die Aktion verhindert. Diese Einstellung verhindert nicht, dass Benutzer Programme für den Zugriff auf lokale und Netzwerklaufwerke verwenden. Es wird nicht verhindert, dass Benutzer das Datenträgerverwaltungs-Snap-In- zur Anzeige und Ändern der Eigenschaften des Laufwerks verwenden.

MDM-Richtlinie

Einige der MDM-Richtlinien auf der Grundlage der Konfigurationsdienstanbieter (CSP) wirken sich auf alle Benutzer des Systems aus (d.h. systemübergreifend).

Einstellung Wert Systemübergreifend
Experience/AllowCortana 0 - Nicht zulässig Ja
Start-AllowPinnedFolderDocuments 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start-AllowPinnedFolderDownloads 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start-AllowPinnedFolderFileExplorer 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start-AllowPinnedFolderHomeGroup 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start-AllowPinnedFolderMusic 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start-AllowPinnedFolderNetwork 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start-AllowPinnedFolderPersonalFolder 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start-AllowPinnedFolderPictures 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderSettings 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start-AllowPinnedFolderVideos 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start-DisableContextMenus 1 – Kontextmenüs sind für Start-apps ausgeblendet Nein
Start/HidePeopleBar 1 – "True" (ausblenden) Nein
Start/HideChangeAccountSettings 1 – "True" (ausblenden) Ja
WindowsInkWorkspace/AllowWindowsInkWorkspace 0 – Zugriff auf Ink-Arbeitsbereich ist deaktiviert und das Feature ist deaktiviert Ja
Start/StartLayout Hängt von der Konfiguration ab Nein
WindowsLogon/DontDisplayNetworkSelectionUI <Aktiviert/> Ja

Provision .lnk-Dateien verwenden den Windows-Konfigurations-Designers

Erstellen Sie zunächst die Verknüpfungsdatei der Desktop-App, indem Sie die App mithilfe des Standard Installationsspeicherorts auf einem Testgerät installieren. Klicken Sie mit der rechten Maustaste auf die installierte Anwendung, und wählen Sie Senden an > Desktop (Verknüpfung erstellen) aus. Benennen Sie die Verknüpfung um in <appName>.lnk

Als Nächstes erstellen Sie eine Batchdatei mit zwei Befehlen. Wenn die Desktop-App bereits auf dem Zielgerät installiert ist, überspringen Sie den ersten Befehl für die Installation von MSI.

msiexec /I "<appName>.msi" /qn /norestart
copy <appName>.lnk "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\<appName>.lnk"

Im Windows Configuration Designer, unter ProvisioningCommands > DeviceContext:

  • Laden Sie unter CommandFilesIhre Batchdatei, ihre LNK-Datei und Ihre Desktop-App-Installationsdatei hoch.

    Wichtig

    Fügen Sie den vollständigen Dateipfad zur LNK-Datei im Feld CommandFiles . Wenn Sie die LNK-Datei aufrufen und auswählen, wird der Dateipfad in den Pfad des Ziels der LNK-Datei geändert.

  • Geben **** Sie unter commandline cmd /c *FileName*.batdie EINGABETASTE ein.

Andere Methoden

Umgebungen, die WMI verwenden, können den WMI-Anbieter der MDM-Brücke verwenden, um einen Kiosk zu konfigurieren.