Erstellen einer XML-Konfigurationsdatei für den zugewiesenen Zugriff

  • Artikel

Zum Konfigurieren des zugewiesenen Zugriffs müssen Sie eine XML-Konfigurationsdatei erstellen und auf Ihre Geräte anwenden. Die Konfigurationsdatei muss einem Schema entsprechen, das in Der XML-Schemadefinition für den zugewiesenen Zugriff (Assigned Access XML Schema Definition, XSD) definiert ist.

In diesem Artikel wird beschrieben, wie Sie eine Konfigurationsdatei für den zugewiesenen Zugriff konfigurieren, einschließlich praktischer Beispiele.

Betrachten wir zunächst die grundlegende Struktur der XML-Datei. Eine Konfigurationsdatei für zugewiesenen Zugriff enthält Folgendes:

  • Eine oder mehrere profiles. Jede profile definiert eine Reihe von Anwendungen, die ausgeführt werden dürfen.
  • Eine oder mehrere configs. Jede config ordnet einem ein Benutzerkonto oder eine Gruppe zu profile

Hier sehen Sie ein einfaches Beispiel für eine Konfigurationsdatei für zugewiesenen Zugriff mit einem Profil und einer Konfiguration:

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config">
    <Profiles>
        <Profile Id="{GUID}">
            <!-- Add configuration here as needed -->
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <!-- Add configuration here as needed -->
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Versionsverwaltung

Die XML-Konfigurations-XML für den zugewiesenen Zugriff ist versioniert. Die Version wird im XML-Stammelement definiert und verwendet, um zu bestimmen, welches Schema zum Überprüfen der XML-Datei verwendet werden soll. Die Version wird auch verwendet, um zu bestimmen, welche Features für die Konfiguration verfügbar sind. Hier ist eine Tabelle der Versionen, Aliase, die in den Dokumentationsbeispielen verwendet werden, und Namespaces:

Version Alias Namespace
Windows 11, Version 22H2 v5 http://schemas.microsoft.com/AssignedAccess/2022/config
Windows 11, Version 21H2 v4 http://schemas.microsoft.com/AssignedAccess/2021/config
Windows 10 v5 http://schemas.microsoft.com/AssignedAccess/202010/config
Windows 10 v3 http://schemas.microsoft.com/AssignedAccess/2020/config
Windows 10 rs5 http://schemas.microsoft.com/AssignedAccess/201810/config
Windows 10 Standardeinstellung http://schemas.microsoft.com/AssignedAccess/2017/config

Um ein kompatibles Konfigurations-XML zu autorisieren, das versionsspezifische Elemente und Attribute enthält, schließen Sie immer den Namespace der Add-On-Schemas ein, und ergänzen Sie die Attribute und Elemente entsprechend mit dem Namespacealias. Um beispielsweise das StartPins Feature zu konfigurieren, das in Windows 11 Version 22H2 hinzugefügt wurde, verwenden Sie das folgende Beispiel. Beachten Sie den Alias v5 , der dem http://schemas.microsoft.com/AssignedAccess/2022/config Namespace für 22H2-Release zugeordnet ist, und der Alias ist inline gekennzeichnet StartPins .

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v5="http://schemas.microsoft.com/AssignedAccess/2022/config">
    <Profiles>
        <Profile Id="{GUID}">
            <!-- Add configuration here as needed -->
            <v5:StartPins>
              <!-- Add StartPins configuration here -->
            </v5:StartPins>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <!-- Add configuration here as needed -->
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Hier finden Sie die XML-Schemadefinitionen für zugewiesenen Zugriff: Xml-Schemadefinition für zugewiesenen Zugriff (Assigned Access XML Schema Definition, XSD).

Profile

Eine Konfigurationsdatei kann ein oder mehrere Profile enthalten. Jedes Profil wird durch einen eindeutigen Bezeichner Profile Id und optional durch einen Nameidentifiziert. Zum Beispiel:

<Profiles>
  <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
    <!-- Add configuration here as needed -->
  </Profile>
</Profiles>

Tipp

Muss Profile Id innerhalb der XML-Datei eindeutig sein. Sie können eine GUID mit dem PowerShell-Cmdlet New-Guidgenerieren.

Ein Profil kann einen von zwei Typen aufweisen:

  • KioskModeApp: wird verwendet, um eine Kioskumgebung zu konfigurieren. Benutzer, denen dieses Profil zugewiesen ist, greifen nicht auf den Desktop zu, sondern nur auf die anwendung Universelle Windows-Plattform (UWP) oder Microsoft Edge, die im Vollbildmodus über dem Sperrbildschirm ausgeführt wird.
  • AllAppList wird verwendet, um eine eingeschränkte Benutzeroberfläche zu konfigurieren. Benutzer, denen dieses Profil zugewiesen ist, greifen im Startmenü mit den spezifischen Apps auf den Desktop zu.

Wichtig

  • Sie können nicht sowohl als ShellLauncher auch KioskModeApp gleichzeitig auf dem Gerät festlegen.
  • Eine Konfigurationsdatei kann nur ein KioskModeApp Profil, aber mehrere AllAppList Profile enthalten.

KioskModeApp

Die Eigenschaften eines KioskModeApp Profils sind:

Eigenschaft Beschreibung Details
AppUserModelId Die Anwendungsbenutzermodell-ID (Application User Model ID, AUMID) der UWP-App. Erfahren Sie, wie Sie die Anwendungsbenutzermodell-ID einer installierten App finden.
v4:ClassicAppPath Der vollständige Pfad zu einer ausführbaren Desktop-App. Dies ist der Pfad zur Desktop-App, die im Kioskmodus verwendet wird. Der Pfad kann Systemumgebungsvariablen in Form von %variableName%enthalten.
v4:ClassicAppArguments Die Argumente, die an die Desktop-App übergeben werden sollen. Diese Eigenschaft ist optional.

Standardmäßig können Sie die STRG+ALT-ENTF-Sequenz+ verwenden, um den Kioskmodus zu beenden. Sie können ein BreakoutSequence -Element definieren, um die Standardsequenz zu ändern. Das Key Attribut ist eine Zeichenfolge, die die Tastenkombination darstellt.

Beispiel für zwei Profile, eine Desktop-App und eine UWP-App:

<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
  <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
  <v4:BreakoutSequence Key="Ctrl+A"/>
</Profile>
<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F79}">
  <KioskModeApp AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
</Profile>

Hinweis

Sie können ein KioskModeApp Profil nur Benutzern und nicht Gruppen zuweisen.

AllAppList

Definieren Sie die Liste der Anwendungen, die ausgeführt werden dürfen basierend auf dem Zweck des Kioskgeräts. Diese Liste kann sowohl UWP-Apps als auch Desktop-Apps enthalten. Wenn die Multi-App-Kioskkonfiguration auf ein Gerät angewendet wird, werden AppLocker-Regeln generiert, um die in der Konfiguration aufgeführten Apps zuzulassen.

Hinweis

Wenn eine App eine Abhängigkeit von einer anderen App aufweist, müssen beide in der Liste zulässiger Apps enthalten sein.

Definieren Sie innerhalb des AllAppList Knotens eine Liste der Anwendungen, die ausgeführt werden dürfen. Jedes App Element verfügt über die folgenden Eigenschaften:

Eigenschaft Beschreibung Details
AppUserModelId Die Anwendungsbenutzermodell-ID (Application User Model ID, AUMID) der UWP-App. Erfahren Sie, wie Sie die Anwendungsbenutzermodell-ID einer installierten App finden.
DesktopAppPath Der vollständige Pfad zu einer ausführbaren Desktop-App. Dies ist der Pfad zur Desktop-App, die im Kioskmodus verwendet wird. Der Pfad kann Systemumgebungsvariablen in Form von %variableName%enthalten.
rs5:AutoLaunch Ein boolesches Attribut, das angibt, ob die App (Desktop- oder UWP-App) automatisch gestartet werden soll, wenn sich der Benutzer anmeldet. Diese Eigenschaft ist optional. Nur eine Anwendung kann automatisch gestartet werden.
rs5:AutoLaunchArguments Die Argumente, die an die App übergeben werden sollen, die mit AutoLaunchkonfiguriert ist. AutoLaunchArguments werden unverändert an die Apps übergeben, und die App muss die Argumente explizit behandeln. Diese Eigenschaft ist optional.

Beispiel:

<AllAppsList>
  <AllowedApps>
    <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
    <App DesktopAppPath="C:\Windows\system32\cmd.exe" />
    <App DesktopAppPath="%windir%\explorer.exe" />
    <App AppUserModelId="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" />
    <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="%windir%\setuperr.log" />
  </AllowedApps>
</AllAppsList>

Explorer Einschränkungen

Bei eingeschränkter Benutzeroberfläche (AllAppList) ist das Durchsuchen von Ordnern standardmäßig gesperrt. Sie können den Zugriff auf bekannte Ordner explizit zulassen, indem Sie den FileExplorerNamespaceRestrictions Knoten einschließen.

Sie können den Benutzerzugriff auf den Ordner "Downloads", "Wechseldatenträger" oder gar keine Einschränkungen angeben. Downloads und Wechseldatenträger können gleichzeitig zugelassen werden.

<Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
        <AllAppsList>
            <AllowedApps>
                <!-- Add configuration here as needed -->
            </AllowedApps>
        </AllAppsList>
        <rs5:FileExplorerNamespaceRestrictions>
            <!-- Add configuration here as needed -->
        </rs5:FileExplorerNamespaceRestrictions>
        <!-- Add configuration here as needed -->
    </Profile>
</Profiles>

Im Folgenden finden Sie einige praktische Beispiele.

Alles blockieren

Verwenden Sie den Knoten entweder nicht, oder lassen Sie ihn leer.

<rs5:FileExplorerNamespaceRestrictions>
</rs5:FileExplorerNamespaceRestrictions>

Nur Downloads zulassen

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
</rs5:FileExplorerNamespaceRestrictions>

Wechseldatenträger nur zulassen

<rs5:FileExplorerNamespaceRestrictions>
    <v3:AllowRemovableDrives />
</rs5:FileExplorerNamespaceRestrictions>

Sowohl Downloads als auch Wechseldatenträger zulassen

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
    <v3:AllowRemovableDrives/>
</rs5:FileExplorerNamespaceRestrictions>

Keine Einschränkungen, alle Standorte sind zulässig

<rs5:FileExplorerNamespaceRestrictions>
    <v3:NoRestriction />
</rs5:FileExplorerNamespaceRestrictions>

Tipp

Um Zugriff auf Explorer in einer eingeschränkten Benutzeroberfläche zu gewähren, fügen Sie Explorer.exe der Liste der zulässigen Apps hinzu, und heften Sie eine Verknüpfung an das Startmenü an.

Anpassungen des Startmenüs

Für ein eingeschränktes Benutzeroberflächenprofil (AllAppList) müssen Sie das Startlayout definieren. Das Startlayout enthält eine Liste von Anwendungen, die an das Startmenü angeheftet sind. Sie können alle zulässigen Anwendungen an das Startmenü oder eine Teilmenge anheften. Die einfachste Möglichkeit zum Erstellen eines angepassten Startlayouts besteht darin, das Startmenü auf einem Testgerät zu konfigurieren und dann das Layout zu exportieren.

Informationen zum Anpassen und Exportieren einer Startmenükonfiguration finden Sie unter Anpassen des Startmenüs.

Verwenden Sie bei der exportierten Startmenükonfiguration das StartLayout -Element, und fügen Sie den Inhalt der XML-Datei hinzu. Zum Beispiel:

<StartLayout>
  <![CDATA[
    <!-- Add your exported Start menu XML configuration file here -->
  ]]>
</StartLayout>

Beispiel mit angehefteten Apps:

<StartLayout>
  <![CDATA[
    <LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
    xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1"
    xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
      <LayoutOptions StartTileGroupCellWidth="6" />
      <DefaultLayoutOverride>
        <StartLayoutCollection>
          <defaultlayout:StartLayout GroupCellWidth="6">
            <start:Group Name="Group1">
              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.  ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.  ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
            </start:Group>
            <start:Group Name="Group2">
              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0"   DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start   Menu\Programs\Accessories\Paint.lnk" />
              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0"   DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.  lnk" />
            </start:Group>
          </defaultlayout:StartLayout>
        </StartLayoutCollection>
      </DefaultLayoutOverride>
    </LayoutModificationTemplate>
  ]]>
</StartLayout>

Verwenden Sie bei der exportierten Startmenükonfiguration das v5:StartPins -Element, und fügen Sie den Inhalt der exportierten JSON-Datei hinzu. Zum Beispiel:

<v5:StartPins>
  <![CDATA[
      <!-- Add your exported Start menu JSON configuration file here -->
  ]]>
</v5:StartPins>

Beispiel mit angehefteten Apps:

<v5:StartPins>

</v5:StartPins>

Hinweis

Wenn eine App nicht für den Benutzer installiert ist, aber im Startlayout-XML enthalten ist, wird die App nicht auf dem Startbildschirm angezeigt.

Anpassungen der Taskleiste

Sie können apps in einer eingeschränkten Benutzeroberfläche nicht an die Taskleiste anheften. Es wird nicht unterstützt, ein Taskleistenlayout mit dem <CustomTaskbarLayoutCollection> Tag in einer Layoutänderungs-XML als Teil der Konfiguration für zugewiesenen Zugriff zu konfigurieren.

Die einzige verfügbare Anpassung der Taskleiste ist die Option, sie mithilfe des ShowTaskbar booleschen Attributs ein- oder auszublenden.

Im folgenden Beispiel wird die Taskleiste verfügbar gemacht:

<Taskbar ShowTaskbar="true"/>

Im folgenden Beispiel wird die Taskleiste ausgeblendet:

<Taskbar ShowTaskbar="false"/>

Hinweis

Dies unterscheidet sich von der Option Automatisches Ausblenden der Taskleiste im Tablet-Modus, in dem die Taskleiste angezeigt wird, wenn Sie unteren Bildschirmrand nach oben Wischen oder den Mauszeiger darauf zeigen. Durch Festlegen ShowTaskbar von als false wird die Taskleiste dauerhaft ausgeblendet.

Sie können die Taskleiste anpassen, indem Sie ein benutzerdefiniertes Layout erstellen und es Ihrer XML-Datei hinzufügen. Informationen zum Anpassen und Exportieren der Taskleistenkonfiguration finden Sie unter Anpassen der Taskleiste.

Hinweis

In Windows 11 ist das ShowTaskbar Attribut no-op. Konfigurieren Sie sie mit dem Wert true.

Verwenden Sie bei der exportierten Taskleistenkonfiguration das v5:TaskbarLayout -Element, und fügen Sie den Inhalt der XML-Datei hinzu. Zum Beispiel:

<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
  <!-- Add your exported Taskbar XML configuration file here -->
  ]]>
</v5:TaskbarLayout>

Hier sehen Sie ein Beispiel für eine benutzerdefinierte Taskleiste mit einigen angehefteten Apps:

<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
  <?xml version="1.0" encoding="utf-8"?>
  <LayoutModificationTemplate
      xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification"
      xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
      xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout"
      xmlns:taskbar="http://schemas.microsoft.com/Start/2014/TaskbarLayout"
      Version="1">
  <CustomTaskbarLayoutCollection>
    <defaultlayout:TaskbarLayout>
    <taskbar:TaskbarPinList>
        <taskbar:DesktopApp DesktopApplicationID="Microsoft.Windows.Explorer" />
        <taskbar:DesktopApp DesktopApplicationID="windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel" />
        <taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk"/>
    </taskbar:TaskbarPinList>
    </defaultlayout:TaskbarLayout>
  </CustomTaskbarLayoutCollection>
  </LayoutModificationTemplate>
  ]]>
</v5:TaskbarLayout>

Configs

Definieren Sie unter Configsein oder mehrere Benutzerkonten oder Gruppen und deren Zuordnung zu einem Profil.

Wenn sich das Benutzerkonto anmeldet, wird das zugeordnete Profil für den zugewiesenen Zugriff zusammen mit Richtlinieneinstellungen erzwungen, die Teil der eingeschränkten Benutzeroberfläche sind.

Sie können Folgendes zuweisen:

  • Ein Standardbenutzerkonto, das lokal, domäne oder Microsoft Entra ID
  • Ein Gruppenkonto, das lokal, Active Directory (Domäne) oder Microsoft Entra ID

Einschränkungen:

  • Konfigurationen, die Gruppenkonten angeben, können kein Kioskprofil verwenden, nur ein eingeschränktes Benutzerfreundlichkeitsprofil
  • Wenden Sie die eingeschränkte Benutzeroberfläche nur auf Standardbenutzer an. Das Zuordnen eines Administratorbenutzers zu einem Profil für zugewiesenen Zugriff wird nicht unterstützt.
  • Wenden Sie das Profil nicht auf Benutzer oder Gruppen an, für die Richtlinien für bedingten Zugriff gelten, die eine Benutzerinteraktion erfordern. Beispiel: Mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) oder Nutzungsbedingungen (ToU). Weitere Informationen finden Sie unter Benutzer können sich nicht bei Windows anmelden, wenn ein Kioskprofil mit mehreren Apps zugewiesen ist.

Hinweis

Auf Microsoft Entra und in die Domäne eingebundenen Geräten werden lokale Benutzerkonten standardmäßig nicht auf dem Anmeldebildschirm angezeigt. Um die lokalen Konten auf dem Anmeldebildschirm anzuzeigen, aktivieren Sie die Richtlinieneinstellung:

  • GPO: Computerkonfiguration>Administrative Vorlagen>SystemanmeldungEnumerieren>>lokaler Benutzer auf computern, die in die Domäne eingebunden sind
  • CSP: ./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers

AutoLogon-Konto

Mit <AutoLogonAccount>wird mit zugewiesenem Zugriff ein Benutzerkonto erstellt und verwaltet, das sich nach dem Neustart eines Geräts automatisch anmeldet. Das Konto ist ein lokaler Standardbenutzer.

Das folgende Beispiel zeigt, wie Sie ein Konto für die automatische Anmeldung und den optionalen Anzeigenamen für das Konto auf dem Anmeldebildschirm angeben:

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Microsoft Learn example"/>
    <DefaultProfile Id="{GUID}"/>
  </Config>
</Configs>

Wichtig

Wenn Kennworteinschränkungen für exchange Active Sync (EAS) auf dem Gerät aktiv sind, funktioniert das Feature für die automatische Anmeldung nicht. Dieses Verhalten ist entwurfsbedingt. Weitere Informationen finden Sie unter Aktivieren der automatischen Anmeldung in Windows.

Globales Profil

Mit GlobalProfilekönnen Sie ein Profil für zugewiesenen Zugriff definieren, das auf jedes Nicht-Administratorkonto angewendet wird, das sich anmeldet. GlobalProfile ist nützlich in Szenarien wie Mitarbeitern in Service und Studenten, in denen Sie sicherstellen möchten, dass jeder Benutzer eine konsistente Erfahrung hat.

<Configs>
  <v3:GlobalProfile Id="{GUID}"/>
</Configs>

Hinweis

Sie können ein globales Profil mit anderen Profilen kombinieren. Wenn Sie einem Benutzer ein nicht globales Profil zuweisen, wird das globale Profil nicht auf diesen Benutzer angewendet.

Benutzerkonten

Einzelne Konten werden mithilfe von <Account>angegeben.

Wichtig

Stellen Sie vor dem Anwenden der Konfiguration für zugewiesenen Zugriff sicher, dass das angegebene Benutzerkonto auf dem Gerät verfügbar ist. Andernfalls tritt ein Fehler auf.

Sowohl für Domänen- als auch Microsoft Entra konten kann das Konto in der Domänengesamtstruktur oder dem Mandanten ermittelt werden, wenn das Gerät in Active Directory oder Microsoft Entra eingebunden ist. Für lokale Konten ist es erforderlich, dass das Konto vorhanden ist, bevor Sie das Konto für einen zugewiesenen Zugriff konfigurieren.

Lokaler Benutzer

Das lokale Konto kann als devicename\user, .\useroder einfach userals eingegeben werden.

<Config>
  <Account>user</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Active Directory-Benutzer

Domänenkonten müssen im Format domain\samAccountNameeingegeben werden.

<Config>
  <Account>contoso\user</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Microsoft Entra Benutzer

Microsoft Entra Konten müssen im folgenden Format angegeben werden: AzureAD\{UPN}. AzureADmuss unverändert bereitgestellt werden, und folgen Sie dann mit dem Microsoft Entra Benutzerprinzipalnamen (UPN).

<Config>
  <Account>AzureAD\user@contoso.onmicrosoft.com</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Gruppenkonten

Gruppenkonten werden mit <UserGroup>angegeben. Geschachtelte Gruppen werden nicht unterstützt. Wenn z. B. Benutzer A Mitglied von Gruppe A ist, Gruppe A Mitglied von Gruppe B ist und Gruppe B in <Config/>verwendet wird, verfügt Benutzer A nicht über die Kioskerfahrung.

Lokale Gruppe

Geben Sie den Gruppentyp als LocalGroup an, und fügen Sie den Gruppennamen im Name Attribut hinzu.

<Config>
  <UserGroup Type="LocalGroup" Name="groupname" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Active Directory-Gruppe

Sowohl Sicherheits- als auch Verteilergruppen werden unterstützt. Geben Sie den Gruppentyp als an ActiveDirectoryGroup. Verwenden Sie den Domänennamen als Präfix im Attribut name.

<Config>
  <UserGroup Type="ActiveDirectoryGroup" Name="contoso\groupname" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Microsoft Entra Gruppe

Verwenden Sie die Objekt-ID der Microsoft Entra Gruppe. Sie finden die Objekt-ID auf der Übersichtsseite für die Gruppe, indem Sie sich beim Microsoft Entra Admin Center anmelden und zu Identitätsgruppen>>Alle Gruppen navigieren. Geben Sie den Gruppentyp als an AzureActiveDirectoryGroup. Das Kioskgerät muss über eine Internetverbindung verfügen, wenn sich Benutzer, die der Gruppe angehören, anmelden.

<Config>
  <UserGroup Type="AzureActiveDirectoryGroup" Name="Group_GUID" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Nächste Schritte

Sehen Sie sich einige praktische Beispiele für XML-Konfigurationen für zugewiesenen Zugriff an:

Beispiele für zugewiesenen Zugriff