Créer une borne Windows10 qui exécute plusieurs applications

S’applique à

  • Windows10

Une borne exécute en général une seule application et les utilisateurs ne peuvent pas accéder à des fonctionnalités ou fonctions de l’appareil autres que celles de l’application. Dans Windows10, version1709, le fournisseur de services de configuration AssignedAccess (CSP) a été étendu pour que les administrateurs puissent créer plus facilement des bornes qui exécutent plusieurs applications. Vous pouvez configurer des kiosques multi-application à l'aide de MicrosoftIntune ou d'un package de configuration.

Regardez comment utiliser Intune pour configurer un kiosque multi-application.

Note

Pour les appareils exécutant des versions de Windows10 antérieures à la version1709, vous pouvez créer des règles AppLocker pour configurer un kiosque multi-application.

L’avantage d’un kiosque multi-application ou d'un appareil à fonction fixe est d'être facile à comprendre pour les utilisateurs puisqu'il ne leur présente que les éléments qu’ils doivent utiliser et retire de leur vue ceux auxquels ils n'ont pas besoin d’accéder.

Avertissement

La fonctionnalité d’accès affecté est destinée aux appareils à usage fixe détenus par l’entreprise, tels que les bornes. Lorsque la configuration d’accès affecté multi-application est appliquée à l’appareil, certaines stratégies sont appliquées au niveau du système et ont un impact sur les autres utilisateurs de l’appareil. La suppression de la configuration multi-application supprime les profils de verrouillage d’accès affecté associés aux utilisateurs, mais il reste impossible de rétablir toutes les stratégies appliquées (par exemple, la disposition de l’écran de démarrage). Une réinitialisation aux paramètres d’usine est nécessaire pour effacer toutes les stratégies appliquées via l’accès affecté.

Procédure:

  1. Créer un fichierXML
  2. Ajouter le fichier XML au package de configuration
  3. Appliquer un package de configuration à un appareil

Regardez comment utiliser un package de configuration pour configurer un kiosque multi-application.

Si vous ne souhaitez pas utiliser de package de configuration, vous pouvez déployer le fichier de configuration XML à l’aide de gestion des périphériques mobiles (GPM) ou configurer l’accès affecté à l’aide du fournisseur WMI de pont GPM.

Éléments prérequis

  • Concepteur de configuration Windows (Windows10, version 1709)
  • L’appareil de la borne doit exécuter Windows10 (S, Professionnel, Entreprise ou Éducation), version1709

Créer un fichierXML

Commençons par observer la structure de base du fichier XML.

  • Un fichier xml de configuration peut définir plusieurs profils. Chaque profil a une valeur Id unique et définit un ensemble d’applications autorisées à s'exécuter, détermine si la barre des tâches est visible et peut inclure une disposition personnalisée.

  • Un fichier xml de configuration peut avoir plusieurs sections config. Chaque section de la configuration associe un compte d’utilisateur non-administrateur à une Id de profil par défaut.

  • Plusieurs sections d'une configuration peuvent être associées à un même profil.

  • Un profil n’a aucun effet s’il n’est pas associé à une section de configuration.

    profil = app et config = compte

Vous pouvez commencer à créer votre fichier en collant le code XML suivant (ou un autre exemple de cette rubrique) dans un éditeur XML et en enregistrant le fichier sous nomdefichier.xml. Chaque section de ce fichier XML est expliquée dans cette rubrique.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config">
    <Profiles>
        <Profile Id="">
            <AllAppsList>
                <AllowedApps/>
            </AllAppsList>         
            <StartLayout/>
            <Taskbar/>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <Account/>
            <DefaultProfile Id=""/>
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Profil

Une section de profil dans un fichier XML présente les entrées suivantes:

Id

Le profil Id est un attribut GUID permettant d'identifier formellement le profil. Vous pouvez créer un GUID à l’aide d’un générateur de GUID. Il faut seulement que le GUID soit unique au sein de ce fichier XML.

<Profiles>
  <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">…</Profile>
</Profiles>

AllowedApps

AllowedApps est la liste des applications qui sont autorisées à s'exécuter. Les applications peuvent être des applications de plateforme Windows universelle (UWP) ou des applications de bureau Windows classiques.

Selon les objectifs fixés à l’appareil de la borne, définissez la liste des applications autorisées à s'exécuter. Cette liste peut contenir à la fois des applications UWP et des applications de bureau. Lorsque la configuration de la borne multi-applications est appliquée à un appareil, des règles AppLocker sont générées pour autoriser les applications répertoriées dans cette configuration.

Note

Vous ne pouvez pas gérer des régles AppLocker générées par la configuration du kiosque multi-application dans Composants logiciels enfichables MMC. Évitez de créer des règles AppLocker incompatibles avec les règles AppLocker générées par la configuration du kiosque multi-application.

Voici les règles AppLocker d'accès affecté prédéfinies pour les applications UWP:

  1. La règle par défaut consiste à autoriser tous les utilisateurs à lancer les applications du package signées.
  2. La liste des applications interdites dans le package est générée lors de l’exécution lorsque l’utilisateur de l’accès affecté se connecte. Selon les applications du package installées/configurées disponibles pour le compte d’utilisateur, l'accès affecté génère la liste d’exclusion. Cette liste exclura les applications du package autorisées par défaut dans la boîte de réception qui sont essentielles au fonctionnement du système, puis exclura les packages autorisés que les entreprises auront définies dans la configuration de l’accès affecté. S’il existe plusieurs applications au sein du même package, toutes ces applications sont exclues. Cette liste d'exclusion sera utilisée pour empêcher l’utilisateur d’accéder à des applications auxquelles il a actuellement accès, mais qui ne figurent pas sur la liste autorisée.

    Note

    Le mode de borne multi-application n'empêche pas l’entreprise ou les utilisateurs d’installer des applications UWP. Si une nouvelle application UWP est installée au cours de la session utilisateur actuelle par accès affecté, cette application ne figurera pas sur la liste d’exclusion. Après que l’utilisateur se sera déconnecté et reconnecté, elle sera incluse sur cette liste. S’il s’agit d’une application métier déployée par l'entreprise et si vous souhaitez l'autoriser à s’exécuter, mettez à jour la configuration de l’accès affecté afin l’inclure dans la liste des applications autorisées.

Voici les règles AppLocker d'accès affecté prédéfinies pour les applications de bureau:

  1. La règle par défaut consiste à autoriser tous les utilisateurs à lancer les programmes de bureau signés avec un certificat Microsoft afin que le système démarre et fonctionne. Elle autorise également le groupe d’utilisateurs administrateurs à lancer tous les programmes de bureau.
  2. Il existe une liste d'exclusion prédéfinie des applications de bureau de la boîte de réception pour le compte d’utilisateur de l’accès affecté. Cette liste est modifiée d'après la liste verte des applications de bureau que vous avez définie dans la configuration multi-application.
  3. Les applications de bureau autorisées définies par l’entreprise sont ajoutées à la liste verte AppLocker.

L’exemple suivant permet aux applications Groove Musique, Films et TV, Photos, Météo, Calculatrice, Paint et Bloc-notes de s’exécuter sur l’appareil.

<AllAppsList>
        <AllowedApps>
          <App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
          <App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
          <App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
          <App DesktopAppPath="%windir%\system32\mspaint.exe" />
          <App DesktopAppPath="C:\Windows\System32\notepad.exe" />
        </AllowedApps>
</AllAppsList>

StartLayout

Après avoir défini la liste des applications autorisées, vous pouvez personnaliser la disposition de l’écran de démarrage pour votre borne. Vous pouvez choisir d’épingler à l’écran de démarrage toutes les applications autorisées, ou une partie seulement, selon que vous souhaitez ou non que l’utilisateur final puisse y accéder directement depuis cet écran.

Pour créer une disposition personnalisée de l'écran de démarrage à appliquer à d'autres appareils Windows10, le plus simple consiste à configurer cet écran sur un appareil de test, puis à exporter la disposition. Pour obtenir des instructions détaillées, voir Personnaliser et exporter la disposition de l’écran de démarrage.

Voici quelques points à noter ici:

  • La version du système d’exploitation de l’appareil de test sur lequel vous personnalisez la disposition de l’écran de démarrage doit être la même que celle de l’appareil sur lequel vous prévoyez de déployer la configuration de l’accès affecté multi-application.
  • Dans la mesure où le mode d’accès affecté multi-application est destiné à des appareils à usage fixe, utilisez l’option de disposition l’écran de démarrage complète plutôt que partielle pour que l'expérience sur l’appareil soit cohérente et prévisible.
  • En mode multi-application, aucune application n'est épinglée sur la barre des tâches et il n’est pas possible de configurer la disposition de la barre des tâches à l’aide de la balise <CustomTaskbarLayoutCollection> dans un fichier XML de modification de la configuration dans le cadre de la configuration de l’accès affecté.
  • L’exemple suivant utilise DesktopApplicationLinkPath pour épingler l’application de bureau à l'écran de démarrage. Lorsque l’application de bureau ne possède pas de raccourci sur l’appareil cible, apprendre à configurer les fichiers .lnk à l’aide du Concepteur de configuration Windows.

Cet exemple épingle les applications Groove Musique, Films et TV, Photos, Météo, Calculatrice, Paint et Bloc-notes à l'écran de démarrage.

<StartLayout>
        <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Group1">
                              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
                              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
                              <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
                              <start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
                            </start:Group>
                            <start:Group Name="Group2">
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk" />
                              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
</StartLayout>

Note

Si une application n’est pas installée pour l’utilisateur, mais est incluse dans le fichier XML de disposition de l’écran de démarrage, elle n’apparaît pas sur cet écran.

Apparence de l’écran de démarrage lorsque le fichier XML d’exemple est appliqué

Barre des tâches

Définir si vous souhaitez que la barre des tâches soit présente dans l’appareil de borne. Pour les bornes ou les tablettes tactiles tout-en-un, lorsque vous ne joignez pas de clavier et de souris, vous pouvez choisir de masquer la barre des tâches dans le cadre de l’apparence multi-application.

L’exemple suivant présente la barre des tâches à l’utilisateur final:

<Taskbar ShowTaskbar="true"/>

L’exemple suivant masque la barre des tâches:

<Taskbar ShowTaskbar="false"/>

Note

Cela diffère de l'option Masquer automatiquement la barre des tâches en mode tablette, qui affiche la barre des tâches lors d'un balayage vers le haut ou d'un déplacement du pointeur vers le bas de l’écran. Le paramètre ShowTaskbar avec la valeur false gardera toujours la barre des tâches masquée.

Configurations

Sous Configurations, définir quel compte d’utilisateur sera associé au profil. Lorsque ce compte d’utilisateur se connecte à l’appareil, le profil d’accès affecté associé est appliqué, y compris les applications autorisées, la disposition de l'écran de démarrage et la configuration de la barre des tâches, ainsi que les autres stratégies de groupe local ou de gestion de périphérique mobile définies dans le cadre du mode multi-application.

L’expérience complète d’accès affecté multi-application ne peut fonctionner que pour les utilisateurs non administrateurs. Il n’est pas possible d'associer un utilisateur administrateur au profil d’accès affecté. Une telle opération dans le fichier XML entraînera des résultats inattendus ou non pris en charge lorsque cet utilisateur administrateur se connectera.

Le compte peut être local, domaine ou Azure ActiveDirectory (Azure AD). Les groupes ne sont pas pris en charge.

  • Un compte local peut être saisi sous la forme machinename\account, .\account ou simplement account.
  • Un compte de domaine doit être saisi sous la forme domain\account.
  • Un compte Azure AD doit être spécifié sous ce format: AzureAD\{email address}. AzureAD doit être fourni EN L’ÉTAT (comme si c'était un nom de domaine fixe), puis être suivi de l’adresse e-mail Azure AD, par exemple, AzureAD\utilisateur@contoso.onmicrosoft.com.

Avertissement

L'accès affecté peut être configuré via WMI ou un fournisseur de services de configuration pour exécuter ses applications sous un compte d'utilisateur de domaine ou de service plutôt qu’un compte local. Toutefois, l'utilisation d'un compte d’utilisateur de domaine ou de service présente le risque qu’un pirate subvertisse l’application à accès affecté pour accéder aux ressources sensibles du domaine laissées par inadvertance accessibles à n’importe quel compte de domaine. Nous recommandons aux clients de faire preuve de prudence lors de l’utilisation de comptes de domaine avec accès affecté et de tenir compte du risque d'exposition des ressources de domaine qu'entraîne une telle décision.

Avant d’appliquer la configuration multi-application, assurez-vous que le compte d’utilisateur spécifié est disponible sur l'appareil, sinon elle échouera.

Note

Pour les comptes Azure AD et de domaine, il n'est pas obligatoire que le compte cible soit explicitement ajouté à l’appareil. Tant que l’appareil est joint à ActiveDirectory ou à Azure AD, le compte peut être détecté dans la forêt ou le client du domaine auquel l’appareil est joint. Pour les comptes locaux, il est nécessaire que le compte existe avant de configurer le compte d’accès affecté.

<Configs>
  <Config>
    <Account>MultiAppKioskUser</Account>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs> 

Ajouter le fichier XML au package de configuration

Avant d’ajouter le fichier XML à un package de configuration, vous pouvez valider votre configuration XML par rapport à la définition XSD.

Utilisez l'outil Concepteur de configuration Windows pour créer un package de configuration. Découvrez comment installer le Concepteur de configuration Windows.

Important

Lorsque vous générez un package d’approvisionnement, vous pouvez inclure des informations sensibles dans les fichiers du projet et dans le fichier du package d’approvisionnement (.ppkg). Bien que vous ayez la possibilité de chiffrer le fichier .ppkg, les fichiers du projet ne sont pas chiffrés. Vous devez stocker les fichiers de projet dans un emplacement sécurisé et supprimer les fichiers du projet lorsqu’ils ne sont plus nécessaires.

  1. Ouvrez Concepteur de configuration Windows (par défaut, %systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe).

  2. Choisissez Approvisionnement avancé.

  3. Attribuez un nom à votre projet, puis cliquez sur Suivant.

  4. Choisissez Toutes les éditions Windows de bureau et cliquez sur Suivant.

  5. Dans Nouveau projet, cliquez sur Terminer. L’espace de travail de votre package s’ouvre.

  6. Développez Paramètres d’exécution > AssignedAccess > MultiAppAssignedAccessSettings.

  7. Dans le volet central, cliquez sur Parcourir pour localiser et sélectionner le fichier XML de configuration d'accès affecté que vous avez créé.

    Capture d’écran du champ MultiAppAssignedAccessSettings dans le Concepteur de configuration Windows

  8. (Facultatif: si vous souhaitez appliquer le package de configuration après la configuration initiale de l'appareil et s'il existe un utilisateur administrateur déjà disponible sur l’appareil de la borne, ignorez cette étape.) Créez un compte d’utilisateur administrateur dans Paramètres d’exécution > Comptes > Utilisateurs. Fournissez un Nom d’utilisateur et un Mot de passe, puis sélectionnez UserGroup comme Administrateurs. Avec ce compte, vous pouvez afficher l’état de la configuration et les journaux, si nécessaire.

  9. (Facultatif: si vous avez déjà un compte non-administrateur sur l’appareil de la borne, ignorez cette étape.) Créez un compte d’utilisateur standard local dans Paramètres d’exécution > Comptes > Utilisateurs. Assurez-vous que le Nom d’utilisateur est le même que celui du compte que vous spécifiez dans le fichier XML de configuration. Sélectionnez UserGroup pour Utilisateurs standard.

  10. Dans le menu Fichier, sélectionnez Enregistrer.

  11. Dans le menu Export, sélectionnez Provisioning package.

  12. Remplacez Propriétaire par Administrateur informatique, ce qui indique que la priorité de ce package d’approvisionnement est supérieure à celle des packages d’approvisionnement appliqués à cet appareil provenant d’autres sources, puis sélectionnez Next.

  13. (Facultatif) Dans la fenêtre Provisioning package security, vous pouvez choisir de chiffrer le package et d’activer sa signature.

    • Enable package encryption: si vous sélectionnez cette option, un mot de passe généré automatiquement s’affiche à l’écran.

    • Activer la signature du package : si vous sélectionnez cette option, vous devez sélectionner un certificat valide à utiliser pour signer le package. Vous pouvez spécifier le certificat en cliquant sur Parcourir, puis en choisissant le certificat à utiliser pour signer le package.

  14. Cliquez sur Suivant pour spécifier l’emplacement de sortie où vous souhaitez diriger le package de mise en service une fois ce dernier généré. Par défaut, Windows ICD utilise le dossier de projet comme emplacement de sortie.

    Le cas échéant, cliquez sur Parcourir pour modifier l’emplacement de sortie par défaut.

  15. Cliquez sur Suivant.

  16. Cliquez sur Build pour commencer à générer le package. La génération du package d’approvisionnement est rapide. Les informations du projet s’affichent dans la page de génération, et la barre de progression indique l’état de la génération.

    Si vous avez besoin d’annuler la génération, cliquez sur Cancel. Cette opération annule le processus de génération en cours, ferme l’Assistant et réaffiche la page Customizations Page.

  17. Si la génération échoue, un message d’erreur vous présente un lien vers le dossier du projet. Vous pouvez analyser les journaux pour déterminer l’origine de l’erreur. Après avoir corrigé le problème, essayez de relancer la génération du package.

    Si la génération aboutit, le nom du package de configuration, le répertoire de sortie et le répertoire du projet s’affichent.

    • Si vous le souhaitez, vous pouvez générer de nouveau le package de configuration en sélectionnant un autre chemin d’accès pour le package de sortie. Pour effectuer cette opération, cliquez sur Back pour modifier le nom et le chemin d’accès du package de sortie, puis cliquez sur Next pour lancer une autre génération.
    • Si vous avez terminé, cliquez sur Finish pour fermer l’Assistant et revenir à la page Customizations Page.
  18. Copiez le package de configuration sur le répertoire racine d'un lecteur USB.

Appliquer le package de configuration à l'appareil

Les packages de configuration peuvent être appliqués à un appareil lors de sa première utilisation (expérience out-of-box ou «OOBE») et après («exécution»).

Lors de l’installation initiale, à partir d’un lecteur USB

  1. Commencez par l’écran de première utilisation de l’ordinateur. Si cet écran est déjà passé, réinitialisez le PC pour recommencer depuis le début. Pour réinitialiser le PC, accédez à Paramètres > Mise à jour et sécurité > Récupération > Réinitialiser ce PC.

    Le premier écran pour configurer un nouveau PC

  2. Insérez le lecteur USB. L’installation de Windows reconnaît le lecteur et demande si vous voulez configurer l’appareil. Sélectionnez Configurer.

    Configurer l’appareil?

  3. L’écran suivant vous demande de sélectionner une source d’approvisionnement. Sélectionnez Média amovible puis touchez Suivant.

    Approvisionner cet appareil

  4. Sélectionnez le package de configuration (*.ppkg) que vous voulez appliquer et touchez Suivant.

    Choisir un package

  5. Sélectionner Oui, l’ajouter.

    Faites-vous confiance à ce package?

Après l’installation, à partir d’un lecteur USB, d’un dossier réseau ou d’un site SharePoint

  1. Connectez-vous avec un compte administrateur.
  2. Insérez un lecteur USB sur un ordinateur de bureau, accédez à Paramètres > Comptes > Accès Professionnel ou Scolaire > Ajouter ou supprimer un package d'approvisionnement > Ajouter un package, puis sélectionnez le package à installer.

Note

Si votre package de configuration n’inclut pas la création de compte d’utilisateur d’accès affecté, assurez-vous que le compte que vous avez spécifié dans le fichier XML de configuration multi-application existe sur l’appareil.

ajouter une option de package

Valider la configuration

  • Rendez-vous sur Paramètres > Comptes > Accès Professionnel ou Scolaire, puis cliquez sur Ajouter ou supprimer un package d'approvisionnement. Vous devez voir une liste des packages appliqués à l’appareil, notamment celui que vous avez appliqué pour la configuration multi-application.
  • Si vous le souhaitez, exécutez l’observateur d’événements (eventvwr.exe) et examinez les journaux sous Journaux des applications et des services > Microsoft > Windows > Provisioning-Diagnostics-Provider > Administrateur.

Utilisez GPM pour déployer la configuration multi-application

Le mode de borne multi-application est activé par le fournisseur de services de configuration (CSP) AssignedAccess. Votre stratégie MDM peut contenir le fichier XML de configuration de l’accès affecté.

Si votre appareil est inscrit avec un serveur GPM qui prend en charge l’application de la configuration de l’accès affecté, vous pouvez l’utiliser pour appliquer le paramètre à distance.

La stratégie OMA-URI de multi-application est ./Device/Vendor/MSFT/AssignedAccess/Configuration.

Utilisez le fournisseur WMI de pont GPM pour configurer l’accès affecté

Les environnements qui utilisent la stratégie WMI peuvent utiliser le fournisseur WMI de pont GPM pour configurer la classe MDM_AssignedAccess. Voir Scripts PowerShell avec le fournisseur de pont WMI pour plus d’informations sur l’utilisation d’un script PowerShell pour configurer AssignedAccess.

Voici un exemple de définition de la configuration AssignedAccess:

  1. Téléchargez l'outil psexec.
  2. Exécutez psexec.exe -i -s cmd.exe.
  3. Dans l’invite de commandes lancée par psexec.exe, saisissez powershell.exe pour ouvrir PowerShell.
  4. Exécutez le script suivant:
$nameSpaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = @"
&lt;?xml version=&quot;1.0&quot; encoding=&quot;utf-8&quot; ?&gt;
&lt;AssignedAccessConfiguration xmlns=&quot;http://schemas.microsoft.com/AssignedAccess/2017/config&quot;&gt;
  &lt;Profiles&gt;
    &lt;Profile Id=&quot;{9A2A490F-10F6-4764-974A-43B19E722C23}&quot;&gt;
      &lt;AllAppsList&gt;
        &lt;AllowedApps&gt;
          &lt;App AppUserModelId=&quot;Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic&quot; /&gt;
          &lt;App AppUserModelId=&quot;Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo&quot; /&gt;
          &lt;App AppUserModelId=&quot;Microsoft.Windows.Photos_8wekyb3d8bbwe!App&quot; /&gt;
          &lt;App AppUserModelId=&quot;Microsoft.BingWeather_8wekyb3d8bbwe!App&quot; /&gt;
          &lt;App AppUserModelId=&quot;Microsoft.WindowsCalculator_8wekyb3d8bbwe!App&quot; /&gt;
          &lt;App DesktopAppPath=&quot;%windir%\system32\mspaint.exe&quot; /&gt;
          &lt;App DesktopAppPath=&quot;C:\Windows\System32\notepad.exe&quot; /&gt;
        &lt;/AllowedApps&gt;
      &lt;/AllAppsList&gt;
      &lt;StartLayout&gt;
        &lt;![CDATA[&lt;LayoutModificationTemplate xmlns:defaultlayout=&quot;http://schemas.microsoft.com/Start/2014/FullDefaultLayout&quot; xmlns:start=&quot;http://schemas.microsoft.com/Start/2014/StartLayout&quot; Version=&quot;1&quot; xmlns=&quot;http://schemas.microsoft.com/Start/2014/LayoutModification&quot;&gt;
                      &lt;LayoutOptions StartTileGroupCellWidth=&quot;6&quot; /&gt;
                      &lt;DefaultLayoutOverride&gt;
                        &lt;StartLayoutCollection&gt;
                          &lt;defaultlayout:StartLayout GroupCellWidth=&quot;6&quot;&gt;
                            &lt;start:Group Name=&quot;Group1&quot;&gt;
                              &lt;start:Tile Size=&quot;4x4&quot; Column=&quot;0&quot; Row=&quot;0&quot; AppUserModelID=&quot;Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic&quot; /&gt;
                              &lt;start:Tile Size=&quot;2x2&quot; Column=&quot;4&quot; Row=&quot;2&quot; AppUserModelID=&quot;Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo&quot; /&gt;
                              &lt;start:Tile Size=&quot;2x2&quot; Column=&quot;4&quot; Row=&quot;0&quot; AppUserModelID=&quot;Microsoft.Windows.Photos_8wekyb3d8bbwe!App&quot; /&gt;
                              &lt;start:Tile Size=&quot;2x2&quot; Column=&quot;4&quot; Row=&quot;4&quot; AppUserModelID=&quot;Microsoft.BingWeather_8wekyb3d8bbwe!App&quot; /&gt;
                              &lt;start:Tile Size=&quot;4x2&quot; Column=&quot;0&quot; Row=&quot;4&quot; AppUserModelID=&quot;Microsoft.WindowsCalculator_8wekyb3d8bbwe!App&quot; /&gt;
                            &lt;/start:Group&gt;
                            &lt;start:Group Name=&quot;Group2&quot;&gt;
                              &lt;start:DesktopApplicationTile Size=&quot;2x2&quot; Column=&quot;2&quot; Row=&quot;0&quot; DesktopApplicationLinkPath=&quot;%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk&quot; /&gt;
                              &lt;start:DesktopApplicationTile Size=&quot;2x2&quot; Column=&quot;0&quot; Row=&quot;0&quot; DesktopApplicationLinkPath=&quot;%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk&quot; /&gt;
                            &lt;/start:Group&gt;
                          &lt;/defaultlayout:StartLayout&gt;
                        &lt;/StartLayoutCollection&gt;
                      &lt;/DefaultLayoutOverride&gt;
                    &lt;/LayoutModificationTemplate&gt;
                ]]&gt;
      &lt;/StartLayout&gt;
      &lt;Taskbar ShowTaskbar=&quot;true&quot;/&gt;
    &lt;/Profile&gt;
  &lt;/Profiles&gt;
  &lt;Configs&gt;
    &lt;Config&gt;
      &lt;Account&gt;MultiAppKioskUser&lt;/Account&gt;
      &lt;DefaultProfile Id=&quot;{9A2A490F-10F6-4764-974A-43B19E722C23}&quot;/&gt;
    &lt;/Config&gt;
  &lt;/Configs&gt;
&lt;/AssignedAccessConfiguration&gt;
"@

Set-CimInstance -CimInstance $obj

Validez la configuration de borne multi-application

Connectez-vous sous le compte d’utilisateur d’accès affecté spécifié dans la configuration pour découvrir l’expérience multi-application.

Note

Le paramètre prendra effet la prochaine fois que l’utilisateur de l’accès affecté se connectera. Si ce compte d’utilisateur est connecté lorsque vous appliquez la configuration, assurez-vous que l’utilisateur se déconnecte et se reconnecte pour valider l’expérience.

Les sections suivantes expliquent à quoi s’attendre sur une borne multi-application.

Lancement d’applications et opérations de commutation

En mode multi-application, afin d’optimiser la productivité des utilisateurs et de simplifier l’expérience, une application est toujours lancée en plein écran lorsque les utilisateurs cliquent sur la vignette sur l’écran de démarrage. Les utilisateurs peuvent réduire et fermer l’application, mais pas redimensionner sa fenêtre.

Les utilisateurs peuvent basculer entre les applications comme ils le font aujourd'hui dans Windows. Ils peuvent utiliser le bouton Affichage des tâches, la touche de raccourci Alt + Tab et le mouvement de balayage depuis la gauche pour afficher toutes les applications ouvertes dans l'affichage des tâches. Ils peuvent cliquer sur le bouton Windows pour afficher l’écran de démarrage, à partir duquel ils peuvent ouvrir des applications, et ils peuvent basculer vers une application ouverte en cliquant dessus sur la barre des tâches.

Modifications de l’écran de démarrage

Lorsque l’utilisateur de l’accès affecté se connecte, vous devez voir un écran de démarrage restreint:

  • L'écran de démarrage se lance en plein écran et empêche l’utilisateur final d'accéder au bureau.
  • L'écran de démarrage montre une disposition qui respecte ce que vous avez défini dans le fichier XML de configuration de multi-application.
  • L'écran de démarrage empêche l’utilisateur final de modifier la disposition des vignettes.
    • L’utilisateur ne peut pas redimensionner, repositionner et désépingler les vignettes.
    • L’utilisateur ne peut pas épingler de vignettes supplémentaires sur l’écran de démarrage.
  • L'écran de démarrage masque la liste Toutes les applications.
  • Le menu Démarrer masque tous les dossiers sur l'écran de démarrage (notamment les dossiers Explorateur de fichiers, Paramètres, Documents, Téléchargements, Musique, Images, Vidéos, Groupe résidentiel, Réseau et Personnel).
  • Seuls les boutons Utilisateur et Marche/Arrêt sont disponibles. (Vous pouvez contrôler si vous souhaitez afficher ou non les boutons Utilisateur/Marche/Arrêt à l’aide des stratégies existantes.)
  • L'écran de démarrage masque l'option Modifier les paramètres du compte sous le bouton Utilisateur.

Modifications de la barre des tâches

Si la configuration multi-application appliquée active la barre des tâches, vous devez voir une barre des tâches restreinte lorsque l’utilisateur de l’accès affecté se connecte:

  • Désactive le menu contextuel du bouton Démarrer (lien rapide)
  • Désactive le menu contextuel de la barre des tâches
  • Empêche l’utilisateur final de modifier la barre des tâches.
  • Désactive Cortana et la Recherche Windows
  • Masque les icônes de notification et les icônes système, par exemple, le centre de notifications, Contacts ou l'Espace de travail Windows Ink
  • Permet à l’utilisateur final d'afficher l’état de la connexion réseau et de l’alimentation, mais désactive le menu volant Réseau/alimentation pour empêcher l'utilisateur final de modifier les paramètres

Touches d’accès rapide bloquées

Le mode multi-application bloque les raccourcis clavier suivants, qui ne concernent pas le verrouillage.

Raccourci clavier Action
Touche de logo Windows+A Ouvrir le centre de notifications
Touche de logo Windows+Maj+C Ouvrir Cortana en mode d’écoute
Touche de logo Windows+D Afficher et masquer le bureau
Touche de logo Windows+Alt+D Afficher et masquer la date et l’heure sur le bureau
Touche Windows+E Ouvrir l’Explorateur de fichiers.
Touche de logo Windows+F Ouvrir le Hub de commentaires
Touche de logo Windows+G Ouvrir la barre de jeux lorsqu’un jeu est ouvert
Touche de logo Windows+I Ouvrez le menu Paramètres
Touche de logo Windows+J Placer le focus sur un conseil Windows si un conseil est disponible.
Touche de logo Windows+O Verrouiller l’orientation de l’appareil
Touche de logo Windows+Q Ouvrir la fonctionnalité de recherche
Touche de logo Windows+R Ouvrir la boîte de dialogue Exécuter
Touche de logo Windows+S Ouvrir la fonctionnalité de recherche
Touche de logo Windows+X Ouvrir le menu Lien rapide
Touche de logo Windows+virgule (,) Vue temporaire du Bureau
Touche de logo Windows+Ctrl + F Recherche d'ordinateurs (si vous êtes sur un réseau)

Verr. Maj. Ctrl + Alt + Suppr

Le mode multi-application supprime des options (par exemple, Modifier un mot de passe, Gestionnaire des tâches, Réseau) de l’écran Ctrl + Alt + Suppr pour empêcher les utilisateurs d'accéder à des fonctionnalités non autorisées dans l'expérience de verrouillage.

Déclenchement automatique du clavier tactile

En mode multi-application, le clavier tactile est automatiquement déclenché quand une entrée de clavier est nécessaire et qu'aucun clavier physique n’est associé à un appareil tactile. Vous n’avez pas besoin de configurer d'autre paramètre pour appliquer ce comportement.

Considérations sur les casques immersifs avec Windows Mixed Reality

Avec l’apparition des appareils de réalité mixte (lien vidéo), vous pouvez vouloir créer une borne capable d'exécuter des applications de réalité mixte.

Pour créer une borne multi-application capable d'exécuter des applications de réalité mixte, vous devez inclure les applications suivantes dans la liste AllowedApps:

<App AppUserModelId="MixedRealityLearning_cw5n1h2txyewy!MixedRealityLearning" />
<App AppUserModelId="HoloShell_cw5n1h2txyewy!HoloShell" />
<App AppUserModelId="Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy!App" />

Elles viennent s'ajouter à toutes les applications de réalité mixte que vous autorisez.

Avant que l'utilisateur de la borne se connecte: un utilisateur administrateur doit se connecter au PC, connecter un appareil de réalité mixte et exécuter l’installation assistée pour le Portail de réalité mixte. La première fois que le Portail de réalité mixte est configuré, certains fichiers et contenus sont téléchargés. Un utilisateur de borne n’aura pas d'autorisation pour télécharger. Son programme d’installation du Portail de réalité mixte échouera donc.

Une fois que l’administrateur a terminé la configuration, le compte de borne peut se connecter et répéter le programme d’installation. L’utilisateur administrateur voudra peut-être effectuer le paramétrage de l’utilisateur de la borne avant de fournir le PC aux employés ou aux clients.

Il existe une différence entre les expériences de réalité mixte pour les utilisateurs de bornes et les autres utilisateurs. En règle générale, lorsque l’utilisateur connecte un appareil de réalité mixte, il commence avec la page d'accueil de Réalité mixte. La page d’accueil de réalité mixte est un shell qui s’exécute en mode «silencieux» lorsque le PC est configuré en tant que borne. Lorsqu'un utilisateur de borne connecte un périphérique de réalité mixte, il ne voit qu'un écran vide sur l’appareil et n’a pas accès aux fonctionnalités et aux fonctions disponibles sur la page d’accueil. Pour exécuter une application de réalité mixte, l’utilisateur de borne doit lancer l’application à partir de l’écran de démarrage du PC.

Stratégies définies par la configuration de borne multi-application

Il n’est pas recommandé d'utiliser d’autres canaux pour donner des valeurs différentes aux stratégies appliquées en mode de multi-application avec accès affecté, le mode multi-application ayant été optimisé pour verrouiller les possibilités d'utilisation.

Lorsque la configuration d’accès affecté multi-application est appliquée à l’appareil, certaines stratégies sont appliquées au niveau du système et ont un impact sur les autres utilisateurs de l’appareil.

Stratégie de groupe

Les stratégies locales suivantes affectent tous les utilisateurs du système non administrateurs, qu'ils soient configurés en tant qu’utilisateurs de l’accès affecté ou non. Cela inclut les utilisateurs locaux, les utilisateurs du domaine et les utilisateurs d'Azure ActiveDirectory.

Paramètre Valeur
Supprimer l’accès aux menus contextuels pour la barre des tâches Activé
Effacer l’historique des documents récemment ouverts en quittant Activé
Empêcher les utilisateurs de personnaliser leur écran de démarrage Activé
Empêcher les utilisateurs de désinstaller des applications à partir de l’écran de démarrage Activé
Supprimer la liste Tous les programmes du menu Démarrer Activé
Supprimer le menu Exécuter du menu Démarrer Activé
Désactiver les notifications de bulle sous forme de toast Activé
Ne pas autoriser l’épinglage d’éléments aux listes de raccourcis Activé
Ne pas autoriser l'épinglage de programmes à la barre des tâches Activé
Ne pas afficher ni suivre les éléments des listes de raccourcis à partir d’emplacements distants Activé
Supprimer les notifications et le centre de notifications Activé
Verrouiller tous les paramètres de la barre des tâches Activé
Verrouiller la barre des tâches Activé
Empêcher les utilisateurs d’ajouter ou de supprimer des barres d’outils Activé
Empêcher les utilisateurs de redimensionner la barre des tâches Activé
Supprimer la liste de programmes fréquents du menu Démarrer Activé
Supprimer les programmes épinglés de la barre des tâches Activé
Supprimer l’icône de Sécurité et de Maintenance Activé
Désactiver toutes les notifications d’info-bulle Activé
Désactiver les bulles de notifications de fonctionnalités existantes Activé
Désactiver les notifications par toast Activé
Supprimer le Gestionnaire des tâches Activé
Supprimer l’option de modification de mot de passe dans l’interface utilisateur des Options de sécurité Activé
Supprimer l’option de déconnexion dans l’interface utilisateur des Options de sécurité Activé
Supprimer la liste Tous les programmes du menu Démarrer Activé: supprimer et désactiver le paramètre
Empêcher l’accès aux lecteurs à partir de Ce PC Activé: limiter tous les pilotes

Note

Lorsque l’option Empêcher l’accès aux lecteurs à partir du Poste de travail est activée, les utilisateurs peuvent parcourir la structure de répertoires dans l’Explorateur de fichiers, mais pas ouvrir les dossiers ni accéder au contenu. Ils ne peuvent pas non plus utiliser les boîtes de dialogue Exécuter ou Connecter un lecteur réseau pour afficher les répertoires de ces lecteurs. Les icônes représentant les lecteurs spécifiés s’affichent toujours dans l’Explorateur de fichiers, mais si les utilisateurs double-cliquent dessus, un message s’affiche pour expliquer qu’un paramètre empêche cette action. Ce paramètre n’empêche pas les utilisateurs d'utiliser des programmes pour accéder aux lecteurs locaux et réseau. Il n’empêche pas les utilisateurs d’utiliser le composant logiciel enfichable Gestion des disques pour afficher et modifier les caractéristiques des lecteurs.

Stratégie GPM

Certaines stratégies GPM basées sur le fournisseur de services de configuration (CSP) de stratégie affectent tous les utilisateurs du système (autrement dit, à l’échelle du système).

Paramètre Valeur À l'échelle du système
Expérience/AllowCortana 0: non autorisé Oui
Démarrer/AllowPinnedFolderSettings 0: le raccourci est masqué et désactive le paramètre dans l’application Paramètres Oui
Démarrer/HidePeopleBar 1: valeur true (masquer) Non
Démarrer/HideChangeAccountSettings 1: valeur true (masquer) Oui
WindowsInkWorkspace/AllowWindowsInkWorkspace 0: l'accès à l’espace de travail Ink est désactivé et la fonctionnalité est désactivée Oui
Démarrer/StartLayout Dépend de la configuration Non
WindowsLogon/DontDisplayNetworkSelectionUI <Activé>. Oui

Fichiers de configuration .lnk utilisant le Concepteur de configuration Windows

Tout d’abord, créez le fichier de raccourci de votre application de bureau en installant l’application sur un appareil de test. Cliquez avec le bouton droit sur l’application installée, puis choisissez Envoyer à > Bureau (créer un raccourci). Donnez au raccourci le nouveau nom de <appName>.lnk

Créez ensuite un fichier de commandes avec deux commandes. Si l’application de bureau est déjà installée sur l’appareil cible, ignorez la première commande d’installation MSI.

msiexec /I "<appName>.msi" /qn /norestart
copy <appName>.lnk "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\<appName>.lnk"

Dans le Concepteur de Configuration Windows, sous ProvisioningCommands > DeviceContext:

  • Sous CommandFiles, chargez votre fichier de commandes, votre fichier .lnk et le fichier d’installation de votre application de bureau
  • Sous CommandLine, saisissez cmd /c FileName.bat