Configurer une borne multi-application

S'applique à

  • Windows10 Professionnel, Entreprise et Éducation

Une borne exécute en général une seule application et les utilisateurs ne peuvent pas accéder à des fonctionnalités ou fonctions de l’appareil autres que celles de l’application. Dans Windows 10, version 1709, le fournisseur de service de configuration (CSP) AssignedAccess a été étendu pour aident les administrateurs à créer des bornes qui exécutent plusieurs applications. L’avantage d’une borne qui s’exécute uniquement une ou plusieurs applications spécifiées consiste à fournir une expérience faciles à comprendre pour les utilisateurs en plaçant face de lui que les éléments qu’ils doivent utiliser et retire de leur vue les éléments qu’ils ne doivent y accéder.

Le tableau suivant répertorie les modifications de borne multi-application dans les dernières mises à jour.

Nouvelles fonctionnalités et améliorations Dans la mise à jour
-Configurer un profil de kiosque à application unique dans votre fichier XML

-Attribuer des comptes de groupe à un profil de configuration

-Configurer un compte pour vous connecter automatiquement
Windows10 version1803
-Explicitement autoriser certains dossiers connus lorsque l’utilisateur ouvre la boîte de dialogue de fichier

- Lancer automatiquement une application lorsque l’utilisateur se connecte

-Configurer un nom d’affichage pour le compte d’ouverture de session automatique
Windows 10, version 1809

Important: Pour utiliser les fonctionnalités de publication de Windows 10, version 1809, assurez-vous que votre fichier XML de référence http://schemas.microsoft.com/AssignedAccess/201810/config.

Avertissement

La fonctionnalité d’accès affecté est destinée aux appareils à usage fixe détenus par l’entreprise, tels que les bornes. Quand la fonctionnalité d'accès affecté multi-application est appliquée sur l'appareil, certaines stratégies sont appliquées à l'échelle du système et ont des conséquences sur les autres utilisateurs de l'appareil. La suppression de la configuration de kiosque supprime les profils de verrouillage de l’accès affecté associés aux utilisateurs, mais il ne peut pas rétablir toutes les stratégies appliquées (par exemple, la disposition du menu Démarrer). Une réinitialisation aux paramètres d’usine est nécessaire pour effacer toutes les stratégies appliquées via l’accès affecté.

Vous pouvez configurer des kiosques multi-application à l'aide de MicrosoftIntune ou d'un package de configuration.

Configurer un kiosque dans MicrosoftIntune

  1. Générez la disposition de l’écran de démarrage pour l’appareil kiosque.
  2. Dans le portail MicrosoftAzure, recherchez Intune ou accédez à Autres services > Intune.
  3. Sélectionnez Configuration du périphérique.
  4. Sélectionnez Profils.
  5. Sélectionnez Créer un profil.
  6. Attribuez un nom convivial au profil.
  7. Sélectionnez Windows10 et versions ultérieures pour la plateforme.
  8. Sélectionnez plein écran (Preview) pour le type de profil.
  9. Sélectionnez Kiosque - 1 paramètre disponible.
  10. Sélectionnez Ajouter pour définir une configuration qui spécifie les applications qui seront exécutées, ainsi que la disposition du menu Démarrer.
  11. Attribuez un nom convivial à la configuration.
  12. Dans Mode plein écran, sélectionnez Kiosque multi-application.
  13. Sélectionnez un type d’application.
    • Pour l' application Win32 ajouter, entrez un nom convivial pour l’application dans le Nom de l’applicationet entrez le chemin d’accès à l’application exécutable dans identificateur.
    • Pour Ajouter les applications gérées, sélectionnez une application que vous gérez via Intune.
    • Pour Ajouter l’application par AUMID, entrez l’ID de modèle utilisateur Application (AUMID) pour une application UWP installée.
  14. Indiquez si vous souhaitez activer la barre des tâches.
  15. Recherchez et sélectionnez le fichier XML de disposition de l’écran de démarrage que vous avez généré à l’étape1.
  16. Ajoutez un ou plusieurs comptes. Lors de la connexion au compte, seules les applications définies dans la configuration seront disponibles.
  17. Sélectionnez OK. Vous pouvez ajouter des configurations supplémentaires ou terminer.
  18. Attribuez le profil à un groupe de périphériques afin de les configurer comme kiosques.

Note

Les applications gérées sont des applications qui se trouvent dans le Microsoft Store pour entreprises qui sont synchronisés avec votre abonnement Intune.

Configurer un kiosque à l'aide d'un package de configuration

Processus:

  1. Créer un fichierXML
  2. Ajouter le fichier XML au package de configuration
  3. Appliquer un package de configuration à un appareil

Regardez comment utiliser un package de configuration pour configurer un kiosque multi-application.

Si vous ne souhaitez pas utiliser de package de configuration, vous pouvez déployer le fichier de configuration XML à l’aide de gestion des périphériques mobiles (GPM) ou configurer l’accès affecté à l’aide du fournisseur WMI de pont GPM.

Éléments prérequis

  • Concepteur de Configuration Windows (Windows 10, version 1709 ou ultérieure)
  • L’appareil kiosque doit exécuter Windows 10 (S, Professionnel, entreprise ou éducation), version 1709 ou ultérieure

Note

Pour les appareils exécutant des versions de Windows10 antérieures à la version1709, vous pouvez créer des règles AppLocker pour configurer un kiosque multi-application.

Créer un fichier XML

Commençons par observer la structure de base du fichier XML.

  • Un fichier xml de configuration peut définir plusieurs profils. Chaque profil a une valeur Id unique et définit un ensemble d’applications autorisées à s'exécuter, détermine si la barre des tâches est visible et peut inclure une disposition personnalisée.

  • Un fichier xml de configuration peut avoir plusieurs sections config. Chaque section de la configuration associe un compte d’utilisateur non-administrateur à une Id de profil par défaut.

  • Plusieurs sections d'une configuration peuvent être associées à un même profil.

  • Un profil n’a aucun effet s’il n’est pas associé à une section de configuration.

    profil = app et config = compte

Vous pouvez commencer à créer votre fichier en collant le code XML suivant (ou un autre exemple de cette rubrique) dans un éditeur XML et en enregistrant le fichier sous nomdefichier.xml. Chaque section de ce fichier XML est expliquée dans cette rubrique. Vous pouvez consulter une version de l’exemple complet dans le l’accès attribué référence XML.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration 
    xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config"
    >
    <Profiles>
        <Profile Id="">
            <AllAppsList>
                <AllowedApps/>
            </AllAppsList>         
            <StartLayout/>
            <Taskbar/>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <Account/>
            <DefaultProfile Id=""/>
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Profil

Il existe deux types de profils que vous pouvez spécifier dans le fichier XML:

  • Profil de verrouillage: les utilisateurs affectés un profil de verrouillage voit le bureau en mode tablette avec les applications spécifiques sur l’écran de démarrage.
  • Profil Kiosque: nouveau dans Windows 10, version 1803, ce profil remplace le nœud KioskModeApp du Fournisseur CSP AssignedAccess. Les utilisateurs affectés un profil Kiosque ne verra le bureau, mais uniquement l’application kiosque s’exécutant en mode plein écran.

Une section de profil de verrouillage dans le fichier XML présente les entrées suivantes:

Un profil plein écran dans le fichier XML présente les entrées suivantes:

Id

Le profil Id est un attribut GUID permettant d'identifier formellement le profil. Vous pouvez créer un GUID à l’aide d’un générateur de GUID. Il faut seulement que le GUID soit unique au sein de ce fichier XML.

<Profiles>
  <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">…</Profile>
</Profiles>
AllowedApps

AllowedApps est la liste des applications qui sont autorisées à s'exécuter. Les applications peuvent être des applications de plateforme Windows universelle (UWP) ou les applications de bureau Windows. Dans Windows 10, version 1809, vous pouvez configurer une seule application dans la liste AllowedApps pour s’exécuter automatiquement lorsque le compte d’utilisateur de l’accès affecté se connecte.

  • Pour les applications UWP, vous devez fournir l’ID de modèle utilisateur de l’application (AUMID). Découvrez comment obtenir l'AUMID, ou obtenir l'AUMID à partir du fichier XML de disposition de l'écran de démarrage.
  • Pour les applications de bureau, vous devez spécifier le chemin d’accès complet du fichier exécutable, qui peut contenir une ou plusieurs variables d’environnement système sous la forme de %Nomvariable% (par ex., %systemroot%, %windir%).
  • Pour configurer l’application se lance automatiquement lorsque l’utilisateur se connecte, incluez rs5:AutoLaunch="true" après l’AUMID ou le chemin d’accès. Vous pouvez aussi inclure des arguments à transmettre à l’application. Pour obtenir un exemple, consultez l’exemple AllowedApps XML.

Lorsque la configuration de la borne multi-applications est appliquée à un appareil, des règles AppLocker sont générées pour autoriser les applications répertoriées dans cette configuration. Voici les règles AppLocker d'accès affecté prédéfinies pour les applications UWP:

  1. La règle par défaut consiste à autoriser tous les utilisateurs à lancer les applications du package signées.
  2. La liste des applications interdites dans le package est générée lors de l’exécution lorsque l’utilisateur de l’accès affecté se connecte. Selon les applications du package installées/configurées disponibles pour le compte d’utilisateur, l'accès affecté génère la liste d’exclusion. Cette liste exclura les applications du package autorisées par défaut dans la boîte de réception qui sont essentielles au fonctionnement du système, puis exclura les packages autorisés que les entreprises auront définies dans la configuration de l’accès affecté. S’il existe plusieurs applications au sein du même package, toutes ces applications sont exclues. Cette liste d'exclusion sera utilisée pour empêcher l’utilisateur d’accéder à des applications auxquelles il a actuellement accès, mais qui ne figurent pas sur la liste autorisée.

    Note

    Vous ne pouvez pas gérer des régles AppLocker générées par la configuration du kiosque multi-application dans Composants logiciels enfichables MMC. Évitez de créer des règles AppLocker incompatibles avec les règles AppLocker générées par la configuration du kiosque multi-application.

    Le mode de borne multi-application n'empêche pas l’entreprise ou les utilisateurs d’installer des applications UWP. Si une nouvelle application UWP est installée au cours de la session utilisateur actuelle par accès affecté, cette application ne figurera pas sur la liste d’exclusion. Après que l’utilisateur se sera déconnecté et reconnecté, elle sera incluse sur cette liste. S’il s’agit d’une application métier déployée par l'entreprise et si vous souhaitez l'autoriser à s’exécuter, mettez à jour la configuration de l’accès affecté afin l’inclure dans la liste des applications autorisées.

Voici les règles AppLocker d'accès affecté prédéfinies pour les applications de bureau:

  1. La règle par défaut consiste à autoriser tous les utilisateurs à lancer les programmes de bureau signés avec un certificat Microsoft afin que le système démarre et fonctionne. Elle autorise également le groupe d’utilisateurs administrateurs à lancer tous les programmes de bureau.
  2. Il existe une liste d'exclusion prédéfinie des applications de bureau de la boîte de réception pour le compte d’utilisateur de l’accès affecté. Cette liste est modifiée d'après la liste verte des applications de bureau que vous avez définie dans la configuration multi-application.
  3. Les applications de bureau autorisées définies par l’entreprise sont ajoutées à la liste verte AppLocker.

L’exemple suivant permet aux applications Groove musique, films et TV, Photos, météo, Calculatrice, Paint et bloc-notes de s’exécuter sur l’appareil, avec le bloc-notes configuré automatiquement pour lancer et créez un fichier appelé 123.text lorsque l’utilisateur se connecte.

<AllAppsList>
        <AllowedApps>
          <App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
          <App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
          <App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
          <App DesktopAppPath="%windir%\system32\mspaint.exe" />
          <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="123.txt"/>
        </AllowedApps>
</AllAppsList>
FileExplorerNamespaceRestrictions

À compter de Windows 10, version 1809, vous pouvez autoriser explicitement certains dossiers connus être accessible lorsque l’utilisateur tente d’ouvrir la boîte de dialogue de fichier dans en incluant FileExplorerNamespaceRestrictions dans votre fichier XML d’accès affectée multi-application. Actuellement, les téléchargements est le seul dossier pris en charge.

L’exemple suivant montre comment autoriser l’accès des utilisateurs dans le dossier téléchargements dans la boîte de dialogue de fichier courantes.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config"
>     <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    ...
                </AllowedApps>
            </AllAppsList>
            <rs5:FileExplorerNamespaceRestrictions>
                <rs5:AllowedNamespace Name="Downloads"/>
            </rs5:FileExplorerNamespaceRestrictions>
            <StartLayout>
                ...
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile> 
    </Profiles>
</AssignedAccessConfiguration>
StartLayout

Après avoir défini la liste des applications autorisées, vous pouvez personnaliser la disposition de l’écran de démarrage pour votre borne. Vous pouvez choisir d’épingler à l’écran de démarrage toutes les applications autorisées, ou une partie seulement, selon que vous souhaitez ou non que l’utilisateur final puisse y accéder directement depuis cet écran.

Pour créer une disposition personnalisée de l'écran de démarrage à appliquer à d'autres appareils Windows10, le plus simple consiste à configurer cet écran sur un appareil de test, puis à exporter la disposition. Pour obtenir des instructions détaillées, voir Personnaliser et exporter la disposition de l’écran de démarrage.

Voici quelques points à noter ici:

  • La version du système d’exploitation de l’appareil de test sur lequel vous personnalisez la disposition de l’écran de démarrage doit être la même que celle de l’appareil sur lequel vous prévoyez de déployer la configuration de l’accès affecté multi-application.
  • Dans la mesure où le mode d’accès affecté multi-application est destiné à des appareils à usage fixe, utilisez l’option de disposition l’écran de démarrage complète plutôt que partielle pour que l'expérience sur l’appareil soit cohérente et prévisible.
  • En mode multi-application, aucune application n'est épinglée sur la barre des tâches et il n’est pas possible de configurer la disposition de la barre des tâches à l’aide de la balise <CustomTaskbarLayoutCollection> dans un fichier XML de modification de la configuration dans le cadre de la configuration de l’accès affecté.
  • L’exemple suivant utilise DesktopApplicationLinkPath pour épingler l’application de bureau à l'écran de démarrage. Lorsque l’application de bureau ne possède pas de raccourci sur l’appareil cible, apprendre à configurer les fichiers .lnk à l’aide du Concepteur de configuration Windows.

Cet exemple épingle les applications Groove Musique, Films et TV, Photos, Météo, Calculatrice, Paint et Bloc-notes à l'écran de démarrage.

<StartLayout>
        <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Group1">
                              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
                              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
                              <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
                              <start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
                            </start:Group>
                            <start:Group Name="Group2">
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk" />
                              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
</StartLayout>

Note

Si une application n’est pas installée pour l’utilisateur, mais est incluse dans le fichier XML de disposition de l’écran de démarrage, elle n’apparaît pas sur cet écran.

Apparence de l’écran de démarrage lorsque le fichier XML d’exemple est appliqué

Barre des tâches

Définir si vous souhaitez que la barre des tâches soit présente dans l’appareil de borne. Pour les bornes ou les tablettes tactiles tout-en-un, lorsque vous ne joignez pas de clavier et de souris, vous pouvez choisir de masquer la barre des tâches dans le cadre de l’apparence multi-application.

L’exemple suivant présente la barre des tâches à l’utilisateur final:

<Taskbar ShowTaskbar="true"/>

L’exemple suivant masque la barre des tâches:

<Taskbar ShowTaskbar="false"/>

Note

Cela diffère de l'option Masquer automatiquement la barre des tâches en mode tablette, qui affiche la barre des tâches lors d'un balayage vers le haut ou d'un déplacement du pointeur vers le bas de l’écran. Le paramètre ShowTaskbar avec la valeur false gardera toujours la barre des tâches masquée.

KioskModeApp

KioskModeApp est utilisé pour créer un profil Kiosque uniquement. Entrez l’AUMID pour une seule application. Vous ne pouvez spécifier qu’un seul profil plein écran dans le fichier XML.

<KioskModeApp AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"/>

Important

Le profil Kiosque est conçu pour les appareils kiosque accessible au public. Nous vous recommandons d’utiliser un compte local, non administrateur. Si l’appareil est connecté à votre réseau d’entreprise, à l’aide d’un domaine ou un compte Active Directory Active Azure pourrait compromettre des informations confidentielles.

Configurations

Sous Configurations, définir quel compte d’utilisateur sera associé au profil. Lorsque ce compte d’utilisateur se connecte à l’appareil, le profil d’accès affecté associé est appliqué, y compris les applications autorisées, la disposition de l'écran de démarrage et la configuration de la barre des tâches, ainsi que les autres stratégies de groupe local ou de gestion de périphérique mobile définies dans le cadre du mode multi-application.

L’expérience complète d’accès affecté multi-application ne peut fonctionner que pour les utilisateurs non administrateurs. Il n’est pas possible d'associer un utilisateur administrateur au profil d’accès affecté. Une telle opération dans le fichier XML entraînera des résultats inattendus ou non pris en charge lorsque cet utilisateur administrateur se connectera.

Vous pouvez affecter:

Note

Configurations qui spécifient les comptes de groupe ne peuvent pas utiliser un profil de kiosque, uniquement un profil de verrouillage. Si un groupe est configuré pour un profil plein écran, le fournisseur CSP rejette la demande.

Configuration de compte d’ouverture de session automatique

Lorsque vous utilisez <AutoLogonAccount> et la configuration est appliquée à un appareil, le compte spécifié (géré par l’accès affecté) est créé sur l’appareil en tant qu’un compte d’utilisateur standard local. Le compte spécifié est connecté automatiquement après le redémarrage.

L’exemple suivant montre comment spécifier un compte pour vous connecter automatiquement.

<Configs>
  <Config>
    <AutoLogonAccount/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs> 

Dans Windows 10, version 1809, vous pouvez configurer le nom d’affichage qui s’affiche lorsque l’utilisateur se connecte. L’exemple suivant montre comment créer un compte d’ouverture de session automatique qui affiche le nom «Hello World».

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Hello World"/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

Sur les appareils joints au domaine, les comptes d’utilisateurs locaux ne sont pas affichées sur l’écran de connexion par défaut. Pour afficher les AutoLogonAccount sur l’écran de connexion, activez le paramètre de stratégie de groupe suivant: Configuration ordinateur > modèles d’administration > système > ouverture de session > énumérer les utilisateurs locaux sur les ordinateurs joints au domaine. (Le paramètre de stratégie GPM correspondant est WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers dans la stratégie CSP).

Important

Lorsque les restrictions de mot de passe Exchange ActiveSync (EAS) sont actives sur l’appareil, la fonctionnalité d’ouverture de session automatique ne fonctionne pas. Ce comportement est normal. Pour plus d’informations, voir comment activer la connexion automatique dans Windows.

Configuration des comptes individuels

Les comptes individuels sont spécifiées à l’aide de <Account>.

  • Un compte local peut être saisi sous la forme machinename\account, .\account ou simplement account.
  • Un compte de domaine doit être saisi sous la forme domain\account.
  • Un compte Azure AD doit être spécifié sous ce format: AzureAD\{email address}. AzureAD doit être fourni EN L’ÉTAT (comme si c'était un nom de domaine fixe), puis être suivi de l’adresse e-mail Azure AD, par exemple, AzureAD\utilisateur@contoso.onmicrosoft.com.

Avertissement

L'accès affecté peut être configuré via WMI ou un fournisseur de services de configuration pour exécuter ses applications sous un compte d'utilisateur de domaine ou de service plutôt qu’un compte local. Toutefois, l'utilisation d'un compte d’utilisateur de domaine ou de service présente le risque qu’un pirate subvertisse l’application à accès affecté pour accéder aux ressources sensibles du domaine laissées par inadvertance accessibles à n’importe quel compte de domaine. Nous recommandons aux clients de faire preuve de prudence lors de l’utilisation de comptes de domaine avec accès affecté et de tenir compte du risque d'exposition des ressources de domaine qu'entraîne une telle décision.

Avant d’appliquer la configuration multi-application, assurez-vous que le compte d’utilisateur spécifié est disponible sur l'appareil, sinon elle échouera.

Note

Pour les comptes Azure AD et de domaine, il n'est pas obligatoire que le compte cible soit explicitement ajouté à l’appareil. Tant que l’appareil est joint à ActiveDirectory ou à Azure AD, le compte peut être détecté dans la forêt ou le client du domaine auquel l’appareil est joint. Pour les comptes locaux, il est nécessaire que le compte existe avant de configurer le compte d’accès affecté.

<Configs>
  <Config>
    <Account>MultiAppKioskUser</Account>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs> 
Configuration pour les comptes de groupe

Comptes de groupe sont spécifiées à l’aide de <UserGroup>. Les groupes imbriqués ne sont pas pris en charge. Par exemple, si l’utilisateur A est membre du groupe 1, groupe 1 est membre du groupe 2 et 2 de groupe est utilisée dans <Config/>, l’utilisateur A n’aura pas l’expérience plein écran.

  • Groupe local: spécifier le type de groupe en tant que groupe local et placez le nom du groupe dans l’attribut de nom.

    <Config> 
      <UserGroup Type="LocalGroup" Name="mygroup" /> 
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> 
    </Config> 
    
  • Groupe de domaine: à la fois les groupes de sécurité et de distribution sont pris en charge. Spécifier le type de groupe en tant que ActiveDirectoryGroup. Utilisez le nom de domaine comme préfixe dans l’attribut de nom.

    <Config> 
      <UserGroup Type="ActiveDirectoryGroup" Name="mydomain\mygroup" /> 
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> 
    </Config> 
    
  • Groupe AD Azure: utiliser l’ID d’objet de groupe à partir du portail Azure pour identifier de manière unique le groupe dans l’attribut de nom. Vous pouvez trouver l’ID de l’objet sur la page Vue d’ensemble pour le groupe dans les utilisateurs et groupes > tous les groupes. Spécifier le type de groupe en tant que AzureActiveDirectoryGroup.

    <Config> 
      <UserGroup Type="AzureActiveDirectoryGroup" Name="a8d36e43-4180-4ac5-a627-fb8149bba1ac" /> 
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> 
    </Config> 
    

    Note

    Si un groupe d’Azure AD est configuré avec un profil de verrouillage sur un appareil, un utilisateur dans le groupe d’Azure AD doit changer son mot de passe (une fois que le compte a été créé avec un mot de passe par défaut sur le portail) avant qu’ils peuvent se connecter à cet appareil. Si l’utilisateur utilise le mot de passe par défaut pour se connecter à l’appareil, l’utilisateur sera immédiatement déconnecté.

Ajouter le fichier XML au package de configuration

Avant d’ajouter le fichier XML à un package de configuration, vous pouvez valider votre configuration XML par rapport à la définition XSD.

Utilisez l'outil Concepteur de configuration Windows pour créer un package de configuration. Découvrez comment installer le Concepteur de configuration Windows.

Important

Lorsque vous générez un package d’approvisionnement, vous pouvez inclure des informations sensibles dans les fichiers du projet et dans le fichier du package d’approvisionnement (.ppkg). Bien que vous ayez la possibilité de chiffrer le fichier .ppkg, les fichiers du projet ne sont pas chiffrés. Vous devez stocker les fichiers de projet dans un emplacement sécurisé et supprimer les fichiers du projet lorsqu’ils ne sont plus nécessaires.

  1. Ouvrez Concepteur de configuration Windows (par défaut, %systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe).

  2. Choisissez Approvisionnement avancé.

  3. Attribuez un nom à votre projet, puis cliquez sur Suivant.

  4. Choisissez Toutes les éditions Windows de bureau et cliquez sur Suivant.

  5. Dans Nouveau projet, cliquez sur Terminer. L’espace de travail de votre package s’ouvre.

  6. Développez Paramètres d’exécution > AssignedAccess > MultiAppAssignedAccessSettings.

  7. Dans le volet central, cliquez sur Parcourir pour localiser et sélectionner le fichier XML de configuration d'accès affecté que vous avez créé.

    Capture d’écran du champ MultiAppAssignedAccessSettings dans le Concepteur de configuration Windows

  8. (Facultatif: si vous souhaitez appliquer le package de configuration après la configuration initiale de l'appareil et s'il existe un utilisateur administrateur déjà disponible sur l’appareil de la borne, ignorez cette étape.) Créez un compte d’utilisateur administrateur dans Paramètres d’exécution > Comptes > Utilisateurs. Fournissez un Nom d’utilisateur et un Mot de passe, puis sélectionnez UserGroup comme Administrateurs. Avec ce compte, vous pouvez afficher l’état de la configuration et les journaux, si nécessaire.

  9. (Facultatif: si vous avez déjà un compte non-administrateur sur l’appareil de la borne, ignorez cette étape.) Créez un compte d’utilisateur standard local dans Paramètres d’exécution > Comptes > Utilisateurs. Assurez-vous que le Nom d’utilisateur est le même que celui du compte que vous spécifiez dans le fichier XML de configuration. Sélectionnez UserGroup pour Utilisateurs standard.

  10. Dans le menu Fichier, sélectionnez Enregistrer.

  11. Dans le menu Export, sélectionnez Provisioning package.

  12. Remplacez Propriétaire par Administrateur informatique, ce qui indique que la priorité de ce package d’approvisionnement est supérieure à celle des packages d’approvisionnement appliqués à cet appareil provenant d’autres sources, puis sélectionnez Next.

  13. (Facultatif) Dans la fenêtre Provisioning package security, vous pouvez choisir de chiffrer le package et d’activer sa signature.

    • Enable package encryption: si vous sélectionnez cette option, un mot de passe généré automatiquement s’affiche à l’écran.

    • Activer la signature du package : si vous sélectionnez cette option, vous devez sélectionner un certificat valide à utiliser pour signer le package. Vous pouvez spécifier le certificat en cliquant sur Parcourir, puis en choisissant le certificat à utiliser pour signer le package.

  14. Cliquez sur Suivant pour spécifier l’emplacement de sortie où vous souhaitez diriger le package de mise en service une fois ce dernier généré. Par défaut, Windows ICD utilise le dossier de projet comme emplacement de sortie.

    Le cas échéant, cliquez sur Parcourir pour modifier l’emplacement de sortie par défaut.

  15. Cliquez sur Suivant.

  16. Cliquez sur Build pour commencer à générer le package. La génération du package d’approvisionnement est rapide. Les informations du projet s’affichent dans la page de génération, et la barre de progression indique l’état de la génération.

    Si vous avez besoin d’annuler la génération, cliquez sur Cancel. Cette opération annule le processus de génération en cours, ferme l’Assistant et réaffiche la page Customizations Page.

  17. Si la génération échoue, un message d’erreur vous présente un lien vers le dossier du projet. Vous pouvez analyser les journaux pour déterminer l’origine de l’erreur. Après avoir corrigé le problème, essayez de relancer la génération du package.

    Si la génération aboutit, le nom du package d’approvisionnement, le répertoire de sortie et le répertoire du projet s’affichent.

    • Si vous le souhaitez, vous pouvez générer de nouveau le package d’approvisionnement en sélectionnant un autre chemin d’accès pour le package de sortie. Pour effectuer cette opération, cliquez sur Back pour modifier le nom et le chemin d’accès du package de sortie, puis cliquez sur Next pour lancer une autre génération.
    • Si vous avez terminé, cliquez sur Finish pour fermer l’Assistant et revenir à la page Customizations Page.
  18. Copiez le package de configuration sur le répertoire racine d'un lecteur USB.

Appliquer le package de configuration à l'appareil

Les packages de configuration peuvent être appliqués à un appareil lors de sa première utilisation (expérience out-of-box ou «OOBE») et après («exécution»).

Conseil

Outre les méthodes ci-dessous, vous pouvez utiliser le comdlet de PowerShell install-provisioningpackage avec -LogsDirectoryPath pour obtenir les journaux de l’opération.

Lors de l’installation initiale, à partir d’un lecteur USB

  1. Commencez par l’écran de première utilisation de l’ordinateur. Si cet écran est déjà passé, réinitialisez le PC pour recommencer depuis le début. Pour réinitialiser le PC, accédez à Paramètres > Mise à jour et sécurité > Récupération > Réinitialiser ce PC.

    Le premier écran pour configurer un nouveau PC

  2. Insérez le lecteur USB. L’installation de Windows reconnaît le lecteur et demande si vous voulez configurer l’appareil. Sélectionnez Configurer.

    Configurer l’appareil?

  3. L’écran suivant vous demande de sélectionner une source d’approvisionnement. Sélectionnez Média amovible puis touchez Suivant.

    Approvisionner cet appareil

  4. Sélectionnez le package de configuration (*.ppkg) que vous voulez appliquer et touchez Suivant.

    Choisir un package

  5. Sélectionner Oui, l’ajouter.

    Faites-vous confiance à ce package?

Après l’installation, à partir d’un lecteur USB, d’un dossier réseau ou d’un site SharePoint

  1. Connectez-vous avec un compte administrateur.
  2. Insérez un lecteur USB sur un ordinateur de bureau, accédez à Paramètres > Comptes > Accès Professionnel ou Scolaire > Ajouter ou supprimer un package d'approvisionnement > Ajouter un package, puis sélectionnez le package à installer.

Note

Si votre package de configuration n’inclut pas la création de compte d’utilisateur d’accès affecté, assurez-vous que le compte que vous avez spécifié dans le fichier XML de configuration multi-application existe sur l’appareil.

ajouter une option de package

Utilisez GPM pour déployer la configuration multi-application

Le mode de borne multi-application est activé par le fournisseur de services de configuration (CSP) AssignedAccess. Votre stratégie MDM peut contenir le fichier XML de configuration de l’accès affecté.

Si votre appareil est inscrit avec un serveur GPM qui prend en charge l’application de la configuration de l’accès affecté, vous pouvez l’utiliser pour appliquer le paramètre à distance.

La stratégie OMA-URI de multi-application est ./Device/Vendor/MSFT/AssignedAccess/Configuration.

Considérations sur les casques immersifs avec Windows Mixed Reality

Avec l’apparition des appareils de réalité mixte (lien vidéo), vous pouvez vouloir créer une borne capable d'exécuter des applications de réalité mixte.

Pour créer une borne multi-application capable d'exécuter des applications de réalité mixte, vous devez inclure les applications suivantes dans la liste AllowedApps:

<App AppUserModelId="MixedRealityLearning_cw5n1h2txyewy!MixedRealityLearning" />
<App AppUserModelId="HoloShell_cw5n1h2txyewy!HoloShell" />
<App AppUserModelId="Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy!App" />

Elles viennent s'ajouter à toutes les applications de réalité mixte que vous autorisez.

Avant que l'utilisateur de la borne se connecte: un utilisateur administrateur doit se connecter au PC, connecter un appareil de réalité mixte et exécuter l’installation assistée pour le Portail de réalité mixte. La première fois que le Portail de réalité mixte est configuré, certains fichiers et contenus sont téléchargés. Un utilisateur de borne n’aura pas d'autorisation pour télécharger. Son programme d’installation du Portail de réalité mixte échouera donc.

Une fois que l’administrateur a terminé la configuration, le compte de borne peut se connecter et répéter le programme d’installation. L’utilisateur administrateur voudra peut-être effectuer le paramétrage de l’utilisateur de la borne avant de fournir le PC aux employés ou aux clients.

Il existe une différence entre les expériences de réalité mixte pour les utilisateurs de bornes et les autres utilisateurs. En règle générale, lorsque l’utilisateur connecte un appareil de réalité mixte, il commence avec la page d'accueil de Réalité mixte. La page d’accueil de réalité mixte est un shell qui s’exécute en mode «silencieux» lorsque le PC est configuré en tant que borne. Lorsqu'un utilisateur de borne connecte un périphérique de réalité mixte, il ne voit qu'un écran vide sur l’appareil et n’a pas accès aux fonctionnalités et aux fonctions disponibles sur la page d’accueil. Pour exécuter une application de réalité mixte, l’utilisateur de borne doit lancer l’application à partir de l’écran de démarrage du PC.

Stratégies définies par la configuration de borne multi-application

Il n’est pas recommandé d'utiliser d’autres canaux pour donner des valeurs différentes aux stratégies appliquées en mode de multi-application avec accès affecté, le mode multi-application ayant été optimisé pour verrouiller les possibilités d'utilisation.

Lorsque la configuration d’accès affecté multi-application est appliquée à l’appareil, certaines stratégies sont appliquées au niveau du système et ont un impact sur les autres utilisateurs de l’appareil.

Stratégie de groupe

Les stratégies locales suivantes affectent tous les utilisateurs du système non administrateurs, qu'ils soient configurés en tant qu’utilisateurs de l’accès affecté ou non. Cela inclut les utilisateurs locaux, les utilisateurs du domaine et les utilisateurs d'Azure ActiveDirectory.

Paramètre Valeur
Supprimer l’accès aux menus contextuels pour la barre des tâches Activé
Effacer l’historique des documents récemment ouverts en quittant Activé
Empêcher les utilisateurs de personnaliser leur écran de démarrage Activé
Empêcher les utilisateurs de désinstaller des applications à partir de l’écran de démarrage Activé
Supprimer la liste Tous les programmes du menu Démarrer Activé
Supprimer le menu Exécuter du menu Démarrer Activé
Désactiver les notifications de bulle sous forme de toast Activé
Ne pas autoriser l’épinglage d’éléments aux listes de raccourcis Activé
Ne pas autoriser l'épinglage de programmes à la barre des tâches Activé
Ne pas afficher ni suivre les éléments des listes de raccourcis à partir d’emplacements distants Activé
Supprimer les notifications et le centre de notifications Activé
Verrouiller tous les paramètres de la barre des tâches Activé
Verrouiller la barre des tâches Activé
Empêcher les utilisateurs d’ajouter ou de supprimer des barres d’outils Activé
Empêcher les utilisateurs de redimensionner la barre des tâches Activé
Supprimer la liste de programmes fréquents du menu Démarrer Activé
Supprimer «Connecter un lecteur réseau» et «Déconnecter un lecteur réseau» Activé
Supprimer l’icône de Sécurité et de Maintenance Activé
Désactiver toutes les notifications d’info-bulle Activé
Désactiver les bulles de notifications de fonctionnalités existantes Activé
Désactiver les notifications par toast Activé
Supprimer le Gestionnaire des tâches Activé
Supprimer l’option de modification de mot de passe dans l’interface utilisateur des Options de sécurité Activé
Supprimer l’option de déconnexion dans l’interface utilisateur des Options de sécurité Activé
Supprimer la liste Tous les programmes du menu Démarrer Activé: supprimer et désactiver le paramètre
Empêcher l’accès aux lecteurs à partir de Ce PC Activé: limiter tous les pilotes

Note

Lorsque l’option Empêcher l’accès aux lecteurs à partir du Poste de travail est activée, les utilisateurs peuvent parcourir la structure de répertoires dans l’Explorateur de fichiers, mais pas ouvrir les dossiers ni accéder au contenu. Ils ne peuvent pas non plus utiliser les boîtes de dialogue Exécuter ou Connecter un lecteur réseau pour afficher les répertoires de ces lecteurs. Les icônes représentant les lecteurs spécifiés s’affichent toujours dans l’Explorateur de fichiers, mais si les utilisateurs double-cliquent dessus, un message s’affiche pour expliquer qu’un paramètre empêche cette action. Ce paramètre n’empêche pas les utilisateurs d'utiliser des programmes pour accéder aux lecteurs locaux et réseau. Il n’empêche pas les utilisateurs d’utiliser le composant logiciel enfichable Gestion des disques pour afficher et modifier les caractéristiques des lecteurs.

Stratégie GPM

Certaines stratégies GPM basées sur le fournisseur de services de configuration (CSP) de stratégie affectent tous les utilisateurs du système (autrement dit, à l’échelle du système).

Paramètre Valeur À l'échelle du système
Expérience/AllowCortana 0: non autorisé Oui
Écran de démarrage/AllowPinnedFolderDocuments 0: le raccourci est masqué et désactive le paramètre dans l’application Paramètres Oui
Écran de démarrage/AllowPinnedFolderDownloads 0: le raccourci est masqué et désactive le paramètre dans l’application Paramètres Oui
Écran de démarrage/AllowPinnedFolderFileExplorer 0: le raccourci est masqué et désactive le paramètre dans l’application Paramètres Oui
Écran de démarrage/AllowPinnedFolderHomeGroup 0: le raccourci est masqué et désactive le paramètre dans l’application Paramètres Oui
Écran de démarrage/AllowPinnedFolderMusic 0: le raccourci est masqué et désactive le paramètre dans l’application Paramètres Oui
Écran de démarrage/AllowPinnedFolderNetwork 0: le raccourci est masqué et désactive le paramètre dans l’application Paramètres Oui
Écran de démarrage/AllowPinnedFolderPersonalFolder 0: le raccourci est masqué et désactive le paramètre dans l’application Paramètres Oui
Écran de démarrage/AllowPinnedFolderPictures 0: le raccourci est masqué et désactive le paramètre dans l’application Paramètres Oui
Démarrer/AllowPinnedFolderSettings 0: le raccourci est masqué et désactive le paramètre dans l’application Paramètres Oui
Écran de démarrage/AllowPinnedFolderVideos 0: le raccourci est masqué et désactive le paramètre dans l’application Paramètres Oui
Écran de démarrage/DisableContextMenus 1 - les menus contextuels sont masqués pour les applications de l’écran de démarrage Non
Démarrer/HidePeopleBar 1: valeur true (masquer) Non
Démarrer/HideChangeAccountSettings 1: valeur true (masquer) Oui
WindowsInkWorkspace/AllowWindowsInkWorkspace 0: l'accès à l’espace de travail Ink est désactivé et la fonctionnalité est désactivée Oui
Démarrer/StartLayout Dépend de la configuration Non
WindowsLogon/DontDisplayNetworkSelectionUI <Activé>. Oui

Fichiers de configuration .lnk utilisant le Concepteur de configuration Windows

Tout d’abord, créez le fichier de raccourci de votre application de bureau en installant l’application sur un appareil de test, à l’aide de l’emplacement d’installation par défaut. Cliquez avec le bouton droit sur l’application installée, puis choisissez Envoyer à > Bureau (créer un raccourci). Donnez au raccourci le nouveau nom de <appName>.lnk

Créez ensuite un fichier de commandes avec deux commandes. Si l’application de bureau est déjà installée sur l’appareil cible, ignorez la première commande d’installation MSI.

msiexec /I "<appName>.msi" /qn /norestart
copy <appName>.lnk "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\<appName>.lnk"

Dans le Concepteur de Configuration Windows, sous ProvisioningCommands > DeviceContext:

  • Sous CommandFiles, chargez votre fichier de commandes, votre fichier .lnk et le fichier d’installation de votre application de bureau.

    Important

    Collez le chemin d’accès complet au fichier .lnk dans le champ CommandFiles . Si vous recherchez et sélectionnez le fichier .lnk, le chemin d’accès est remplacé par le chemin d’accès de la cible de la .lnk.

  • Sous la ligne de commande, entrez cmd /c *FileName*.bat.

Autres méthodes

Les environnements qui utilisent WMI peuvent utiliser le Fournisseur WMI de pont GPM pour configurer un kiosque.