Configurer un kiosque sur Windows10 Professionnel, Windows10 Entreprise ou Windows10 Éducation

S’applique à

  • Windows 10

Vous recherchez des informations sur WindowsEmbedded8.1 Industry? Voir Accès affecté

Un appareil à usage unique, ou kiosque est facile à configurer dans Windows10 pour les éditions de bureau.

  • Utilisez l'Assistant de mise en service des appareils kiosque dans le Concepteur de configuration Windows (Windows 10, version 1607 ou ultérieure) pour créer un package d’approvisionnement qui configure un appareil kiosque exécutant une application Windows universelle ou une application Windows classique (Windows10 Entreprise ou Éducation uniquement). Dans Windows10, version1709, vous pouvez utiliser l'Assistant Mettre en service des appareils kiosque pour configurer un appareil kiosque exécutant une application Windows universelle pour Windows10 Professionnel.

    ou

  • Pour un appareil kiosque exécutant une application Windows universelle, utilisez la fonctionnalité accès affecté (Windows10 Professionnel, Entreprise ou Éducation).

    ou

  • Pour qu’un appareil kiosque exécute une application Windows classique, utilisez le lanceur d’interpréteur de commandes pour définir une interface utilisateur personnalisée comme interpréteur de commandes (Windows 10 Entreprise ou Éducation uniquement).

Pour reconfigurer l’appareil sur l’interpréteur de commandes standard, voir Se déconnecter d’un accès affecté.

Note

Une application Windows universelle repose sur la plateforme Windows universelle (UWP), introduite pour la première fois dans Windows8 en tant que Windows Runtime. Une application Windows classique utilise la plateforme Windows classique (CWP) (par exemple, COM, Win32, WPF, WinForms, etc.) et est généralement lancée à l’aide d’un fichier .EXE ou .DLL.

Configurer un kiosque à l’aide du Concepteur de configuration Windows

Lorsque vous utilisez l'assistant de mise en service des appareils kiosque dans le Concepteur de configuration de Windows, vous pouvez configurer le kiosque de sorte à exécuter une application Windows universelle ou une application Windows classique.

Important

Lorsque vous générez un package d’approvisionnement, vous pouvez inclure des informations sensibles dans les fichiers du projet et dans le fichier du package d’approvisionnement (.ppkg). Bien que vous ayez la possibilité de chiffrer le fichier .ppkg, les fichiers du projet ne sont pas chiffrés. Vous devez stocker les fichiers de projet dans un emplacement sécurisé et supprimer les fichiers du projet lorsqu’ils ne sont plus nécessaires.

Installez le Concepteur de configuration Windows, puis ouvrez le Concepteur de configuration Windows et sélectionnez Approvisionnement des appareils kiosque. Une fois que vous aurez nommé votre projet, cliquez sur Suivant et configurez les paramètres comme indiqué dans le tableau suivant.

première étapeconfigurer l’appareil
Activez la configuration de l'appareil si vous souhaitez configurer les paramètres sur cette page.

Si activé:

Entrez un nom pour le périphérique.

(Facultatif) Sélectionnez un fichier de licence pour mettre à jour Windows10vers une autre édition. Voir les mises à niveau autorisées.

Définissez l'option Configurer des appareils pour une utilisation partagée sur la position Désactivé. Ce paramètre permet d’optimiser Windows10 pour les scénarios d’utilisation partagée et n’est pas nécessaire pour un scénario kiosque.

Vous pouvez également décider de supprimer le logiciel de l’appareil.
nom de l’appareil, mise à niveau vers la version entreprise, utilisation partagée, suppression des logiciels préinstallés
étape deuxconfigurer le réseau
Activez la configuration du réseau si vous souhaitez configurer les paramètres sur cette page.

Si activé:

Définissez le paramètre de connectivité réseau sans fil sur Activé ou Désactivé. Si vous sélectionnez Activez, entrez le SSID, le type de réseau (Ouvert ou WPA2-Personnel), et (si WPA2-Personnel) le mot de passe pour le réseau sans fil.
Entrez le réseau et le type SSID
étape3gestion des comptes
Activer la gestion de compte si vous souhaitez configurer les paramètres sur cette page.

Si activé:

Vous pouvez inscrire l’appareil dans ActiveDirectory ou dans Azure ActiveDirectory, ou créer un compte d’administrateur local sur l’appareil

Pour inscrire l’appareil dans ActiveDirectory, entrez les informations d’identification pour un compte d’utilisateur moins privilégié afin d'associer l’appareil au domaine.

Avant d’utiliser un assistant de Concepteur de configuration Windows pour configurer l’inscription en bloc à Azure AD, configurez Azure AD pour qu'il rejoigne votre organisation. Le paramètre Nombre maximal d'appareils par utilisateur dans votre locataire Azure AD détermine le nombre de fois où le jeton en bloc que vous avez obtenu via l’assistant peut être utilisé. Pour inscrire l’appareil dans Azure AD, sélectionnez cette option et entrez un nom convivial pour le jeton en bloc que vous obtiendrez via l’assistant. Définissez une date d’expiration pour le jeton (30jours maximum à compter de la date à laquelle vous avez reçu le jeton). Cliquez sur Obtenir le jeton en bloc. Dans la fenêtre Se connecter saisissez un compte doté des autorisations nécessaires pour permettre à un appareil de rejoindre Azure AD, puis son mot de passe. Cliquez sur Accepter pour conférer au Concepteur de configuration Windows les autorisations nécessaires.

Attention: vous devez exécuter le Concepteur de configuration Windows sur Windows10 pour configurer l’inscription à Azure ActiveDirectory à l’aide d’un des assistants.

Pour créer un compte d’administrateur local, sélectionnez cette option et entrez un nom d'utilisateur et un mot de passe.

Important: si vous créez un compte local dans le package d’approvisionnement, vous devez modifier le mot de passe à l’aide de l'application Paramètres tous les 42jours. Si le mot de passe n’est pas modifié pendant cette période, le compte peut être verrouillé et vous risquez de ne plus pouvoir vous connecter.
rejoindre ActiveDirectory, Azure AD, ou créer un compte d’administrateur local
étape4ajouter des applications
Vous pouvez configurer l’application kiosque lors de l'étape Ajouter des applications. Vous pouvez installer plusieurs applications, à la fois des applications Windows classiques (Win32) et des applications de plateforme Windows universelle (UWP), dans un package d’approvisionnement. Dans cette étape, les paramètres varient en fonction de l’application que vous sélectionnez. Pour obtenir de l’aide concernant ces paramètres, consultez Approvisionner les PC avec des applications

Attention: si vous cliquez sur le bouton plus (+) pour ajouter une application, vous devez spécifier une application pour permettre au package d’approvisionnement de le valider. Si vous cliquez sur le bouton plus (+) par erreur, sélectionnez n’importe quel fichier exécutable dans le Chemin du programme d’installation; vous aurez alors la possibilité de cliquer sur un bouton Annuler, ce qui vous permettra de finaliser le package d'approvisionnement sans application.
ajouter une application
étape5ajouter des certificats
Pour configurer l’appareil avec un certificat pour l’application kiosque, cliquez sur Ajouter un certificat. Entrez un nom pour le certificat, puis recherchez et sélectionnez le certificat à utiliser.
ajouter un certificat
étape6Configurer un compte kiosque et une application
Important: vous devez utiliser l’application Concepteur de configuration de Windows à partir du Microsoft Store pour sélectionner une application Windows classique en tant qu'application kiosque dans un package d’approvisionnement.

Vous pouvez créer un compte d’utilisateur standard local qui servira à exécuter l’application kiosque. Si vous définissez Non, assurez-vous que vous disposez d’un compte d’utilisateur pour exécuter l’application kiosque.

Si vous souhaitez créer un compte, entrez le nom d’utilisateur et le mot de passe, puis définissez Oui ou Non pour connecter automatiquement le compte lors du démarrage de l’appareil.

Dans Configurer l’application en mode plein écran, entrez le nom du compte d’utilisateur qui s’exécutera dans l’application en mode plein écran. Sélectionnez le type d’application qui s’exécutera en mode plein écran, puis entrez le chemin d’accès ou le nom de fichier (pour une application Windows classique) ou l’AUMID (pour une application Windows universelle). Pour une application Windows classique, vous pouvez utiliser le nom de fichier si le chemin d’accès vers ce fichier se trouve dans la variable d’environnement PATH. Dans le cas contraire, le chemin d’accès complet est requis.
Configurer le compte kiosque et l’application
étape7configurer les paramètres kiosque communs
Dans cette étape, sélectionnez vos options pour le mode tablette, l’expérience utilisateur sur les écrans de bienvenue et d’arrêt, et les paramètres de délai d’expiration.
définir le mode tablette, configurer les paramètres de bienvenue et d'arrêt et désactiver les paramètres de délai d'expiration
terminer
Vous pouvez définir un mot de passe pour protéger votre package d’approvisionnement. Vous devez entrer ce mot de passe lorsque vous appliquez le package d’approvisionnement à un appareil.
Protéger votre package

Note

Si vous souhaitez utiliser l’éditeur avancé dans le Concepteur de configuration Windows, spécifiez le compte d’utilisateur et l’application (par AUMID) dans Paramètres d’exécution>AssignedAccess>AssignedAccessSettings

Apprenez à appliquer un package d’approvisionnement.

Méthode d’accès affecté pour les applications Windows universelles

En utilisant un accès affecté, Windows 10 exécute l’application Windows universelle désignée au-dessus de l’écran de verrouillage pour que le compte d’accès affecté n’ait accès à aucune autre fonctionnalité de l’appareil. Pour configurer un accès affecté, vous pouvez:

Méthode Type de compte Édition de Windows10
Utiliser l’option Paramètres duPC Standard local Professionnel, Entreprise, Éducation
Appliquer une stratégie de gestion des périphériques mobiles (GPM) Tous (domaine, standard local, administrateur local, etc.) Professionnel (1709 uniquement), Entreprise, Éducation
Créer un package de configuration à l'aide du Concepteur de configuration Windows Tous (domaine, standard local, administrateur local, etc.) Professionnel (1709 uniquement), Entreprise, Éducation
Exécuter un script PowerShell Standard local Professionnel, Entreprise, Éducation

Configuration requise

Note

L’accès affecté ne fonctionne pas sur un appareil qui est connecté à plusieurs moniteurs.

Configurer un accès affecté dans Paramètres du PC

  1. Accédez à Démarrer > Paramètres > Comptes > Autres utilisateurs.

  2. Choisissez Configurer un accès affecté.

  3. Choisissez un compte.

  4. Choisissez une application. Seules les applications qui peuvent s’exécuter au-dessus de l’écran de verrouillage sont affichées. Pour plus d’informations, consultez Recommandations de choix d’application pour un accès affecté.

  5. Fermez Paramètres. Vos choix sont enregistrés automatiquement et seront appliqués à la prochaine connexion de ce compte d’utilisateur.

Pour supprimer l’accès affecté, choisissez Désactiver l’accès affecté et se déconnecter du compte sélectionné.

Configurer un accès affecté dans GPM

L’option Accès affecté possède un paramètre, KioskModeApp. Dans le paramètre KioskModeApp, entrez le nom du compte d’utilisateur et l’ID de modèle utilisateur de l’application pour qu’elle s’exécute en mode plein écran.

Découvrez comment obtenir l’ID de modèle utilisateur de l’application.

Consultez les informations techniques de référence pour le fournisseur de services de configuration d’accès affecté.

Configurer un accès affecté à l’aide de Windows PowerShell

Vous pouvez utiliser n’importe quelle applet de commande PowerShell parmi les suivantes pour configurer un accès affecté sur plusieurs appareils.

Pour ouvrir PowerShell sur Windows10, recherchez PowerShell, puis identifiez les Applications de bureau Windows PowerShell dans les résultats. Exécutez PowerShell en tant qu’administrateur.

Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
Set-AssignedAccess -AppName <CustomApp> -UserName <username>
Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>

Note

Pour configurer l’accès affecté avec -AppName, le compte d’utilisateur que vous spécifiez pour l’accès affecté doit avoir ouvert une session au moins une fois.

Découvrez comment obtenir l’ID de modèle utilisateur de l’application.

Découvrez comment obtenir l’AppName (voir Paramètres).

Découvrez comment obtenir l’identificateur SID.

Pour supprimer un accès affecté avec PowerShell, exécutez l’applet de commande suivant.

Clear-AssignedAccess

Configurer l’ouverture de session automatique

Au redémarrage de votre appareil kiosque, à partir d’une panne d’alimentation ou d’une mise à jour, vous pouvez connecter manuellement le compte d’accès affecté ou configurer l’appareil pour qu’il se connecte automatiquement au compte d’accès affecté. Assurez-vous que les paramètres de stratégie de groupe appliqués à l’appareil n’empêchent pas l’ouverture de session automatique.

Modifiez le Registre pour qu’un compte se connecte automatiquement.

  1. Ouvrez l’Éditeur du Registre (regedit.exe).

    Note

    Si vous n’êtes pas familiarisé avec l’Éditeur du Registre, découvrez comment modifier le Registre Windows.

  2. Accédez à

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

  3. Définissez les valeurs pour les clés suivantes.

    • AutoAdminLogon: indiquez 1.

    • DefaultUserName: indiquez le compte que vous souhaitez connecter.

    • DefaultPassword: indiquez le mot de passe du compte.

      Note

      Si DefaultUserName et DefaultPassword ne sont pas présents, ajoutez-les en tant que Nouveau > Valeur de chaîne.

    • DefaultDomainName: indiquez la valeur du domaine (uniquement pour les comptes de domaine). N’ajoutez pas cette clé pour les comptes locaux.

  4. Fermez l’Éditeur du Registre. Au prochain redémarrage de l’ordinateur, le compte est automatiquement connecté.

Se déconnecter d’un accès affecté

Pour quitter l’application d’accès affecté (kiosque), appuyez sur Ctrl + Alt + Suppr, puis connectez-vous à l’aide d’un autre compte. Lorsque vous appuyez sur Ctrl + Alt + Suppr pour vous déconnecter de l’accès affecté, l’application kiosque se ferme automatiquement. Si vous vous connectez de nouveau en tant que compte d’accès affecté ou que vous attendez la fin du délai d’expiration de l’écran de connexion, l’application kiosque sera de nouveau lancée. L’utilisateur disposant de l’accès affecté reste connecté jusqu’à ce qu’un compte administrateur ouvre Gestionnaire des tâches > Utilisateurs et déconnecte le compte d’utilisateur.

Si vous appuyez sur Ctrl + Alt + Suppr sans vous connecter à un autre compte, l’accès affecté reprend après une durée définie. Par défaut, la durée est de 30secondes, mais vous pouvez la modifier dans la clé de Registre suivante:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

Pour modifier la durée par défaut de la reprise de l’accès affecté, ajoutez IdleTimeOut (DWORD) et entrez les données de valeur comme millisecondes en notation hexadécimale.

Lanceur d’interpréteur de commandes pour les applications Windows classiques

À l’aide du lanceur d’interpréteur de commandes, vous pouvez configurer un appareil kiosque qui exécute une application Windows classique en tant qu’interface utilisateur. L’application que vous spécifiez remplace l’interpréteur de commandes par défaut (explorer.exe) qui s’exécute généralement lorsqu’un utilisateur se connecte.

Note

Vous pouvez également configurer un appareil kiosque qui exécute une application Windows classique à l’aide de l'assistant de mise en service des appareils kiosque.

Avertissement

Le Lanceur Shell ne prend pas en charge une shell personnalisée avec une application qui se lance avec un processus différent et se ferme. Par exemple, vous ne pouvez pas spécifier write.exe dans le Lanceur Shell. Le Lanceur Shell lance une shell personnalisée et supervise le processus d'identification lorsque la shell personnalisée se ferme. Write.exe crée un processus 32bits wordpad.exe et se ferme. Puisque le Lanceur Shell n'est pas informé du nouveau processus wordpad.exe créé, il agira selon le code de fermeture de Write.exe, par exemple le redémarrage de la shell personnalisée.

Exigences

  • Un compte de domaine ou un compte d’utilisateur local.

  • Une application Windows classique installée pour ce compte. Il peut s’agir de l’application de votre entreprise ou d’une application courante comme Internet Explorer.

Consultez les informations techniques de référence correspondant au composant Lanceur d’interpréteur de commandes.

Configurer le lanceur d’interpréteur de commandes

Pour définir une application Windows classique comme interpréteur de commandes, commencez par activer la fonctionnalité Lanceur d’interpréteur de commandes, puis définissez votre interpréteur de commandes personnalisé comme interpréteur par défaut dans PowerShell.

Pour activer le lanceur d’interpréteur de commandes dans les fonctionnalités Windows

  1. Sélectionnez Panneau de configuration > Programmes et fonctionnalités > Activer ou désactiver des fonctionnalités Windows.

  2. Développez Verrouillage de l’appareil.

  3. Sélectionnez Lanceur d’interpréteur de commande et OK.

Vous pouvez également activer le Lanceur d’interpréteur de commandes à l’aide du Concepteur de configuration de Windows dans un package d’approvisionnement, à l’aide de SMISettings > ShellLauncher, ou de l’outil Gestion et maintenance des images de déploiement (DISM.exe).

Pour activer le lanceur d’interpréteur de commandes à l’aide de l’outil DISM

  1. Ouvrez une invite de commandes en tant qu’administrateur.
  2. Entrez la commande suivante.

    Dism /online /Enable-Feature /all /FeatureName:Client-EmbeddedShellLauncher
    

Pour définir votre interpréteur de commandes personnalisé

Modifiez le script PowerShell suivant en fonction de vos besoins. Les commentaires dans l’exemple de script expliquent l’objectif de chaque section et vous indiquent où modifier le script pour l’adapter à vos besoins. Enregistrez votre script avec l’extension .ps1, ouvrez WindowsPowerShell en tant qu’administrateur, puis exécutez le script sur l’appareil kiosque.

# Check if shell launcher license is enabled
function Check-ShellLauncherLicenseEnabled
{
    [string]$source = @"
using System;
using System.Runtime.InteropServices;

static class CheckShellLauncherLicense
{
    const int S_OK = 0;

    public static bool IsShellLauncherLicenseEnabled()
    {
        int enabled = 0;

        if (NativeMethods.SLGetWindowsInformationDWORD("EmbeddedFeature-ShellLauncher-Enabled", out enabled) != S_OK) {
            enabled = 0;
        }

        return (enabled != 0);
    }

    static class NativeMethods
    {
        [DllImport("Slc.dll")]
        internal static extern int SLGetWindowsInformationDWORD([MarshalAs(UnmanagedType.LPWStr)]string valueName, out int value);
    }

}
"@

    $type = Add-Type -TypeDefinition $source -PassThru

    return $type[0]::IsShellLauncherLicenseEnabled()
}

[bool]$result = $false

$result = Check-ShellLauncherLicenseEnabled
"`nShell Launcher license enabled is set to " + $result
if (-not($result))
{
    "`nThis device doesn't have required license to use Shell Launcher"
    exit
}

$COMPUTER = "localhost"
$NAMESPACE = "root\standardcimv2\embedded"

# Create a handle to the class instance so we can call the static methods.
try {
    $ShellLauncherClass = [wmiclass]"\\$COMPUTER\${NAMESPACE}:WESL_UserSetting"
    } catch [Exception] {
    write-host $_.Exception.Message; 
    write-host "Make sure Shell Launcher feature is enabled"
    exit
    }


# This well-known security identifier (SID) corresponds to the BUILTIN\Administrators group.

$Admins_SID = "S-1-5-32-544"

# Create a function to retrieve the SID for a user account on a machine.

function Get-UsernameSID($AccountName) {

    $NTUserObject = New-Object System.Security.Principal.NTAccount($AccountName)
    $NTUserSID = $NTUserObject.Translate([System.Security.Principal.SecurityIdentifier])

    return $NTUserSID.Value

}

# Get the SID for a user account named "Cashier". Rename "Cashier" to an existing account on your system to test this script.

$Cashier_SID = Get-UsernameSID("Cashier")

# Define actions to take when the shell program exits.

$restart_shell = 0
$restart_device = 1
$shutdown_device = 2

# Examples. You can change these examples to use the program that you want to use as the shell.

# This example sets the command prompt as the default shell, and restarts the device if the command prompt is closed. 

$ShellLauncherClass.SetDefaultShell("cmd.exe", $restart_device)

# Display the default shell to verify that it was added correctly.

$DefaultShellObject = $ShellLauncherClass.GetDefaultShell()

"`nDefault Shell is set to " + $DefaultShellObject.Shell + " and the default action is set to " + $DefaultShellObject.defaultaction

# Set Internet Explorer as the shell for "Cashier", and restart the machine if Internet Explorer is closed.

$ShellLauncherClass.SetCustomShell($Cashier_SID, "c:\program files\internet explorer\iexplore.exe www.microsoft.com", ($null), ($null), $restart_shell)

# Set Explorer as the shell for administrators.

$ShellLauncherClass.SetCustomShell($Admins_SID, "explorer.exe")

# View all the custom shells defined.

"`nCurrent settings for custom shells:"
Get-WmiObject -namespace $NAMESPACE -computer $COMPUTER -class WESL_UserSetting | Select Sid, Shell, DefaultAction

# Enable Shell Launcher

$ShellLauncherClass.SetEnabled($TRUE)

$IsShellLauncherEnabled = $ShellLauncherClass.IsEnabled()

"`nEnabled is set to " + $IsShellLauncherEnabled.Enabled

# Remove the new custom shells.

$ShellLauncherClass.RemoveCustomShell($Admins_SID)

$ShellLauncherClass.RemoveCustomShell($Cashier_SID)

# Disable Shell Launcher

$ShellLauncherClass.SetEnabled($FALSE)

$IsShellLauncherEnabled = $ShellLauncherClass.IsEnabled()

"`nEnabled is set to " + $IsShellLauncherEnabled.Enabled

Autres paramètres à verrouiller

Pour bénéficier d’une expérience plein écran plus sécurisée, nous vous recommandons d’apporter les modifications de configuration suivantes à l’appareil :

  • Connectez le périphérique en mode tablette.

    Si vous voulez que les utilisateurs soient en mesure d’utiliser le clavier tactile (sur l’écran), accédez à Paramètres > Système > Mode tablette et choisissez Activé.

  • Masquez la fonctionnalité Options d’ergonomie sur l’écran de connexion.

    Sélectionnez Panneau de configuration > Options d’ergonomie > Options d’ergonomie, puis désactivez l’ensemble des outils d’accessibilité.

  • Désactivez le bouton d’alimentation du matériel.

    Sélectionnez Options d’alimentation > Choisir l’action du bouton d’alimentation, définissez le paramètre sur Ne rien faire, puis sélectionnez Enregistrer les modifications.

  • Supprimer le bouton d’alimentation de l’écran de connexion.

    Accédez à Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité > Arrêt: permet au système d’être arrêté sans avoir à se connecter, puis sélectionnez Désactivé.

  • Désactivez la caméra.

    Sélectionnez Paramètres > Confidentialité > Caméra, puis désactivez Autoriser les applications à utiliser ma caméra.

  • Désactivez les notifications d’application sur l’écran de verrouillage.

    Accédez à Éditeur de stratégie de groupe > Configuration ordinateur > Modèles d’administration\Système\Connexion\Désactiver les notifications des applications sur l’écran de verrouillage.

  • Désactivez le média amovible.

    Accédez à Éditeur de stratégie de groupe > Configuration ordinateur > Modèles d’administration\Système\Installation de périphériques\Restrictions d’installation de périphériques. Passez en revue les paramètres de stratégie disponibles dans Restrictions d’installation de périphériques pour les paramètres applicables à votre situation.

    Note

    Pour empêcher cette stratégie d’affecter un membre du groupe Administrateurs, dans Restrictions d’installation de périphériques, activez Autoriser les administrateurs à passer outre les stratégies de restriction d’installation de périphériques.

Rubriques associées

Vous ne trouvez pas ce dont vous avez besoin? Utilisateurs de Windows10, dites-nous ce que vous recherchez dans le Hub de commentaires.