Che cos'è l'accesso assegnato?

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Accesso assegnato è una funzionalità di Windows che è possibile usare per configurare un dispositivo come chiosco multimediale o con un'esperienza utente con restrizioni.

Quando si configura un'esperienza in modalità tutto schermo, viene eseguita una singola applicazione piattaforma UWP (Universal Windows Platform) (UWP) o Microsoft Edge a schermo intero, sopra la schermata di blocco. Gli utenti possono usare solo l'applicazione. Se l'app in modalità tutto schermo è chiusa, viene riavviato automaticamente. Esempi pratici includono:

• Esplorazione pubblica
• Digital signage interattivo

Quando si configura un'esperienza utente con restrizioni, gli utenti possono eseguire solo un elenco definito di applicazioni, con un menu Start personalizzato e la barra delle applicazioni. Vengono applicate diverse impostazioni dei criteri e regole di AppLocker, creando un'esperienza bloccata. Gli utenti possono accedere a un desktop Windows familiare, limitandone l'accesso, riducendo le distrazioni e il potenziale per usi inavvertitamente. Ideale per i dispositivi condivisi, è possibile creare configurazioni diverse per utenti diversi. Esempi pratici includono:

• Dispositivi di lavoro in prima linea
• Dispositivi per studenti
• Dispositivi lab

Nota

Quando si configura un'esperienza utente con restrizioni, al dispositivo vengono applicate impostazioni di criteri diverse. Alcune impostazioni dei criteri si applicano solo agli utenti standard e altre anche agli account amministratore. Per altre informazioni, vedere Impostazioni dei criteri di accesso assegnati.

Requisiti

Ecco i requisiti per l'accesso assegnato:

• Per usare un'esperienza in modalità tutto schermo, è necessario abilitare il controllo dell'account utente
• Per usare un'esperienza tutto schermo, è necessario accedere dalla console. L'esperienza del chiosco multimediale non è supportata su una connessione desktop remoto

Requisiti di licenza ed edizione di Windows

Nella tabella seguente sono elencate le edizioni di Windows che supportano l'accesso assegnato:

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
Sì	Sì	Sì	Sì

I diritti di licenza di accesso assegnati vengono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
Sì	Sì	Sì	Sì	Sì

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.

Configurare un'esperienza tutto schermo

Sono disponibili diverse opzioni per configurare un'esperienza in modalità tutto schermo. Se è necessario configurare un singolo dispositivo con un account locale, è possibile usare:

• PowerShell: è possibile usare il Set-AssignedAccess cmdlet di PowerShell per configurare un'esperienza in modalità tutto schermo usando un account standard locale
• Impostazioni: usare questa opzione quando è necessario un metodo semplice per configurare un singolo dispositivo con un account utente standard locale

Per le personalizzazioni avanzate, è possibile usare il provider di servizi di accesso assegnato per configurare l'esperienza del chiosco multimediale. Il CSP consente di configurare l'app in modalità tutto schermo, l'account utente e il comportamento dell'app in modalità tutto schermo. Quando si usa il CSP, è necessario creare un file di configurazione XML che specifichi l'app in modalità tutto schermo e l'account utente. Il file XML viene applicato al dispositivo usando una delle opzioni seguenti:

• Soluzione MDM (Mobile Gestione dispositivi), ad esempio Microsoft Intune
• Pacchetti di provisioning
• PowerShell, con il provider WMI del bridge MDM

Per informazioni su come configurare il file XML dell'utilità di avvio della shell, vedere Creare un file di configurazione di Accesso assegnato.

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Selezionare l'opzione più adatta alle proprie esigenze.

Intune/CSP

È possibile configurare i dispositivi usando un criterio personalizzato con il provider di servizi di configurazione AssignedAccess.

• Impostazione:./Vendor/MSFT/AssignedAccess/Configuration
• Valore: contenuto del file di configurazione XML

Assegnare i criteri a un gruppo che contiene come membri i dispositivi che si desidera configurare.

PPKG

Usare le impostazioni seguenti per creare un pacchetto di provisioning:

• Percorso:AssignedAccess/AssignedAccessSettings
• Valore: Immettere l'account e l'applicazione da usare per l'accesso assegnato usando l'AUMID dell'app. Esempio:
  • {"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}

Applicare il pacchetto di provisioning ai dispositivi che si desidera configurare.

PowerShell

Per configurare un dispositivo usando Windows PowerShell:

1. Accedere come amministratore

2. Creare l'account utente per l'accesso assegnato

3. Accedere come account utente di Accesso assegnato

4. Installare l'app UWP necessaria

5. Disconnettersi come account utente di Accesso assegnato

6. Accedere come amministratore e da un prompt di PowerShell con privilegi elevati usare uno dei comandi seguenti:

   #Configure Assigned Access by AppUserModelID and user name
   Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
   
   #Configure Assigned Access by AppUserModelID and user SID
   Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
   
   #Configure Assigned Access by app name and user name
   Set-AssignedAccess -AppName <CustomApp> -UserName <username>
   
   #Configure Assigned Access by app name and user SID**:
   Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
   
   

Nota

Per configurare l'accesso assegnato usando -AppName, l'account utente immesso per l'accesso assegnato deve avere eseguito l'accesso almeno una volta.

Per ulteriori informazioni:

• Trovare l'ID modello dell'utente dell'applicazione per un'app installata
• Set-AssignedAccess

Per rimuovere l'accesso assegnato tramite PowerShell, eseguire il cmdlet seguente:

Clear-AssignedAccess

Per le personalizzazioni avanzate che usano il file di configurazione XML, è possibile usare gli script di PowerShell tramite il provider WMI del bridge MDM.

Importante

Per tutte le impostazioni del dispositivo, il client bridge WMI deve essere eseguito come account SYSTEM (LocalSystem).

Per testare lo script di PowerShell, è possibile:

1. Scaricare lo strumento psexec
2. Aprire un prompt dei comandi con privilegi elevati ed eseguire: psexec.exe -i -s powershell.exe
3. Eseguire lo script nella sessione di PowerShell

$shellLauncherConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Shell Launcher configuration"

Per altre informazioni, vedere Usare lo scripting di PowerShell con il provider bridge WMI.

Impostazioni

Ecco i passaggi per configurare un chiosco multimediale usando l'app Impostazioni:

1. Aprire l'app Impostazioni per visualizzare e configurare un dispositivo come chiosco multimediale. Passare a Impostazioni > Account > altri utenti o usare il collegamento seguente:

   Altri utenti

2. In Configura un chiosco multimediale selezionare Introduzione

3. Nella finestra di dialogo Crea un account immettere il nome dell'account e selezionare Avanti

   Nota

   Se sono già presenti account utente standard locali, la finestra di dialogo Crea un account offre l'opzione Scegliere un account esistente

4. Scegliere l'applicazione da eseguire quando l'account chiosco multimediale accede. Solo le app che possono essere eseguite sopra la schermata di blocco sono disponibili nell'elenco delle app tra cui scegliere. Se si seleziona Microsoft Edge come app in modalità tutto schermo, configurare le opzioni seguenti:

   • Indica se Microsoft Edge deve visualizzare il sito Web a schermo intero (segno digitale) o con alcuni controlli del browser disponibili (browser pubblico)
   • QUALE URL deve essere aperto quando gli account del chiosco multimediale accedono
   • Quando Microsoft Edge deve essere riavviato dopo un periodo di inattività (se si sceglie di eseguire come browser pubblico)

5. Selezionare Chiudi

Quando il dispositivo non è aggiunto a un dominio di Active Directory o Microsoft Entra ID, l'accesso automatico dell'account chiosco multimediale viene configurato automaticamente:

• Se si vuole che l'account del chiosco multimediale e l'app chiosco multimediale vengano avviati al riavvio del dispositivo, non è necessario eseguire alcuna operazione
• Se non si vuole che l'account chiosco multimediale acctasi automaticamente al riavvio del dispositivo, è necessario modificare l'impostazione predefinita prima di configurare il dispositivo come chiosco multimediale. Accedere con l'account che si vuole usare come account chiosco multimediale. Aprire Impostazioni Opzioni>di accessodegli account>. Impostare l'impostazione Usa le informazioni di accesso per completare automaticamente la configurazione del dispositivo dopo un aggiornamento o un riavvio su Disattivato. Dopo aver modificato l'impostazione, è possibile applicare la configurazione del chiosco multimediale al dispositivo

Suggerimento

Per esempi pratici, vedere Avvio rapido: Configurare un chiosco multimediale con accesso assegnato.

Configurare un'esperienza utente con restrizioni

Per configurare un'esperienza utente con restrizioni con Accesso assegnato, è necessario creare un file di configurazione XML con le impostazioni per l'esperienza desiderata. Il file XML viene applicato al dispositivo tramite il provider di servizi di accesso assegnato, usando una delle opzioni seguenti:

• Soluzione MDM (Mobile Gestione dispositivi), ad esempio Microsoft Intune
• Pacchetti di provisioning
• PowerShell, con il provider WMI del bridge MDM

Per informazioni su come configurare il file XML di accesso assegnato, vedere Creare un file di configurazione di Accesso assegnato.

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Selezionare l'opzione più adatta alle proprie esigenze.

Intune/CSP

È possibile configurare i dispositivi usando un criterio personalizzato con il provider di servizi di configurazione AssignedAccess.

• Impostazione:./Vendor/MSFT/AssignedAccess/ShellLauncher
• Valore: contenuto del file di configurazione XML

Assegnare i criteri a un gruppo che contiene come membri i dispositivi che si desidera configurare.

PPKG

Usare le impostazioni seguenti per creare un pacchetto di provisioning:

• Percorso:AssignedAccess/MultiAppAssignedAccessSettings
• Valore: contenuto del file di configurazione XML

Applicare il pacchetto di provisioning ai dispositivi che si desidera configurare.

PowerShell

Configurare i dispositivi usando script di PowerShell tramite il provider WMI del bridge MDM.

Importante

Per tutte le impostazioni del dispositivo, il client bridge WMI deve essere eseguito come account SYSTEM (LocalSystem).

Per testare lo script di PowerShell, è possibile:

1. Scaricare lo strumento psexec
2. Aprire un prompt dei comandi con privilegi elevati ed eseguire: psexec.exe -i -s powershell.exe
3. Eseguire lo script nella sessione di PowerShell

$assignedAccessConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Assigned Access configuration"

Per altre informazioni, vedere Usare lo scripting di PowerShell con il provider bridge WMI.

Impostazioni

Questa opzione non è disponibile usando Impostazioni.

Suggerimento

Per esempi pratici, vedere Guida introduttiva: Configurare un'esperienza utente con restrizioni con l'accesso assegnato

Esperienza utente

Per convalidare l'esperienza utente con chiosco multimediale o con restrizioni, accedere con l'account utente specificato nel file di configurazione.

La configurazione dell'accesso assegnato diventa effettiva al successivo accesso dell'utente di destinazione. Se l'account utente è connesso quando si applica la configurazione, disconnettersi e accedere di nuovo per convalidare l'esperienza.

Nota

A partire da Windows 11, un'esperienza utente con restrizioni supporta l'uso di più monitoraggi.

Tastiera virtuale autotrigger

La tastiera virtuale viene attivata automaticamente quando è necessario un input e non è collegata alcuna tastiera fisica nei dispositivi abilitati per il tocco. Non è necessario configurare altre impostazioni per applicare questo comportamento.

Suggerimento

La tastiera virtuale viene attivata solo quando si tocca una casella di testo. I clic del mouse non attivano la tastiera virtuale. Se si sta testando questa funzionalità, usare un dispositivo fisico anziché una macchina virtuale( VM), perché la tastiera virtuale non viene attivata nelle macchine virtuali.

Uscire dall'accesso assegnato

Per impostazione predefinita, per uscire dall'esperienza del chiosco multimediale, premere CTRL + ALT + CANC. L'app chiosco multimediale viene chiusa automaticamente. Se si esegue di nuovo l'accesso come account di accesso assegnato o si attende il timeout dello schermo di accesso, l'app in modalità tutto schermo viene riavviata. Il timeout predefinito è di 30 secondi, ma è possibile modificare il timeout con la chiave del Registro di sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

Per modificare l'ora predefinita per la ripresa dell'accesso assegnato, aggiungere IdleTimeOut (DWORD) e immettere i dati del valore come millisecondi in formato esadecimale.

Nota

IdleTimeOut non si applica alla modalità tutto schermo di Microsoft Edge.

La sequenza di interruzione di CTRL + ALT + CANC è l'impostazione predefinita, ma questa sequenza può essere configurata in modo che sia una sequenza di tasti diversa. La sequenza di breakout usa i modificatori di formato + i tasti. Una sequenza di breakout di esempio è CTRL + ALT + A, dove CTRL + ALT sono i modificatori e A è il valore del tasto. Per altre informazioni, vedere Creare un file XML di configurazione di Accesso assegnato.

Tasti di scelta rapida

I tasti di scelta rapida seguenti vengono bloccati per gli account utente con accesso assegnato:

Scelta rapida da tastiera	Azione
Ctrl + Maiusc + Esc	Aprire Gestione attività
VINCERE + , (virgola)	Visualizza temporaneamente il desktop
VINCERE + Un	Apre il centro notifiche
VINCERE + Alt + D	Visualizza e nasconde la data e l'ora sul desktop
VINCERE + Ctrl + F	Trovare oggetti computer in Active Directory
VINCERE + D	Visualizza e nasconde il desktop
VINCERE + E	Apre Esplora file
VINCERE + F	Apre Hub di Feedback
VINCERE + G	Apre la barra dei giochi quando c'è un gioco aperto
VINCERE + Ho	Aprire Impostazioni
VINCERE + J	Impostare lo stato attivo su un suggerimento di Windows quando ne è disponibile uno
VINCERE + O	Blocca l'orientamento del dispositivo
VINCERE + D	Apre la ricerca
VINCERE + R	Apre la finestra di dialogo Esegui
VINCERE + S	Apre la ricerca
VINCERE + Maiusc + C	Apre Cortana in modalità di ascolto
VINCERE + X	Apre il menu Collegamento rapido
LaunchApp1	Aprire l'app assegnata a questa chiave
LaunchApp2	Aprire l'app assegnata a questa chiave. In molte tastiere Microsoft l'app è Calculator
LaunchMail	Aprire il client di posta elettronica predefinito

Rimuovere l'accesso assegnato

L'eliminazione dell'esperienza utente con restrizioni rimuove le impostazioni dei criteri associate agli utenti, ma non può ripristinare tutte le configurazioni. Ad esempio, viene mantenuta la configurazione del menu Start.

Passaggi successivi

Esaminare le raccomandazioni prima di distribuire l'accesso assegnato:

Consigli per l'accesso assegnato