Windows 10 디바이스에서 다중 앱 키오스크 설정
적용 대상:
- Windows 10 Pro, Enterprise 및 Education
참고
현재 다중 앱 키오스크는 Windows 10에서만 지원됩니다. Windows 11에서는 지원되지 않습니다.
다중 앱 키오스크 모드에서는 여러 모니터를 사용할 수 없습니다.
키오스크 장치는 일반적으로 단일 앱을 실행하며 사용자는 키오스크 앱 외부에서 장치의 기능에 액세스할 수 없습니다. Windows 10 버전 1709에서는 관리자가 둘 이상의 앱을 실행하는 키오스크를 쉽게 만들 수 있도록 AssignedAccess CSP(구성 서비스 공급자)가 확장되었습니다. 하나 이상의 지정된 앱만 실행하는 키오스크의 이점은 사용자가 사용해야 하는 것만 앞에 두고 액세스하지 않아도 되는 항목만 제거하여 개인에게 이해하기 쉬운 환경을 제공하는 것입니다.
다음 표에서는 최근 업데이트에서 다중 앱 키오스크에 대한 변경 내용을 나열합니다.
| 새로운 기능 및 개선 사항 | 업데이트 중 |
|---|---|
| - XML 파일 에서 단일 앱 키오스크 프로필 구성 - 구성 프로필에 그룹 계정 할당 - 자동으로 로그인하도록 계정 구성 |
Windows 10, 버전 1803 |
| - 사용자가 파일 대화 상자를 열 때 일부 알려진 폴더를 명시적으로 허용 - 사용자가 로그인할 때 자동으로 앱 시작 - 자동 로그온 계정의 표시 이름 구성 |
Windows 10, 버전 1809 중요: Windows 10, 버전 1809 릴리스된 기능을 사용하려면 XML 파일이 참조되는지 확인합니다 https://schemas.microsoft.com/AssignedAccess/201810/config. |
경고
할당된 액세스 기능은 키오스크와 같은 회사 소유의 고정 용도 장치를 위한 것입니다. 디바이스에 다중 앱 할당 액세스 구성이 적용되면 시스템 수준에서 특정 정책이 적용되어 디바이스의 다른 사용자에게 영향을 미칩니다. 키오스크 구성을 삭제하면 사용자와 연결된 할당된 액세스 잠금 프로필이 제거되지만 적용된 모든 정책(예: 시작 레이아웃)을 되돌릴 수는 없습니다. 할당된 액세스를 통해 적용된 모든 정책을 지우기 위해서는 공장 초기화가 필요합니다.
Microsoft Intune 또는 프로비저닝 패키지를 사용하여 다중 앱 키오스크를 구성할 수 있습니다.
팁
키오스크를 설정하기 전에 구성 권장 사항을 확인해야 합니다.
Microsoft Intune에 키오스크 구성
Microsoft Intune 키오스크를 구성하려면 다음을 참조하세요.
- Intune 사용하여 전용 키오스크로 실행되도록 클라이언트 및 Windows Holographic for Business 디바이스 설정을 Windows
- Intune 키오스크로 실행되도록 클라이언트 디바이스 설정을 Windows
프로비저닝 패키지를 사용하여 키오스크 구성
프로세스:
프로비전 패키지를 사용하여 다중 앱 키오스크 구성하는 방법을 확인하세요.
프로비전 패키지를 사용하지 않으려면 MDM(모바일 디바이스 관리)을 사용하여 구성 XML 파일을 배포하거나 MDM 브리지 WMI 공급자를 사용하여 할당된 액세스를 구성할 수 있습니다.
필수 구성 요소
- Windows 구성 디자이너(Windows 10 버전 1709 이상)
- 키오스크 디바이스는 Windows 10(S, Pro, Enterprise 또는 Education) 버전 1709 이상을 실행해야 합니다.
참고
버전이 1709 이하인 Windows 10을 실행 중인 디바이스에서는 AppLocker 규칙 생성을 통해 다중 앱 키오스크를 구성할 수 있습니다.
XML 파일 생성
먼저 XML 파일의 기본 구조를 살펴보겠습니다.
구성 XML은 여러 프로필을 정의할 수 있습니다. 각 프로필은 고유한 Id를 가지며, 작업 표시줄의 표시 여부에 상관없이 실행이 허용되는 응용 프로그램 세트를 정의하며 사용자 지정 시작 화면 레이아웃을 포함할 수 있습니다.
구성 XML은 여러 구성 섹션을 가질 수 있습니다. 각 구성 섹션은 관리자가 아닌 사용자 계정을 기본 프로필 Id에 연결합니다.
여러 구성 섹션은 동일한 프로필에 연결될 수 있습니다.
구성 섹션에 연결되지 않은 프로필은 영향을 주지 않습니다.
다음 XML을 XML 편집기에 붙여넣고 파일을 파일 이름.xml 저장하여 파일을 시작할 수 있습니다. 이 XML의 각 섹션은 이 문서에 설명되어 있습니다. 할당된 액세스 XML 참조에서 전체 샘플 버전을 볼 수 있습니다.
<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
>
<Profiles>
<Profile Id="">
<AllAppsList>
<AllowedApps/>
</AllAppsList>
<StartLayout/>
<Taskbar/>
</Profile>
</Profiles>
<Configs>
<Config>
<Account/>
<DefaultProfile Id=""/>
</Config>
</Configs>
</AssignedAccessConfiguration>
Profile
XML에서 지정할 수 있는 두 가지 유형의 프로필이 있습니다.
- 잠금 프로필: 잠금 프로필이 할당된 사용자는 시작 화면 특정 앱이 있는 태블릿 모드에서 데스크톱을 볼 수 있습니다.
- 키오스크 프로필: Windows 10 버전 1803부터 이 프로필은 AssignedAccess CSP의 KioskModeApp 노드를 대체합니다. 키오스크 프로필을 할당한 사용자에게는 데스크톱이 표시되지 않고 전체 화면 모드에서 실행되는 키오스크 앱만 표시됩니다.
XML의 잠금 프로필 섹션에는 다음과 같은 항목이 있습니다.
XML의 키오스크 프로필에는 다음과 같은 항목이 있습니다.
Id
프로필 Id는 프로필을 고유하게 식별하는 GUID 특성입니다. GUID 생성기를 사용하여 GUID를 만들 수 있습니다. GUID는 이 XML 파일 내에서 고유해야 합니다.
<Profiles>
<Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">…</Profile>
</Profiles>
AllowedApps
AllowedApps는 실행할 수 있는 응용 프로그램의 목록입니다. 앱은 UWP(유니버설 Windows 플랫폼) 앱 또는 Windows 데스크톱 애플리케이션일 수 있습니다. Windows 10 버전 1809부터 할당된 액세스 사용자 계정이 로그인할 때 AllowedApps 목록에서 자동으로 실행되도록 단일 앱을 구성할 수 있습니다.
- UWP 앱의 경우 AUMID(앱 사용자 모델 ID)를 제공해야 합니다. AUMID를 얻는 방법 또는 시작 화면 레이아웃 XML에서 AUMID를 얻는 방법에 대해 알아보세요.
- 데스크톱 앱의 경우 하나 이상의 시스템 환경 변수를 포함할 수 있는 실행 파일의
%variableName%전체 경로를 지정해야 합니다. 예를 들면%systemroot%또는%windir%입니다. - 앱에 다른 앱에 대한 종속성이 있는 경우 둘 다 허용된 앱 목록에 포함되어야 합니다. 예를 들어 Internet Explorer 64비트는 Internet Explorer 32비트에서 종속성을 가지므로 둘 다
"C:\Program Files\internet explorer\iexplore.exe""C:\Program Files (x86)\Internet Explorer\iexplore.exe"허용해야 합니다. - 사용자가 로그인할 때 자동으로 시작되도록 단일 앱을 구성하려면 AUMID 또는 경로 뒤를 포함합니다
rs5:AutoLaunch="true". 앱에 전달할 인수를 포함할 수도 있습니다. 예제는 AllowedApps 샘플 XML을 참조하세요.
다중 앱 키오스크 구성이 디바이스에 적용되면 AppLocker 규칙이 생성되어 구성에 나열된 앱을 허용합니다. UWP 앱에 대해 미리 정의된 할당된 액세스 AppLocker 규칙은 다음과 같습니다.
기본 규칙은 모든 사용자가 서명된 패키지 앱을 시작할 수 있도록 허용하는 것입니다.
패키지 앱 차단 목록은 할당된 액세스 사용자가 로그인할 때 런타임에 생성됩니다. 사용자 계정에 사용할 수 있는 설치/프로비전된 패키지 앱에 따라 할당된 액세스는 차단 목록을 생성합니다. 이 목록은 시스템이 작동하는 데 중요한 기본 허용 받은 편지함 패키지 앱을 제외합니다. 그런 다음, 엔터프라이즈가 할당된 액세스 구성에 정의된 허용된 패키지를 제외합니다. 동일한 패키지 내에 여러 개의 앱이 있는 경우 이 모든 앱이 제외됩니다. 이 차단 목록은 사용자가 현재 사용할 수 있지만 허용 목록에 없는 앱에 액세스하지 못하도록 하는 데 사용됩니다.
참고
MMC 스냅인의 다중 앱 키오스크 구성에서 생성되는 AppLocker 규칙은 관리할 수 없습니다. 다중 앱 키오스크 구성에서 생성되는 AppLocker 규칙과 충돌하는 AppLocker 규칙을 만들지 않습니다.
다중 앱 키오스크 모드는 엔터프라이즈 또는 사용자가 UWP 앱을 설치하는 것을 차단하지 않습니다. 현재 할당된 액세스 사용자 세션 중에 새로운 UWP 앱이 설치되면 이 앱은 거부 목록에 포함되지 않습니다. 사용자가 로그아웃하고 다시 로그인하면 앱이 차단 목록에 포함됩니다. 엔터프라이즈 배포 기간 업무(LOB) 앱인 경우 허용된 앱 목록에 포함되도록 할당된 액세스 구성을 업데이트합니다.
데스크톱 앱에 대해 미리 정의된 할당된 액세스 AppLocker 규칙은 다음과 같습니다.
- 기본 규칙은 시스템을 부팅하고 작동시키기 위해 모든 사용자가 Microsoft 인증서로 서명된 데스크톱 프로그램을 시작할 수 있도록 허용하는 것입니다. 또한 이 규칙을 통해 관리자 사용자 그룹은 모든 데스크톱 프로그램을 시작할 수 있습니다.
- 할당된 액세스 사용자 계정에 대해 미리 정의된 받은 편지함 데스크톱 앱 차단 목록이 있으며, 이 차단 목록은 다중 앱 구성에서 정의한 데스크톱 앱 허용 목록에 따라 조정됩니다.
- Enterprise 정의된 허용 데스크톱 앱이 AppLocker 허용 목록에 추가됩니다.
다음 예제에서는 Groove 음악, Movies & TV, 사진, Weather, Calculator, 그림판 및 메모장 앱이 디바이스에서 실행되도록 허용하며, 메모장 사용자가 로그인할 때 호출된 123.text 파일을 자동으로 시작하고 만들도록 구성됩니다.
<AllAppsList>
<AllowedApps>
<App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
<App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
<App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
<App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
<App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
<App DesktopAppPath="%windir%\system32\mspaint.exe" />
<App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="123.txt">
</AllowedApps>
</AllAppsList>
FileExplorerNamespaceRestrictions
Windows 10 버전 1809부터 사용자가 XML 파일에 FileExplorerNamespaceRestrictions를 포함하여 다중 앱 할당 액세스에서 파일 대화 상자를 열려고 할 때 일부 알려진 폴더에 액세스하도록 명시적으로 허용할 수 있습니다. 현재 다운로드 는 지원되는 유일한 폴더입니다. 이 동작은 Microsoft Intune 사용하여 설정할 수도 있습니다.
다음 예제에서는 일반 파일 대화 상자에서 다운로드 폴더에 대한 사용자 액세스를 허용하는 방법을 보여 줍니다.
팁
파일 탐색기 통해 다운로드 폴더에 대한 액세스 권한을 부여하려면 허용된 앱 목록에 "Explorer.exe"를 추가하고 파일 탐색기 바로 가기를 키오스크 시작 메뉴에 고정합니다.
<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
> <Profiles>
<Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
<AllAppsList>
<AllowedApps>
...
</AllowedApps>
</AllAppsList>
<rs5:FileExplorerNamespaceRestrictions>
<rs5:AllowedNamespace Name="Downloads"/>
</rs5:FileExplorerNamespaceRestrictions>
<StartLayout>
...
</StartLayout>
<Taskbar ShowTaskbar="true"/>
</Profile>
</Profiles>
</AssignedAccessConfiguration>
FileExplorerNamespaceRestriction 는 더 세분화되고 사용하기 쉽도록 현재 Windows 10 시험판에서 확장되었습니다. 자세한 내용 및 전체 샘플은 할당된 액세스 XML 참조를 참조하세요. 새 요소를 사용하여 사용자가 Downloads 폴더 또는 이동식 드라이브에 액세스할 수 있는지 또는 제한이 없는지 구성할 수 있습니다.
참고
FileExplorerNamespaceRestrictions네AllowedNamespace:Downloads임스페https://schemas.microsoft.com/AssignedAccess/201810/config이스에서 사용할 수 있습니다.AllowRemovableDrives새NoRestriction네임스페이스에https://schemas.microsoft.com/AssignedAccess/2020/config정의됩니다.
- 노드가 사용되지 않거나 사용되지 않지만 비어 있는 경우
FileExplorerNamespaceRestrictions사용자는 공통 대화 상자에서 폴더에 액세스할 수 없습니다. 예를 들어 Microsoft Edge 브라우저에서 다른 이름으로 저장합니다. - 허용된 네임스페이스에 다운로드가 언급되면 사용자는 Downloads 폴더에 액세스할 수 있습니다.
- 사용하는 경우
AllowRemovableDrives사용자는 이동식 드라이브에 액세스하게 됩니다. - 사용하는 경우
NoRestriction대화 상자에 제한이 적용되지 않습니다. AllowRemovableDrives동시에AllowedNamespace:Downloads사용할 수 있습니다.
StartLayout
허용된 응용 프로그램 목록을 정의한 후 키오스크 환경의 시작 화면 레이아웃을 사용자 지정할 수 있습니다. 시작 화면에서 허용된 모든 앱을 고정하거나 최종 사용자가 시작 화면에서 직접 액세스하도록 허용할지 여부에 따라 하위 집합만 고정할 수 있습니다.
다른 Windows 클라이언트 디바이스에 적용할 사용자 지정된 시작 레이아웃을 만드는 가장 쉬운 방법은 테스트 디바이스에서 시작 화면 설정한 다음 레이아웃을 내보내는 것입니다. 자세한 내용은 시작 화면 레이아웃 사용자 지정 및 내보내기를 참조하세요.
다음 사항을 확인하세요.
- 시작 화면 레이아웃을 사용자 지정하는 테스트 장치에는 다중 앱이 할당된 액세스 구성을 배포할 장치에 설치된 것과 동일한 OS 버전이 있어야 합니다.
- 다중 앱이 할당된 액세스 환경은 고정 용도 장치를 대상으로 하므로 장치 환경이 일관되고 예측 가능하도록 보장하려면, 부분적인 시작 화면 레이아웃 대신 전체 시작 화면 레이아웃 옵션을 사용합니다.
- 다중 앱 모드의 작업 표시줄에 고정된 앱이 없으며 할당된 액세스 구성의 일부로 레이아웃 수정 XML의 태그를 사용하여
<CustomTaskbarLayoutCollection>작업 표시줄 레이아웃을 구성하는 것은 지원되지 않습니다. - 다음 예제에서는 데스크톱 앱을 시작하도록 고정하는 데 사용합니다
DesktopApplicationLinkPath. 데스크톱 앱에 대상 장치의 바로 가기 링크가 없는 경우 Windows 구성 디자이너를 사용하여 .lnk 파일을 프로비전하는 방법을 알아봅니다.
다음 예제에서는 시작 시 Groove 음악, 영화 & TV, 사진, 날씨, 계산기, 그림판 및 메모장 앱을 고정합니다.
<StartLayout>
<![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="httsp://schemas.microsoft.com/Start/2014/LayoutModification">
<LayoutOptions StartTileGroupCellWidth="6" />
<DefaultLayoutOverride>
<StartLayoutCollection>
<defaultlayout:StartLayout GroupCellWidth="6">
<start:Group Name="Group1">
<start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
<start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
<start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
<start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
<start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
</start:Group>
<start:Group Name="Group2">
<start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk" />
<start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
</start:Group>
</defaultlayout:StartLayout>
</StartLayoutCollection>
</DefaultLayoutOverride>
</LayoutModificationTemplate>
]]>
</StartLayout>
참고
앱이 사용자용으로 설치되지 않았지만 시작 레이아웃 XML에 포함된 경우 앱은 시작 화면 표시되지 않습니다.
작업 표시줄
키오스크 장치에 작업 표시줄을 표시할지 여부를 정의합니다. 태블릿 기반 또는 터치 지원 올인원 키오스크의 경우 키보드 및 마우스를 연결하지 않은 상태에서 원하는 경우 다중 앱 환경의 일부로 작업 표시줄을 숨길 수 있습니다.
다음 예제에서는 작업 표시줄을 최종 사용자에게 표시합니다.
<Taskbar ShowTaskbar="true"/>
다음 예제에서는 작업 표시줄을 숨깁니다.
<Taskbar ShowTaskbar="false"/>
참고
이는 태블릿 모드의 자동으로 작업 표시줄 숨기기 옵션과 다릅니다. 여기에서는 마우스 포인터를 위로 살짝 밀거나 화면 아래로 이동할 때 작업 표시줄을 보여 줍니다. ShowTaskbar를 false로 설정하면 작업 표시줄이 항상 숨겨진 상태로 유지됩니다.
KioskModeApp
키오스크ModeApp 은 키오스크 프로필 에만 사용됩니다. 단일 앱에 대한 AUMID를 입력합니다. XML에서 키오스크 프로필을 하나만 지정할 수 있습니다.
<KioskModeApp AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"/>
중요
키오스크 프로필은 공용 키오스크 디바이스용으로 설계되었습니다. 관리자가 아닌 로컬 계정을 사용하는 것이 좋습니다. 디바이스가 회사 네트워크에 연결된 경우 도메인 또는 Azure Active Directory 계정을 사용하면 기밀 정보가 손상될 수 있습니다.
구성
Configs에서 프로필과 연결할 사용자 계정을 정의합니다. 이 사용자 계정이 디바이스에 로그인하면 연결된 할당된 액세스 프로필이 적용됩니다. 이 동작에는 허용되는 앱, 시작 레이아웃, 작업 표시줄 구성 및 다중 앱 환경의 일부로 설정된 기타 로컬 그룹 정책 또는 MDM(모바일 디바이스 관리) 정책이 포함됩니다.
다중 앱이 할당된 전체 액세스 환경은 관리자가 아닌 사용자에게만 적용될 수 있습니다. 관리 사용자를 할당된 액세스 프로필과 연결하는 것은 지원되지 않습니다. 이 구성을 XML 파일에서 만들면 이 관리자 사용자가 로그인할 때 예기치 않거나 지원되지 않는 환경이 발생합니다.
다음을 할당할 수 있습니다.
- 자동으로 로그인하는 로컬 표준 사용자 계정(Windows 10 버전 1803에만 적용됨)
- 로컬, 도메인 또는 Azure Active Directory(Azure AD)일 수 있는 개별 계정
- 로컬, Active Directory(도메인) 또는 Azure AD(Windows 10 버전 1803에만 적용됨)일 수 있는 그룹 계정입니다.
참고
그룹 계정을 지정하는 구성은 키오스크 프로필을 사용할 수 없으며 잠금 프로필만 사용할 수 있습니다. 그룹이 키오스크 프로필로 구성된 경우 CSP는 요청을 거부합니다.
AutoLogon 계정에 대한 구성
사용 <AutoLogonAccount> 중이고 구성이 디바이스에 적용되면 지정된 계정(할당된 액세스에서 관리됨)이 로컬 표준 사용자 계정으로 디바이스에 만들어집니다. 지정된 계정은 다시 시작한 후 자동으로 로그인됩니다.
다음 예제에서는 자동으로 로그인할 계정을 지정하는 방법을 보여줍니다.
<Configs>
<Config>
<AutoLogonAccount/>
<DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
</Config>
</Configs>
Windows 10 버전 1809부터 사용자가 로그인할 때 표시되는 표시 이름을 구성할 수 있습니다. 다음 예제에서는 "헬로 월드" 이름을 보여 주는 AutoLogon 계정을 만드는 방법을 보여 있습니다.
<Configs>
<Config>
<AutoLogonAccount rs5:DisplayName="Hello World"/>
<DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
</Config>
</Configs>
도메인에 가입된 디바이스에서 로컬 사용자 계정은 기본적으로 로그인 화면에 표시되지 않습니다. 로그인 화면에 AutoLogonAccount를 표시하려면 다음 그룹 정책 설정을 사용하도록 설정합니다. 컴퓨터 구성 > 관리 템플릿 > 시스템 > 로그온 > 도메인에 가입된 컴퓨터에서 로컬 사용자를 열거합니다. (해당 MDM 정책 설정은 정책 CSP의 WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers입니다.)
중요
디바이스에서 EXCHANGE EAS(활성 동기화) 암호 제한이 활성화된 경우 자동 로그온 기능이 작동하지 않습니다. 이 동작은 의도된 것입니다. 자세한 내용은 Windows 자동 로그온을 설정하는 방법을 참조하세요.
개별 계정에 대한 구성
개별 계정은 .를 사용하여 <Account>지정됩니다.
- 로컬 계정은
machinename\account,.\account또는account로 입력될 수 있습니다. - 도메인 계정은
domain\account로 입력해야 합니다. - Azure AD 계정은 이
AzureAD\{email address}형식으로 지정되어야 합니다. AzureAD 는 있는 그대로 제공되어야 하며 고정 도메인 이름이라고 간주합니다. 그런 다음 Azure AD 전자 메일 주소를 따릅니다. 예를 들면AzureAD\someone@contoso.onmicrosoft.com
경고
로컬 계정이 아닌 도메인 사용자 또는 서비스 계정으로 응용 프로그램을 실행하려면 WMI 또는 CSP를 통해 할당된 액세스 권한을 구성할 수 있습니다. 그러나 도메인 사용자 또는 서비스 계정을 사용하면 할당된 액세스 응용 프로그램을 파괴하는 공격자가 임의의 도메인 계정에 실수로 액세스할 수 있는 중요한 도메인 리소스에 대한 액세스 권한을 얻을 수 있습니다. 고객은 할당된 액세스 권한을 가진 도메인 계정을 사용할 때 주의를 기울여야 하며, 사용 여부를 결정할 때 도메인 리소스가 노출될 가능성이 있다는 점을 고려해야 합니다.
다중 앱 구성을 적용하기 전에 지정된 사용자 계정을 장치에서 사용할 수 있는지 확인해야 하며, 사용할 수 없으면 실패하게 됩니다.
참고
도메인 및 Azure AD 계정 모두에 대해 대상 계정을 디바이스에 명시적으로 추가할 필요는 없습니다. AD 가입 또는 Azure AD 가입 장치의 경우 해당 장치가 연결된 도메인 포리스트 또는 테넌트에서 계정을 검색할 수 있습니다. 로컬 계정의 경우 할당된 액세스를 위해 계정을 구성하기 전에 계정이 존재해야 합니다.
<Configs>
<Config>
<Account>MultiAppKioskUser</Account>
<DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
</Config>
</Configs>
그룹 계정에 대한 구성
그룹 계정은 .를 사용하여 <UserGroup>지정됩니다. 중첩된 그룹은 지원되지 않습니다. 예를 들어 사용자 A가 그룹 1의 구성원이고 그룹 1이 그룹 2의 구성원이고 그룹 2가 사용되는 <Config/>경우 사용자 A에는 키오스크 환경이 없습니다.
로컬 그룹: 그룹 유형을 LocalGroup 으로 지정하고 이름 특성에 그룹 이름을 입력합니다. 로컬 그룹에 추가된 모든 Azure AD 계정에는 키오스크 설정이 적용되지 않습니다.
<Config> <UserGroup Type="LocalGroup" Name="mygroup" /> <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> </Config>도메인 그룹: 보안 및 배포 그룹이 모두 지원됩니다. 그룹 유형을 ActiveDirectoryGroup으로 지정합니다. 도메인 이름을 이름 특성의 접두사로 사용합니다.
<Config> <UserGroup Type="ActiveDirectoryGroup" Name="mydomain\mygroup" /> <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> </Config>Azure AD 그룹: Azure Portal 그룹 개체 ID를 사용하여 Name 특성에서 그룹을 고유하게 식별합니다. 사용자 및 그룹 > 모두 그룹의 개요 페이지에서 개체 ID를 찾을 수있습니다. 그룹 유형을 AzureActiveDirectoryGroup으로 지정합니다. 키오스크 디바이스는 그룹 로그인에 속한 사용자가 인터넷에 연결되어 있어야 합니다.
<Config> <UserGroup Type="AzureActiveDirectoryGroup" Name="a8d36e43-4180-4ac5-a627-fb8149bba1ac" /> <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> </Config>참고
Azure AD 그룹이 디바이스의 잠금 프로필로 구성된 경우 Azure AD 그룹의 사용자는 이 디바이스에 로그인하기 전에 암호를 변경해야 합니다(포털에서 기본 암호로 계정을 만든 후). 사용자가 기본 암호를 사용하여 디바이스에 로그인하는 경우 사용자는 즉시 로그아웃됩니다.
[미리 보기] 전역 프로필
전역 프로필은 Windows 10 사용할 수 있습니다. 특정 디바이스에 로그인하는 모든 사용자가 액세스 사용자로 할당되도록 하려면 해당 사용자에 대한 전용 프로필이 없는 경우에도 해당 사용자에게 할당됩니다. 또는 할당된 액세스에서 사용자의 프로필을 식별할 수 없으며 대체 프로필을 사용하려고 할 수 있습니다. 글로벌 프로필은 이러한 시나리오를 위해 설계되었습니다.
새 XML 네임스페이스를 사용하고 해당 네임스페이스에서 지정하여 GlobalProfile 사용법이 아래에 설명되어 있습니다. 구성할 GlobalProfile때 관리자가 아닌 계정이 로그인됩니다. 이 사용자에게 할당된 액세스에 지정된 프로필이 없거나 할당된 액세스에서 현재 사용자의 프로필을 결정하지 못하면 사용자에게 전역 프로필이 적용됩니다.
참고
GlobalProfile는 다중 앱 프로필일 수 있습니다.- 하나의
AssignedAccess구성 XML에서 하나GlobalProfile만 사용할 수 있습니다. GlobalProfile는 유일한 구성으로 사용하거나 일반 사용자 또는 그룹 구성과 함께 사용할 수 있습니다.
<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
xmlns:v2="https://schemas.microsoft.com/AssignedAccess/201810/config"
xmlns:v3="https://schemas.microsoft.com/AssignedAccess/2020/config"
>
<Profiles>
<Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
<AllAppsList>
<AllowedApps>
<App AppUserModelId="Microsoft.Microsoft3DViewer_8wekyb3d8bbwe!Microsoft.Microsoft3DViewer" v2:AutoLaunch="true" v2:AutoLaunchArguments="123"/>
<App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
<App AppUserModelId="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
<App DesktopAppPath="%SystemRoot%\system32\notepad.exe" />
</AllowedApps>
</AllAppsList>
<StartLayout>
<![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="https://schemas.microsoft.com/Start/2014/LayoutModification">
<LayoutOptions StartTileGroupCellWidth="6" />
<DefaultLayoutOverride>
<StartLayoutCollection>
<defaultlayout:StartLayout GroupCellWidth="6">
<start:Group Name="Life at a glance">
<start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="microsoft.windowscommunicationsapps_8wekyb3d8bbwe!microsoft.windowsLive.calendar" />
<start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsStore_8wekyb3d8bbwe!App" />
<!-- A link file is required for desktop applications to show on start layout, the link file can be placed under
"%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs" if the link file is shared for all users or
"%AppData%\Microsoft\Windows\Start Menu\Programs" if the link file is for the specific user only
see document https://docs.microsoft.com/windows/configuration/start-layout-xml-desktop
-->
<!-- for inbox desktop applications, a link file might already exist and can be used directly -->
<start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Accessories\paint.lnk" />
<!-- for 3rd party desktop application, place the link file under appropriate folder -->
<start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationLinkPath="%AppData%\Microsoft\Windows\Start Menu\Programs\MyLOB.lnk" />
</start:Group>
</defaultlayout:StartLayout>
</StartLayoutCollection>
</DefaultLayoutOverride>
</LayoutModificationTemplate>
]]>
</StartLayout>
<Taskbar ShowTaskbar="true"/>
</Profile>
</Profiles>
<Configs>
<v3:GlobalProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
</Configs>
</AssignedAccessConfiguration>
프로비전 패키지에 XML 파일 추가
프로비전 패키지에 XML 파일을 추가하기 전에 XSD에 대해 구성 XML을 확인해야 합니다.
Windows 구성 디자이너 도구를 사용하여 프로비전 패키지를 만들 수 있습니다. Windows 구성 디자이너를 설치하는 방법을 알아보세요.
중요
프로비전 패키지를 빌드할 때 프로젝트 파일 및 프로비전 패키지(.ppkg) 파일에 중요한 정보를 포함할 수 있습니다. .ppkg 파일을 암호화하는 옵션이 있지만 프로젝트 파일은 암호화되지 않습니다. 안전한 장소에 프로젝트 파일을 저장하고 더 이상 필요하지 않은 경우에는 프로젝트 파일을 삭제해야 합니다.
Windows 구성 디자이너를 엽니다. 기본적으로 :
%systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe.고급 프로비저닝을 선택합니다.
프로젝트 이름을 지정하고 다음을 선택합니다.
모든 Windows 데스크톱 버전을 선택하고 다음을 선택합니다.
새 프로젝트에서 마침을 선택합니다. 패키지에 대한 작업 영역이 열립니다.
런타임 설정 > AssignedAccess > MultiAppAssignedAccessSettings를 확장합니다.
가운데 창에서 찾아보기를 선택합니다. 만든 할당된 액세스 구성 XML 파일을 찾아 선택합니다.
선택 사항: 디바이스 초기 설정 후 프로비전 패키지를 적용하고 키오스크 디바이스에서 이미 사용할 수 있는 관리자 사용자가 있는 경우 이 단계를 건너뜁니다. 런타임 설정 > 계정 사용자에서 관리자 사용자 계정을 만듭니다>. 사용자 이름 및 암호를 제공하고 UserGroup을 관리자로 선택합니다. 이 계정을 사용하면 필요에 따라 프로비전 상태 및 로그를 볼 수 있습니다.
선택 사항: 키오스크 디바이스에 관리자가 아닌 계정이 이미 있는 경우 이 단계를 건너뜁니다. 런타임 설정 > 계정 사용자에서 로컬 표준 사용자 계정을 만듭니다>. 사용자 이름이 구성 XML에서 지정한 계정과 동일한지 확인합니다. UserGroup을 표준 사용자로 선택합니다.
파일 메뉴에서 저장을 선택합니다.
내보내기 메뉴에서 프로비저닝 패키지를 선택합니다.
소유자를 IT 관리자로 변경합니다. 이렇게 하면 이 프로비저닝 패키지의 우선 순위가 다른 소스에서 이 장치에 적용된 프로비저닝 패키지보다 더 높게 설정됩니다. 그런 후 다음을 선택합니다.
선택 사항. 프로비저닝 패키지 보안 창에서 패키지 암호화 및 패키지 서명 사용을 선택할 수 있습니다.
패키지 암호화 사용 - 이 옵션을 선택하는 경우 자동 생성된 암호가 화면에 표시됩니다.
패키지 서명 사용 - 이 옵션을 선택하는 경우 패키지 서명에 사용할 유효한 인증서를 선택해야 합니다. 찾아보기를 클릭하고 패키지에 서명하는 데 사용할 인증서를 선택하여 인증서를 지정할 수 있습니다.
다음을 선택하여 프로비전 패키지를 빌드할 때 사용할 출력 위치를 지정합니다. 기본적으로 Windows ICD(이미징 및 구성 디자이너)에서는 프로젝트 폴더를 출력 위치로 사용합니다.
필요에 따라 찾아보기를 선택하여 기본 출력 위치를 변경할 수 있습니다.
다음을 선택합니다.
빌드를 선택하여 패키지 빌드를 시작합니다. 프로비저닝 패키지를 빌드하는 데는 오랜 시간이 걸리지 않습니다. 빌드 페이지에서 프로젝트 정보가 표시되며 진행률 표시줄은 빌드 상태를 나타냅니다.
빌드를 취소해야 하는 경우 취소를 선택합니다. 이 작업은 현재 빌드 프로세스를 취소하고 마법사를 닫고 사용자 지정 페이지로 돌아갑니다.
빌드에 실패하면 프로젝트 폴더에 대한 링크가 포함된 오류 메시지가 표시됩니다. 오류 원인을 파악하기 위해 로그를 스캔할 수 있습니다. 문제를 해결 한 후에 패키지를 다시 빌드 해보세요.
빌드가 성공한 경우 프로비저닝 패키지, 출력 디렉터리 및 프로젝트 디렉터리의 이름이 표시됩니다.
- 원하는 경우 프로비저닝 패키지를 다시 빌드하고 출력 패키지 경로를 다르게 선택할 수 있습니다. 이 작업을 수행하려면 [뒤로 ]를 선택하여 출력 패키지 이름 및 경로를 변경한 다음 다음 을 선택하여 다른 빌드를 시작합니다.
- 완료되면 마침 을 선택하여 마법사를 닫고 사용자 지정 페이지로 돌아갑니다.
USB 드라이브의 루트 디렉터리에 프로비저닝 패키지 파일을 복사합니다.
장치에 프로비전 패키지 적용
프로비전 패키지는 초기 설정(기본 제공 환경 또는 "OOBE") 및 이후("런타임") 중에 디바이스에 적용할 수 있습니다. 자세한 내용은 프로비전 패키지 적용을 참조하세요.
참고
프로비전 패키지에 할당된 액세스 사용자 계정 생성이 포함되지 않은 경우 다중 앱 구성 XML에 지정한 계정이 디바이스에 있는지 확인합니다.
MDM을 사용하여 다중 앱 구성 배포
다중 앱 키오스크 모드는 AssignedAccess CSP(구성 서비스 공급자)를 통해 활성화됩니다. MDM 정책에는 할당된 액세스 구성 XML이 포함될 수 있습니다.
할당된 액세스 구성 적용을 지원하는 MDM 서비스에 디바이스를 등록한 경우 디바이스를 사용하여 설정을 원격으로 적용할 수 있습니다.
다중 앱 정책에 대한 OMA-URI는 ./Device/Vendor/MSFT/AssignedAccess/Configuration입니다.
Windows Mixed Reality 몰입형 헤드셋에 대한 고려 사항
혼합 현실 장치(비디오 링크)의 출시로 인해, 혼합 현실 앱을 실행할 수 있는 키오스크를 만들고 싶을 수도 있습니다.
혼합 현실 앱을 실행할 수 있는 다중 앱 키오스크를 만들려면 AllowedApps 목록에 다음 앱을 포함해야 합니다.
<App AppUserModelId="MixedRealityLearning_cw5n1h2txyewy!MixedRealityLearning" />
<App AppUserModelId="HoloShell_cw5n1h2txyewy!HoloShell" />
<App AppUserModelId="Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy!App" />
<App AppUserModelId="Microsoft.MixedReality.Portal_8wekyb3d8bbwe!App" />
이러한 앱은 사용자가 허용하는 혼합 현실 앱에 추가됩니다.
키오스크 사용자가 로그인하기 전: 관리자 사용자는 PC에 로그인하고, 혼합 현실 장치를 연결하고, Mixed Reality 포털에 대한 설치를 완료해야 합니다. Mixed Reality 포털이 처음 설정되면 일부 파일과 콘텐츠가 다운로드됩니다. 키오스크 사용자에게는 다운로드 권한이 없으므로 Mixed Reality Portal 설정이 실패합니다.
관리자가 설정을 완료하면 키오스크 계정에 로그인하여 설정을 반복할 수 있습니다. 관리자는 직원 또는 고객에게 PC를 제공하기 전에 키오스크 사용자 설정을 완료하고자 할 수 있습니다.
키오스크 사용자와 다른 사용자에 대한 혼합 현실 환경 간에는 차이가 있습니다. 일반적으로, 사용자가 복합 현실 장치를 연결하면 혼합 현실 홈에서 시작합니다. 혼합 현실 홈은 PC를 키오스크로 구성할 때 "자동" 모드로 실행되는 쉘입니다. 키오스크 사용자가 혼합 현실 디바이스를 연결하면 디바이스에 빈 디스플레이만 표시되고 가정에서 사용할 수 있는 기능과 기능에 액세스할 수 없습니다. 혼합 현실 앱을 실행하려면 키오스크 사용자가 PC 시작 화면에서 앱을 시작해야 합니다.
다중 앱 키오스크 설정으로 정책 설정
다중 앱 모드가 잠긴 환경을 제공하도록 최적화되었기 때문에 할당된 액세스 다중 앱 모드에 적용되는 정책을 다른 채널을 사용하여 다른 값으로 설정하는 것은 권장되지 않습니다.
다중 앱 할당 액세스 구성이 디바이스에 적용되면 특정 정책이 시스템 전체에 적용되며 디바이스의 다른 사용자에게 영향을 미칩니다.
그룹 정책
다음 로컬 정책은 사용자가 할당된 액세스 사용자로 구성되었는지 여부에 관계없이 시스템의 모든 비 관리자 사용자에게 영향을 미칩니다. 이 목록에는 로컬 사용자, 도메인 사용자 및 Azure Active Directory 사용자가 포함됩니다.
| 설정 | 값 |
|---|---|
| 작업 표시줄에 대한 컨텍스트 메뉴 액세스 권한 제거 | 활성화 |
| 종료 시 최근에 열었던 문서 기록 지우기 | 활성화 |
| 사용자가 시작 화면을 사용자 지정할 수 없음 | 활성화 |
| 시작에서 응용 프로그램 제거 금지 | 활성화 |
| 시작 메뉴에서 모든 프로그램 항목 제거 | 활성화 |
| 시작 메뉴에서 실행 메뉴 제거 | 활성화 |
| 풍선 알림을 알림으로 표시하지 않음 | 활성화 |
| 점프 목록에 항목 고정을 허용하지 않음 | 활성화 |
| 작업 표시줄에 프로그램 고정시키기 허용하지 않음 | 활성화 |
| 원격 위치의 항목을 점프 목록에 표시하거나 추적 안 함 | 활성화 |
| 알림 및 알림 센터 제거 | 활성화 |
| 모든 작업 표시줄 설정 잠금 | 활성화 |
| 작업 표시줄 잠금 | 활성화 |
| 사용자가 도구 모음을 추가하거나 제거하지 못하게 방지 | 활성화 |
| 사용자의 작업 표시줄 크기 조정 방지 | 활성화 |
| 시작 메뉴에서 자주 사용하는 프로그램 목록 제거 | 활성화 |
| '네트워크 드라이브 매핑' 및 '네트워크 드라이브 연결 끊기' 제거 | 활성화 |
| 보안 및 유지 관리 아이콘 제거 | 활성화 |
| 모든 풍선 알림 끄기 | 활성화 |
| 기능 안내 풍선 알림 끄기 | 활성화 |
| 알림 메시지 끄기 | 활성화 |
| 작업 관리자 제거 | 활성화 |
| 보안 옵션 UI에서 암호 변경 옵션 제거 | 활성화 |
| 보안 옵션 UI에서 로그아웃 옵션 제거 | 활성화 |
| 시작 메뉴에서 모든 프로그램 항목 제거 | 활성화 - 설정 제거 및 비활성화 |
| 내 컴퓨터에서 드라이브에 대한 액세스 차단 | 활성화 - 모든 드라이버 제한 |
참고
내 컴퓨터에서 드라이브에 대한 액세스 차단이 사용하도록 설정되면 사용자는 파일 탐색기에서 디렉터리 구조를 탐색할 수 있지만 폴더를 열고 콘텐츠에 액세스할 수는 없습니다. 또한 실행 대화 상자 또는 네트워크 드라이브 연결 대화 상자를 사용하여 이 드라이브의 디렉터리를 볼 수 없습니다. 지정한 드라이브를 나타내는 아이콘은 여전히 파일 탐색기 표시되지만 사용자가 아이콘을 두 번 클릭하면 설정이 작업을 방지한다는 메시지가 나타납니다. 이 설정은 사용자가 프로그램을 사용하여 로컬 및 네트워크 드라이브에 액세스하는 것을 차단하지 않습니다. 사용자가 디스크 관리 스냅인을 사용하여 드라이브 특성을 보고 변경하는 것을 차단하지 않습니다.
MDM 정책
CSP(정책 구성 서비스 공급자)를 기반으로 하는 일부 MDM 정책은 시스템의 모든 사용자에게 영향을 줍니다.
| 설정 | 값 | 시스템 수준 |
|---|---|---|
| Experience/AllowCortana | 0 - 허용되지 않음 | 예 |
| Start/AllowPinnedFolderDocuments | 0 - 바로 가기가 숨겨져 있으며 설정 앱의 설정 비활성화 | 예 |
| Start/AllowPinnedFolderDownloads | 0 - 바로 가기가 숨겨져 있으며 설정 앱의 설정 비활성화 | 예 |
| Start/AllowPinnedFolderFileExplorer | 0 - 바로 가기가 숨겨져 있으며 설정 앱의 설정 비활성화 | 예 |
| Start/AllowPinnedFolderHomeGroup | 0 - 바로 가기가 숨겨져 있으며 설정 앱의 설정 비활성화 | 예 |
| Start/AllowPinnedFolderMusic | 0 - 바로 가기가 숨겨져 있으며 설정 앱의 설정 비활성화 | 예 |
| Start/AllowPinnedFolderNetwork | 0 - 바로 가기가 숨겨져 있으며 설정 앱의 설정 비활성화 | 예 |
| Start/AllowPinnedFolderPersonalFolder | 0 - 바로 가기가 숨겨져 있으며 설정 앱의 설정 비활성화 | 예 |
| Start/AllowPinnedFolderPictures | 0 - 바로 가기가 숨겨져 있으며 설정 앱의 설정 비활성화 | 예 |
| Start/AllowPinnedFolderSettings | 0 - 바로 가기가 숨겨져 있으며 설정 앱의 설정 비활성화 | 예 |
| Start/AllowPinnedFolderVideos | 0 - 바로 가기가 숨겨져 있으며 설정 앱의 설정 비활성화 | 예 |
| Start/DisableContextMenus | 1 - 시작 앱에 대한 상황에 맞는 메뉴가 숨겨집니다. | 아니요 |
| Start/HidePeopleBar | 1 - True(숨기기) | 아니요 |
| Start/HideChangeAccountSettings | 1 - True(숨기기) | 예 |
| WindowsInkWorkspace/AllowWindowsInkWorkspace | 0 - 잉크 작업 영역에 대한 액세스가 비활성화되고 기능이 꺼짐 | 예 |
| Start/StartLayout | 구성 종속 | 아니요 |
| WindowsLogon/DontDisplayNetworkSelectionUI | <Enabled/> | 예 |
Windows 구성 디자이너를 사용하여 .lnk 파일 브로비전
먼저 기본 설치 위치를 사용하여 테스트 디바이스에 앱을 설치하여 데스크톱 앱의 바로 가기 파일을 만듭니다. 설치된 응용 프로그램을 마우스 오른쪽 버튼으로 클릭하고 보내기 > 데스크톱(바로 가기 만들기) 을 선택합니다. 바로 가기 이름을 다음과 같이 바꿉니다. <appName>.lnk
그런 다음, 두 명령으로 배치 파일을 만듭니다. 데스크톱 앱이 대상 장치에 이미 설치되어 있는 경우 MSI 설치의 첫 번째 명령을 건너뜁니다.
msiexec /I "<appName>.msi" /qn /norestart
copy <appName>.lnk "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\<appName>.lnk"
Windows 구성 디자이너에서 ProvisioningCommands > DeviceContext:
CommandFiles에서 배치 파일, .lnk 파일 및 데스크톱 앱 설치 파일을 업로드합니다.
중요
CommandFiles 필드에 .lnk 파일에 전체 파일 경로를 붙여넣습니다. .lnk 파일을 찾아서 선택하면 파일 경로가 .lnk 대상의 경로로 변경됩니다.
CommandLine에서 .를 입력합니다
cmd /c *FileName*.bat.
기타 메서드
WMI를 사용하는 환경에서는 MDM 브리지 WMI 공급자를 사용하여 키오스크를 구성할 수 있습니다.