在Windows 10设备上设置多应用展台

适用范围

  • Windows 10 专业版、企业版和教育版

备注

目前,仅 Windows 10 支持多应用展台。 Windows 11 不支持此功能。

多应用展台模式不支持使用多个监视器。

展台设备通常只运行一个应用,用户无法从展台应用之外访问设备上的任何特性或功能。 Windows 10版本 1709 中,已扩展 AssignedAccess 配置服务提供程序 (云解决方案提供商) ,使管理员可以轻松创建运行多个应用的展台。 仅运行一个或多个指定应用的展台的好处是,通过仅将需要使用的内容放在个人面前,并从他们视图中删除他们不需要访问的内容,为个人提供易于理解的体验。

下表列出了最近更新中对多应用展台所做的更改。

新功能和改进 在更新中
- 在 XML 文件中配置单应用展台配置文件

- 将 组帐户分配到配置文件

- 配置 帐户以自动登录
Windows 10 版本 1803
- 在 用户打开文件对话框时显式允许某些已知文件夹

- 用户登录时自动启动应用

- 为 autologon 帐户配置显示名称
Windows 10 版本 1809

重要: 若要使用Windows 10 版本 1809中发布的功能,请确保 XML 文件引用https://schemas.microsoft.com/AssignedAccess/201810/config

警告

分配的访问权限功能专用于企业拥有的固定用途设备,例如展台。 如果对设备应用多应用分配的访问权限配置,则会在系统范围内强制执行某些策略,这将会影响该设备上的其他用户。 删除展台配置将删除与用户关联的分配的访问锁定配置文件,但无法还原所有强制实施的策略 (如"开始"菜单布局) 。 需要恢复出厂设置,才能清除通过分配的访问权限强制执行的所有策略。

你可以使用 Microsoft Intune预配包来配置多应用展台。

提示

在设置展台之前,请务必检查 配置建议

在 Microsoft Intune 中配置展台

若要在Microsoft Intune中配置展台,请参阅:

使用预配包配置展台

过程:

  1. 创建 XML 文件
  2. 将 XML 文件添加到预配包中
  3. 将预配包应用于设备

观看如何使用预配包来配置多应用展台。

如果不想使用预配包,可以使用 移动设备管理 (MDM) 部署配置 XML 文件,也可以使用 MDM Bridge WMI 提供程序配置分配的访问权限。

必备条件

  • Windows配置设计器 (Windows 10版本 1709 或更高版本)
  • 展台设备必须Windows 10 (S、Pro、Enterprise 或教育) 版本 1709 或更高版本运行

备注

对于运行 1709 版本之前的 Windows 10 版本的设备,你可以创建 AppLocker 规则以配置多应用展台。

创建 XML 文件

让我们首先看看 XML 文件的基本结构。

  • 配置 XML 可以定义多个配置文件。 每个配置文件都有唯一的 ID,并定义了一组可运行的应用程序(无论任务栏是否可见),可以包括自定义“开始”布局。

  • 配置 XML 可以具有多个配置部分。 每个配置部分都将非管理员用户帐户关联到默认配置文件 ID

  • 多个配置部分可关联到同一个配置文件。

  • 如果配置文件未关联到配置部分,则该配置文件无效。

    profile = app and config = account.

可以通过将以下 XML 粘贴到 XML 编辑器中,并将文件保存为 文件名.xml来启动文件。 本文将介绍此 XML 的每个部分。 可以在分配的访问 XML 参考中看到完整示例版本。

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
    >
    <Profiles>
        <Profile Id="">
            <AllAppsList>
                <AllowedApps/>
            </AllAppsList>
            <StartLayout/>
            <Taskbar/>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <Account/>
            <DefaultProfile Id=""/>
        </Config>
    </Configs>
</AssignedAccessConfiguration>

个人资料

可在 XML 中指定两种类型的配置文件:

  • 锁定配置文件:分配了锁定配置文件的用户将在平板电脑模式下看到桌面,其中包含"开始"屏幕上的特定应用。
  • 展台配置文件:从 Windows 10 版本 1803 开始,此配置文件将替换 AssignedAccess 云解决方案提供商的 KioskModeApp 节点。 分配了展台配置文件的用户看不到桌面,但只会看到在全屏模式下运行的展台应用。

XML 中的锁定配置文件部分包含以下条目:

XML 中的展台配置文件包含以下条目:

ID

配置文件 ID 是 GUID 属性,用于唯一地标识该配置文件。 你可以使用 GUID 生成器创建 GUID。 该 GUID 在此 XML 文件中必须是唯一的。

<Profiles>
  <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">…</Profile>
</Profiles>
AllowedApps

AllowedApps 是允许运行的应用程序的列表。 应用可以通用 Windows 平台 (UWP) 应用或Windows桌面应用程序。 从Windows 10版本 1809 开始,你可以在 AllowedApps 列表中配置单个应用,以便在分配的访问用户帐户登录时自动运行。

  • 对于 UWP 应用,你需要提供应用用户模型 ID (AUMID)。 了解如何获取 AUMID从“开始”布局 XML 获取 AUMID
  • 对于桌面应用,需要指定可执行文件的完整路径,该路径可以包含一个或多个系统环境变量的形式 %variableName%。 例如,%systemroot%%windir%
  • 如果应用依赖于另一个应用,则两者都必须包含在允许的应用列表中。 例如,Internet Explorer 64 位依赖于 Internet Explorer 32 位,因此必须同时允许这两"C:\Program Files\internet explorer\iexplore.exe"``"C:\Program Files (x86)\Internet Explorer\iexplore.exe"者。
  • 若要将单个应用配置为在用户登录时自动启动,请在 AUMID 或路径之后添加 rs5:AutoLaunch="true" 。 还可以包括要传递给应用的参数。 有关示例,请参阅 AllowedApps 示例 XML

将多应用展台配置应用于设备时,将生成 AppLocker 规则以允许配置中列出的应用。 下面是为 UWP 应用预定义的分配的访问权限 AppLocker 规则:

  1. 默认规则就是允许所有用户启动已签名的程序包应用。

  2. 当分配的访问权限用户登录时,会在运行时生成包应用阻止列表。 根据用户帐户可用的已安装/预配的包应用,分配的访问权限将生成阻止列表。 此列表将排除默认允许的收件箱包应用,这对系统正常运行至关重要。 然后,它排除企业在分配的访问配置中定义的允许包。 如果同一个程序包中有多个应用,则将排除所有这些应用。 此阻止列表将用于阻止用户访问当前可供用户使用的应用,但不允许在允许的列表中访问这些应用。

    备注

    无法管理 由 MMC 管理单元中的多应用展台配置生成的 AppLocker 规则。避免创建与多应用展台配置生成的 AppLocker 规则冲突的 AppLocker 规则。

    多应用展台模式不会阻止企业或用户安装 UWP 应用。 在当前分配的访问权限用户会话期间安装新的 UWP 应用时,此应用将不在拒绝列表中。 当用户注销并再次登录时,应用将包含在阻止列表中。 如果这是企业部署的业务线应用,并且你想要允许该应用运行,请更新分配的访问权限配置,以将其包括在允许的应用列表中。

下面是为桌面应用预定义的分配的访问权限 AppLocker 规则:

  1. 默认规则就是允许所有用户启动使用 Microsoft 证书进行签名的桌面程序,以便于系统启动并正常运行。 该规则也允许管理员用户组启动所有桌面程序。
  2. 已分配的访问用户帐户有预定义的收件箱桌面应用阻止列表,此阻止列表根据在多应用配置中定义的桌面应用允许列表进行调整。
  3. Enterprise定义的允许桌面应用添加到 AppLocker 允许列表中。

以下示例允许 Groove 音乐、电影&电视、照片、天气、计算器、画图和记事本应用在设备上运行,记事本配置为在用户登录时自动启动并创建调用123.text的文件。

<AllAppsList>
        <AllowedApps>
          <App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
          <App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
          <App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
          <App DesktopAppPath="%windir%\system32\mspaint.exe" />
          <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="123.txt">
        </AllowedApps>
</AllAppsList>
FileExplorerNamespaceRestrictions

从 Windows 10 版本 1809 开始,当用户尝试通过在 XML 文件中包含 FileExplorerNamespaceRestrictions 来打开多应用分配的访问权限中的文件对话框时,可以显式允许访问某些已知文件夹。 目前, 下载 是唯一支持的文件夹。 也可以使用Microsoft Intune设置此行为。

以下示例演示如何允许用户访问公用文件对话框中的“下载”文件夹。

提示

若要通过文件资源管理器授予对下载文件夹的访问权限,请将“Explorer.exe”添加到允许的应用列表,并将文件资源管理器快捷方式固定到展台开始菜单。

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
>     <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    ...
                </AllowedApps>
            </AllAppsList>
            <rs5:FileExplorerNamespaceRestrictions>
                <rs5:AllowedNamespace Name="Downloads"/>
            </rs5:FileExplorerNamespaceRestrictions>
            <StartLayout>
                ...
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
</AssignedAccessConfiguration>

FileExplorerNamespaceRestriction 已在当前Windows 10预发行版中扩展,以便更精细、更易于使用。 有关详细信息和完整示例,请参阅 分配的访问 XML 参考。 通过使用新元素,可以配置用户是可以访问下载文件夹还是可移动驱动器,或者根本没有限制。

备注

  • FileExplorerNamespaceRestrictions 并且 AllowedNamespace:Downloads 在命名空间 https://schemas.microsoft.com/AssignedAccess/201810/config中可用。
  • AllowRemovableDrives 并在 NoRestriction 新命名空间 https://schemas.microsoft.com/AssignedAccess/2020/config中定义。
  • 如果 FileExplorerNamespaceRestrictions 节点未使用或未使用但留空,则用户将无法访问常见对话框中的任何文件夹。 例如,将 As 保存在Microsoft Edge浏览器中。
  • 当允许的命名空间中提到下载时,用户将能够访问“下载”文件夹。
  • 使用时 AllowRemovableDrives ,用户将访问可移动驱动器。
  • 使用时 NoRestriction ,不会对对话框应用任何限制。
  • AllowRemovableDrives 并且 AllowedNamespace:Downloads 可以同时使用。
StartLayout

定义了允许的应用程序列表后,你可以针对自己的展台体验自定义“开始”布局。 你可以选择将所有允许的应用固定到“开始”屏幕,也可以仅将一部分应用固定到该屏幕,具体取决于你是否希望最终用户直接在“开始”屏幕上访问它们。

创建适用于其他Windows客户端设备的自定义"开始"菜单布局的最简单方法是在测试设备上设置"开始"屏幕,然后导出布局。 有关详细步骤,请参阅自定义和导出“开始”布局

下面是值得注意的一些事项:

  • 自定义“开始”布局的测试设备应与你计划部署多应用分配的访问权限配置的设备上安装的操作系统版本相同。
  • 由于多应用分配的访问权限体验仅适用于固定用途设备,因此,为了确保设备体验一致且可预测,请使用完整“开始”布局选项,而非部分“开始”布局。
  • 在多应用模式下,任务栏上没有固定的应用,在分配的访问配置中,不支持使用 <CustomTaskbarLayoutCollection> 布局修改 XML 中的标记配置任务栏布局。
  • 以下示例用于 DesktopApplicationLinkPath 固定要启动的桌面应用。 当桌面应用在目标设备上没有快捷方式链接时,请了解如何使用 Windows 配置设计器预配 .lnk 文件

以下示例将 Groove 音乐、电影&电视、照片、天气、计算器、画图和记事本应用固定在"开始"菜单上:

<StartLayout>
        <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="httsp://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Group1">
                              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
                              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
                              <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
                              <start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
                            </start:Group>
                            <start:Group Name="Group2">
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk" />
                              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
</StartLayout>

备注

如果未为用户安装应用,但包含在"开始"菜单布局 XML 中,则应用不会显示在"开始"屏幕上。

应用 XML 示例时,"开始"屏幕的外观。

任务栏

定义你是否希望在展台设备中显示任务栏。 对于基于平板电脑或支持触摸的一体化展台,如果你未连接键盘和鼠标,则可以在多应用体验中隐藏任务栏(如果你希望)。

以下示例向最终用户显示任务栏:

<Taskbar ShowTaskbar="true"/>

以下示例会隐藏任务栏:

<Taskbar ShowTaskbar="false"/>

备注

在平板电脑模式下,这不同于自动隐藏任务栏选项,后者在向上轻扫或将鼠标指针向下移动到屏幕底部时会显示任务栏。 将 ShowTaskbar 设置为 false 将始终保持任务栏处于隐藏状态。

KioskModeApp

KioskModeApp 仅用于 展台配置文件 。 输入单个应用的 AUMID。 只能在 XML 中指定一个展台配置文件。

<KioskModeApp AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"/>

重要

展台配置文件专为面向公众的展台设备设计。 建议使用本地非管理员帐户。 如果设备已连接到公司网络,则使用域或Azure Active Directory帐户可能会泄露机密信息。

配置

配置下,定义哪个用户帐户将与配置文件关联。 当此用户帐户在设备上登录时,将强制执行关联的访问配置文件。 此行为包括允许的应用、"开始"菜单布局、任务栏配置以及其他本地组策略或移动设备管理 (MDM) 策略,这些策略是作为多应用体验的一部分设置的。

该完整的多应用分配的访问权限体验只能适用于非管理员用户。 不支持将管理员用户与分配的访问配置文件相关联。 当此管理员用户登录时,在 XML 文件中进行此配置将导致意外或不受支持的体验。

可以分配:

备注

指定组帐户的配置不能使用展台配置文件,而只能使用锁定配置文件。 如果将组配置为展台配置文件,则云解决方案提供商将拒绝请求。

配置 AutoLogon 帐户

使用 <AutoLogonAccount> 该配置并将其应用到设备时,指定的帐户 (由分配的访问) 管理,在设备上创建为本地标准用户帐户。 重新启动后,指定的帐户会自动登录。

以下示例演示如何指定要自动登录的帐户。

<Configs>
  <Config>
    <AutoLogonAccount/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

从Windows 10版本 1809 开始,可以配置用户登录时将显示的显示名称。 以下示例演示如何创建显示名称“Hello World”的 AutoLogon 帐户。

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Hello World"/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

在已加入域的设备上,默认情况下,登录屏幕上不会显示本地用户帐户。 若要在登录屏幕上显示 AutoLogonAccount,请启用以下组策略设置:计算机配置>管理模板>系统>登录>枚举已加入域的计算机上的本地用户。 (策略云解决方案提供商.) 中相应的 MDM 策略设置是 WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers

重要

当Exchange主动同步 (EAS) 密码限制在设备上处于活动状态时,autologon 功能将不起作用。 此行为是设计使然。 有关详细信息,请参阅如何在Windows中启用自动登录

配置单个帐户

使用 >a0>指定 <Account>单个帐户。

  • 可以将本地帐户输入为 machinename\account.\account 或仅限 account
  • 应将域帐户输入为 domain\account
  • 必须采用以下格式指定 Azure AD 帐户:AzureAD\{email address}。 必须_按原样_提供 AzureAD,并将其视为固定域名。 然后按照 Azure AD 电子邮件地址进行操作。 例如, AzureAD\someone@contoso.onmicrosoft.com

警告

可通过 WMI 或 CSP 将分配的访问权限配置为根据域用户或服务帐户而非本地帐户运行其应用程序。 但是,使用域用户或服务帐户时,会招致破坏分配的访问权限应用程序的攻击者可能会访问无意中留下可访问任何域帐户的敏感域资源的风险。 我们建议客户在将域帐户与分配的访问权限结合使用时应谨慎行事,并且考虑因决定执行此操作可能公开的域资源。

在应用多应用配置之前,请确保指定的用户帐户将在设备上可用,否则该帐户将不可用。

备注

对于域和 Azure AD 帐户,不需要将目标帐户显式添加到设备。 只要设备加入 AD 或 Azure AD,就可以在该设备加入到的域林或租户中发现帐户。 对于本地帐户,帐户必须在针对分配的访问权限配置该帐户前存在。

<Configs>
  <Config>
    <Account>MultiAppKioskUser</Account>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>
配置组帐户

使用 >a0>指定 <UserGroup>组帐户。 不支持嵌套组。 例如,如果用户 A 是组 1 的成员,则组 1 是组 2 的成员,并且使用 <Config/>组 2,则用户 A 将没有展台体验。

  • 本地组:将组类型指定为 LocalGroup ,并将组名称置于 Name 属性中。 添加到本地组的任何 Azure AD 帐户都不会应用展台设置。

    <Config>
      <UserGroup Type="LocalGroup" Name="mygroup" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    
  • 域组:支持安全组和分发组。 将组类型指定为 ActiveDirectoryGroup。 使用域名作为名称属性的前缀。

    <Config>
      <UserGroup Type="ActiveDirectoryGroup" Name="mydomain\mygroup" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    
  • Azure AD 组:使用Azure 门户中的组对象 ID 唯一标识 Name 属性中的组。 可以在“用户”和“所有组 > 的“概述”页上找到对象 ID。 将组类型指定为 AzureActiveDirectoryGroup。 当属于组登录的用户时,展台设备必须具有 Internet 连接。

    <Config>
      <UserGroup Type="AzureActiveDirectoryGroup" Name="a8d36e43-4180-4ac5-a627-fb8149bba1ac" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    

    备注

    如果在设备上配置了锁定配置文件的 Azure AD 组,则 Azure AD 组中的用户必须在门户上使用默认密码创建帐户后更改其密码 () 才能登录到此设备。 如果用户使用默认密码登录到设备,则用户将立即注销。

[预览]全局配置文件

全局配置文件在Windows 10中可用。 如果希望将登录到特定设备的每个人分配为访问用户,即使该用户没有专用配置文件。 或者,可能分配的访问权限无法标识用户的配置文件,并且你想要有一个回退配置文件。 全局配置文件是针对这些方案设计的。

下面演示了使用情况,方法是使用新的 XML 命名空间并从该命名空间进行 GlobalProfile 指定。 GlobalProfile配置时,非管理员帐户会登录,如果此用户在分配的访问权限中没有指定的配置文件,或者分配的访问权限无法确定当前用户的配置文件,则会为用户应用全局配置文件。

备注

  1. GlobalProfile 只能是多应用配置文件。
  2. 只能在一 GlobalProfile 个配置 XML 中使用一个 AssignedAccess
  3. GlobalProfile 可以用作唯一配置,也可以与常规用户或组配置一起使用。
<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v2="https://schemas.microsoft.com/AssignedAccess/201810/config"
    xmlns:v3="https://schemas.microsoft.com/AssignedAccess/2020/config"
>
    <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    <App AppUserModelId="Microsoft.Microsoft3DViewer_8wekyb3d8bbwe!Microsoft.Microsoft3DViewer" v2:AutoLaunch="true" v2:AutoLaunchArguments="123"/>
                    <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                    <App AppUserModelId="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
                    <App DesktopAppPath="%SystemRoot%\system32\notepad.exe" />
                </AllowedApps>
            </AllAppsList>
            <StartLayout>
                <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="https://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Life at a glance">
                              <start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="microsoft.windowscommunicationsapps_8wekyb3d8bbwe!microsoft.windowsLive.calendar" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsStore_8wekyb3d8bbwe!App" />
                              <!-- A link file is required for desktop applications to show on start layout, the link file can be placed under
                                   "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs" if the link file is shared for all users or
                                   "%AppData%\Microsoft\Windows\Start Menu\Programs" if the link file is for the specific user only 
                                   see document https://docs.microsoft.com/windows/configuration/start-layout-xml-desktop
                              -->
                              <!-- for inbox desktop applications, a link file might already exist and can be used directly -->
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Accessories\paint.lnk" />
                              <!-- for 3rd party desktop application, place the link file under appropriate folder -->
                              <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationLinkPath="%AppData%\Microsoft\Windows\Start Menu\Programs\MyLOB.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
    <Configs>
        <v3:GlobalProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Configs>
</AssignedAccessConfiguration>

将 XML 文件添加到预配包中

在向预配包中添加 XML 文件之前,你可以针对 XSD 验证配置 XML

使用 Windows 配置设计器工具创建预配包。 了解如何安装 Windows 配置设计器。

重要

生成预配包时,可能会在项目文件和预配包 (.ppkg) 文件中包含敏感信息。 尽管你可以选择加密 .ppkg 文件,但项目文件不会加密。 应将项目文件存储在安全位置,并在不再需要它们时删除项目文件。

  1. 打开 Windows 配置设计器。 默认情况下: %systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe.

  2. 选择高级预配

  3. 为项目命名,然后选择 “下一步”。

  4. 选择所有Windows桌面版,然后选择 “下一步”。

  5. “新建项目”中,选择 “完成”。 此时将打开你的程序包的工作区。

  6. 依次展开运行时设置 > AssignedAccess > MultiAppAssignedAccessSettings

  7. 在中心窗格中,选择 “浏览”。 找到并选择所创建的分配的访问配置 XML 文件。

    Windows配置设计器中的 MultiAppAssignedAccessSettings 字段的屏幕截图。

  8. 可选:如果要在设备初始设置后应用预配包,并且展台设备上已有管理员用户,请跳过此步骤。运行时设置 > **** >帐户用户中创建管理员用户帐户。 提供用户名密码,然后选择用户组作为管理员。 使用此帐户,你可以根据需要查看预配状态和日志。

  9. 可选:如果在展台设备上已有非管理员帐户,请跳过此步骤。运行时设置 > **** >帐户用户中创建本地标准用户帐户。 确保用户名与你在配置 XML 中指定的帐户相同。 选择用户组作为标准用户

  10. 文件菜单上,选择保存

  11. 在“导出”**** 菜单上,选择“设置包”****。

  12. 所有者更改为 IT 管理员,这会将此预配包的优先级设置为高于应用于来自其他源的设备的预配包,然后选择下一步

  13. 可选。 在设置程序包安全性窗口中,你可以选择对程序包进行加密并启用程序包签名。

    • 启用程序包加密 - 如果你选择此选项,将在屏幕上显示自动生成的密码。

    • 启用程序包签名 - 如果你选择此选项,则必须选择一个有效的证书,用于对程序包进行签名。 你可以通过单击 浏览 并选择要用于对程序包进行签名的证书指定相关证书。

  14. 选择 “下一步 ”可指定生成预配包时要在其中转到的输出位置。 默认情况下,Windows 映像和配置设计器 (ICD) 使用项目文件夹作为输出位置。

    (可选)可以选择 “浏览” 更改默认输出位置。

  15. 选择下一步

  16. 选择 “生成 ”以开始生成包。 无需花费太长时间即可生成预配包。 项目信息会显示在构建页面中,并且进度栏会指示构建状态。

    如果需要取消生成,请选择 “取消”。 此操作将取消当前生成过程,关闭向导,然后返回到 “自定义”页

  17. 如果构建失败,则显示一条包含项目文件夹链接的错误消息。 你可以扫描日志以确定导致错误的原因。 解决问题后,请尝试重新构建程序包。

    如果构建成功,将显示设置包的名称、输出目录和项目目录。

    • 如果要进行选择,你可以重新构建设置包并选择不同的输出程序包路径。 若要执行此操作,请选择 “返回 ”以更改输出包名称和路径,然后选择 “下一步 ”以启动另一个生成。
    • 如果已完成,请选择 “完成 ”以关闭向导并返回到“ 自定义”页
  18. 将预配包复制到 U 盘的根目录。

将预配包应用于设备

预配包可在初始设置期间应用到设备, (现成体验或“OOBE”) , (“运行时”) 。 有关详细信息,请 参阅“应用预配包”。

备注

如果预配包不包括分配的访问权限用户帐户创建,请确保在多应用配置 XML 中指定的帐户存在于设备上。

使用 MDM 部署多应用配置

多应用展台模式由 AssignedAccess 配置服务提供程序 (CSP) 启用。 你的 MDM 策略中可能包含分配的访问权限配置 XML。

如果设备注册了支持应用分配的访问配置的 MDM 服务,则可以使用它远程应用设置。

多应用策略的 OMA-URI 是 ./Device/Vendor/MSFT/AssignedAccess/Configuration

Windows Mixed Reality 沉浸式头戴显示设备的注意事项

随着混合现实设备(视频链接)的出现,你可能希望创建可以运行混合现实应用的展台。

若要创建可以运行混合现实应用的多应用展台,你必须将以下应用包括在 AllowedApps 列表中:

<App AppUserModelId="MixedRealityLearning_cw5n1h2txyewy!MixedRealityLearning" />
<App AppUserModelId="HoloShell_cw5n1h2txyewy!HoloShell" />
<App AppUserModelId="Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy!App" />
<App AppUserModelId="Microsoft.MixedReality.Portal_8wekyb3d8bbwe!App" />

这些应用是你允许的任何混合现实应用的补充。

在你的展台用户登录前: 管理员用户必须登录到电脑,连接混合现实设备,并完成混合现实门户的引导式设置。 首次设置混合现实门户时,将下载一些文件和内容。 展台用户没有下载权限,因此其混合现实门户的设置将失败。

在管理员完成了设置后,展台帐户可以登录并重复执行设置。 管理员用户可能需要先完成展台用户设置,然后再为员工或客户提供电脑。

展台用户和其他用户的混合现实体验之间存在差异。 通常,当用户连接混合现实设备时,他们开始在混合现实家庭版中操作。 混合现实家庭版是将电脑配置为展台时在“无提示”模式下运行的 shell。 当展台用户连接混合现实设备时,他们只会在设备中看到空白显示,并且无法访问家庭中可用的功能。 若要运行混合现实应用,展台用户必须从电脑的“开始”屏幕启动应用。

根据多应用展台配置设置的策略

不建议使用其他通道将分配的访问多应用模式下强制实施的策略设置为不同的值,因为已优化多应用模式以提供锁定体验。

在设备上应用多应用分配的访问配置时,某些策略会在系统范围内强制实施,并且会影响设备上的其他用户。

组策略

以下本地策略会影响系统上的所有非管理员用户,无论用户是否配置为分配的访问权限用户。 此列表包括本地用户、域用户和Azure Active Directory用户。

设置
删除任务栏的上下文菜单的访问权限 已启用
退出系统时清除最近打开的文档的历史记录 已启用
阻止用户自定义“开始”屏幕 已启用
阻止用户从“开始”屏幕中卸载应用程序 已启用
从“开始”菜单中删除“所有程序”列表 已启用
从“开始”菜单中删除“运行”菜单 已启用
禁止将气球通知显示为 toast 已启用
不允许在跳转列表中固定项目 已启用
不允许将程序固定到任务栏 已启用
不在跳转列表中显示或跟踪来自远程位置的项目 已启用
删除通知和操作中心 已启用
锁定所有任务栏设置 已启用
锁定任务栏 已启用
阻止用户添加或删除工具栏 已启用
防止用户调整任务栏大小 已启用
从“开始”菜单中删除常用程序列表 已启用
删除“映射网络驱动器”和“断开网络驱动器连接” 已启用
删除“安全和维护”图标 已启用
关闭所有气球通知 已启用
关闭功能广告气球通知 已启用
关闭 toast 通知 已启用
删除任务管理器 已启用
删除安全选项 UI 中的“更改密码”选项 已启用
删除安全选项 UI 中的“注销”选项 已启用
从“开始”菜单中删除“所有程序”列表 已启用 – 删除和禁用设置
阻止从“我的电脑”访问驱动器 已启用 - 限制所有驱动程序

备注

启用防止从“我的电脑”访问驱动器后,用户可以在文件资源管理器中浏览目录结构,但他们无法打开文件夹并访问内容。 此外,他们不能使用运行对话框或映射网络驱动器对话框,以查看这些驱动器上的目录。 表示指定驱动器的图标仍显示在文件资源管理器中,但如果用户双击图标,则会显示一条消息,说明设置会阻止该操作。 此设置不会阻止用户使用程序访问本地驱动器和网络驱动器。 它不会阻止用户使用“磁盘管理”管理单元查看和更改驱动器特性。

MDM 策略

一些基于策略配置服务提供程序的 MDM 策略 (云解决方案提供商) 影响系统上的所有用户。

设置 系统范围
Experience/AllowCortana 0 - 不允许
"开始"菜单/AllowPinnedFolderDocuments 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
"开始"菜单/AllowPinnedFolderDownloads 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
"开始"菜单/AllowPinnedFolderFileExplorer 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
"开始"菜单/AllowPinnedFolderHomeGroup 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
"开始"菜单/AllowPinnedFolderMusic 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
"开始"菜单/AllowPinnedFolderNetwork 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
"开始"菜单/AllowPinnedFolderPersonalFolder 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
"开始"菜单/AllowPinnedFolderPictures 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
Start/AllowPinnedFolderSettings 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
"开始"菜单/AllowPinnedFolderVideos 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
"开始"菜单/DisableContextMenus 1 - 为"开始"菜单应用隐藏上下文菜单
Start/HidePeopleBar 1 - True(隐藏)
Start/HideChangeAccountSettings 1 - True(隐藏)
WindowsInkWorkspace/AllowWindowsInkWorkspace 0 - 禁止访问 Ink 工作区并关闭此功能
Start/StartLayout 依赖于配置
WindowsLogon/DontDisplayNetworkSelectionUI <已启用/>

使用 Windows 配置设计器预配 .lnk 文件

首先,使用默认安装位置在测试设备上安装应用,创建桌面应用的快捷文件。 右键单击安装的应用程序,然后依次选择发送到 > 桌面(创建快捷方式)。 重命名快捷方式 <appName>.lnk

其次,使用两个命令创建批处理文件。 如果桌面应用已安装在目标设备上,对于 MSI 安装,请跳过第一个命令。

msiexec /I "<appName>.msi" /qn /norestart
copy <appName>.lnk "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\<appName>.lnk"

在 Windows 配置设计器中的 ProvisioningCommands > DeviceContext 下:

  • CommandFiles 下,上传批处理文件、.lnk 文件和桌面应用安装文件。

    重要

    将完整文件路径粘贴到 CommandFiles 字段中的 .lnk 文件。 如果浏览到 .lnk 文件并选择该文件,则文件路径将更改为 .lnk 目标的路径。

  • CommandLine 下,输入 cmd /c *FileName*.bat

其他方法

使用 WMI 的环境可以使用 MDM Bridge WMI 提供程序来配置展台