什么是分配的访问权限？

• 适用于:

  ✅ Windows 11, ✅ Windows 10

分配的访问权限是一项 Windows 功能，可用于将设备配置为展台或具有受限用户体验。

配置展台体验时，将在锁屏界面上方全屏执行单个通用 Windows 平台 (UWP) 应用程序或 Microsoft Edge。 用户只能使用该应用程序。 如果展台应用已关闭，则会自动重启。 实际示例包括：

• 公共浏览
• 交互式数字标牌

配置 受限的用户体验时，用户只能使用定制的“开始”菜单和任务栏执行定义的应用程序列表。 将强制实施不同的策略设置和 AppLocker 规则，从而创建锁定体验。 用户可以访问熟悉的 Windows 桌面，同时限制其访问权限，减少干扰和无意使用的可能性。 非常适合共享设备，可以为不同的用户创建不同的配置。 实际示例包括：

• 一线员工设备
• 学生设备
• 实验室设备

注意

配置受限的用户体验时，会将不同的策略设置应用于设备。 某些策略设置仅适用于标准用户，有些策略设置也适用于管理员帐户。 有关详细信息，请参阅 分配的访问权限策略设置。

要求

下面是分配的访问权限的要求：

• 若要使用展台体验，必须启用用户帐户控制 (UAC)
• 若要使用展台体验，必须从控制台登录。 不支持通过远程桌面连接使用展台体验

Windows 版本和许可要求

下表列出了支持分配访问权限的 Windows 版本：

Windows 专业版	Windows 企业版	Windows 专业教育版/SE	Windows 教育版
是	是	是	是

分配的访问许可证权利由以下许可证授予：

Windows 专业版/专业教育版/SE	Windows 企业版 E3	Windows 企业版 E5	Windows 教育版 A3	Windows 教育版 A5
是	是	是	是	是

有关 Windows 许可的详细信息，请参阅 Windows 许可概述。

配置展台体验

有多种选项可用于配置展台体验。 如果需要使用本地帐户配置单个设备，可以使用：

• PowerShell：可以使用 Set-AssignedAccess PowerShell cmdlet 使用本地标准帐户配置展台体验
• 设置：需要简单的方法使用本地标准用户帐户配置单个设备时，请使用此选项

对于高级自定义，可以使用 分配的访问权限 CSP 配置展台体验。 CSP 允许配置展台应用、用户帐户和展台应用的行为。 使用 CSP 时，必须创建一个指定展台应用和用户帐户的 XML 配置文件。 XML 文件使用以下选项之一应用于设备：

• 移动设备管理 (MDM) 解决方案，例如Microsoft Intune
• 预配程序包
• 使用 MDM 桥 WMI 提供程序的 PowerShell

若要了解如何配置 Shell Launcher XML 文件，请参阅 创建分配的访问权限配置文件。

以下说明详细介绍了如何配置设备。 选择最适合你需求的选项。

Intune/CSP

可以使用具有 AssignedAccess CSP 的自定义策略配置设备。

• 设置：./Vendor/MSFT/AssignedAccess/Configuration
• 值： XML 配置文件的内容

将策略分配给一个组，该组包含要配置的设备作为成员。

PPKG

使用以下设置 创建预配包：

• 路径：AssignedAccess/AssignedAccessSettings
• 价值： 使用应用的 AUMID 输入要用于分配访问权限的帐户和应用程序。 示例：
  • {"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}

将预配包应用于 要配置的设备。

PowerShell

使用 Windows PowerShell 配置设备：

1. 以管理员身份登录

2. 为分配的访问权限创建用户帐户

3. 以分配的访问权限用户帐户身份登录

4. 安装所需的 UWP 应用

5. 以分配的访问权限用户帐户身份注销

6. 以管理员身份登录，并从提升的 PowerShell 提示符使用以下命令之一：

   #Configure Assigned Access by AppUserModelID and user name
   Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
   
   #Configure Assigned Access by AppUserModelID and user SID
   Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
   
   #Configure Assigned Access by app name and user name
   Set-AssignedAccess -AppName <CustomApp> -UserName <username>
   
   #Configure Assigned Access by app name and user SID**:
   Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
   
   

注意

若要使用 -AppName设置分配的访问权限，您为分配的访问权限输入的用户帐户必须至少登录一次。

有关详细信息：

• 查找已安装应用的应用程序用户模型 ID
• Set-AssignedAccess

若要删除分配的访问权限，请使用 PowerShell 运行以下 cmdlet：

Clear-AssignedAccess

对于使用 XML 配置文件的高级自定义，可以通过 MDM Bridge WMI 提供程序使用 PowerShell 脚本。

重要提示

对于所有设备设置，WMI Bridge 客户端必须作为 SYSTEM (LocalSystem) 帐户执行。

若要测试 PowerShell 脚本，可以：

1. 下载 psexec 工具
2. 打开提升的命令提示符并运行： psexec.exe -i -s powershell.exe
3. 在 PowerShell 会话中运行脚本

$shellLauncherConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Shell Launcher configuration"

有关详细信息，请参阅 将 PowerShell 脚本与 WMI 桥提供程序配合使用。

“设置”

下面是使用“设置”应用配置展台的步骤：

1. 打开“设置”应用，查看设备并将其配置为展台。 转到“设置帐户>”“其他用户”>，或使用以下快捷方式：

   其他用户

2. 在“设置展台”下，选择“入门”

3. 在“创建帐户”对话框中，输入帐户名称，然后选择“下一步”

   注意

   如果已有任何本地标准用户帐户，“创建帐户”对话框将提供“选择现有帐户”选项

4. 选择要在展台帐户登录时运行的应用程序。 只有可在锁屏界面上方运行的应用才能在可供选择的应用列表中提供。 如果选择 Microsoft Edge 作为展台应用，则配置以下选项：

   • Microsoft Edge 是应全屏显示网站 (数字签名) ，还是应使用一些可用的浏览器控件 (公共浏览器)
   • 展台帐户登录时应打开哪个 URL
   • 如果选择作为公共浏览器运行，Microsoft Edge 何时应在处于非活动状态一段时间后重启 ()

5. 选择 “关闭”

当设备未加入 Active Directory 域或Microsoft Entra ID时，会自动配置展台帐户的自动登录：

• 如果希望展台帐户自动登录，并在设备重启时启动展台应用，则无需执行任何操作
• 如果不希望展台帐户在设备重启时自动登录，则必须在将设备配置为展台之前更改默认设置。 使用要用作展台帐户的帐户登录。 打开 “设置>帐户>”登录选项。 将 “使用我的登录信息在更新或重启后自动完成设备设置 ”设置为 “关闭”。 更改设置后，可以将展台配置应用于设备

提示

有关实际示例，请参阅 快速入门：使用分配的访问权限配置展台。

配置受限的用户体验

若要使用分配的访问权限配置受限的用户体验，必须使用所需体验的设置创建 XML 配置文件。 XML 文件通过 分配的访问权限 CSP，使用以下选项之一应用于设备：

• 移动设备管理 (MDM) 解决方案，例如Microsoft Intune
• 预配程序包
• 使用 MDM 桥 WMI 提供程序的 PowerShell

若要了解如何配置分配的访问权限 XML 文件，请参阅 创建分配的访问权限配置文件。

以下说明详细介绍了如何配置设备。 选择最适合你需求的选项。

Intune/CSP

可以使用具有 AssignedAccess CSP 的自定义策略配置设备。

• 设置：./Vendor/MSFT/AssignedAccess/ShellLauncher
• 值： XML 配置文件的内容

将策略分配给一个组，该组包含要配置的设备作为成员。

PPKG

使用以下设置 创建预配包：

• 路径：AssignedAccess/MultiAppAssignedAccessSettings
• 值： XML 配置文件的内容

将预配包应用于 要配置的设备。

PowerShell

通过 MDM 桥 WMI 提供程序使用 PowerShell 脚本配置设备。

重要提示

对于所有设备设置，WMI Bridge 客户端必须作为 SYSTEM (LocalSystem) 帐户执行。

若要测试 PowerShell 脚本，可以：

1. 下载 psexec 工具
2. 打开提升的命令提示符并运行： psexec.exe -i -s powershell.exe
3. 在 PowerShell 会话中运行脚本

$assignedAccessConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Assigned Access configuration"

有关详细信息，请参阅 将 PowerShell 脚本与 WMI 桥提供程序配合使用。

“设置”

使用“设置”时，此选项不可用。

提示

有关实际示例，请参阅 快速入门：使用分配的访问权限配置受限的用户体验

用户体验

若要验证展台或受限用户体验，请使用在配置文件中指定的用户帐户登录。

分配的访问权限配置在目标用户下次登录时生效。 如果应用配置时该用户帐户已登录，请注销并重新登录以验证体验。

注意

从 Windows 11 开始，受限的用户体验支持使用多个监视器。

自动触发触摸键盘

当需要输入且启用触摸的设备上没有附加物理键盘时，将自动触发触摸键盘。 无需配置任何其他设置来强制实施此行为。

提示

仅当点击文本框时，才会触发触摸键盘。 鼠标单击不会触发触摸键盘。 如果要测试此功能，请使用物理设备而不是虚拟机 (VM) ，因为不会在 VM 上触发触摸键盘。

注销分配的访问权限

默认情况下，若要退出展台体验，请按 Ctrl + Alt + Del。展台应用会自动退出。 如果再次以分配的访问权限帐户登录，或等待登录屏幕超时，展台应用将重新启动。 默认超时为 30 秒，但可以使用注册表项更改超时：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

若要将分配的访问权限的默认时间更改为恢复，请添加 IdleTimeOut (DWORD) 并将值数据输入为毫秒（以十六进制为单位）。

注意

IdleTimeOut 不适用于 Microsoft Edge 展台模式。

默认值为 Ctrl + Alt + Del 的分组序列，但此序列可以配置为不同的键序列。 分组讨论序列使用格式 修饰符 + 键。 一个示例分组序列是 CTRL + ALT + A，其中 CTRL + ALT 是修饰符， A 是键值。 若要了解详细信息，请参阅 创建分配的访问权限配置 XML 文件。

键盘快捷方式

已分配访问权限的用户帐户将阻止以下键盘快捷方式：

键盘快捷方式	操作
Ctrl + 转变 + Esc	打开任务管理器
赢得 + 、 (逗号)	临时显示在桌面上
赢得 + A	打开操作中心
赢得 + Alt + D	在桌面上显示和隐藏日期和时间
赢得 + Ctrl + F	在 Active Directory 中查找计算机对象
赢得 + D	显示和隐藏桌面
赢得 + E	打开文件资源管理器
赢得 + F	打开反馈中心
赢得 + G	当游戏处于打开状态时打开“游戏栏”
赢得 + 我	打开“设置”
赢得 + J	在 Windows 提示可用时将焦点设置为 Windows 提示
赢得 + O	锁定设备方向
赢得 + 问	打开搜素
赢得 + R	打开“运行”对话框
赢得 + S	打开搜素
赢得 + 转变 + C	在侦听模式下打开 Cortana
赢得 + X	打开“快速链接”菜单
LaunchApp1	打开分配给此密钥的应用
LaunchApp2	打开分配给此密钥的应用。 在许多 Microsoft 键盘上，应用为“计算器”
LaunchMail	打开默认邮件客户端

删除分配的访问权限

删除受限的用户体验会删除与用户关联的策略设置，但无法还原所有配置。 例如，维护“开始”菜单配置。

后续步骤

在部署分配的访问权限之前，请查看建议：

分配的访问权限建议