Einrichten eines Multi-App-Kiosks auf Windows 10 Geräten

Betrifft

  • Windows 10 Pro, Enterprise und Education

Hinweis

Derzeit wird der Kiosk mit mehreren Apps nur unter Windows 10 unterstützt. Es wird unter Windows 11 nicht unterstützt.

Die Verwendung mehrerer Monitore wird für den Kioskmodus mit mehreren Apps nicht unterstützt.

Ein Kioskgerät führt in der Regel eine einzelne App aus, wobei Benutzern der Zugriff auf alle Features oder Funktionen auf dem Gerät außerhalb der Kiosk-App verhindert wird. In Windows 10, Version 1709, wurde der AssignedAccess-Konfigurationsdienstanbieter (CSP) erweitert, um Administratoren das Erstellen von Kiosks zu erleichtern, die mehrere Apps ausführen. Der Vorteil eines Kiosks, der nur eine oder mehrere angegebene Apps ausführt, besteht darin, einzelpersonen eine leicht verständliche Erfahrung zu bieten, indem sie ihnen nur die Dinge vorführen, die sie verwenden müssen, und die Dinge, auf die sie nicht zugreifen müssen, aus ihrer Sicht entfernen.

In der folgenden Tabelle sind Änderungen am Multi-App-Kiosk in den letzten Updates aufgeführt.

Neue Features und Verbesserungen Im Update
– Konfigurieren eines Einzel-App-Kioskprofils in Ihrer XML-Datei

- Zuweisen von Gruppenkonten zu einem Konfigurationsprofil

– Konfigurieren eines Kontos für die automatische Anmeldung
Windows 10, Version 1803
- Explizit einige bekannte Ordner zulassen, wenn der Benutzer das Dateidialogfeld öffnet

- Automatisches Starten einer App , wenn sich der Benutzer anmeldet

– Konfigurieren eines Anzeigenamens für das Konto für die automatische Anmeldung
Windows 10, Version 1809

Wichtig: Um in Windows 10, Version 1809 veröffentlichte Features zu verwenden, stellen Sie sicher, dass ihre XML-Datei auf verweisthttps://schemas.microsoft.com/AssignedAccess/201810/config.

Warnung

Das Feature mit zugewiesenem Zugriff ist für unternehmenseigene Geräte mit festem Zweck gedacht wie z.B. Kioske. Wenn die Konfiguration für mehrerer zugewiesene Apps auf dem Gerät angewendet wird, werden bestimmte Richtlinien systemweit erzwungen und wirken sich auf andere Benutzer auf dem Gerät aus. Durch das Löschen der Kioskkonfiguration werden die den Benutzern zugeordneten Sperrmodusprofile für den zugewiesenen Zugriff entfernt, es können jedoch nicht alle erzwungenen Richtlinien (z. B. Startlayout) wiederhergestellt werden. Ein Zurücksetzen auf die Werkseinstellungen ist erforderlich, um alle Richtlinien, die über den zugewiesenen Zugriff erzwungen wurden, zu löschen.

Sie können mithilfe von Microsoft Intune oder eines Bereitstellungspakets Kioske mehrere Apps konfigurieren.

Tipp

Überprüfen Sie unbedingt die Konfigurationsempfehlungen , bevor Sie Ihren Kiosk einrichten.

Konfigurieren eines Kiosks in Microsoft Intune

Informationen zum Konfigurieren eines Kiosks in Microsoft Intune finden Sie unter:

Konfigurieren eines Kiosks mittels eines Bereitstellungspakets

Verfahren:

  1. Erstellen einer XML-Datei
  2. Hinzufügen der XML-Datei zu Bereitstellungspaketen
  3. Anwenden von Bereitstellungspaketen auf das Gerät

Sehen Sie sich an, wie Sie mithilfe eines Bereitstellungspakets einen Kiosk mit mehreren Apps konfigurieren.

Wenn Sie kein Bereitstellungspaket verwenden möchten, können Sie die XML-Konfigurationsdatei mithilfe der Verwaltung mobiler Geräte (Mobile Device Management, MDM) bereitstellen oder den zugewiesenen Zugriff mithilfe des WMI-Anbieters der MDM-Brücke konfigurieren.

Voraussetzungen

  • Windows-Konfigurations-Designer (Windows 10, Version 1709 oder höher)
  • Auf dem Kioskgerät muss Windows 10 (S, Pro, Enterprise oder Education), Version 1709 oder höher ausgeführt werden.

Hinweis

Für Geräte mit Versionen von Windows10 vor der Version 1709 können Sie AppLocker-Regeln erstellen, um einen Kiosk mit mehreren Apps zu konfigurieren.

Erstellen einer XML-Datei

Betrachten wir zunächst die grundlegende Struktur der XML-Datei.

  • Eine XML-Konfigurationsdatei kann mehrere Profile definieren. Jedes Profil hat eine eindeutige ID und einen Satz von Anwendungen, die ausgeführt werden können, ob die Taskleiste sichtbar ist, und die ein benutzerdefiniertes Startlayout enthalten können.

  • Eine XML-Konfigurationsdatei kann mehrere Config-Abschnitte enthalten. Jeder Config-Abschnitt ordnet einer Standardprofil-ID ein Benutzerkonto ohne Administratorrechte zu.

  • Es kann mehreren Config-Abschnitten das gleiche Profil zugeordnet werden.

  • Ein Profil hat keine Auswirkung, wenn es keinem Konfigurationsabschnitt zugeordnet ist.

    profile = app and config = account.

Sie können die Datei starten, indem Sie den folgenden XML-Code in einen XML-Editor einfügen und die Datei als Dateiname.xml speichern. Jeder Abschnitt dieses XML-Codes wird in diesem Artikel erläutert. Eine vollständige Beispielversion finden Sie in der XML-Referenz für den zugewiesenen Zugriff.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
    >
    <Profiles>
        <Profile Id="">
            <AllAppsList>
                <AllowedApps/>
            </AllAppsList>
            <StartLayout/>
            <Taskbar/>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <Account/>
            <DefaultProfile Id=""/>
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Profil

Es gibt zwei Arten von Profilen, die Sie im XML angeben können:

  • Sperrmodusprofil: Benutzern, die ein Sperrmodusprofil zugewiesen haben, wird der Desktop im Tablet-Modus mit den jeweiligen Apps auf dem Startbildschirm angezeigt.
  • Kioskprofil: Ab Windows 10 Version 1803 ersetzt dieses Profil den KioskModeApp-Knoten des AssignedAccess-CSP. Benutzern, denen ein Kioskprofil zugewiesen ist, wird der Desktop nicht angezeigt, sondern nur die Kiosk-App, die im Vollbildmodus ausgeführt wird.

Ein Sperrmodusprofilabschnitt im XML-Code weist die folgenden Einträge auf:

Ein Kioskprofil im XML-Code weist die folgenden Einträge auf:

ID

Die Profil-ID ist ein GUID-Attribut, um das Profil eindeutig zu identifizieren. Sie können das GUID mit einem GUID-Generator erstellen. Die GUID muss innerhalb dieser XML-Datei eindeutig sein.

<Profiles>
  <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">…</Profile>
</Profiles>
AllowedApps

AllowedApps ist eine Liste der Anwendungen, die ausgeführt werden dürfen. Apps können Universelle Windows-Plattform(UWP)-Apps oder Windows-Desktopanwendungen sein. Ab Windows 10 Version 1809 können Sie eine einzelne App in der Liste "AllowedApps" so konfigurieren, dass sie automatisch ausgeführt wird, wenn sich das Benutzerkonto für den zugewiesenen Zugriff anmeldet.

  • Für UWP-Apps müssen Sie die Anwendungsbenutzermodell-ID (AUMID) angeben. Erfahren Sie, wie Sie die AUMID ermitteln oder erhalten Sie die AUMID vom XML-Startlayout.
  • Für Desktop-Apps müssen Sie den vollständigen Pfad der ausführbaren Datei angeben, die eine oder mehrere Systemumgebungsvariablen in Form von %variableName%enthalten kann. Beispiel: %systemroot% oder %windir%
  • Wenn eine App von einer anderen App abhängig ist, müssen beide in der Liste der zulässigen Apps enthalten sein. Beispielsweise ist die 64-Bit-Version von Internet Explorer von der 32-Bit-Version von Internet Explorer abhängig. Daher müssen Sie sowohl als auch "C:\Program Files\internet explorer\iexplore.exe" "C:\Program Files (x86)\Internet Explorer\iexplore.exe"zulassen.
  • Um eine einzelne App so zu konfigurieren, dass sie automatisch gestartet wird, wenn sich der Benutzer anmeldet, schließen Sie rs5:AutoLaunch="true" sie nach der AUMID oder dem Pfad ein. Sie können auch Argumente einbeziehen, die an die App übergeben werden sollen. Ein Beispiel finden Sie im AllowedApps-Beispiel-XML.

Wenn die Multi-App-Kioskkonfiguration auf ein Gerät angewendet wird, werden AppLocker-Regeln generiert, um die in der Konfiguration aufgeführten Apps zuzulassen. Hier sind die vordefinierten zugewiesenen AppLocker-Zugriffsregeln für UWP-Apps:

  1. Die Standardregel ist, dass alle Benutzer die signierten Paket-Apps starten können.

  2. Die Paket-App-Blockliste wird zur Laufzeit generiert, wenn sich der Benutzer mit zugewiesenem Zugriff anmeldet. Basierend auf den installierten/bereitgestellten Paket-Apps, die für das Benutzerkonto verfügbar sind, generiert der zugewiesene Zugriff die Blockliste. Diese Liste schließt die standardmäßig zulässigen Posteingangspaket-Apps aus, die für die Funktion des Systems wichtig sind. Anschließend werden die zulässigen Pakete ausgeschlossen, die Unternehmen in der Konfiguration für den zugewiesenen Zugriff definiert haben. Wenn mehrere Apps innerhalb des gleichen Pakets vorhanden sind, werden diese Apps ausgeschlossen. Diese Blockliste wird verwendet, um zu verhindern, dass der Benutzer auf die Apps zugreift, die derzeit für den Benutzer verfügbar sind, aber nicht in der Liste der zulässigen Apps enthalten sind.

    Hinweis

    AppLocker-Regeln, die von der Multi-App-Kioskkonfiguration in MMC-Snap-Ins generiert werden, können nicht verwaltet werden. Vermeiden Sie das Erstellen von AppLocker-Regeln, die mit AppLocker-Regeln in Konflikt stehen, die von der Multi-App-Kioskkonfiguration generiert werden.

    Der Kioskmodus mit mehreren Apps hindert das Unternehmen oder die Benutzer nicht daran, UWP-Apps zu installieren. Wenn während der aktuellen Sitzung des Benutzers mit zugewiesenem Zugriff eine neue UWP-App installiert wird, ist diese App nicht in der Verweigerungsliste enthalten. Wenn sich der Benutzer abmeldet und sich erneut anmeldet, wird die App in die Blockliste aufgenommen. Wenn dies eine im Unternehmen bereitgestellte Branchen-App ist und Sie die Ausführung zulassen möchten, aktualisieren Sie die Konfiguration des zugewiesene Zugriffs, um sie in die Liste der zulässigen Apps aufzunehmen.

Hier sind die vordefinierten zugewiesenen AppLocker-Zugriffsregeln für Desktop-Apps:

  1. Die Standardregel ist, allen Benutzer, die mit Microsoft Certificate signiert werden, zu erlauben, Desktop Programme zu starten damit das System startet und funktioniert. Die Regel ermöglicht ebenfalls der Admin-Benutzergruppe, alle Desktop-Programme zu starten.
  2. Es gibt eine vordefinierte Posteingangs-Desktop-App-Blockliste für das Benutzerkonto mit zugewiesenem Zugriff, und diese Blockliste wird basierend auf der Desktop-App-Zulassungsliste angepasst, die Sie in der Multi-App-Konfiguration definiert haben.
  3. Vom Unternehmen definierte zulässige Desktop-Apps werden in der AppLocker-Zulassungsliste hinzugefügt.

Im folgenden Beispiel können Groove-Musik-, Filme & TV-, Fotos-, Wetter-, Rechner-, Paint- und Editor-Apps auf dem Gerät ausgeführt werden, wobei Editor so konfiguriert ist, dass eine Datei, die beim Anmelden des Benutzers aufgerufen wird 123.text , automatisch gestartet und erstellt wird.

<AllAppsList>
        <AllowedApps>
          <App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
          <App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
          <App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
          <App DesktopAppPath="%windir%\system32\mspaint.exe" />
          <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="123.txt">
        </AllowedApps>
</AllAppsList>
FileExplorerNamespaceRestrictions

Ab Windows 10 Version 1809 können Sie explizit zulassen, dass auf einige bekannte Ordner zugegriffen wird, wenn der Benutzer versucht, das Dateidialogfeld in multi-app-zugewiesenem Zugriff zu öffnen, indem Sie FileExplorerNamespaceRestrictions in Ihre XML-Datei einschließen. Downloads wird derzeit als einziger Ordner unterstützt. Dieses Verhalten kann auch mithilfe von Microsoft Intune festgelegt werden.

Das folgende Beispiel zeigt, wie Sie benutzern den Zugriff auf den Ordner "Downloads" im Dialogfeld "Gemeinsame Datei" erlauben.

Tipp

Um den Zugriff auf den Ordner "Downloads" über Explorer zu gewähren, fügen Sie der Liste der zulässigen Apps "Explorer.exe" hinzu, und heften Sie eine Datei-Explorer-Verknüpfung an das Startmenü des Kiosks an.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
>     <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    ...
                </AllowedApps>
            </AllAppsList>
            <rs5:FileExplorerNamespaceRestrictions>
                <rs5:AllowedNamespace Name="Downloads"/>
            </rs5:FileExplorerNamespaceRestrictions>
            <StartLayout>
                ...
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
</AssignedAccessConfiguration>

FileExplorerNamespaceRestriction wurde im aktuellen Windows 10 Prerelease für eine feinere Granularität und einfachere Verwendung erweitert. Weitere Informationen und vollständige Beispiele finden Sie unter XML-Referenz für zugewiesenen Zugriff. Mithilfe neuer Elemente können Sie konfigurieren, ob ein Benutzer auf den Ordner "Downloads" oder auf Wechseldatenträger zugreifen kann oder keinerlei Einschränkungen hat.

Hinweis

  • FileExplorerNamespaceRestrictions und AllowedNamespace:Downloads sind im Namespace https://schemas.microsoft.com/AssignedAccess/201810/configverfügbar.
  • AllowRemovableDrives und NoRestriction werden in einem neuen Namespace https://schemas.microsoft.com/AssignedAccess/2020/configdefiniert.
  • Wenn FileExplorerNamespaceRestrictions Knoten nicht verwendet oder verwendet, aber leer gelassen werden, kann der Benutzer in einem gemeinsamen Dialogfeld nicht auf einen Ordner zugreifen. Beispiel: Speichern unter im Microsoft Edge-Browser.
  • Wenn Downloads im zulässigen Namespace erwähnt wird, kann der Benutzer auf den Ordner "Downloads" zugreifen.
  • Wenn AllowRemovableDrives sie verwendet wird, wird der Benutzer auf Wechseldatenträger zugreifen.
  • Wenn NoRestriction dies verwendet wird, wird keine Einschränkung auf das Dialogfeld angewendet.
  • AllowRemovableDrives und AllowedNamespace:Downloads kann gleichzeitig verwendet werden.
StartLayout

Nachdem Sie die Liste der zugelassenen Anwendungen definiert haben, können Sie das Startlayout für Ihre Kiosk-Erfahrung anpassen. Sie können alle zugelassenen Apps auf dem Startbildschirm anheften oder nur einen Teil, je nachdem, ob sie möchten, dass der Benutzer auf diese direkt vom Startbildschirm zugreifen kann.

Die einfachste Möglichkeit zum Erstellen eines angepassten Startlayouts, das auf andere Windows-Clientgeräte angewendet werden kann, besteht darin, den Startbildschirm auf einem Testgerät einzurichten und das Layout dann zu exportieren. Ausführliche Schritte finden Sie unter Anpassen und Exportieren des Startlayouts.

Folgendes ist zu beachten:

  • Das Testgerät, auf dem Sie das Startseitenlayout anpassen, muss die gleiche Betriebssystemversion haben, die auf dem Gerät installiert ist, auf dem Sie die Konfiguration für mehrere zugewiesene Apps bereitstellen möchten.
  • Da die Erfahrung für mehrere zugewiesene Apps für Geräte mit festem Zweck vorgesehen ist, verwenden Sie die vollständige Start-Layoutoption anstelle des Teil-Startlayout, um sicherzustellen, dass die Gerätefunktionen einheitlich und vorhersagbar sind.
  • Im Multi-App-Modus sind keine Apps an die Taskleiste angeheftet, und es wird nicht unterstützt, das Taskleistenlayout mithilfe des <CustomTaskbarLayoutCollection> Tags in einer Layoutänderungs-XML als Teil der Konfiguration für den zugewiesenen Zugriff zu konfigurieren.
  • Im folgenden Beispiel wird DesktopApplicationLinkPath die Desktop-App zum Starten angeheften. Wenn die Desktop-App nicht über eine Verknüpfung auf dem Zielgerät verfügt Erfahren Sie, wie Sie lnk-Dateien mit dem Windows-Konfigurations-Designer bereitstellen.

Im folgenden Beispiel werden Groove-Musik, Filme & TV-, Fotos-, Wetter-, Rechner-, Paint- und Editor-Apps auf dem Startbildschirm angeheftelt:

<StartLayout>
        <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="httsp://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Group1">
                              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
                              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
                              <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
                              <start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
                            </start:Group>
                            <start:Group Name="Group2">
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk" />
                              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
</StartLayout>

Hinweis

Wenn eine App nicht für den Benutzer installiert, aber im XML-Startlayout enthalten ist, wird die App nicht auf dem Startbildschirm angezeigt.

So sieht der Startbildschirm aus, wenn das XML-Beispiel angewendet wird.

Taskleiste

Definieren Sie, ob die Taskleiste auf dem Kioskgerät vorhanden sein soll. Für Tablet-basierte oder All-in-One-Kiosks mit Fingereingabe können Sie die Taskleiste als Teil der Multi-App-Erfahrung ausblenden, wenn Sie eine Tastatur und Maus anschließen möchten.

Im folgende Beispiel wird die Taskleiste für den Benutzer verfügbar gemacht:

<Taskbar ShowTaskbar="true"/>

Im folgenden Beispiel wird die Taskleiste ausgeblendet:

<Taskbar ShowTaskbar="false"/>

Hinweis

Dies unterscheidet sich von der Option Automatisches Ausblenden der Taskleiste im Tablet-Modus, in dem die Taskleiste angezeigt wird, wenn Sie unteren Bildschirmrand nach oben Wischen oder den Mauszeiger darauf zeigen. Das Festlegen von ShowTaskbar als False blendet die Taskleiste immer aus.

KioskModeApp

KioskModeApp wird nur für ein Kioskprofil verwendet. Geben Sie die AUMID für eine einzelne App ein. Sie können nur ein Kioskprofil im XML-Code angeben.

<KioskModeApp AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"/>

Wichtig

Das Kioskprofil ist für öffentlich zugängliche Kioskgeräte konzipiert. Es wird empfohlen, ein lokales Konto zu verwenden, das kein Administrator ist. Wenn das Gerät mit Ihrem Unternehmensnetzwerk verbunden ist, kann die Verwendung einer Domäne oder eines Azure Active Directory-Kontos möglicherweise vertrauliche Informationen gefährden.

Configs

Definieren Sie unter Configs, welches Konto dem Profil zugeordnet werden soll. Wenn sich dieses Benutzerkonto auf dem Gerät anmeldet, wird das zugeordnete zugewiesene Zugriffsprofil erzwungen. Dieses Verhalten umfasst die zulässigen Apps, das Startlayout, die Taskleistenkonfiguration und andere lokale Gruppenrichtlinien oder MDM-Richtlinien (Mobile Device Management), die als Teil der Multi-App-Umgebung festgelegt wurden.

Die Erfahrung für mehrere zugewiesene Apps funktioniert jedoch nur für Benutzer ohne Administratorrechte. Es wird nicht unterstützt, einen Administratorbenutzer dem zugewiesenen Zugriffsprofil zuzuordnen. Diese Konfiguration in der XML-Datei führt zu unerwarteten oder nicht unterstützten Erfahrungen, wenn sich dieser Administratorbenutzer anmeldet.

Sie können Folgendes zuweisen:

Hinweis

Konfigurationen, die Gruppenkonten angeben, können kein Kioskprofil, nur ein Sperrmodusprofil verwenden. Wenn eine Gruppe für ein Kioskprofil konfiguriert ist, lehnt der CSP die Anforderung ab.

Konfiguration für AutoLogon-Konto

Wenn Sie die Konfiguration verwenden <AutoLogonAccount> und auf ein Gerät angewendet wird, wird das angegebene Konto (verwaltet durch zugewiesenen Zugriff) auf dem Gerät als lokales Standardbenutzerkonto erstellt. Das angegebene Konto wird nach dem Neustart automatisch angemeldet.

Das folgende Beispiel zeigt, wie Sie ein Konto angeben, das automatisch angemeldet werden soll.

<Configs>
  <Config>
    <AutoLogonAccount/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

Ab Windows 10 Version 1809 können Sie den Anzeigenamen konfigurieren, der angezeigt wird, wenn sich der Benutzer anmeldet. Das folgende Beispiel zeigt, wie Sie ein AutoLogon-Konto erstellen, das den Namen "Hallo Welt" anzeigt.

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Hello World"/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

Auf geräten, die einer Domäne beigetreten sind, werden lokale Benutzerkonten nicht standardmäßig auf dem Anmeldebildschirm angezeigt. Um das AutoLogonAccount auf dem Anmeldebildschirm anzuzeigen, aktivieren Sie die folgende Gruppenrichtlinie Einstellung: Computerkonfiguration > Administrative Vorlagen > System > Anmeldung > Auflisten lokaler Benutzer auf Computern, die in die Domäne eingebunden sind. (Die entsprechende MDM-Richtlinieneinstellung ist "WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers" im Richtlinien-CSP.)

Wichtig

Wenn Kennworteinschränkungen für Exchange Active Sync (EAS) auf dem Gerät aktiv sind, funktioniert das Feature für die automatische Anmeldung nicht. Dieses Verhalten ist entwurfsbedingt. Weitere Informationen finden Sie unter Aktivieren der automatischen Anmeldung in Windows.

Konfiguration für einzelne Konten

Einzelne Konten werden mithilfe von <Account>angegeben.

  • Das lokale Konto kann als machinename\account oder .\account oder einfach nur als account eingegeben werden.
  • Das Domänenkonto muss als domain\account angegeben werden.
  • Das Azure AD-Konto muss in folgendem Format angegeben werden:t: AzureAD\{email address}. AzureAD muss wie vorhanden bereitgestellt werden, und es ist ein fester Domänenname. Folgen Sie dann mit der Azure AD-E-Mail-Adresse. Beispiel: AzureAD\someone@contoso.onmicrosoft.com

Warnung

Der zugewiesene Zugriff kann über WMI- oder CSP zur Ausführung der Anwendung unter einem Domänenbenutzer oder -Dienstkonto konfiguriert werden, anstelle eines lokalen Kontos. Das Verwenden von Domänenbenutzer- oder Dienstkonten bietet Risiken, dass ein Angreifer die Anwendung mit zugewiesenem Zugriff unterwandert und Zugriff auf vertrauliche Domänenressourcen unter Umständen erhält, die versehentlich für alle Domänenkonten offen geblieben sind. Es wird empfohlen, dass Kunden vorsichtig sind, wenn Sie Domänenkonten mit zugewiesenem Zugriff verwenden, und Domänenressourcen durch die Entscheidung eventuell ausgesetzt werden.

Vor dem Anwenden der Konfiguration mit mehreren Apps, stellen Sie sicher, dass das angegebene Konto auf dem Gerät verfügbar ist, da es andernfalls nicht ausgeführt werden kann.

Hinweis

Für Domänen- und Azure AD-Konten ist es nicht erforderlich, dass das Zielkonto explizit dem Gerät hinzugefügt wird. Solange das Gerät in AD oder Azure AD eingebunden ist, kann das Konto in der Domänengesamtstruktur oder im Mandanten ermittelt werden, zu dem das Gerät gehört. Für lokale Konten ist es erforderlich, dass das Konto vorhanden ist, bevor Sie das Konto für einen zugewiesenen Zugriff konfigurieren.

<Configs>
  <Config>
    <Account>MultiAppKioskUser</Account>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>
Konfiguration für Gruppenkonten

Gruppenkonten werden mithilfe von <UserGroup>angegeben. Geschachtelte Gruppen werden nicht unterstützt. Wenn Benutzer A beispielsweise Mitglied der Gruppe 1, Gruppe 1 Mitglied von Gruppe 2 und Gruppe 2 verwendet <Config/>wird, verfügt Benutzer A nicht über die Kioskerfahrung.

  • Lokale Gruppe: Geben Sie den Gruppentyp als LocalGroup an, und fügen Sie den Gruppennamen in das Name-Attribut ein. Auf Azure AD-Konten, die der lokalen Gruppe hinzugefügt werden, werden die Kioskeinstellungen nicht angewendet.

    <Config>
      <UserGroup Type="LocalGroup" Name="mygroup" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    
  • Domänengruppe: Sowohl Sicherheits- als auch Verteilergruppen werden unterstützt. Geben Sie den Gruppentyp als ActiveDirectoryGroup an. Verwenden Sie den Domänennamen als Präfix im Namensattribut.

    <Config>
      <UserGroup Type="ActiveDirectoryGroup" Name="mydomain\mygroup" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    
  • Azure AD-Gruppe: Verwenden Sie die Gruppenobjekt-ID aus dem Azure-Portal, um die Gruppe im Name-Attribut eindeutig zu identifizieren. Sie finden die Objekt-ID auf der Übersichtsseite für die Gruppe in "Benutzer" und "Alle Gruppen > ". Geben Sie den Gruppentyp als AzureActiveDirectoryGroup an. Das Kioskgerät muss über Eine Internetverbindung verfügen, wenn sich Benutzer anmelden, die der Gruppe angehören.

    <Config>
      <UserGroup Type="AzureActiveDirectoryGroup" Name="a8d36e43-4180-4ac5-a627-fb8149bba1ac" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    

    Hinweis

    Wenn eine Azure AD-Gruppe mit einem Sperrmodusprofil auf einem Gerät konfiguriert ist, muss ein Benutzer in der Azure AD-Gruppe sein Kennwort ändern (nachdem das Konto mit dem Standardkennwort im Portal erstellt wurde), bevor er sich bei diesem Gerät anmelden kann. Wenn der Benutzer das Standardkennwort zum Anmelden am Gerät verwendet, wird der Benutzer sofort abgemeldet.

[Vorschau] Globales Profil

Das globale Profil ist in Windows 10 verfügbar. Wenn Sie möchten, dass jeder, der sich bei einem bestimmten Gerät anmeldet, als Zugriffsbenutzer zugewiesen wird, auch wenn für diesen Benutzer kein dediziertes Profil vorhanden ist. Alternativ könnte der zugewiesene Zugriff möglicherweise kein Profil für den Benutzer identifizieren, und Sie möchten über ein Fallbackprofil verfügen. Das globale Profil ist für diese Szenarien konzipiert.

Die Verwendung wird unten veranschaulicht, indem der neue XML-Namespace und die Angabe aus diesem Namespace verwendet GlobalProfile werden. Wenn Sie konfigurieren GlobalProfile, meldet sich ein Nicht-Administratorkonto an, wenn dieser Benutzer nicht über ein bestimmtes Profil im zugewiesenen Zugriff verfügt oder der zugewiesene Zugriff ein Profil für den aktuellen Benutzer nicht ermittelt, wird ein globales Profil für den Benutzer angewendet.

Hinweis

  1. GlobalProfile kann nur ein Multi-App-Profil sein.
  2. Nur eine GlobalProfile kann in einem AssignedAccess Konfigurations-XML verwendet werden.
  3. GlobalProfile kann als einzige Konfiguration verwendet werden, oder sie kann zusammen mit der normalen Benutzer- oder Gruppenkonfiguration verwendet werden.
<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v2="https://schemas.microsoft.com/AssignedAccess/201810/config"
    xmlns:v3="https://schemas.microsoft.com/AssignedAccess/2020/config"
>
    <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    <App AppUserModelId="Microsoft.Microsoft3DViewer_8wekyb3d8bbwe!Microsoft.Microsoft3DViewer" v2:AutoLaunch="true" v2:AutoLaunchArguments="123"/>
                    <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                    <App AppUserModelId="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
                    <App DesktopAppPath="%SystemRoot%\system32\notepad.exe" />
                </AllowedApps>
            </AllAppsList>
            <StartLayout>
                <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="https://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Life at a glance">
                              <start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="microsoft.windowscommunicationsapps_8wekyb3d8bbwe!microsoft.windowsLive.calendar" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsStore_8wekyb3d8bbwe!App" />
                              <!-- A link file is required for desktop applications to show on start layout, the link file can be placed under
                                   "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs" if the link file is shared for all users or
                                   "%AppData%\Microsoft\Windows\Start Menu\Programs" if the link file is for the specific user only 
                                   see document https://learn.microsoft.com/windows/configuration/start-layout-xml-desktop
                              -->
                              <!-- for inbox desktop applications, a link file might already exist and can be used directly -->
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Accessories\paint.lnk" />
                              <!-- for 3rd party desktop application, place the link file under appropriate folder -->
                              <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationLinkPath="%AppData%\Microsoft\Windows\Start Menu\Programs\MyLOB.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
    <Configs>
        <v3:GlobalProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Configs>
</AssignedAccessConfiguration>

Hinzufügen der XML-Datei zu Bereitstellungspaketen

Bevor Sie die XML-Datei zu einem Bereitstellungspaket hinzufügen, können Sie Ihre XML-Konfigurationsdatei gegen die XSD überprüfen.

Erstellen Sie ein Bereitstellungspaket mit Windows-Konfigurations-Designer. Erfahren Sie, wie Sie Windows-Konfigurations-Designer installieren.

Wichtig

Wenn Sie ein Bereitstellungspaket erstellen, können Sie vertrauliche Informationen in die Projektdateien und die Bereitstellungspaketdatei (PPKG-Datei) aufnehmen. Obwohl Sie die PPKG-Datei verschlüsseln können, werden die Projektdateien nicht verschlüsselt. Sie sollten die Projektdateien an einem sicheren Ort speichern und löschen, wenn sie nicht mehr benötigt werden.

  1. Öffnen Sie Windows-Konfigurations-Designer. Standardmäßig: %systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe.

  2. Wählen Sie Erweiterte Bereitstellung.

  3. Benennen Sie Ihr Projekt, und wählen Sie "Weiter" aus.

  4. Wählen Sie "Alle Windows-Desktopeditionen " und dann "Weiter" aus.

  5. Wählen Sie unter "Neues Projekt**" die Option "Fertig stellen**" aus. Der Arbeitsbereich für Ihr Paket wird geöffnet.

  6. Erweitern Sie Laufzeiteinstellungen > AssignedAccess und klicken Sie dann auf > MultiAppAssignedAccessSettings.

  7. Wählen Sie im mittleren Bereich " Durchsuchen" aus. Suchen Sie die xml-Konfigurationsdatei für den zugewiesenen Zugriff, die Sie erstellt haben, und wählen Sie sie aus.

    Screenshot des Felds "MultiAppAssignedAccessSettings" im Windows-Konfigurations-Designer.

  8. Optional: Wenn Sie das Bereitstellungspaket nach der Ersteinrichtung des Geräts anwenden möchten und ein Administratorbenutzer bereits auf dem Kioskgerät verfügbar ist, überspringen Sie diesen Schritt. Erstellen Sie ein Administratorbenutzerkonto in den Laufzeiteinstellungen > "Kontenbenutzer>".**** Geben Sie einen Benutzername und Kennwort ein, und wählen Sie UserGroup als Administrator aus. Mit diesem Konto können Sie den Bereitstellungsstatus und Protokolle bei Bedarf anzeigen.

  9. Optional: Wenn Sie bereits über ein Nicht-Administratorkonto auf dem Kioskgerät verfügen, überspringen Sie diesen Schritt. Erstellen Sie ein lokales Standardbenutzerkonto in den Laufzeiteinstellungen > "Kontenbenutzer>".**** Stellen Sie sicher, dass der Benutzername mit dem Konto identisch ist, das Sie in der XML-Konfigurationsdatei angeben. Wählen Sie UserGroup als Standardbenutzer aus.

  10. Wählen Sie im Menü Datei die Option Speichern aus.

  11. Wählen Sie im Menü Exportieren die Option Bereitstellungspaketaus.

  12. Ändern Sie Owner in IT Admin. Dadurch erhält dieses Bereitstellungspaket Vorrang gegenüber Bereitstellungspaketen, die aus anderen Quellen auf dieses Gerät angewendet werden. Wählen Sie anschließend Weiter aus.

  13. Optional. Im Fenster Provisioning package security können Sie das Paket verschlüsseln und die Paketsignierung aktivieren.

    • Paketverschlüsselung aktivieren – Wenn Sie diese Option auswählen, wird ein automatisch generiertes Kennwort auf dem Bildschirm angezeigt.

    • Paketsignierung aktivieren – Wenn Sie diese Option auswählen, müssen Sie ein gültiges Zertifikat zum Signieren des Pakets auswählen. Sie können das Zertifikat angeben, indem Sie auf Durchsuchen klicken und das Zertifikat zum Signieren des Pakets auswählen.

  14. Wählen Sie "Weiter " aus, um den Ausgabespeicherort anzugeben, an den das Bereitstellungspaket beim Erstellen verschoben werden soll. Standardmäßig verwendet der Windows-Designer für die Imageerstellung und -konfiguration (Imaging and Configuration Designer, ICD) den Projektordner als Ausgabespeicherort.

    Optional können Sie " Durchsuchen " auswählen, um den Standardausgabespeicherort zu ändern.

  15. Wählen Sie Weiter aus.

  16. Wählen Sie "Erstellen " aus, um mit dem Erstellen des Pakets zu beginnen. Die Erstellung eines Bereitstellungspakets dauert nicht lange. Die Projektinformationen werden auf der Buildseite angezeigt, und die Statusanzeige gibt den Buildstatus an.

    Wenn Sie den Build abbrechen müssen, wählen Sie "Abbrechen" aus. Diese Aktion bricht den aktuellen Buildprozess ab, schließt den Assistenten und führt Sie zurück zur Seite "Anpassungen".

  17. Falls der Build nicht erfolgreich verläuft, wird eine Fehlermeldung mit einem Link zum Projektordner angezeigt. Sie können die Fehlerursache anhand der Protokolle ermitteln. Nachdem Sie das Problem behoben haben, versuchen Sie, das Paket erneut zu erstellen.

    Wenn der Build erfolgreich ist, werden der Name des Bereitstellungspakets sowie das Ausgabeverzeichnis und Projektverzeichnis angezeigt.

    • Sie können das Bereitstellungspaket ggf. erneut erstellen und einen anderen Pfad für das Ausgabepaket auswählen. Um diese Aktion auszuführen, wählen Sie " Zurück " aus, um den Namen und Pfad des Ausgabepakets zu ändern, und wählen Sie dann "Weiter " aus, um einen anderen Build zu starten.
    • Wenn Sie fertig sind, wählen Sie "Fertig stellen " aus, um den Assistenten zu schließen und zur Seite "Anpassungen" zurückzukehren.
  18. Kopieren Sie die Bereitstellungspaketdatei auf ein USB-Laufwerk in das Stammverzeichnis.

Anwenden von Bereitstellungspaketen auf das Gerät

Bereitstellungspakete können sowohl während der initialen Einrichtung (Eindruck beim ersten Ausführen oder „OOBE” (Out-Of-Box-Experience)) auf ein Gerät angewendet werden als auch danach („Laufzeit”). Weitere Informationen finden Sie unter Anwenden eines Bereitstellungspakets.

Hinweis

Wenn Ihr Bereitstellungspaket nicht die Erstellung eines Benutzerkontos mit zugewiesenem Zugriff enthält, stellen Sie sicher, dass das konto, das Sie im XML-Konfigurations-XML für mehrere Apps angegeben haben, auf dem Gerät vorhanden ist.

Verwenden Sie MDM zum Bereitstellen der Konfiguration mehrerer Apps

Die Kiosk-Methode für mehrere Apps über AssignedAccess-CSP ist aktiviert. Die MDM-Richtlinie kann die zugewiesene Zugriff-Konfigurations-XML enthalten.

Wenn Ihr Gerät bei einem MDM-Dienst registriert ist, der die Anwendung der Konfiguration für den zugewiesenen Zugriff unterstützt, können Sie sie verwenden, um die Einstellung remote anzuwenden.

Der OMA-URI für die Multi-App-Richtlinie ist ./Device/Vendor/MSFT/AssignedAccess/Configuration.

Überlegungen zur immersiven immersive Headsets in Windows Mixed Reality

Nach der Einführung von Mixed Reality-Geräten (Video-Link) möchten Sie möglicherweise Kioske zu erstellen, die Mixed Reality-Apps ausführen können.

Um einen Multi-App-Kiosk zu erstellen, der Mixed Reality-Apps ausführen kann, müssen Sie die folgenden Apps der AllowedApps-Liste hinzufügen:

<App AppUserModelId="MixedRealityLearning_cw5n1h2txyewy!MixedRealityLearning" />
<App AppUserModelId="HoloShell_cw5n1h2txyewy!HoloShell" />
<App AppUserModelId="Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy!App" />
<App AppUserModelId="Microsoft.MixedReality.Portal_8wekyb3d8bbwe!App" />

Diese Apps sind zusätzlich zu allen Mixed Reality-Apps, die Sie zulassen.

Vor der Anmeldung des Kiosk-Benutzers: Ein Administratorbenutzer muss sich am PC anmelden, sich mit dem Mixed Reality-Gerät verbinden und die schrittweise Anleitung für das Mixed Reality-Portal ausführen. Wenn das Mixed Reality-Portal zum ersten Mal eingerichtet wird, werden einige Dateien und Inhalte heruntergeladen. Ein Kioskbenutzer hätte keine Berechtigungen zum Herunterladen und so würde die Einrichtung des Mixed Reality Portals fehlschlagen.

Nachdem der Administrator die Installation abgeschlossen hat, kann sich das Kiosk-Konto anmelden und die Einrichtung wiederholen. Der Administratorbenutzer sollte die Kiosk-Benutzer-Installation abschließen, bevor er den PC für Mitarbeiter oder Kunden bereitstellt.

Es gibt einen Unterschied zwischen den Mixed Reality-Umgebungen für einen Kioskbenutzer und anderen Benutzern. Normalerweise, wenn ein Benutzer eine Verbindung zu einem Mixed Reality-Gerät erstellt, fängt er auf der Mixed Reality-Startseite an. Die Mixed Reality-Startseite ist eine Shell, die im "Hintergrund" ausgeführt wird, wenn der PC als Kiosk konfiguriert wird. Wenn ein Kioskbenutzer ein Mixed Reality-Gerät verbindet, wird auf dem Gerät nur ein leeres Display angezeigt, und er hat keinen Zugriff auf die features und Funktionen, die in der Startseite verfügbar sind. Zum Ausführen einer Mixed Reality-App muss der Kiosk-Benutzer die App über den PC-Startbildschirm starten.

Richtlinien der Konfiguration des Multi-App-Kiosk

Es wird nicht empfohlen, Richtlinien, die im Multi-App-Modus mit zugewiesenem Zugriff erzwungen werden, auf unterschiedliche Werte mit anderen Kanälen festzulegen, da der Multi-App-Modus für eine gesperrte Umgebung optimiert wurde.

Wenn die Konfiguration für den zugewiesenen Zugriff mit mehreren Apps auf dem Gerät angewendet wird, werden bestimmte Richtlinien systemweit erzwungen und wirken sich auf andere Benutzer auf dem Gerät aus.

Gruppenrichtlinie

Die folgenden lokalen Richtlinien wirken sich auf alle Benutzer des Systems ohne Administratorrechte aus, unabhängig davon, ob der Benutzer als ein Benutzer mit zugewiesenem Zugriff oder nicht konfiguriert ist. Diese Liste enthält lokale Benutzer, Domänenbenutzer und Azure Active Directory-Benutzer.

Einstellung Wert
Zugriff auf die Kontextmenüs für die Taskleiste entfernen Aktiviert
Beim Beenden die Liste der zuletzt geöffneten Dokumente leeren Aktiviert
Benutzer am Anpassen ihrer Startseite hindern Aktiviert
Deinstallieren von Anwendungen aus „Start“ durch Benutzer verhindern Aktiviert
Liste „Alle Programme“ aus dem Startmenü entfernen Aktiviert
Menüeintrag „Ausführen“ aus dem Startmenü entfernen Aktiviert
Sprechblasenbenachrichtigungen als Popupbenachrichtigungen anzeigen Aktiviert
Anheften von Elementen an Sprunglisten nicht zulassen Aktiviert
Kein Anheften von Programmen an die Taskleiste zulassen Aktiviert
Keine Elemente in Sprunglisten von Remotestandorten anzeigen oder nachverfolgen Aktiviert
Benachrichtigungen und Info-Center entfernen Aktiviert
Alle Einstellungen für die Taskleiste sperren Aktiviert
Taskleiste sperren Aktiviert
Benutzern das Hinzufügen oder Entfernen von Symbolleisten nicht erlauben Aktiviert
Benutzern das Ändern der Größe der Taskleiste nicht erlauben Aktiviert
Liste häufig verwendeter Programme aus dem Startmenü entfernen Aktiviert
"Netzlaufwerk zuordnen" und "Netzwerklaufwerk trennen" entfernen Aktiviert
Das Symbol für Sicherheit und Wartung entfernen Aktiviert
Alle Sprechblasenbenachrichtigungen deaktivieren Aktiviert
Feature-Ankündigung via Sprechblasenbenachrichtigungen deaktivieren Aktiviert
Popupbenachrichtigungen deaktivieren Aktiviert
Task-Manager entfernen Aktiviert
Die Option „Kennwort ändern” von der Sicherheitsoptionen-Benutzeroberfläche entfernen Aktiviert
Die Option „Abmelden” von der Sicherheitsoptionen-Benutzeroberfläche entfernen Aktiviert
Liste „Alle Programme“ aus dem Startmenü entfernen Aktiviert – Einstellung entfernen und deaktivieren
Zugriff auf Laufwerke vom Arbeitsplatz verhindern Aktiviert – Alle Laufwerke beschränken

Hinweis

Wenn die Option Zugriff auf Laufwerke vom Arbeitsplatz verhindern aktiviert ist, können Benutzer die Verzeichnisstruktur im Datei-Explorer durchsuchen, aber keine Ordner öffnen und auf den Inhalt zugreifen. Darüber hinaus können sie nicht das Dialogfeld Ausführen oder Netzlaufwerk zuordnen verwenden, um die Verzeichnisse auf diesen Laufwerken anzuzeigen. Die Symbole, die die angegebenen Laufwerke darstellen, werden weiterhin in Explorer angezeigt. Wenn Benutzer jedoch auf die Symbole doppelklicken, wird eine Meldung angezeigt, in der erläutert wird, dass eine Einstellung die Aktion verhindert. Diese Einstellung verhindert nicht, dass Benutzer Programme für den Zugriff auf lokale und Netzwerklaufwerke verwenden. Es wird nicht verhindert, dass Benutzer das Datenträgerverwaltungs-Snap-In- zur Anzeige und Ändern der Eigenschaften des Laufwerks verwenden.

MDM-Richtlinie

Einige der MDM-Richtlinien, die auf dem Konfigurationsdienstanbieter (CSP) für Richtlinien basieren, wirken sich auf alle Benutzer im System aus.

Einstellung Wert Systemübergreifend
Experience/AllowCortana 0 - Nicht zulässig Ja
Start/AllowPinnedFolderDocuments 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderDownloads 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderFileExplorer 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderHomeGroup 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderMusic 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderNetwork 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderPersonalFolder 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderPictures 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderSettings 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderVideos 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/DisableContextMenus 1 – Kontextmenüs sind für Start-Apps ausgeblendet Nein
Start/HidePeopleBar 1 – "True" (ausblenden) Nein
Start/HideChangeAccountSettings 1 – "True" (ausblenden) Ja
WindowsInkWorkspace/AllowWindowsInkWorkspace 0 – Zugriff auf Ink-Arbeitsbereich ist deaktiviert und das Feature ist deaktiviert Ja
Start/StartLayout Hängt von der Konfiguration ab Nein
WindowsLogon/DontDisplayNetworkSelectionUI <Aktiviert/> Ja

Provision .lnk-Dateien verwenden den Windows-Konfigurations-Designers

Erstellen Sie zunächst die Verknüpfungsdatei Ihrer Desktop-App, indem Sie die App auf einem Testgerät unter Verwendung des Standardinstallationsorts installieren. Klicken Sie mit der rechten Maustaste auf die installierte Anwendung, und wählen Sie Senden an > Desktop (Verknüpfung erstellen) aus. Benennen Sie die Verknüpfung um in <appName>.lnk

Als Nächstes erstellen Sie eine Batchdatei mit zwei Befehlen. Wenn die Desktop-App bereits auf dem Zielgerät installiert ist, überspringen Sie den ersten Befehl für die Installation von MSI.

msiexec /I "<appName>.msi" /qn /norestart
copy <appName>.lnk "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\<appName>.lnk"

Im Windows Configuration Designer, unter ProvisioningCommands > DeviceContext:

  • Laden Sie unter "CommandFiles" Die Batchdatei, die LNK-Datei und die Installationsdatei ihrer Desktop-App hoch.

    Wichtig

    Fügen Sie den vollständigen Dateipfad in die LNK-Datei in das Feld "CommandFiles " ein. Wenn Sie zur LNK-Datei navigieren und diese auswählen, wird der Dateipfad in den Pfad des Ziels der LNK-Datei geändert.

  • Geben Sie unter "Befehlszeile" cmd /c *FileName*.batein.

Andere Methoden

Umgebungen, die WMI verwenden, können den MDM Bridge WMI-Anbieter verwenden, um einen Kiosk zu konfigurieren.