Einrichten eines Kiosks mit mehreren Apps auf Windows 10 Geräten

  • Artikel
  • 25 Minuten Lesedauer

Betrifft:

  • Windows 10 Pro, Enterprise und Education

Hinweis

Derzeit wird Kiosk mit mehreren Apps nur auf Windows 10 unterstützt. Dies wird auf Windows 11 nicht unterstützt.

Die Verwendung mehrerer Monitore wird für den Kioskmodus mit mehreren Apps nicht unterstützt.

Ein Kioskgerät führt in der Regel eine einzelne App aus, wobei Benutzern der Zugriff auf alle Features oder Funktionen auf dem Gerät außerhalb der Kiosk-App verhindert wird. In Windows 10 Version 1709 wurde der AssignedAccess-Konfigurationsdienstanbieter (CSP) erweitert, um Administratoren das Erstellen von Kiosken zu erleichtern, die mehr als eine App ausführen. Der Vorteil eines Kiosks, der nur eine oder mehrere bestimmte Apps ausführt, besteht darin, einzelpersonen eine leicht verständliche Erfahrung zu bieten, indem sie nur die Dinge vor sich stellt, die sie verwenden müssen, und die Dinge, auf die sie nicht zugreifen müssen, aus ihrer Sicht entfernen.

In der folgenden Tabelle sind Änderungen am Kiosk mit mehreren Apps in den letzten Updates aufgeführt.

Neue Features und Verbesserungen Im Update
– Konfigurieren eines Einzel-App-Kioskprofils in Ihrer XML-Datei

– Zuweisen von Gruppenkonten zu einem Konfigurationsprofil

– Konfigurieren eines Kontos für die automatische Anmeldung		 Windows 10, Version 1803
Explizites Zulassen einiger bekannter Ordner beim Öffnen des Dateidialogfelds durch den Benutzer

- Automatisches Starten einer App , wenn sich der Benutzer anmeldet

– Konfigurieren eines Anzeigenamens für das Konto für die automatische Anmeldung		 Windows 10, Version 1809

Wichtig: Um features zu verwenden, die in Windows 10, Version 1809 veröffentlicht wurden, stellen Sie sicher, dass Ihre XML-Datei auf verweisthttps://schemas.microsoft.com/AssignedAccess/201810/config.

Warnung

Das Feature mit zugewiesenem Zugriff ist für unternehmenseigene Geräte mit festem Zweck gedacht wie z. B. Kioske. Wenn die Konfiguration für mehrerer zugewiesene Apps auf dem Gerät angewendet wird, werden bestimmte Richtlinien systemweit erzwungen und wirken sich auf andere Benutzer auf dem Gerät aus. Durch das Löschen der Kioskkonfiguration werden die den Benutzern zugeordneten Sperrungsprofile für den Zugriff entfernt, aber es können nicht alle erzwungenen Richtlinien (z. B. Startlayout) zurückgesetzt werden. Ein Zurücksetzen auf die Werkseinstellungen ist erforderlich, um alle Richtlinien, die über den zugewiesenen Zugriff erzwungen wurden, zu löschen.

Sie können mithilfe von Microsoft Intune oder eines Bereitstellungspakets Kioske mehrere Apps konfigurieren.

Tipp

Überprüfen Sie unbedingt die Konfigurationsempfehlungen , bevor Sie Ihren Kiosk einrichten.

Konfigurieren eines Kiosks in Microsoft Intune

Informationen zum Konfigurieren eines Kiosks in Microsoft Intune finden Sie unter:

Konfigurieren eines Kiosks mittels eines Bereitstellungspakets

Verfahren:

  1. Erstellen einer XML-Datei
  2. Hinzufügen der XML-Datei zu Bereitstellungspaketen
  3. Anwenden von Bereitstellungspaketen auf das Gerät

Sehen Sie sich an, wie Sie mithilfe eines Bereitstellungspakets einen Kiosk mit mehreren Apps konfigurieren.

Wenn Sie kein Bereitstellungspaket verwenden möchten, können Sie die XML-Konfigurationsdatei mithilfe der Verwaltung mobiler Geräte (Mobile Device Management, MDM) bereitstellen oder den zugewiesenen Zugriff mithilfe des MDM-Bridge-WMI-Anbieters konfigurieren.

Voraussetzungen

  • Windows-Konfigurations-Designer (Windows 10, Version 1709 oder höher)
  • Auf dem Kioskgerät muss Windows 10 (S, Pro, Enterprise oder Education), Version 1709 oder höher, ausgeführt werden.

Hinweis

Für Geräte mit Versionen von Windows 10 vor der Version 1709 können Sie AppLocker-Regeln erstellen, um einen Kiosk mit mehreren Apps zu konfigurieren.

Erstellen einer XML-Datei

Betrachten wir zunächst die grundlegende Struktur der XML-Datei.

  • Eine XML-Konfigurationsdatei kann mehrere Profile definieren. Jedes Profil hat eine eindeutige ID und einen Satz von Anwendungen, die ausgeführt werden können, ob die Taskleiste sichtbar ist, und die ein benutzerdefiniertes Startlayout enthalten können.

  • Eine XML-Konfigurationsdatei kann mehrere Config-Abschnitte enthalten. Jeder Config-Abschnitt ordnet einer Standardprofil-ID ein Benutzerkonto ohne Administratorrechte zu.

  • Es kann mehreren Config-Abschnitten das gleiche Profil zugeordnet werden.

  • Ein Profil hat keine Auswirkung, wenn es keinem Konfigurationsabschnitt zugeordnet ist.

    profile = app und config = account.

Sie können ihre Datei starten, indem Sie den folgenden XML-Code in einen XML-Editor einfügen und die Datei als Dateinamen.xml speichern. Jeder Abschnitt dieses XML-Codes wird in diesem Artikel erläutert. Eine vollständige Beispielversion finden Sie in der XML-Referenz für zugewiesenen Zugriff.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
    >
    <Profiles>
        <Profile Id="">
            <AllAppsList>
                <AllowedApps/>
            </AllAppsList>
            <StartLayout/>
            <Taskbar/>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <Account/>
            <DefaultProfile Id=""/>
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Profil

Es gibt zwei Typen von Profilen, die Sie im XML-Code angeben können:

  • Sperrprofil: Benutzern, denen ein Sperrmodusprofil zugewiesen ist, wird der Desktop im Tablet-Modus mit den spezifischen Apps auf dem Startbildschirm angezeigt.
  • Kioskprofil: Ab Windows 10 Version 1803 ersetzt dieses Profil den Knoten KioskModeApp des AssignedAccess-CSP. Benutzern, denen ein Kioskprofil zugewiesen ist, wird nicht der Desktop angezeigt, sondern nur die Kiosk-App, die im Vollbildmodus ausgeführt wird.

Ein Sperrmodusprofilabschnitt im XML-Code weist die folgenden Einträge auf:

Ein Kioskprofil im XML-Code weist die folgenden Einträge auf:

ID

Die Profil-ID ist ein GUID-Attribut, um das Profil eindeutig zu identifizieren. Sie können das GUID mit einem GUID-Generator erstellen. Die GUID muss innerhalb dieser XML-Datei eindeutig sein.

<Profiles>
  <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">…</Profile>
</Profiles>
AllowedApps

AllowedApps ist eine Liste der Anwendungen, die ausgeführt werden dürfen. Apps können Universelle Windows-Plattform-Apps (UWP) oder Windows-Desktopanwendungen sein. Ab Windows 10 Version 1809 können Sie eine einzelne App in der Liste AllowedApps so konfigurieren, dass sie automatisch ausgeführt wird, wenn sich das Benutzerkonto mit zugewiesenem Zugriff anmeldet.

  • Für UWP-Apps müssen Sie die Anwendungsbenutzermodell-ID (AUMID) angeben. Erfahren Sie, wie Sie die AUMID ermitteln oder erhalten Sie die AUMID vom XML-Startlayout.
  • Für Desktop-Apps müssen Sie den vollständigen Pfad der ausführbaren Datei angeben, die eine oder mehrere Systemumgebungsvariablen in Form von %variableName%enthalten kann. Beispiel: %systemroot% oder %windir%
  • Wenn eine App eine Abhängigkeit von einer anderen App aufweist, müssen beide in der Liste zulässiger Apps enthalten sein. Internet Explorer 64-Bit hat beispielsweise eine Abhängigkeit von Internet Explorer 32-Bit, sodass Sie sowohl als "C:\Program Files (x86)\Internet Explorer\iexplore.exe"auch "C:\Program Files\internet explorer\iexplore.exe" zulassen müssen.
  • Um eine einzelne App so zu konfigurieren, dass sie automatisch gestartet wird, wenn sich der Benutzer anmeldet, fügen Sie rs5:AutoLaunch="true" nach der AUMID oder dem Pfad ein. Sie können auch Argumente einschließen, die an die App übergeben werden sollen. Ein Beispiel finden Sie unter AllowedApps-Beispiel-XML.

Wenn die Kioskkonfiguration mit mehreren Apps auf ein Gerät angewendet wird, werden AppLocker-Regeln generiert, um die in der Konfiguration aufgeführten Apps zuzulassen. Hier sind die vordefinierten zugewiesenen AppLocker-Zugriffsregeln für UWP-Apps:

  1. Die Standardregel ist, dass alle Benutzer die signierten Paket-Apps starten können.

  2. Die Paket-App-Sperrliste wird zur Laufzeit generiert, wenn sich der Benutzer mit zugewiesenem Zugriff anmeldet. Basierend auf den installierten/bereitgestellten Paket-Apps, die für das Benutzerkonto verfügbar sind, generiert der zugewiesene Zugriff die Sperrliste. Diese Liste schließt die standardmäßig zulässigen Posteingangspaket-Apps aus, die für die Funktion des Systems wichtig sind. Anschließend werden die zulässigen Pakete ausgeschlossen, die Unternehmen in der Konfiguration des zugewiesenen Zugriffs definiert haben. Wenn mehrere Apps innerhalb des gleichen Pakets vorhanden sind, werden diese Apps ausgeschlossen. Diese Sperrliste wird verwendet, um zu verhindern, dass der Benutzer auf die Apps zugreifen kann, die derzeit für den Benutzer verfügbar sind, aber nicht in der Liste der zulässigen Apps enthalten sind.

    Hinweis

    Sie können keine AppLocker-Regeln verwalten, die von der Multi-App-Kioskkonfiguration in MMC-Snap-Ins generiert werden. Vermeiden Sie das Erstellen von AppLocker-Regeln, die mit AppLocker-Regeln in Konflikt stehen, die von der Kioskkonfiguration mit mehreren Apps generiert werden.

    Der Kioskmodus mit mehreren Apps hindert das Unternehmen oder die Benutzer nicht daran, UWP-Apps zu installieren. Wenn während der aktuellen Sitzung des Benutzers mit zugewiesenem Zugriff eine neue UWP-App installiert wird, ist diese App nicht in der Verweigerungsliste enthalten. Wenn sich der Benutzer abmeldet und sich erneut anmeldet, wird die App in die Sperrliste aufgenommen. Wenn dies eine im Unternehmen bereitgestellte Branchen-App ist und Sie die Ausführung zulassen möchten, aktualisieren Sie die Konfiguration des zugewiesene Zugriffs, um sie in die Liste der zulässigen Apps aufzunehmen.

Hier sind die vordefinierten zugewiesenen AppLocker-Zugriffsregeln für Desktop-Apps:

  1. Die Standardregel ist, allen Benutzer, die mit Microsoft Certificate signiert werden, zu erlauben, Desktop Programme zu starten damit das System startet und funktioniert. Die Regel ermöglicht ebenfalls der Admin-Benutzergruppe, alle Desktop-Programme zu starten.
  2. Es gibt eine vordefinierte Blockliste der Desktop-App für den Posteingang für das Benutzerkonto mit zugewiesenem Zugriff, und diese Sperrliste wird basierend auf der Positivliste der Desktop-App angepasst, die Sie in der Konfiguration mit mehreren Apps definiert haben.
  3. Unternehmensdefinierte zulässige Desktop-Apps werden der AppLocker-Positivliste hinzugefügt.

Im folgenden Beispiel können Groove Music-, Movies & TV-, Fotos-, Wetter-, Rechner-, Paint- und Editor-Apps auf dem Gerät ausgeführt werden, wobei Editor so konfiguriert ist, dass bei der Anmeldung des Benutzers automatisch eine Datei namens 123.text gestartet und erstellt wird.

<AllAppsList>
        <AllowedApps>
          <App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
          <App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
          <App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
          <App DesktopAppPath="%windir%\system32\mspaint.exe" />
          <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="123.txt">
        </AllowedApps>
</AllAppsList>
FileExplorerNamespaceRestrictions

Ab Windows 10 Version 1809 können Sie den Zugriff auf einige bekannte Ordner explizit zulassen, wenn der Benutzer versucht, das Dateidialogfeld im zugewiesenen Zugriff mit mehreren Apps zu öffnen, indem FileExplorerNamespaceRestrictions in Ihre XML-Datei eingeschlossen wird. Derzeit ist Downloads der einzige unterstützte Ordner. Dieses Verhalten kann auch mithilfe von Microsoft Intune festgelegt werden.

Das folgende Beispiel zeigt, wie Benutzerzugriff auf den Ordner Downloads im Dialogfeld "Gemeinsame Datei" zugelassen werden.

Tipp

Um über Explorer Zugriff auf den Ordner Downloads zu gewähren, fügen Sie der Liste der zulässigen Apps "Explorer.exe" hinzu, und heften Sie eine Datei-Explorer-Verknüpfung an das Startmenü des Kiosks an.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
>     <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    ...
                </AllowedApps>
            </AllAppsList>
            <rs5:FileExplorerNamespaceRestrictions>
                <rs5:AllowedNamespace Name="Downloads"/>
            </rs5:FileExplorerNamespaceRestrictions>
            <StartLayout>
                ...
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
</AssignedAccessConfiguration>

FileExplorerNamespaceRestrictionwurde in der aktuellen Windows 10 Vorabversion für eine genauere Granularität und einfachere Verwendung erweitert. Weitere Informationen und vollständige Beispiele finden Sie unter XML-Referenz für zugewiesenen Zugriff. Mithilfe neuer Elemente können Sie konfigurieren, ob ein Benutzer auf den Ordner Downloads oder Wechseldatenträger zugreifen kann oder überhaupt keine Einschränkungen hat.

Hinweis

  • FileExplorerNamespaceRestrictions und AllowedNamespace:Downloads sind im Namespace https://schemas.microsoft.com/AssignedAccess/201810/configverfügbar.
  • AllowRemovableDrives und NoRestriction werden in einem neuen Namespace https://schemas.microsoft.com/AssignedAccess/2020/configdefiniert.
  • Wenn FileExplorerNamespaceRestrictions der Knoten nicht verwendet oder verwendet wird, aber leer gelassen wird, kann der Benutzer nicht auf einen Ordner in einem allgemeinen Dialogfeld zugreifen. Beispiel: Speichern unter im Microsoft Edge-Browser.
  • Wenn Downloads im zulässigen Namespace erwähnt wird, kann der Benutzer auf den Ordner "Downloads" zugreifen.
  • Wenn AllowRemovableDrives verwendet wird, muss der Benutzer auf Wechseldatenträger zugreifen.
  • Wenn NoRestriction verwendet wird, wird keine Einschränkung auf den Dialog angewendet.
  • AllowRemovableDrives und AllowedNamespace:Downloads können gleichzeitig verwendet werden.
StartLayout

Nachdem Sie die Liste der zugelassenen Anwendungen definiert haben, können Sie das Startlayout für Ihre Kiosk-Erfahrung anpassen. Sie können alle zugelassenen Apps auf dem Startbildschirm anheften oder nur einen Teil, je nachdem, ob sie möchten, dass der Benutzer auf diese direkt vom Startbildschirm zugreifen kann.

Die einfachste Möglichkeit, ein angepasstes Startlayout für andere Windows-Clientgeräte zu erstellen, besteht darin, den Startbildschirm auf einem Testgerät einzurichten und dann das Layout zu exportieren. Ausführliche Schritte finden Sie unter Anpassen und Exportieren des Startlayouts.

Folgendes ist zu beachten:

  • Das Testgerät, auf dem Sie das Startseitenlayout anpassen, muss die gleiche Betriebssystemversion haben, die auf dem Gerät installiert ist, auf dem Sie die Konfiguration für mehrere zugewiesene Apps bereitstellen möchten.
  • Da die Erfahrung für mehrere zugewiesene Apps für Geräte mit festem Zweck vorgesehen ist, verwenden Sie die vollständige Start-Layoutoption anstelle des Teil-Startlayout, um sicherzustellen, dass die Gerätefunktionen einheitlich und vorhersagbar sind.
  • Im Multi-App-Modus sind keine Apps auf der Taskleiste angeheftet, und es wird nicht unterstützt, das Taskleistenlayout mit dem <CustomTaskbarLayoutCollection> Tag in einer Layoutänderungs-XML als Teil der Konfiguration des zugewiesenen Zugriffs zu konfigurieren.
  • Im folgenden Beispiel wird verwendet DesktopApplicationLinkPath , um die Desktop-App an den Start anzuheften. Wenn die Desktop-App keinen Verknüpfungslink auf dem Zielgerät enthält, erfahren Sie, wie Sie LNK-Dateien mithilfe des Windows-Konfigurations-Designers bereitstellen.

Im folgenden Beispiel werden Groove-Apps für Musik, Filme & TV, Fotos, Wetter, Rechner, Paint und Editor auf der Startseite angeheftet:

<StartLayout>
        <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="httsp://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Group1">
                              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
                              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
                              <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
                              <start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
                            </start:Group>
                            <start:Group Name="Group2">
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk" />
                              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
</StartLayout>

Hinweis

Wenn eine App nicht für den Benutzer installiert ist, aber im Startlayout-XML enthalten ist, wird die App nicht auf dem Startbildschirm angezeigt.

Wie der Startbildschirm aussieht, wenn das XML-Beispiel angewendet wird.

Taskleiste

Definieren Sie, ob die Taskleiste auf dem Kioskgerät vorhanden sein soll. Bei Tablet-basierten oder touchfähigen All-in-One-Kiosken können Sie die Taskleiste bei Bedarf ausblenden, wenn Sie keine Tastatur und Maus anbringen.

Im folgende Beispiel wird die Taskleiste für den Benutzer verfügbar gemacht:

<Taskbar ShowTaskbar="true"/>

Im folgenden Beispiel wird die Taskleiste ausgeblendet:

<Taskbar ShowTaskbar="false"/>

Hinweis

Dies unterscheidet sich von der Option Automatisches Ausblenden der Taskleiste im Tablet-Modus, in dem die Taskleiste angezeigt wird, wenn Sie unteren Bildschirmrand nach oben Wischen oder den Mauszeiger darauf zeigen. Das Festlegen von ShowTaskbar als False blendet die Taskleiste immer aus.

KioskModeApp

KioskModeApp wird nur für ein Kioskprofil verwendet. Geben Sie die AUMID für eine einzelne App ein. Sie können nur ein Kioskprofil im XML-Code angeben.

<KioskModeApp AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"/>

Wichtig

Das Kioskprofil ist für öffentlich zugängliche Kioskgeräte konzipiert. Es wird empfohlen, ein lokales Konto ohne Administratorrechte zu verwenden. Wenn das Gerät mit Ihrem Unternehmensnetzwerk verbunden ist, kann die Verwendung einer Domäne oder eines Azure Active Directory-Kontos möglicherweise vertrauliche Informationen kompromittieren.

Configs

Definieren Sie unter Configs, welches Konto dem Profil zugeordnet werden soll. Wenn sich dieses Benutzerkonto auf dem Gerät anmeldet, wird das zugeordnete zugewiesene Zugriffsprofil erzwungen. Dieses Verhalten umfasst die zulässigen Apps, das Startlayout, die Taskleistenkonfiguration und andere lokale Gruppenrichtlinien oder MDM-Richtlinien (Mobile Device Management), die als Teil der Multi-App-Erfahrung festgelegt wurden.

Die Erfahrung für mehrere zugewiesene Apps funktioniert jedoch nur für Benutzer ohne Administratorrechte. Das Zuordnen eines Administratorbenutzers zum zugewiesenen Zugriffsprofil wird nicht unterstützt. Diese Konfiguration in der XML-Datei führt zu unerwarteten oder nicht unterstützten Erfahrungen, wenn sich dieser Administratorbenutzer anmeldet.

Sie können Folgendes zuweisen:

Hinweis

Konfigurationen, die Gruppenkonten angeben, können kein Kioskprofil verwenden, nur ein Sperrmodusprofil. Wenn eine Gruppe für ein Kioskprofil konfiguriert ist, lehnt der CSP die Anforderung ab.

Konfiguration für AutoLogon-Konto

Wenn Sie verwenden <AutoLogonAccount> und die Konfiguration auf ein Gerät angewendet wird, wird das angegebene Konto (verwaltet durch den zugewiesenen Zugriff) auf dem Gerät als lokales Standardbenutzerkonto erstellt. Das angegebene Konto wird nach dem Neustart automatisch angemeldet.

Das folgende Beispiel zeigt, wie Sie ein Konto angeben, das automatisch angemeldet werden soll.

<Configs>
  <Config>
    <AutoLogonAccount/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

Ab Windows 10 Version 1809 können Sie den Anzeigenamen konfigurieren, der angezeigt wird, wenn sich der Benutzer anmeldet. Das folgende Beispiel zeigt, wie Sie ein AutoLogon-Konto erstellen, das den Namen "Hallo Welt" anzeigt.

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Hello World"/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

Auf in die Domäne eingebundenen Geräten werden lokale Benutzerkonten nicht standardmäßig auf dem Anmeldebildschirm angezeigt. Um autoLogonAccount auf dem Anmeldebildschirm anzuzeigen, aktivieren Sie die folgende Gruppenrichtlinie Einstellung: Computerkonfiguration > Administrative Vorlagen > SystemanmeldungEnumerieren >> lokaler Benutzer auf computern, die in die Domäne eingebunden sind. (Die entsprechende MDM-Richtlinieneinstellung lautet WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers im Richtlinien-CSP.)

Wichtig

Wenn EaS-Kennworteinschränkungen (Exchange Active Sync) auf dem Gerät aktiv sind, funktioniert das Feature für die automatische Anmeldung nicht. Dieses Verhalten ist entwurfsbedingt. Weitere Informationen finden Sie unter Aktivieren der automatischen Anmeldung in Windows.

Konfiguration für einzelne Konten

Einzelne Konten werden mithilfe von <Account>angegeben.

  • Das lokale Konto kann als machinename\account oder .\account oder einfach nur als account eingegeben werden.
  • Das Domänenkonto muss als domain\account angegeben werden.
  • Das Azure AD-Konto muss in folgendem Format angegeben werden:t: AzureAD\{email address}. AzureAD muss unverändert bereitgestellt werden, und es muss sich um einen festen Domänennamen handeln. Folgen Sie dann mit der Azure AD-E-Mail-Adresse. Beispiel: AzureAD\someone@contoso.onmicrosoft.com.

Warnung

Der zugewiesene Zugriff kann über WMI- oder CSP zur Ausführung der Anwendung unter einem Domänenbenutzer oder -Dienstkonto konfiguriert werden, anstelle eines lokalen Kontos. Das Verwenden von Domänenbenutzer- oder Dienstkonten bietet Risiken, dass ein Angreifer die Anwendung mit zugewiesenem Zugriff unterwandert und Zugriff auf vertrauliche Domänenressourcen unter Umständen erhält, die versehentlich für alle Domänenkonten offen geblieben sind. Es wird empfohlen, dass Kunden vorsichtig sind, wenn Sie Domänenkonten mit zugewiesenem Zugriff verwenden, und Domänenressourcen durch die Entscheidung eventuell ausgesetzt werden.

Vor dem Anwenden der Konfiguration mit mehreren Apps, stellen Sie sicher, dass das angegebene Konto auf dem Gerät verfügbar ist, da es andernfalls nicht ausgeführt werden kann.

Hinweis

Sowohl für Domänen- als auch für Azure AD-Konten ist es nicht erforderlich, dass das Zielkonto dem Gerät explizit hinzugefügt wird. Solange das Gerät in AD oder Azure AD eingebunden ist, kann das Konto in der Domänengesamtstruktur oder im Mandanten ermittelt werden, zu dem das Gerät gehört. Für lokale Konten ist es erforderlich, dass das Konto vorhanden ist, bevor Sie das Konto für einen zugewiesenen Zugriff konfigurieren.

<Configs>
  <Config>
    <Account>MultiAppKioskUser</Account>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>
Konfiguration für Gruppenkonten

Gruppenkonten werden mit <UserGroup>angegeben. Geschachtelte Gruppen werden nicht unterstützt. Wenn z. B. Benutzer A Mitglied von Gruppe 1 ist, Gruppe 1 Mitglied von Gruppe 2 ist und Gruppe 2 in <Config/>verwendet wird, verfügt Benutzer A nicht über die Kioskerfahrung.

  • Lokale Gruppe: Geben Sie den Gruppentyp als LocalGroup an, und fügen Sie den Gruppennamen in das Name-Attribut ein. Für alle Azure AD-Konten, die der lokalen Gruppe hinzugefügt werden, werden die Kioskeinstellungen nicht angewendet.

    <Config>
  <UserGroup Type="LocalGroup" Name="mygroup" />
  <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
</Config>

  • Domänengruppe: Sowohl Sicherheits- als auch Verteilergruppen werden unterstützt. Geben Sie den Gruppentyp als ActiveDirectoryGroup an. Verwenden Sie den Domänennamen als Präfix im Attribut name.

    <Config>
  <UserGroup Type="ActiveDirectoryGroup" Name="mydomain\mygroup" />
  <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
</Config>

  • Azure AD-Gruppe: Verwenden Sie die Gruppenobjekt-ID aus dem Azure-Portal, um die Gruppe im Attribut Name eindeutig zu identifizieren. Sie finden die Objekt-ID auf der Übersichtsseite für die Gruppe unter Benutzer und Gruppen>Alle Gruppen. Geben Sie den Gruppentyp als AzureActiveDirectoryGroup an. Das Kioskgerät muss über eine Internetverbindung verfügen, wenn sich Benutzer, die der Gruppe angehören, anmelden.

    <Config>
  <UserGroup Type="AzureActiveDirectoryGroup" Name="a8d36e43-4180-4ac5-a627-fb8149bba1ac" />
  <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
</Config>

    Hinweis

    Wenn eine Azure AD-Gruppe mit einem Sperrmodusprofil auf einem Gerät konfiguriert ist, muss ein Benutzer in der Azure AD-Gruppe sein Kennwort ändern (nachdem das Konto mit dem Standardkennwort im Portal erstellt wurde), bevor er sich bei diesem Gerät anmelden kann. Wenn der Benutzer das Standardkennwort verwendet, um sich beim Gerät anzumelden, wird der Benutzer sofort abgemeldet.

[Vorschau] Globales Profil

Globales Profil ist in Windows 10 verfügbar. Wenn Sie möchten, dass jeder, der sich bei einem bestimmten Gerät anmeldet, als Zugriffsbenutzer zugewiesen werden, auch wenn es kein dediziertes Profil für diesen Benutzer gibt. Alternativ konnte der zugewiesene Zugriff möglicherweise kein Profil für den Benutzer identifizieren, und Sie möchten ein Fallbackprofil verwenden. Das globale Profil ist für diese Szenarien konzipiert.

Die Verwendung wird unten veranschaulicht, indem der neue XML-Namespace verwendet und aus diesem Namespace angegeben GlobalProfile wird. Wenn Sie konfigurieren GlobalProfile, meldet sich ein Nicht-Administratorkonto an. Wenn dieser Benutzer nicht über ein bestimmtes Profil in "Zugewiesener Zugriff" verfügt oder der zugewiesene Zugriff kein Profil für den aktuellen Benutzer ermittelt, wird ein globales Profil für den Benutzer angewendet.

Hinweis

  1. GlobalProfile kann nur ein Profil mit mehreren Apps sein.
  2. Nur eine GlobalProfile kann in einem AssignedAccess Konfigurations-XML verwendet werden.
  3. GlobalProfile kann als einzige Konfiguration oder zusammen mit der regulären Benutzer- oder Gruppenkonfiguration verwendet werden.
<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v2="https://schemas.microsoft.com/AssignedAccess/201810/config"
    xmlns:v3="https://schemas.microsoft.com/AssignedAccess/2020/config"
>
    <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    <App AppUserModelId="Microsoft.Microsoft3DViewer_8wekyb3d8bbwe!Microsoft.Microsoft3DViewer" v2:AutoLaunch="true" v2:AutoLaunchArguments="123"/>
                    <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                    <App AppUserModelId="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
                    <App DesktopAppPath="%SystemRoot%\system32\notepad.exe" />
                </AllowedApps>
            </AllAppsList>
            <StartLayout>
                <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="https://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Life at a glance">
                              <start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="microsoft.windowscommunicationsapps_8wekyb3d8bbwe!microsoft.windowsLive.calendar" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsStore_8wekyb3d8bbwe!App" />
                              <!-- A link file is required for desktop applications to show on start layout, the link file can be placed under
                                   "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs" if the link file is shared for all users or
                                   "%AppData%\Microsoft\Windows\Start Menu\Programs" if the link file is for the specific user only 
                                   see document https://learn.microsoft.com/windows/configuration/start-layout-xml-desktop
                              -->
                              <!-- for inbox desktop applications, a link file might already exist and can be used directly -->
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Accessories\paint.lnk" />
                              <!-- for 3rd party desktop application, place the link file under appropriate folder -->
                              <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationLinkPath="%AppData%\Microsoft\Windows\Start Menu\Programs\MyLOB.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
    <Configs>
        <v3:GlobalProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Configs>
</AssignedAccessConfiguration>

Hinzufügen der XML-Datei zu Bereitstellungspaketen

Bevor Sie die XML-Datei zu einem Bereitstellungspaket hinzufügen, können Sie Ihre XML-Konfigurationsdatei gegen die XSD überprüfen.

Erstellen Sie ein Bereitstellungspaket mit Windows-Konfigurations-Designer. Erfahren Sie, wie Sie Windows-Konfigurations-Designer installieren.

Wichtig

Wenn Sie ein Bereitstellungspaket erstellen, können Sie vertrauliche Informationen in die Projektdateien und die Bereitstellungspaketdatei (PPKG-Datei) aufnehmen. Obwohl Sie die PPKG-Datei verschlüsseln können, werden die Projektdateien nicht verschlüsselt. Sie sollten die Projektdateien an einem sicheren Ort speichern und löschen, wenn sie nicht mehr benötigt werden.

  1. Öffnen Sie Windows-Konfigurations-Designer. Standardmäßig: %systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe.

  2. Wählen Sie Erweiterte Bereitstellung.

  3. Benennen Sie Ihr Projekt, und wählen Sie Weiter aus.

  4. Wählen Sie Alle Windows-Desktopeditionen und dann Weiter aus.

  5. Wählen Sie unter Neues Projektdie Option Fertig stellen aus. Der Arbeitsbereich für Ihr Paket wird geöffnet.

  6. Erweitern Sie Laufzeiteinstellungen>AssignedAccess>MultiAppAssignedAccessSettings.

  7. Wählen Sie im mittleren Bereich Durchsuchen aus. Suchen Sie die XML-Konfigurationsdatei für zugewiesenen Zugriff, die Sie erstellt haben, und wählen Sie sie aus.

    Screenshot des Felds

  8. Optional: Wenn Sie das Bereitstellungspaket nach der ersten Einrichtung des Geräts anwenden möchten und bereits ein Administratorbenutzer auf dem Kioskgerät verfügbar ist, überspringen Sie diesen Schritt. Erstellen Sie ein Administratorbenutzerkonto in den Laufzeiteinstellungen>Konten>Benutzer. Geben Sie einen Benutzername und Kennwort ein, und wählen Sie UserGroup als Administrator aus. Mit diesem Konto können Sie den Bereitstellungsstatus und Protokolle bei Bedarf anzeigen.

  9. Optional: Wenn Sie bereits über ein Nicht-Administratorkonto auf dem Kioskgerät verfügen, überspringen Sie diesen Schritt. Erstellen Sie ein lokales Standardbenutzerkonto in den Laufzeiteinstellungen>Konten>Benutzer. Stellen Sie sicher, dass der Benutzername mit dem Konto identisch ist, das Sie in der XML-Konfigurationsdatei angeben. Wählen Sie UserGroup als Standardbenutzer aus.

  10. Wählen Sie im Menü Datei die Option Speichern aus.

  11. Wählen Sie im Menü Exportieren die Option Bereitstellungspaketaus.

  12. Ändern Sie Owner in IT Admin. Dadurch erhält dieses Bereitstellungspaket Vorrang gegenüber Bereitstellungspaketen, die aus anderen Quellen auf dieses Gerät angewendet werden. Wählen Sie anschließend Weiter aus.

  13. Optional. Im Fenster Provisioning package security können Sie das Paket verschlüsseln und die Paketsignierung aktivieren.

    • Paketverschlüsselung aktivieren – Wenn Sie diese Option auswählen, wird ein automatisch generiertes Kennwort auf dem Bildschirm angezeigt.

    • Paketsignierung aktivieren – Wenn Sie diese Option auswählen, müssen Sie ein gültiges Zertifikat zum Signieren des Pakets auswählen. Sie können das Zertifikat angeben, indem Sie auf Durchsuchen klicken und das Zertifikat zum Signieren des Pakets auswählen.

  14. Wählen Sie Weiter aus, um den Ausgabespeicherort anzugeben, an den das Bereitstellungspaket beim Erstellen wechseln soll. Standardmäßig verwendet der Windows-Designer für die Imageerstellung und -konfiguration (Imaging and Configuration Designer, ICD) den Projektordner als Ausgabespeicherort.

    Optional können Sie Durchsuchen auswählen, um den Standardausgabespeicherort zu ändern.

  15. Wählen Sie Weiter aus.

  16. Wählen Sie Erstellen aus, um mit dem Erstellen des Pakets zu beginnen. Die Erstellung eines Bereitstellungspakets dauert nicht lange. Die Projektinformationen werden auf der Buildseite angezeigt, und die Statusanzeige gibt den Buildstatus an.

    Wenn Sie den Build abbrechen müssen, wählen Sie Abbrechen aus. Diese Aktion bricht den aktuellen Buildprozess ab, schließt den Assistenten und führt Sie zurück zur Seite Anpassungen.

  17. Falls der Build nicht erfolgreich verläuft, wird eine Fehlermeldung mit einem Link zum Projektordner angezeigt. Sie können die Fehlerursache anhand der Protokolle ermitteln. Nachdem Sie das Problem behoben haben, versuchen Sie, das Paket erneut zu erstellen.

    Wenn der Build erfolgreich ist, werden der Name des Bereitstellungspakets sowie das Ausgabeverzeichnis und Projektverzeichnis angezeigt.

    • Sie können das Bereitstellungspaket ggf. erneut erstellen und einen anderen Pfad für das Ausgabepaket auswählen. Wählen Sie dazu Zurück aus, um den Namen und Pfad des Ausgabepakets zu ändern, und wählen Sie dann Weiter aus, um einen weiteren Build zu starten.
    • Wenn Sie fertig sind, wählen Sie Fertig stellen aus, um den Assistenten zu schließen und zur Seite Anpassungen zurückzukehren.

  18. Kopieren Sie die Bereitstellungspaketdatei auf ein USB-Laufwerk in das Stammverzeichnis.

Anwenden von Bereitstellungspaketen auf das Gerät

Bereitstellungspakete können sowohl während der initialen Einrichtung (Eindruck beim ersten Ausführen oder „OOBE” (Out-Of-Box-Experience)) auf ein Gerät angewendet werden als auch danach („Laufzeit”). Weitere Informationen finden Sie unter Anwenden eines Bereitstellungspakets.

Hinweis

Wenn Ihr Bereitstellungspaket nicht die Erstellung eines Benutzerkontos mit zugewiesenem Zugriff enthält, stellen Sie sicher, dass das Konto, das Sie in der XML-Datei für die Konfiguration mit mehreren Apps angegeben haben, auf dem Gerät vorhanden ist.

Verwenden Sie MDM zum Bereitstellen der Konfiguration mehrerer Apps

Die Kiosk-Methode für mehrere Apps über AssignedAccess-CSP ist aktiviert. Die MDM-Richtlinie kann die zugewiesene Zugriff-Konfigurations-XML enthalten.

Wenn Ihr Gerät bei einem MDM-Dienst registriert ist, der die Anwendung der Konfiguration für den zugewiesenen Zugriff unterstützt, können Sie damit die Einstellung remote anwenden.

Der OMA-URI für die Multi-App-Richtlinie ist ./Device/Vendor/MSFT/AssignedAccess/Configuration.

Überlegungen zur immersiven immersive Headsets in Windows Mixed Reality

Nach der Einführung von Mixed Reality-Geräten (Video-Link) möchten Sie möglicherweise Kioske zu erstellen, die Mixed Reality-Apps ausführen können.

Um einen Multi-App-Kiosk zu erstellen, der Mixed Reality-Apps ausführen kann, müssen Sie die folgenden Apps der AllowedApps-Liste hinzufügen:

<App AppUserModelId="MixedRealityLearning_cw5n1h2txyewy!MixedRealityLearning" />
<App AppUserModelId="HoloShell_cw5n1h2txyewy!HoloShell" />
<App AppUserModelId="Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy!App" />
<App AppUserModelId="Microsoft.MixedReality.Portal_8wekyb3d8bbwe!App" />

Diese Apps sind zusätzlich zu allen Mixed Reality-Apps verfügbar, die Sie zulassen.

Vor der Anmeldung des Kiosk-Benutzers: Ein Administratorbenutzer muss sich am PC anmelden, sich mit dem Mixed Reality-Gerät verbinden und die schrittweise Anleitung für das Mixed Reality-Portal ausführen. Wenn das Mixed Reality-Portal zum ersten Mal eingerichtet wird, werden einige Dateien und Inhalte heruntergeladen. Ein Kioskbenutzer hätte keine Berechtigungen zum Herunterladen, sodass die Einrichtung des Mixed Reality Portals fehlschlägt.

Nachdem der Administrator die Installation abgeschlossen hat, kann sich das Kiosk-Konto anmelden und die Einrichtung wiederholen. Der Administratorbenutzer sollte die Kiosk-Benutzer-Installation abschließen, bevor er den PC für Mitarbeiter oder Kunden bereitstellt.

Es gibt einen Unterschied zwischen den Mixed Reality-Umgebungen für einen Kioskbenutzer und andere Benutzer. Normalerweise, wenn ein Benutzer eine Verbindung zu einem Mixed Reality-Gerät erstellt, fängt er auf der Mixed Reality-Startseite an. Die Mixed Reality-Startseite ist eine Shell, die im "Hintergrund" ausgeführt wird, wenn der PC als Kiosk konfiguriert wird. Wenn ein Kioskbenutzer eine Verbindung mit einem Mixed Reality-Gerät herstellt, wird nur eine leere Anzeige auf dem Gerät angezeigt und hat keinen Zugriff auf die Features und Funktionen, die auf der Startseite verfügbar sind. Zum Ausführen einer Mixed Reality-App muss der Kiosk-Benutzer die App über den PC-Startbildschirm starten.

Richtlinien der Konfiguration des Multi-App-Kiosk

Es wird nicht empfohlen, Richtlinien, die im Modus für zugewiesenen Zugriff mit mehreren Apps erzwungen werden, mithilfe anderer Kanäle auf unterschiedliche Werte festzulegen, da der Multi-App-Modus optimiert wurde, um eine gesperrte Oberfläche bereitzustellen.

Wenn die Konfiguration für den zugewiesenen Zugriff mit mehreren Apps auf das Gerät angewendet wird, werden bestimmte Richtlinien systemweit erzwungen und wirken sich auf andere Benutzer auf dem Gerät aus.

Gruppenrichtlinie

Die folgenden lokalen Richtlinien wirken sich auf alle Benutzer des Systems ohne Administratorrechte aus, unabhängig davon, ob der Benutzer als ein Benutzer mit zugewiesenem Zugriff oder nicht konfiguriert ist. Diese Liste enthält lokale Benutzer, Domänenbenutzer und Azure Active Directory-Benutzer.

Einstellung Wert
Zugriff auf die Kontextmenüs für die Taskleiste entfernen Aktiviert
Beim Beenden die Liste der zuletzt geöffneten Dokumente leeren Aktiviert
Benutzer am Anpassen ihrer Startseite hindern Aktiviert
Deinstallieren von Anwendungen aus „Start“ durch Benutzer verhindern Aktiviert
Liste „Alle Programme“ aus dem Startmenü entfernen Aktiviert
Menüeintrag „Ausführen“ aus dem Startmenü entfernen Aktiviert
Sprechblasenbenachrichtigungen als Popupbenachrichtigungen anzeigen Aktiviert
Anheften von Elementen an Sprunglisten nicht zulassen Aktiviert
Kein Anheften von Programmen an die Taskleiste zulassen Aktiviert
Keine Elemente in Sprunglisten von Remotestandorten anzeigen oder nachverfolgen Aktiviert
Benachrichtigungen und Info-Center entfernen Aktiviert
Alle Einstellungen für die Taskleiste sperren Aktiviert
Taskleiste sperren Aktiviert
Benutzern das Hinzufügen oder Entfernen von Symbolleisten nicht erlauben Aktiviert
Benutzern das Ändern der Größe der Taskleiste nicht erlauben Aktiviert
Liste häufig verwendeter Programme aus dem Startmenü entfernen Aktiviert
Entfernen von "Netzlaufwerk zuordnen" und "Netzlaufwerk trennen" Aktiviert
Das Symbol für Sicherheit und Wartung entfernen Aktiviert
Alle Sprechblasenbenachrichtigungen deaktivieren Aktiviert
Feature-Ankündigung via Sprechblasenbenachrichtigungen deaktivieren Aktiviert
Popupbenachrichtigungen deaktivieren Aktiviert
Task-Manager entfernen Aktiviert
Die Option „Kennwort ändern” von der Sicherheitsoptionen-Benutzeroberfläche entfernen Aktiviert
Die Option „Abmelden” von der Sicherheitsoptionen-Benutzeroberfläche entfernen Aktiviert
Liste „Alle Programme“ aus dem Startmenü entfernen Aktiviert: Entfernen und Deaktivieren der Einstellung
Zugriff auf Laufwerke vom Arbeitsplatz verhindern Aktiviert – Alle Laufwerke beschränken

Hinweis

Wenn die Option Zugriff auf Laufwerke vom Arbeitsplatz verhindern aktiviert ist, können Benutzer die Verzeichnisstruktur im Datei-Explorer durchsuchen, aber keine Ordner öffnen und auf den Inhalt zugreifen. Darüber hinaus können sie nicht das Dialogfeld Ausführen oder Netzlaufwerk zuordnen verwenden, um die Verzeichnisse auf diesen Laufwerken anzuzeigen. Die Symbole, die die angegebenen Laufwerke darstellen, werden weiterhin in Explorer angezeigt, aber wenn Benutzer auf die Symbole doppelklicken, wird eine Meldung angezeigt, die erklärt, dass eine Einstellung die Aktion verhindert. Diese Einstellung verhindert nicht, dass Benutzer Programme für den Zugriff auf lokale und Netzwerklaufwerke verwenden. Es wird nicht verhindert, dass Benutzer das Datenträgerverwaltungs-Snap-In- zur Anzeige und Ändern der Eigenschaften des Laufwerks verwenden.

MDM-Richtlinie

Einige der MDM-Richtlinien, die auf dem Richtlinienkonfigurationsdienstanbieter (Policy Configuration Service Provider, CSP) basieren, wirken sich auf alle Benutzer im System aus.

Einstellung Wert Systemübergreifend
Experience/AllowCortana 0 - Nicht zulässig Ja
Start/AllowPinnedFolderDocuments 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderDownloads 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderFileExplorer 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderHomeGroup 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderMusic 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderNetwork 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderPersonalFolder 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderPictures 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderSettings 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/AllowPinnedFolderVideos 0 – Verknüpfung ist ausgeblendet und deaktiviert die Einstellung in der Einstellungs-App Ja
Start/DisableContextMenus 1 – Kontextmenüs für Start-Apps ausgeblendet Nein
Start/HidePeopleBar 1 – "True" (ausblenden) Nein
Start/HideChangeAccountSettings 1 – "True" (ausblenden) Ja
WindowsInkWorkspace/AllowWindowsInkWorkspace 0 – Zugriff auf Ink-Arbeitsbereich ist deaktiviert und das Feature ist deaktiviert Ja
Start/StartLayout Hängt von der Konfiguration ab Nein
WindowsLogon/DontDisplayNetworkSelectionUI <Aktiviert/> Ja

Provision .lnk-Dateien verwenden den Windows-Konfigurations-Designers

Erstellen Sie zunächst die Verknüpfungsdatei Ihrer Desktop-App, indem Sie die App auf einem Testgerät mithilfe des Standardinstallationsspeicherorts installieren. Klicken Sie mit der rechten Maustaste auf die installierte Anwendung, und wählen Sie Senden an>Desktop (Verknüpfung erstellen) aus. Benennen Sie die Verknüpfung in um. <appName>.lnk

Als Nächstes erstellen Sie eine Batchdatei mit zwei Befehlen. Wenn die Desktop-App bereits auf dem Zielgerät installiert ist, überspringen Sie den ersten Befehl für die Installation von MSI.

msiexec /I "<appName>.msi" /qn /norestart
copy <appName>.lnk "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\<appName>.lnk"

Im Windows Configuration Designer, unter ProvisioningCommands>DeviceContext:

  • Laden Sie unter CommandFiles Ihre Batchdatei, Ihre LNK-Datei und Ihre Desktop-App-Installationsdatei hoch.

    Wichtig

    Fügen Sie den vollständigen Dateipfad in die LNK-Datei in das Feld CommandFiles ein. Wenn Sie zu der LNK-Datei navigieren und diese auswählen, wird der Dateipfad in den Pfad des Ziels der LNK-Datei geändert.

  • Geben Sie unter Befehlszeile ein cmd /c *FileName*.bat.

Andere Methoden

Umgebungen, die WMI verwenden, können den MDM-Bridge-WMI-Anbieter verwenden, um einen Kiosk zu konfigurieren.