Qu’est-ce que l’accès affecté ?

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

L’accès affecté est une fonctionnalité Windows que vous pouvez utiliser pour configurer un appareil en tant que kiosque ou avec une expérience utilisateur restreinte.

Lorsque vous configurez une expérience kiosque, une application plateforme Windows universelle unique (UWP) ou Microsoft Edge est exécutée en plein écran, au-dessus de l’écran de verrouillage. Les utilisateurs peuvent uniquement utiliser cette application. Si l’application kiosque est fermée, elle redémarre automatiquement. Voici quelques exemples pratiques :

• Navigation publique
• Signalisation numérique interactive

Lorsque vous configurez une expérience utilisateur restreinte, les utilisateurs peuvent uniquement exécuter une liste définie d’applications, avec un menu Démarrer et une barre des tâches personnalisés. Différents paramètres de stratégie et règles AppLocker sont appliqués, ce qui crée une expérience verrouillée. Les utilisateurs peuvent accéder à un bureau Windows familier, tout en limitant leur accès, en réduisant les distractions et les possibilités d’utilisation par inadvertance. Idéal pour les appareils partagés, vous pouvez créer différentes configurations pour différents utilisateurs. Voici quelques exemples pratiques :

• Appareils de travail de première ligne
• Appareils des étudiants
• Appareils de labo

Remarque

Lorsque vous configurez une expérience utilisateur restreinte, différents paramètres de stratégie sont appliqués à l’appareil. Certains paramètres de stratégie s’appliquent uniquement aux utilisateurs standard et d’autres aux comptes d’administrateur. Pour plus d’informations, consultez Paramètres de stratégie d’accès affecté.

Conditions préalables

Voici les conditions requises pour l’accès affecté :

• Pour utiliser une expérience kiosque, le contrôle de compte d’utilisateur (UAC) doit être activé
• Pour utiliser une expérience kiosque, vous devez vous connecter à partir de la console. L’expérience kiosque n’est pas prise en charge via une connexion Bureau à distance

Conditions d'octroi de licence d'édition Windows

Le tableau suivant répertorie les éditions de Windows qui prennent en charge l’accès affecté :

Windows Pro	Windows Entreprise	Windows Pro Education/SE	Windows Éducation
Oui	Oui	Oui	Oui

Les droits de licence Access attribués sont accordés par les licences suivantes :

Windows Pro/Professionnel Éducation/SE	Windows Entreprise E3	Windows Entreprise E5	Windows Éducation A3	Windows Éducation A5
Oui	Oui	Oui	Oui	Oui

Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.

Configurer une expérience kiosque

Il existe plusieurs options pour configurer une expérience kiosque. Si vous devez configurer un seul appareil avec un compte local, vous pouvez utiliser :

• PowerShell : vous pouvez utiliser l’applet Set-AssignedAccess de commande PowerShell pour configurer une expérience kiosque à l’aide d’un compte standard local
• Paramètres : utilisez cette option lorsque vous avez besoin d’une méthode simple pour configurer un seul appareil avec un compte d’utilisateur standard local

Pour les personnalisations avancées, vous pouvez utiliser le fournisseur csp Accès affecté pour configurer l’expérience kiosque. Le csp vous permet de configurer l’application kiosque, le compte d’utilisateur et le comportement de l’application kiosque. Lorsque vous utilisez le fournisseur de solutions Cloud, vous devez créer un fichier de configuration XML qui spécifie l’application kiosque et le compte d’utilisateur. Le fichier XML est appliqué à l’appareil à l’aide de l’une des options suivantes :

• Une solution mobile Gestion des appareils (GPM), comme Microsoft Intune
• Packages de configuration
• PowerShell, avec le fournisseur WMI du pont MDM

Pour savoir comment configurer le fichier XML du lanceur d’interpréteur de commandes, consultez Créer un fichier de configuration d’accès affecté.

Les instructions suivantes fournissent des détails sur la configuration de vos appareils. Sélectionnez l’option qui convient le mieux à vos besoins.

Intune/CSP

Vous pouvez configurer des appareils à l’aide d’une stratégie personnalisée avec le fournisseur csp AssignedAccess.

• Réglage:./Vendor/MSFT/AssignedAccess/Configuration
• Valeur : contenu du fichier de configuration XML

Affectez la stratégie à un groupe qui contient en tant que membres les appareils que vous souhaitez configurer.

PPKG

Utilisez les paramètres suivants pour créer un package d’approvisionnement :

• Chemin:AssignedAccess/AssignedAccessSettings
• Valeur: Entrez le compte et l’application que vous souhaitez utiliser pour l’accès affecté, à l’aide de l’AUMID de l’application. Exemple :
  • {"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}

Appliquez le package d’approvisionnement aux appareils que vous souhaitez configurer.

PowerShell

Pour configurer un appareil à l’aide de Windows PowerShell :

1. Se connecter en tant qu’administrateur

2. Créer le compte d’utilisateur pour l’accès affecté

3. Connectez-vous en tant que compte d’utilisateur Accès affecté

4. Installer l’application UWP requise

5. Déconnectez-vous en tant que compte d’utilisateur Accès affecté

6. Connectez-vous en tant qu’administrateur et à partir d’une invite PowerShell avec élévation de privilèges, utilisez l’une des commandes suivantes :

   #Configure Assigned Access by AppUserModelID and user name
   Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
   
   #Configure Assigned Access by AppUserModelID and user SID
   Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
   
   #Configure Assigned Access by app name and user name
   Set-AssignedAccess -AppName <CustomApp> -UserName <username>
   
   #Configure Assigned Access by app name and user SID**:
   Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
   
   

Remarque

Pour configurer l’accès affecté à l’aide -AppNamede , le compte d’utilisateur que vous entrez pour l’accès affecté doit être connecté au moins une fois.

Pour plus d'informations :

• Recherchez l'ID de modèle utilisateur de l'application d'une application installée
• Set-AssignedAccess

Pour supprimer l’accès affecté, à l’aide de PowerShell, exécutez l’applet de commande suivante :

Clear-AssignedAccess

Pour les personnalisations avancées qui utilisent le fichier de configuration XML, vous pouvez utiliser des scripts PowerShell via le fournisseur WMI du pont MDM.

Important

Pour tous les paramètres d’appareil, le client WMI Bridge doit être exécuté en tant que compte SYSTEM (LocalSystem).

Pour tester le script PowerShell, vous pouvez :

1. Télécharger l’outil psexec
2. Ouvrez une invite de commandes avec élévation de privilèges et exécutez : psexec.exe -i -s powershell.exe
3. Exécuter le script dans la session PowerShell

$shellLauncherConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Shell Launcher configuration"

Pour plus d’informations, consultez Utiliser des scripts PowerShell avec le fournisseur de pont WMI.

Paramètres

Voici les étapes de configuration d’un kiosque à l’aide de l’application Paramètres :

1. Ouvrez l’application Paramètres pour afficher et configurer un appareil en tant que kiosque. Accédez à Paramètres > Comptes > Autres utilisateurs ou utilisez le raccourci suivant :

   Autres utilisateurs

2. Sous Configurer un kiosque, sélectionnez Prise en main

3. Dans la boîte de dialogue Créer un compte, entrez le nom du compte, puis sélectionnez Suivant.

   Remarque

   S’il existe déjà des comptes d’utilisateur standard locaux, la boîte de dialogue Créer un compte offre la possibilité de choisir un compte existant

4. Choisissez l’application à exécuter lorsque le compte kiosque se connecte. Seules les applications qui peuvent s’exécuter au-dessus de l’écran de verrouillage sont disponibles dans la liste des applications à choisir. Si vous sélectionnez Microsoft Edge comme application kiosque, vous configurez les options suivantes :

   • Indique si Microsoft Edge doit afficher votre site web en plein écran (signe numérique) ou avec certains contrôles de navigateur disponibles (navigateur public)
   • Quelle URL doit être ouverte lorsque les comptes kiosque se connecte
   • Quand Microsoft Edge doit redémarrer après une période d’inactivité (si vous choisissez d’exécuter en tant que navigateur public)

5. Sélectionnez Fermer.

Lorsque l’appareil n’est pas joint à un domaine ou à un Microsoft Entra ID Active Directory, la connexion automatique du compte kiosque est configurée automatiquement :

• Si vous souhaitez que le compte kiosque se connecte automatiquement et que l’application kiosque soit lancée lors du redémarrage de l’appareil, vous n’avez rien à faire
• Si vous ne souhaitez pas que le compte kiosque se connecte automatiquement lorsque l’appareil redémarre, vous devez modifier le paramètre par défaut avant de configurer l’appareil en tant que kiosque. Connectez-vous avec le compte que vous souhaitez utiliser comme compte kiosque. Ouvrez Paramètres>Comptes>Options de connexion. Définissez le paramètre Utiliser mes informations de connexion pour terminer automatiquement la configuration de mon appareil après une mise à jour ou un redémarrage sur Désactivé. Après avoir modifié le paramètre, vous pouvez appliquer la configuration kiosque à l’appareil

Astuce

Pour obtenir des exemples pratiques, consultez démarrage rapide : Configurer une borne avec un accès affecté.

Configurer une expérience utilisateur restreinte

Pour configurer une expérience utilisateur restreinte avec l’accès affecté, vous devez créer un fichier de configuration XML avec les paramètres de l’expérience souhaitée. Le fichier XML est appliqué à l’appareil via le csp Accès affecté, à l’aide de l’une des options suivantes :

• Une solution mobile Gestion des appareils (GPM), comme Microsoft Intune
• Packages de configuration
• PowerShell, avec le fournisseur WMI du pont MDM

Pour savoir comment configurer le fichier XML d’accès affecté, consultez Créer un fichier de configuration d’accès affecté.

Les instructions suivantes fournissent des détails sur la configuration de vos appareils. Sélectionnez l’option qui convient le mieux à vos besoins.

Intune/CSP

Vous pouvez configurer des appareils à l’aide d’une stratégie personnalisée avec le fournisseur csp AssignedAccess.

• Réglage:./Vendor/MSFT/AssignedAccess/ShellLauncher
• Valeur : contenu du fichier de configuration XML

Affectez la stratégie à un groupe qui contient en tant que membres les appareils que vous souhaitez configurer.

PPKG

Utilisez les paramètres suivants pour créer un package d’approvisionnement :

• Chemin:AssignedAccess/MultiAppAssignedAccessSettings
• Valeur : contenu du fichier de configuration XML

Appliquez le package d’approvisionnement aux appareils que vous souhaitez configurer.

PowerShell

Configurez vos appareils à l’aide de scripts PowerShell via le fournisseur WMI du pont MDM.

Important

Pour tous les paramètres d’appareil, le client WMI Bridge doit être exécuté en tant que compte SYSTEM (LocalSystem).

Pour tester le script PowerShell, vous pouvez :

1. Télécharger l’outil psexec
2. Ouvrez une invite de commandes avec élévation de privilèges et exécutez : psexec.exe -i -s powershell.exe
3. Exécuter le script dans la session PowerShell

$assignedAccessConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Assigned Access configuration"

Pour plus d’informations, consultez Utiliser des scripts PowerShell avec le fournisseur de pont WMI.

Paramètres

Cette option n’est pas disponible à l’aide de Paramètres.

Astuce

Pour obtenir des exemples pratiques, consultez démarrage rapide : Configurer une expérience utilisateur restreinte avec l’accès affecté

Expérience de l'utilisateur

Pour valider l’expérience utilisateur kiosque ou restreinte, connectez-vous avec le compte d’utilisateur que vous avez spécifié dans le fichier de configuration.

La configuration de l’accès affecté prend effet la prochaine fois que l’utilisateur ciblé se connecte. Si ce compte d’utilisateur est connecté lorsque vous appliquez la configuration, déconnectez-vous et reconnectez-vous pour valider l’expérience.

Remarque

À compter de Windows 11, une expérience utilisateur restreinte prend en charge l’utilisation de plusieurs moniteurs.

Clavier tactile autotrigger

Le clavier tactile est automatiquement déclenché lorsqu’une entrée est nécessaire et qu’aucun clavier physique n’est attaché sur les appareils tactiles. Vous n’avez pas besoin de configurer un autre paramètre pour appliquer ce comportement.

Astuce

Le clavier tactile est déclenché uniquement lorsque vous appuyez sur une zone de texte. Les clics de souris ne déclenchent pas le clavier tactile. Si vous testez cette fonctionnalité, utilisez un appareil physique au lieu d’une machine virtuelle, car le clavier tactile n’est pas déclenché sur les machines virtuelles.

Se déconnecter d’un accès affecté

Par défaut, pour quitter l’expérience kiosque, appuyez sur Ctrl + Alt + Suppr. L’application kiosque se ferme automatiquement. Si vous vous reconnectez en tant que compte d’accès affecté ou que vous attendez que le délai d’écran de connexion soit expiré, l’application kiosque se relance. Le délai d’expiration par défaut est de 30 secondes, mais vous pouvez modifier le délai d’expiration avec la clé de Registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

Pour modifier l’heure par défaut de reprise de l’accès affecté, ajoutez IdleTimeOut (DWORD) et entrez les données de valeur en millisecondes en hexadécimal.

Remarque

IdleTimeOut ne s’applique pas au mode plein écran de Microsoft Edge.

La séquence breakout de Ctrl + Alt + Suppr est la valeur par défaut, mais cette séquence peut être configurée pour être une autre séquence de touches. La séquence de breakout utilise les modificateurs de format + clés. Un exemple de séquence de breakout est CTRL + ALT + A, où CTRL + ALT sont les modificateurs, et A est la valeur de clé. Pour plus d’informations, consultez Créer un fichier XML de configuration d’accès affecté.

Raccourcis clavier

Les raccourcis clavier suivants sont bloqués pour les comptes d’utilisateur disposant d’un accès affecté :

Raccourci clavier	Action
Ctrl + Période de travail + Esc	Ouvrir le Gestionnaire des tâches
GAGNER + , (virgule)	Vue temporaire du Bureau
GAGNER + Un	Ouvrir le centre de notifications
GAGNER + Alt + D	Afficher et masquer la date et l’heure sur le bureau
GAGNER + Ctrl + F	Rechercher des objets ordinateur dans Active Directory
GAGNER + D	Afficher et masquer le bureau
GAGNER + E	Ouvrir l’Explorateur de fichiers.
GAGNER + F	Ouvrir le Hub de commentaires
GAGNER + G	Ouvrir la barre de jeux lorsqu’un jeu est ouvert
GAGNER + Je	Ouvrez le menu Paramètres
GAGNER + J	Définir le focus sur un conseil Windows lorsqu’il est disponible
GAGNER + O	Verrouiller l’orientation de l’appareil
GAGNER + Q	Ouvrir la fonctionnalité de recherche
GAGNER + R	Ouvrir la boîte de dialogue Exécuter
GAGNER + S	Ouvrir la fonctionnalité de recherche
GAGNER + Période de travail + C	Ouvrir Cortana en mode d’écoute
GAGNER + X	Ouvrir le menu Lien rapide
LaunchApp1	Ouvrir l’application affectée à cette clé
LaunchApp2	Ouvrez l’application affectée à cette clé. Sur de nombreux claviers Microsoft, l’application est Calculatrice
LaunchMail	Ouvrir le client de messagerie par défaut

Supprimer l’accès affecté

La suppression de l’expérience utilisateur restreinte supprime les paramètres de stratégie associés aux utilisateurs, mais elle ne peut pas annuler toutes les configurations. Par exemple, la configuration du menu Démarrer est conservée.

Étapes suivantes

Passez en revue les recommandations avant de déployer l’accès affecté :

Recommandations relatives à l’accès affecté