Créer un fichier XML de configuration d’accès affecté

Pour configurer l’accès affecté, vous devez créer et appliquer un fichier XML de configuration à vos appareils. Le fichier de configuration doit être conforme à un schéma, tel que défini dans Définition de schéma XML d’accès affecté (XSD).

Cet article explique comment configurer un fichier de configuration d’accès affecté, y compris des exemples pratiques.

Commençons par observer la structure de base du fichier XML. Un fichier de configuration Accès affecté contient :

  • Un ou plusieurs profiles. Chacun profile définit un ensemble d’applications qui sont autorisées à s’exécuter
  • Un ou plusieurs configs. Chacun config associe un compte d’utilisateur ou un groupe à un profile

Voici un exemple de base de fichier de configuration d’accès affecté, avec un profil et une configuration :

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config">
    <Profiles>
        <Profile Id="{GUID}">
            <!-- Add configuration here as needed -->
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <!-- Add configuration here as needed -->
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Contrôle de version

Le code XML de configuration de l’accès affecté est versionné. La version est définie dans l’élément racine XML et elle est utilisée pour déterminer le schéma à utiliser pour valider le fichier XML. La version est également utilisée pour déterminer les fonctionnalités disponibles pour la configuration. Voici un tableau des versions, des alias utilisés dans les exemples de documentation et des espaces de noms :

Version Alias Espace de noms
Préversion de Windows 11, version 22H2 désormais disponible v5 http://schemas.microsoft.com/AssignedAccess/2022/config
Windows 11, version 21H2 v4 http://schemas.microsoft.com/AssignedAccess/2021/config
Windows 10 v5 http://schemas.microsoft.com/AssignedAccess/202010/config
Windows 10 v3 http://schemas.microsoft.com/AssignedAccess/2020/config
Windows 10 rs5 http://schemas.microsoft.com/AssignedAccess/201810/config
Windows 10 par défaut http://schemas.microsoft.com/AssignedAccess/2017/config

Pour autoriser un xml de configuration compatible qui inclut des éléments et des attributs spécifiques à la version, incluez toujours l’espace de noms des schémas de module complémentaire et décorez les attributs et les éléments en conséquence avec l’alias d’espace de noms. Par exemple, pour configurer la StartPins fonctionnalité qui a été ajoutée dans Windows 11, version 22H2, utilisez l’exemple ci-dessous. Notez l’alias v5 associé à l’espace http://schemas.microsoft.com/AssignedAccess/2022/config de noms pour la version 22H2, et l’alias est étiqueté StartPins sur inline.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v5="http://schemas.microsoft.com/AssignedAccess/2022/config">
    <Profiles>
        <Profile Id="{GUID}">
            <!-- Add configuration here as needed -->
            <v5:StartPins>
              <!-- Add StartPins configuration here -->
            </v5:StartPins>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <!-- Add configuration here as needed -->
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Vous trouverez ici les définitions de schéma XML d’accès affecté : Définition de schéma XML d’accès affecté (XSD).

Profils

Un fichier de configuration peut contenir un ou plusieurs profils. Chaque profil est identifié par un identificateur Profile Id unique et, éventuellement, un Name. Exemple :

<Profiles>
  <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
    <!-- Add configuration here as needed -->
  </Profile>
</Profiles>

Astuce

doit Profile Id être unique dans le fichier XML. Vous pouvez générer un GUID avec l’applet de commande New-GuidPowerShell .

Un profil peut être de l’un des deux types suivants :

  • KioskModeApp: est utilisé pour configurer une expérience kiosque. Les utilisateurs auxquels ce profil est attribué n’accèdent pas au bureau, mais uniquement à l’application plateforme Windows universelle (UWP) ou Microsoft Edge s’exécutant en plein écran au-dessus de l’écran de verrouillage
  • AllAppList est utilisé pour configurer une expérience utilisateur restreinte. Les utilisateurs auxquels ce profil a été attribué accèdent au bureau avec les applications spécifiques dans le menu Démarrer

Important

  • Vous ne pouvez pas définir à la fois KioskModeApp et ShellLauncher en même temps sur l’appareil
  • Un fichier de configuration ne peut contenir qu’un KioskModeApp seul profil, mais il peut contenir plusieurs AllAppList profils.

KioskModeApp

Les propriétés d’un KioskModeApp profil sont les suivantes :

Propriété Description Détails
AppUserModelId ID de modèle utilisateur de l’application (AUMID) de l’application UWP. Découvrez comment rechercher l’ID de modèle utilisateur d’application d’une application installée.
v4:ClassicAppPath Chemin d’accès complet à un exécutable d’application de bureau. Il s’agit du chemin d’accès à l’application de bureau utilisée en mode plein écran. Le chemin d’accès peut contenir des variables d’environnement système sous la forme de %variableName%.
v4:ClassicAppArguments Arguments à passer à l’application de bureau. Cette propriété est facultative.

Par défaut, vous pouvez utiliser la séquence CTRL+ALT+SUPpr pour quitter le mode plein écran. Vous pouvez définir un BreakoutSequence élément pour modifier la séquence par défaut. L’attribut Key est une chaîne qui représente la combinaison de touches.

Exemple de deux profils, une application de bureau et une application UWP :

<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
  <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
  <v4:BreakoutSequence Key="Ctrl+A"/>
</Profile>
<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F79}">
  <KioskModeApp AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
</Profile>

Remarque

Vous pouvez uniquement attribuer un profil à des KioskModeApp utilisateurs, et non à des groupes.

AllAppList

Selon les objectifs fixés à l’appareil de la borne, définissez la liste des applications autorisées à s'exécuter. Cette liste peut contenir à la fois des applications UWP et des applications de bureau. Lorsque la configuration kiosque multi-application est appliquée à un appareil, des règles AppLocker sont générées pour autoriser les applications répertoriées dans la configuration.

Remarque

Si une application a une dépendance à une autre application, les deux doivent être incluses dans la liste des applications autorisées.

Dans le AllAppList nœud, définissez une liste d’applications qui sont autorisées à s’exécuter. Chaque App élément a les propriétés suivantes :

Propriété Description Détails
AppUserModelId ID de modèle utilisateur de l’application (AUMID) de l’application UWP. Découvrez comment rechercher l’ID de modèle utilisateur d’application d’une application installée.
DesktopAppPath Chemin d’accès complet à un exécutable d’application de bureau. Il s’agit du chemin d’accès à l’application de bureau utilisée en mode plein écran. Le chemin d’accès peut contenir des variables d’environnement système sous la forme de %variableName%.
rs5:AutoLaunch Attribut booléen pour indiquer s’il faut lancer l’application (application de bureau ou UWP) automatiquement lorsque l’utilisateur se connecte. Cette propriété est facultative. Une seule application peut se faire automatiquement.
rs5:AutoLaunchArguments Arguments à passer à l’application configurée avec AutoLaunch. Les autoLaunchArguments sont passés aux applications telles quelles et l’application doit gérer les arguments explicitement. Cette propriété est facultative.

Exemple :

<AllAppsList>
  <AllowedApps>
    <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
    <App DesktopAppPath="C:\Windows\system32\cmd.exe" />
    <App DesktopAppPath="%windir%\explorer.exe" />
    <App AppUserModelId="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" />
    <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="%windir%\setuperr.log" />
  </AllowedApps>
</AllAppsList>

Explorateur de fichiers restrictions

Dans une expérience utilisateur restreinte (AllAppList), la navigation dans les dossiers est verrouillée par défaut. Vous pouvez autoriser explicitement l’accès aux dossiers connus en incluant le FileExplorerNamespaceRestrictions nœud.

Vous pouvez spécifier l’accès utilisateur au dossier Téléchargements, aux lecteurs amovibles ou à aucune restriction. Les téléchargements et les lecteurs amovibles peuvent être autorisés en même temps.

<Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
        <AllAppsList>
            <AllowedApps>
                <!-- Add configuration here as needed -->
            </AllowedApps>
        </AllAppsList>
        <rs5:FileExplorerNamespaceRestrictions>
            <!-- Add configuration here as needed -->
        </rs5:FileExplorerNamespaceRestrictions>
        <!-- Add configuration here as needed -->
    </Profile>
</Profiles>

Voici quelques exemples pratiques.

Bloquer tout

N’utilisez pas le nœud ou laissez-le vide.

<rs5:FileExplorerNamespaceRestrictions>
</rs5:FileExplorerNamespaceRestrictions>

Autoriser uniquement les téléchargements

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
</rs5:FileExplorerNamespaceRestrictions>

Autoriser uniquement les lecteurs amovibles

<rs5:FileExplorerNamespaceRestrictions>
    <v3:AllowRemovableDrives />
</rs5:FileExplorerNamespaceRestrictions>

Autoriser les téléchargements et les lecteurs amovibles

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
    <v3:AllowRemovableDrives/>
</rs5:FileExplorerNamespaceRestrictions>

Aucune restriction, tous les emplacements sont autorisés

<rs5:FileExplorerNamespaceRestrictions>
    <v3:NoRestriction />
</rs5:FileExplorerNamespaceRestrictions>

Astuce

Pour accorder l’accès à Explorateur de fichiers dans une expérience utilisateur restreinte, ajoutez Explorer.exe à la liste des applications autorisées et épinglez un raccourci au menu Démarrer.

Personnalisations du menu Démarrer

Pour un profil d’expérience utilisateur restreint (AllAppList), vous devez définir la disposition de l’écran de démarrage. La disposition Démarrer contient une liste d’applications épinglées au menu Démarrer. Vous pouvez choisir d’épingler toutes les applications autorisées au menu Démarrer ou à un sous-ensemble. Le moyen le plus simple de créer une disposition de démarrage personnalisée consiste à configurer le menu Démarrer sur un appareil de test, puis à exporter la disposition.

Pour savoir comment personnaliser et exporter une configuration de menu Démarrer, consultez Personnaliser le menu Démarrer.

Avec la configuration du menu Démarrer exporté, utilisez l’élément StartLayout et ajoutez le contenu du fichier XML. Exemple :

<StartLayout>
  <![CDATA[
    <!-- Add your exported Start menu XML configuration file here -->
  ]]>
</StartLayout>

Exemple avec certaines applications épinglées :

<StartLayout>
  <![CDATA[
    <LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
    xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1"
    xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
      <LayoutOptions StartTileGroupCellWidth="6" />
      <DefaultLayoutOverride>
        <StartLayoutCollection>
          <defaultlayout:StartLayout GroupCellWidth="6">
            <start:Group Name="Group1">
              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.  ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.  ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
            </start:Group>
            <start:Group Name="Group2">
              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0"   DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start   Menu\Programs\Accessories\Paint.lnk" />
              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0"   DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.  lnk" />
            </start:Group>
          </defaultlayout:StartLayout>
        </StartLayoutCollection>
      </DefaultLayoutOverride>
    </LayoutModificationTemplate>
  ]]>
</StartLayout>

Pour savoir comment personnaliser et exporter une configuration de menu Démarrer, consultez Personnaliser le menu Démarrer.

Avec la configuration du menu Démarrer exporté, utilisez l’élément v5:StartPins et ajoutez le contenu du fichier JSON exporté. Exemple :

<v5:StartPins>
  <![CDATA[
      <!-- Add your exported Start menu JSON configuration file here -->
  ]]>
</v5:StartPins>

Exemple avec certaines applications épinglées :

<v5 :StartPins>

</v5 :StartPins>

Remarque

Si une application n’est pas installée pour l’utilisateur, mais qu’elle est incluse dans le xml de disposition de l’écran de démarrage, l’application ne s’affiche pas sur l’écran d’accueil.

Personnalisations de la barre des tâches

Vous ne pouvez pas épingler des applications sur la barre des tâches dans une expérience utilisateur restreinte. La configuration d’une disposition de barre des tâches à l’aide de la <CustomTaskbarLayoutCollection> balise dans un xml de modification de disposition n’est pas prise en charge dans le cadre de la configuration de l’accès affecté.

La seule personnalisation de la barre des tâches disponible est l’option permettant de l’afficher ou de la masquer à l’aide de l’attribut ShowTaskbar booléen.

L’exemple suivant expose la barre des tâches :

<Taskbar ShowTaskbar="true"/>

L’exemple suivant masque la barre des tâches :

<Taskbar ShowTaskbar="false"/>

Remarque

Cela diffère de l'option Masquer automatiquement la barre des tâches en mode tablette, qui affiche la barre des tâches lors d'un balayage vers le haut ou d'un déplacement du pointeur vers le bas de l’écran. La définition ShowTaskbar de sur false masque définitivement la barre des tâches.

Vous pouvez personnaliser la barre des tâches en créant une disposition personnalisée et en l’ajoutant à votre fichier XML. Pour savoir comment personnaliser et exporter la configuration de la barre des tâches, consultez Personnaliser la barre des tâches.

Remarque

Dans Windows 11, l’attribut ShowTaskbar est no-op. Configurez-le avec la valeur .true

Avec la configuration de la barre des tâches exportée, utilisez l’élément v5:TaskbarLayout et ajoutez le contenu du fichier XML. Par exemple :

<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
  <!-- Add your exported Taskbar XML configuration file here -->
  ]]>
</v5:TaskbarLayout>

Voici un exemple de barre des tâches personnalisée avec quelques applications épinglées :

<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
  <?xml version="1.0" encoding="utf-8"?>
  <LayoutModificationTemplate
      xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification"
      xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
      xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout"
      xmlns:taskbar="http://schemas.microsoft.com/Start/2014/TaskbarLayout"
      Version="1">
  <CustomTaskbarLayoutCollection>
    <defaultlayout:TaskbarLayout>
    <taskbar:TaskbarPinList>
        <taskbar:DesktopApp DesktopApplicationID="Microsoft.Windows.Explorer" />
        <taskbar:DesktopApp DesktopApplicationID="windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel" />
        <taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk"/>
    </taskbar:TaskbarPinList>
    </defaultlayout:TaskbarLayout>
  </CustomTaskbarLayoutCollection>
  </LayoutModificationTemplate>
  ]]>
</v5:TaskbarLayout>

Configurations

Sous Configs, définissez un ou plusieurs comptes d’utilisateur, ou groupes, et leur association à un profil.

Lorsque le compte d’utilisateur se connecte, le profil d’accès affecté associé est appliqué avec les paramètres de stratégie qui font partie de l’expérience utilisateur restreinte.

Vous pouvez attribuer :

  • Un compte d’utilisateur standard, qui peut être local, domaine ou Microsoft Entra ID
  • Un compte de groupe, qui peut être local, Active Directory (domaine) ou Microsoft Entra ID

Limitations:

  • Les configurations qui spécifient des comptes de groupe ne peuvent pas utiliser un profil kiosque, mais uniquement un profil d’expérience utilisateur restreinte
  • Appliquez l’expérience utilisateur restreinte aux utilisateurs standard uniquement. Il n’est pas possible d’associer un utilisateur administrateur à un profil d’accès affecté
  • N’appliquez pas le profil aux utilisateurs ou aux groupes ciblés par des stratégies d’accès conditionnel qui nécessitent une interaction utilisateur. Par exemple, l’authentification multifacteur (MFA) ou les conditions d’utilisation (TOU). Pour plus d’informations, consultez Les utilisateurs ne peuvent pas se connecter à Windows si un profil kiosque multi-application est attribué.

Remarque

Sur Microsoft Entra appareils joints et joints à un domaine, les comptes d’utilisateur locaux ne sont pas affichés sur l’écran de connexion par défaut. Pour afficher les comptes locaux sur l’écran de connexion, activez le paramètre de stratégie :

  • Objet de stratégie de groupe : Configuration> ordinateurModèles> d’administrationSystème>Ouverture de session>Énumérer les utilisateurs locaux sur les ordinateurs joints à un domaine
  • CSP : ./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers

Compte de connexion automatique

Avec <AutoLogonAccount>, l’accès affecté crée et gère un compte d’utilisateur pour se connecter automatiquement après le redémarrage d’un appareil. Le compte est un utilisateur standard local.

L’exemple suivant montre comment spécifier un compte à connecter automatiquement et le nom complet facultatif du compte sur l’écran de connexion :

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Microsoft Learn example"/>
    <DefaultProfile Id="{GUID}"/>
  </Config>
</Configs>

Important

Lorsque les restrictions de mot de passe Exchange Active Sync (EAS) sont actives sur l’appareil, la fonctionnalité de connexion automatique ne fonctionne pas. Ce comportement est normal. Pour plus d’informations, consultez Comment activer l’ouverture de session automatique dans Windows.

Profil global

Avec GlobalProfile, vous pouvez définir un profil d’accès affecté qui est appliqué à chaque compte non administrateur qui se connecte. GlobalProfile est utile dans les scénarios tels que les employés de première ligne ou les appareils des étudiants, où vous souhaitez vous assurer que chaque utilisateur dispose d’une expérience cohérente.

<Configs>
  <v3:GlobalProfile Id="{GUID}"/>
</Configs>

Remarque

Vous pouvez combiner un profil global avec d’autres profils. Si vous attribuez un profil non global à un utilisateur, le profil global n’est pas appliqué à cet utilisateur.

Comptes d’utilisateurs

Les comptes individuels sont spécifiés à l’aide de <Account>.

Important

Avant d’appliquer la configuration Accès affecté, vérifiez que le compte d’utilisateur spécifié est disponible sur l’appareil, sinon il échoue.

Pour les comptes de domaine et de Microsoft Entra, tant que l’appareil est joint à Active Directory ou Microsoft Entra joint, le compte peut être découvert dans la forêt de domaine ou le locataire auquel l’appareil est joint. Pour les comptes locaux, il est nécessaire que le compte existe avant de configurer le compte d’accès affecté.

Utilisateur local

Le compte local peut être entré en tant que devicename\user, .\userou simplement user.

<Config>
  <Account>user</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Utilisateur Active Directory

Les comptes de domaine doivent être entrés au format domain\samAccountName.

<Config>
  <Account>contoso\user</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

utilisateur Microsoft Entra

Microsoft Entra comptes doivent être spécifiés avec le format : AzureAD\{UPN}. AzureADdoit être fourni en l’état, puis suivre le Microsoft Entra nom d’utilisateur principal (UPN).

<Config>
  <Account>AzureAD\user@contoso.onmicrosoft.com</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Comptes de groupe

Les comptes de groupe sont spécifiés à l’aide de <UserGroup>. Les groupes imbriqués ne sont pas pris en charge. Par exemple, si l’utilisateur A est membre du groupe A, que le groupe A est membre du groupe B et que le groupe B est utilisé dans <Config/>, l’utilisateur A n’a pas l’expérience kiosque.

Groupe local

Spécifiez le type de groupe en tant que LocalGroup et ajoutez le nom du groupe dans l’attribut Name .

<Config>
  <UserGroup Type="LocalGroup" Name="groupname" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Groupe Active Directory

Les groupes de sécurité et de distribution sont pris en charge. Spécifiez le type de groupe comme ActiveDirectoryGroup. Utilisez le nom de domaine comme préfixe dans l’attribut name.

<Config>
  <UserGroup Type="ActiveDirectoryGroup" Name="contoso\groupname" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Microsoft Entra groupe

Utilisez l’ID d’objet du groupe Microsoft Entra. Vous trouverez l’ID d’objet dans la page de vue d’ensemble du groupe en vous connectant à l’centre d'administration Microsoft Entra et en accédant àGroupes>d’identité>Tous les groupes. Spécifiez le type de groupe comme AzureActiveDirectoryGroup. L’appareil kiosque doit disposer d’une connectivité Internet lorsque les utilisateurs qui appartiennent au groupe se connectent.

<Config>
  <UserGroup Type="AzureActiveDirectoryGroup" Name="Group_GUID" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Étapes suivantes

Passez en revue quelques exemples pratiques de configurations XML d’accès affecté :

Exemples d’accès affecté