Creare un file XML di configurazione di Accesso assegnato

  • Articolo

Per configurare l'accesso assegnato, è necessario creare e applicare un file XML di configurazione ai dispositivi. Il file di configurazione deve essere conforme a uno schema, come definito in XSD (Assigned Access XML Schema Definition).

Questo articolo descrive come configurare un file di configurazione di Accesso assegnato, inclusi esempi pratici.

Per iniziare, esaminiamo la struttura di base del file XML. Un file di configurazione di Accesso assegnato contiene:

  • Uno o più profiles. Ogni profile definisce un set di applicazioni che possono essere eseguite
  • Uno o più configs. Ognuno config associa un account utente o un gruppo a un profile

Ecco un esempio di base di un file di configurazione di Accesso assegnato, con un profilo e una configurazione:

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config">
    <Profiles>
        <Profile Id="{GUID}">
            <!-- Add configuration here as needed -->
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <!-- Add configuration here as needed -->
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Controllo delle versioni

Il codice XML di configurazione dell'accesso assegnato ha una versione. La versione è definita nell'elemento radice XML e viene usata per determinare quale schema usare per convalidare il file XML. La versione viene usata anche per determinare quali funzionalità sono disponibili per la configurazione. Ecco una tabella delle versioni, degli alias usati negli esempi di documentazione e degli spazi dei nomi:

Versione Alias Spazio dei nomi
Windows 11, versione 22H2 v5 http://schemas.microsoft.com/AssignedAccess/2022/config
Windows 11, versione 21H2 v4 http://schemas.microsoft.com/AssignedAccess/2021/config
Windows 10 v5 http://schemas.microsoft.com/AssignedAccess/202010/config
Windows 10 v3 http://schemas.microsoft.com/AssignedAccess/2020/config
Windows 10 rs5 http://schemas.microsoft.com/AssignedAccess/201810/config
Windows 10 default http://schemas.microsoft.com/AssignedAccess/2017/config

Per autorizzare un XML di configurazione compatibile che include elementi e attributi specifici della versione, includere sempre lo spazio dei nomi degli schemi dei componenti aggiuntivi e decorare gli attributi e gli elementi di conseguenza con l'alias dello spazio dei nomi. Ad esempio, per configurare la StartPins funzionalità aggiunta in Windows 11 versione 22H2, usare l'esempio seguente. Si noti l'alias v5 associato allo spazio dei nomi per la http://schemas.microsoft.com/AssignedAccess/2022/config versione 22H2 e l'alias viene contrassegnato come StartPins inline.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v5="http://schemas.microsoft.com/AssignedAccess/2022/config">
    <Profiles>
        <Profile Id="{GUID}">
            <!-- Add configuration here as needed -->
            <v5:StartPins>
              <!-- Add StartPins configuration here -->
            </v5:StartPins>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <!-- Add configuration here as needed -->
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Qui è possibile trovare le definizioni di XML Schema per l'accesso assegnato: definizione XSD (Assigned Access XML Schema Definition).

Profili

Un file di configurazione può contenere uno o più profili. Ogni profilo è identificato da un identificatore univoco Profile Id e, facoltativamente, da .Name Ad esempio:

<Profiles>
  <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
    <!-- Add configuration here as needed -->
  </Profile>
</Profiles>

Suggerimento

Deve Profile Id essere univoco all'interno del file XML. È possibile generare un GUID con il cmdlet New-Guiddi PowerShell.

Un profilo può essere di due tipi:

  • KioskModeApp: viene usato per configurare un'esperienza in modalità tutto schermo. Gli utenti assegnati a questo profilo non accedono al desktop, ma solo all'applicazione piattaforma UWP (Universal Windows Platform) (UWP) o a Microsoft Edge in esecuzione a schermo intero sopra la schermata di blocco
  • AllAppList viene usato per configurare un'esperienza utente con restrizioni. Gli utenti hanno assegnato questo profilo, accedere al desktop con le app specifiche nel menu Start

Importante

  • Non è possibile impostare sia che KioskModeAppShellLauncher contemporaneamente nel dispositivo
  • Un file di configurazione può contenere un KioskModeApp solo profilo, ma può contenere più AllAppList profili.

KioskModeApp

Le proprietà di un KioskModeApp profilo sono:

Proprietà Descrizione Dettagli
AppUserModelId ID del modello utente dell'applicazione (AUMID) dell'app UWP. Informazioni su come trovare l'ID modello utente dell'applicazione di un'app installata.
v4:ClassicAppPath Percorso completo di un eseguibile di un'app desktop. Questo è il percorso dell'app desktop usata in modalità tutto schermo. Il percorso può contenere variabili di ambiente di sistema sotto forma di %variableName%.
v4:ClassicAppArguments Argomenti da passare all'app desktop. Questa proprietà è facoltativa.

Per impostazione predefinita, è possibile usare la sequenza CTRL+ALT+CANC per uscire dalla modalità tutto schermo. È possibile definire un BreakoutSequence elemento per modificare la sequenza predefinita. L'attributo Key è una stringa che rappresenta la combinazione di tasti.

Esempio di due profili, un'app desktop e un'app UWP:

<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
  <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
  <v4:BreakoutSequence Key="Ctrl+A"/>
</Profile>
<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F79}">
  <KioskModeApp AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
</Profile>

Nota

È possibile assegnare un KioskModeApp profilo solo agli utenti, non ai gruppi.

AllAppList

In base alle finalità del chiosco multimediale, definisci l'elenco di applicazioni che possono essere eseguite. Questo elenco può contenere sia app UWP che app desktop. Quando la configurazione del chiosco multimediale mult-app viene applicata a un dispositivo, vengono generate regole di AppLocker per consentire le app elencate nella configurazione.

Nota

Se un'app ha una dipendenza da un'altra app, entrambe devono essere incluse nell'elenco delle app consentite.

All'interno del AllAppList nodo definire un elenco di applicazioni consentite per l'esecuzione. Ogni App elemento ha le proprietà seguenti:

Proprietà Descrizione Dettagli
AppUserModelId ID del modello utente dell'applicazione (AUMID) dell'app UWP. Informazioni su come trovare l'ID modello utente dell'applicazione di un'app installata.
DesktopAppPath Percorso completo di un eseguibile di un'app desktop. Questo è il percorso dell'app desktop usata in modalità tutto schermo. Il percorso può contenere variabili di ambiente di sistema sotto forma di %variableName%.
rs5:AutoLaunch Attributo booleano per indicare se avviare automaticamente l'app (desktop o UWP) quando l'utente accede. Questa proprietà è facoltativa. È possibile avviare automaticamente solo un'applicazione.
rs5:AutoLaunchArguments Argomenti da passare all'app configurata con AutoLaunch. AutoLaunchArguments viene passato alle app così come è e l'app deve gestire gli argomenti in modo esplicito. Questa proprietà è facoltativa.

Esempio:

<AllAppsList>
  <AllowedApps>
    <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
    <App DesktopAppPath="C:\Windows\system32\cmd.exe" />
    <App DesktopAppPath="%windir%\explorer.exe" />
    <App AppUserModelId="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" />
    <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="%windir%\setuperr.log" />
  </AllowedApps>
</AllAppsList>

restrizioni Esplora file

In un'esperienza utente con restrizioni (AllAppList), l'esplorazione delle cartelle è bloccata per impostazione predefinita. È possibile consentire in modo esplicito l'accesso alle cartelle note includendo il FileExplorerNamespaceRestrictions nodo .

È possibile specificare l'accesso utente alla cartella Download, alle unità rimovibili o a nessuna restrizione. I download e le unità rimovibili possono essere consentiti contemporaneamente.

<Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
        <AllAppsList>
            <AllowedApps>
                <!-- Add configuration here as needed -->
            </AllowedApps>
        </AllAppsList>
        <rs5:FileExplorerNamespaceRestrictions>
            <!-- Add configuration here as needed -->
        </rs5:FileExplorerNamespaceRestrictions>
        <!-- Add configuration here as needed -->
    </Profile>
</Profiles>

Ecco alcuni esempi pratici.

Blocca tutto

Non usare il nodo o lasciarlo vuoto.

<rs5:FileExplorerNamespaceRestrictions>
</rs5:FileExplorerNamespaceRestrictions>

Consenti solo download

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
</rs5:FileExplorerNamespaceRestrictions>

Consenti solo unità rimovibili

<rs5:FileExplorerNamespaceRestrictions>
    <v3:AllowRemovableDrives />
</rs5:FileExplorerNamespaceRestrictions>

Consenti download e unità rimovibili

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
    <v3:AllowRemovableDrives/>
</rs5:FileExplorerNamespaceRestrictions>

Nessuna restrizione, tutte le posizioni sono consentite

<rs5:FileExplorerNamespaceRestrictions>
    <v3:NoRestriction />
</rs5:FileExplorerNamespaceRestrictions>

Suggerimento

Per concedere l'accesso a Esplora file in un'esperienza utente con restrizioni, aggiungere Explorer.exe all'elenco delle app consentite e aggiungere un collegamento al menu Start.

Personalizzazioni del menu Start

Per un profilo di esperienza utente con restrizioni (AllAppList), è necessario definire il layout Start. Il layout Start contiene un elenco di applicazioni aggiunte al menu Start. È possibile scegliere di aggiungere tutte le applicazioni consentite al menu Start o a un subset. Il modo più semplice per creare un layout start personalizzato consiste nel configurare il menu Start in un dispositivo di test e quindi esportare il layout.

Per informazioni su come personalizzare ed esportare una configurazione del menu Start, vedere Personalizzare il menu Start.

Con la configurazione del menu Start esportato, usare l'elemento StartLayout e aggiungere il contenuto del file XML. Ad esempio:

<StartLayout>
  <![CDATA[
    <!-- Add your exported Start menu XML configuration file here -->
  ]]>
</StartLayout>

Esempio con alcune app aggiunte:

<StartLayout>
  <![CDATA[
    <LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
    xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1"
    xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
      <LayoutOptions StartTileGroupCellWidth="6" />
      <DefaultLayoutOverride>
        <StartLayoutCollection>
          <defaultlayout:StartLayout GroupCellWidth="6">
            <start:Group Name="Group1">
              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.  ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.  ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
            </start:Group>
            <start:Group Name="Group2">
              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0"   DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start   Menu\Programs\Accessories\Paint.lnk" />
              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0"   DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.  lnk" />
            </start:Group>
          </defaultlayout:StartLayout>
        </StartLayoutCollection>
      </DefaultLayoutOverride>
    </LayoutModificationTemplate>
  ]]>
</StartLayout>

Con la configurazione del menu Start esportato, usare l'elemento v5:StartPins e aggiungere il contenuto del file JSON esportato. Ad esempio:

<v5:StartPins>
  <![CDATA[
      <!-- Add your exported Start menu JSON configuration file here -->
  ]]>
</v5:StartPins>

Esempio con alcune app aggiunte:

<v5:StartPins>

</v5:StartPins>

Nota

Se un'app non è installata per l'utente, ma è inclusa nel codice XML del layout start, l'app non viene visualizzata nella schermata Start.

Personalizzazioni della barra delle applicazioni

Non è possibile aggiungere app sulla barra delle applicazioni in un'esperienza utente con restrizioni. Non è supportato configurare un layout della barra delle applicazioni usando il <CustomTaskbarLayoutCollection> tag in un xml di modifica del layout, come parte della configurazione accesso assegnato.

L'unica personalizzazione della barra delle applicazioni disponibile è l'opzione per visualizzarla o nasconderla usando l'attributo ShowTaskbar booleano.

L'esempio seguente espone la barra delle applicazioni:

<Taskbar ShowTaskbar="true"/>

Nell'esempio seguente la barra delle applicazioni viene nascosta:

<Taskbar ShowTaskbar="false"/>

Nota

Questo caso è diverso dall'opzione Nascondi automaticamente la barra delle applicazioni in modalità tablet, che mostra la barra delle applicazioni quando si scorre rapidamente verso l'alto o si sposta il puntatore del mouse nella parte inferiore dello schermo. L'impostazione ShowTaskbar di come false nasconde la barra delle applicazioni in modo permanente.

È possibile personalizzare la barra delle applicazioni creando un layout personalizzato e aggiungendolo al file XML. Per informazioni su come personalizzare ed esportare la configurazione della barra delle applicazioni, vedere Personalizzare la barra delle applicazioni.

Nota

In Windows 11, l'attributo ShowTaskbar è no-op. Configurarlo con un valore di true.

Con la configurazione della barra delle applicazioni esportata, usare l'elemento v5:TaskbarLayout e aggiungere il contenuto del file XML. Ad esempio:

<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
  <!-- Add your exported Taskbar XML configuration file here -->
  ]]>
</v5:TaskbarLayout>

Ecco un esempio di barra delle applicazioni personalizzata con alcune app aggiunte:

<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
  <?xml version="1.0" encoding="utf-8"?>
  <LayoutModificationTemplate
      xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification"
      xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
      xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout"
      xmlns:taskbar="http://schemas.microsoft.com/Start/2014/TaskbarLayout"
      Version="1">
  <CustomTaskbarLayoutCollection>
    <defaultlayout:TaskbarLayout>
    <taskbar:TaskbarPinList>
        <taskbar:DesktopApp DesktopApplicationID="Microsoft.Windows.Explorer" />
        <taskbar:DesktopApp DesktopApplicationID="windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel" />
        <taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk"/>
    </taskbar:TaskbarPinList>
    </defaultlayout:TaskbarLayout>
  </CustomTaskbarLayoutCollection>
  </LayoutModificationTemplate>
  ]]>
</v5:TaskbarLayout>

Configs

In Configsdefinire uno o più account utente o gruppi e la relativa associazione a un profilo.

Quando l'account utente accede, il profilo di accesso assegnato associato viene applicato insieme alle impostazioni dei criteri che fanno parte dell'esperienza utente con restrizioni.

È possibile assegnare:

  • Un account utente standard, che può essere locale, dominio o Microsoft Entra ID
  • Un account di gruppo, che può essere locale, Active Directory (dominio) o Microsoft Entra ID

Limitazioni:

  • Le configurazioni che specificano gli account di gruppo non possono usare un profilo chiosco multimediale, ma solo un profilo di esperienza utente con restrizioni
  • Applicare l'esperienza utente con restrizioni solo agli utenti standard. Non è supportato associare un utente amministratore a un profilo di accesso assegnato
  • Non applicare il profilo a utenti o gruppi destinati a criteri di accesso condizionale che richiedono l'interazione dell'utente. Ad esempio, multi-factor authentication (MFA) o Condizioni per l'utilizzo (TOU). Per altre informazioni, vedere Gli utenti non possono accedere a Windows se viene assegnato un profilo chiosco multimediale multi-app

Nota

In Microsoft Entra dispositivi aggiunti a un dominio e aggiunti a un dominio, gli account utente locali non vengono visualizzati nella schermata di accesso per impostazione predefinita. Per visualizzare gli account locali nella schermata di accesso, abilitare l'impostazione dei criteri:

  • Oggetto Criteri di gruppo: Configurazione> computerModelli> amministrativiAccesso>di sistema>Enumerare gli utenti locali nei computer aggiunti a un dominio
  • CSP: ./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers

Account di accesso automatico

Con <AutoLogonAccount>, Accesso assegnato crea e gestisce un account utente per l'accesso automatico dopo il riavvio di un dispositivo. L'account è un utente standard locale.

Nell'esempio seguente viene illustrato come specificare un account per l'accesso automatico e il nome visualizzato facoltativo per l'account nella schermata di accesso:

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Microsoft Learn example"/>
    <DefaultProfile Id="{GUID}"/>
  </Config>
</Configs>

Importante

Quando le restrizioni delle password di Exchange Active Sync (EAS) sono attive nel dispositivo, la funzionalità di accesso automatico non funziona. Si tratta di un comportamento previsto. Per altre informazioni, vedere Come attivare l'accesso automatico in Windows.

Profilo globale

Con GlobalProfileè possibile definire un profilo di accesso assegnato applicato a ogni account non amministratore che esegue l'accesso. GlobalProfile è utile in scenari come i lavoratori in prima linea o i dispositivi per studenti, in cui si vuole garantire che ogni utente abbia un'esperienza coerente.

<Configs>
  <v3:GlobalProfile Id="{GUID}"/>
</Configs>

Nota

È possibile combinare un profilo globale con altri profili. Se si assegna a un utente un profilo non globale, il profilo globale non verrà applicato a tale utente.

Account utente

I singoli account vengono specificati usando <Account>.

Importante

Prima di applicare la configurazione accesso assegnato, verificare che l'account utente specificato sia disponibile nel dispositivo, in caso contrario non riesce.

Sia per gli account di dominio che di Microsoft Entra, purché il dispositivo sia aggiunto ad Active Directory o Microsoft Entra aggiunto, l'account può essere individuato nella foresta o nel tenant di dominio a cui è aggiunto il dispositivo. Per gli account locali, è necessario che l'account esista prima di configurarlo per l'accesso assegnato.

Utente locale

L'account locale può essere immesso come devicename\user, .\usero semplicemente user.

<Config>
  <Account>user</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Utente di Active Directory

Gli account di dominio devono essere immessi nel formato domain\samAccountName.

<Config>
  <Account>contoso\user</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Microsoft Entra utente

Microsoft Entra account deve essere specificato nel formato : AzureAD\{UPN}. AzureADdeve essere fornito così com'è, quindi seguire con il nome dell'entità utente (UPN) Microsoft Entra.

<Config>
  <Account>AzureAD\user@contoso.onmicrosoft.com</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Account di gruppo

Gli account di gruppo vengono specificati tramite <UserGroup>. I gruppi annidati non sono supportati. Ad esempio, se l'utente A è membro del gruppo A, il gruppo A è membro del gruppo B e il gruppo B viene usato in <Config/>, l'utente A non ha l'esperienza chiosco multimediale.

Gruppo locale

Specificare il tipo di gruppo come LocalGroup e aggiungere il nome del gruppo nell'attributo Name .

<Config>
  <UserGroup Type="LocalGroup" Name="groupname" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Gruppo di Active Directory

Sono supportati sia i gruppi di sicurezza che i gruppi di distribuzione. Specificare il tipo di gruppo come ActiveDirectoryGroup. Usare il nome di dominio come prefisso nell'attributo name.

<Config>
  <UserGroup Type="ActiveDirectoryGroup" Name="contoso\groupname" />
  <DefaultProfile Id="{GUID}"/>
</Config>

gruppo Microsoft Entra

Usare l'ID oggetto del gruppo Microsoft Entra. È possibile trovare l'ID oggetto nella pagina di panoramica per il gruppo accedendo al Interfaccia di amministrazione di Microsoft Entra ed passando aGruppi>di identità>Tutti i gruppi. Specificare il tipo di gruppo come AzureActiveDirectoryGroup. Il dispositivo chiosco multimediale deve avere la connettività Internet quando gli utenti che appartengono all'accesso al gruppo.

<Config>
  <UserGroup Type="AzureActiveDirectoryGroup" Name="Group_GUID" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Passaggi successivi

Esaminare alcuni esempi pratici di configurazioni XML di Accesso assegnato:

Esempi di accesso assegnato