Configurare un chiosco multimediale multi-app nei dispositivi Windows 10

Si applica a

• Windows 10 Pro, Enterprise ed Education

Nota

Attualmente, il chiosco multimediale multi-app è supportato solo in Windows 10. Non è supportato in Windows 11.

L'uso di più monitor non è supportato per la modalità tutto schermo multi-app.

Un chiosco multimediale esegue in genere una singola app e gli utenti non possono accedere a nessuna caratteristica o funzionalità del dispositivo che non sia inclusa nell'app del chiosco multimediale. In Windows 10 versione 1709, il provider di servizi di configurazione AssignedAccess (CSP) è stato espanso per semplificare la creazione di chioschi multimediali che eseguono più app. Il vantaggio di un chiosco multimediale che esegue solo una o più app specificate è quello di offrire un'esperienza di facile comprensione per gli utenti, mettendo di fronte a loro solo gli elementi che devono usare e rimuovendo dalla loro vista gli elementi a cui non hanno bisogno di accedere.

La tabella seguente elenca le modifiche apportate al chiosco multimediale multi-app negli aggiornamenti recenti.

Nuove funzionalità e miglioramenti	In aggiornamento
- Configurare un profilo chiosco multimediale a app singola nel file XML - Assegnare account di gruppo a un profilo di configurazione - Configurare un account per l'accesso automatico	Windows 10 versione 1803
- Consentire in modo esplicito alcune cartelle note quando l'utente apre la finestra di dialogo file - Avviare automaticamente un'app quando l'utente accede - Configurare un nome visualizzato per l'account di accesso automatico	Windows 10, versione 1809 Importante: Per usare le funzionalità rilasciate in Windows 10, versione 1809, assicurarsi che il file XML faccia riferimento a https://schemas.microsoft.com/AssignedAccess/201810/config.

Warning

La funzionalità di accesso assegnato è destinata ai dispositivi aziendali a scopo fisso, come i chioschi multimediali. Quando la configurazione di accesso assegnato con più app viene applicata nel dispositivo, alcuni criteri vengono applicati a livello di sistema e hanno impatto sugli altri utenti del dispositivo. L'eliminazione della configurazione del chiosco multimediale rimuoverà i profili di blocco di accesso assegnati associati agli utenti, ma non potrà ripristinare tutti i criteri applicati, ad esempio il layout start. È necessario un ripristino delle impostazioni predefinite per cancellare tutti i criteri applicati tramite l'accesso assegnato.

Puoi configurare chioschi multimediali con più app con Microsoft Intune o un pacchetto di provisioning.

Suggerimento

Assicurarsi di controllare le raccomandazioni di configurazione prima di configurare il chiosco multimediale.

Configurare un chiosco multimediale in Microsoft Intune

Per configurare un chiosco multimediale in Microsoft Intune, vedere:

• Impostazioni del client Windows e del dispositivo Windows Holographic for Business da eseguire come chiosco multimediale dedicato usando Intune
• Impostazioni del dispositivo client Windows da eseguire come chiosco multimediale in Intune

Configurare un chiosco multimediale tramite un pacchetto di provisioning

Processo:

1. Creare il file XML.
2. Aggiungere il file XML al pacchetto di provisioning
3. Applicare il pacchetto di provisioning al dispositivo

Guarda come usare un pacchetto di provisioning per configurare un chiosco multimediale con più app.

Se non si vuole usare un pacchetto di provisioning, è possibile distribuire il file XML di configurazione usando la gestione dei dispositivi mobili (MDM) oppure è possibile configurare l'accesso assegnato usando il provider WMI del bridge MDM.

Prerequisiti

• Progettazione configurazione di Windows (Windows 10, versione 1709 o successiva)
• Il dispositivo tutto schermo deve essere in esecuzione Windows 10 (S, Pro, Enterprise o Education), versione 1709 o successiva

Nota

Per i dispositivi che eseguono versioni di Windows 10 precedenti alla versione 1709, puoi creare regole di AppLocker per configurare un chiosco multimediale con più app.

Creare il file XML

Per iniziare, esaminiamo la struttura di base del file XML.

• Un file xml di configurazione può definire più profili. Ogni profilo ha un Id univoco e definisce quale set di applicazioni può essere eseguito, se è visibile la barra delle applicazioni e può includere una layout personalizzato della schermata Start.

• Un file xml di configurazione può includere più sezioni config. Ogni sezione config consente di associare un account utente non amministratore a un Id di profilo predefinito.

• Più sezioni config possono essere associate allo stesso profilo.

• Un profilo non ha alcun effetto se non è associato a una sezione di configurazione.

  

È possibile avviare il file incollando il codice XML seguente in un editor XML e salvando il file come nome file.xml. Ogni sezione di questo codice XML è illustrata in questo articolo. È possibile visualizzare una versione di esempio completa nel riferimento XML di accesso assegnato.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
    >
    <Profiles>
        <Profile Id="">
            <AllAppsList>
                <AllowedApps/>
            </AllAppsList>
            <StartLayout/>
            <Taskbar/>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <Account/>
            <DefaultProfile Id=""/>
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Profile

Esistono due tipi di profili che è possibile specificare nel codice XML:

• Profilo di blocco: gli utenti a cui è stato assegnato un profilo di blocco visualizzeranno il desktop in modalità tablet con le app specifiche nella schermata Start.
• Profilo tutto schermo: a partire da Windows 10 versione 1803, questo profilo sostituisce il nodo KioskModeApp del CSP AssignedAccess. Gli utenti a cui è stato assegnato un profilo tutto schermo non vedranno il desktop, ma solo l'app tutto schermo in esecuzione in modalità schermo intero.

Una sezione del profilo di blocco nel codice XML include le voci seguenti:

• Id

• AllowedApps

• FileExplorerNamespaceRestrictions

• StartLayout

• Barra delle applicazioni

Un profilo tutto schermo nel codice XML include le voci seguenti:

• Id

• KioskModeApp

Id

L'Id del profilo è un attributo GUID che identifica in modo univoco il profilo. Puoi creare un GUID con un generatore di GUID. Basta che il GUID sia univoco all'interno di questo file XML.

<Profiles>
  <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">…</Profile>
</Profiles>

AllowedApps

AllowedApps è un elenco di applicazioni che possono essere eseguite. Le app possono essere app piattaforma UWP (Universal Windows Platform) (UWP) o applicazioni desktop di Windows. A partire da Windows 10 versione 1809, è possibile configurare una singola app nell'elenco AllowedApps per l'esecuzione automatica quando l'account utente di accesso assegnato accede.

• Per le app UWP, devi fornire l'ID modello utente app (AUMID). Scopri come ottenere l'AUMID oppure ottieni l'AUMID dal codice XML del layout della schermata Start.
• Per le app desktop, è necessario specificare il percorso completo dell'eseguibile, che può contenere una o più variabili di ambiente di sistema sotto forma di %variableName%. Ad esempio, %systemroot% o %windir%.
• Se un'app ha una dipendenza da un'altra app, entrambe devono essere incluse nell'elenco delle app consentite. Ad esempio, Internet Explorer a 64 bit ha una dipendenza da Internet Explorer a 32 bit, quindi è necessario consentire sia che "C:\Program Files\internet explorer\iexplore.exe""C:\Program Files (x86)\Internet Explorer\iexplore.exe".
• Per configurare una singola app per l'avvio automatico quando l'utente accede, includere rs5:AutoLaunch="true" dopo il percorso o AUMID. È anche possibile includere argomenti da passare all'app. Per un esempio, vedere il codice XML di esempio AllowedApps.

Quando la configurazione in modalità tutto schermo multi-app viene applicata a un dispositivo, verranno generate regole di AppLocker per consentire le app elencate nella configurazione. Queste sono le regole predefinite di AppLocker per l'accesso assegnato per le app UWP:

1. La regola predefinita consiste nel consentire a tutti gli utenti di avviare le app del pacchetto firmato.

2. L'elenco di blocchi dell'app del pacchetto viene generato in fase di esecuzione quando l'utente di accesso assegnato accede. In base alle app del pacchetto installate/di cui è stato effettuato il provisioning disponibili per l'account utente, l'accesso assegnato genera l'elenco di blocchi. Questo elenco escluderà le app del pacchetto di posta in arrivo consentite predefinite, che sono fondamentali per il funzionamento del sistema. Esclude quindi i pacchetti consentiti definiti dalle aziende nella configurazione di accesso assegnata. Se sono presenti più app all'interno dello stesso pacchetto, verranno escluse tutte. Questo elenco di blocchi verrà usato per impedire all'utente di accedere alle app attualmente disponibili per l'utente, ma non nell'elenco consentito.

   Nota

   Non è possibile gestire le regole di AppLocker generate dalla configurazione del chiosco multimediale multi-app negli snap-in MMC. Evitare di creare regole di AppLocker in conflitto con le regole di AppLocker generate dalla configurazione del chiosco multimediale multi-app.

   La modalità tutto schermo multi-app non impedisce all'organizzazione o agli utenti di installare app UWP. Quando una nuova app UWP viene installata durante la sessione utente con accesso assegnato corrente, l'app non sarà inclusa nell'elenco di app non consentite. Quando l'utente si disconnette e accede di nuovo, l'app verrà inclusa nell'elenco blocchi. Se si tratta di un'app line-of-business distribuita dall'azienda e ne vuoi consentire l'esecuzione, aggiorna la configurazione di accesso assegnato per includerla nell'elenco delle app consentite.

Queste sono le regole predefinite di AppLocker per l'accesso assegnato per le app desktop:

1. La regola predefinita consiste nel consentire a tutti gli utenti di avviare i programmi desktop firmati con certificato Microsoft perché il sistema si avvii e funzioni. La regola consente inoltre al gruppo di utenti amministratori di avviare tutti i programmi desktop.
2. Per l'account utente di accesso assegnato è disponibile un elenco di blocco predefinito per l'app desktop posta in arrivo e questo elenco di blocchi viene regolato in base all'elenco di autorizzazioni dell'app desktop definito nella configurazione di più app.
3. Le app desktop consentite definite dall'organizzazione vengono aggiunte nell'elenco di elementi consentiti di AppLocker.

L'esempio seguente consente l'esecuzione delle app Groove Music, Movies & TV, Photos, Weather, Calculator, Paint e Blocco note nel dispositivo, con blocco note configurato per avviare e creare automaticamente un file chiamato 123.text quando l'utente accede.

<AllAppsList>
        <AllowedApps>
          <App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
          <App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
          <App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
          <App DesktopAppPath="%windir%\system32\mspaint.exe" />
          <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="123.txt">
        </AllowedApps>
</AllAppsList>

FileExplorerNamespaceRestrictions

A partire da Windows 10 versione 1809, è possibile consentire l'accesso esplicito ad alcune cartelle note quando l'utente tenta di aprire la finestra di dialogo file nell'accesso assegnato a più app includendo FileExplorerNamespaceRestrictions nel file XML. Attualmente, Download è l'unica cartella supportata. Questo comportamento può essere impostato anche usando Microsoft Intune.

Nell'esempio seguente viene illustrato come consentire l'accesso dell'utente alla cartella Download nella finestra di dialogo file comune.

Suggerimento

Per concedere l'accesso alla cartella Download tramite Esplora file, aggiungere "Explorer.exe" all'elenco delle app consentite e aggiungere un collegamento a Esplora file al menu Start del chiosco multimediale.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
>     <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    ...
                </AllowedApps>
            </AllAppsList>
            <rs5:FileExplorerNamespaceRestrictions>
                <rs5:AllowedNamespace Name="Downloads"/>
            </rs5:FileExplorerNamespaceRestrictions>
            <StartLayout>
                ...
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
</AssignedAccessConfiguration>

FileExplorerNamespaceRestrictionè stato esteso nella versione corrente Windows 10 Prerelease per una granularità più fine e un uso più semplice. Per altre informazioni ed esempi completi, vedere Informazioni di riferimento XML per l'accesso assegnato. Usando nuovi elementi, è possibile configurare se un utente può accedere alla cartella Download o alle unità rimovibili o se non ha alcuna restrizione.

Nota

• FileExplorerNamespaceRestrictions e AllowedNamespace:Downloads sono disponibili nello spazio dei nomi https://schemas.microsoft.com/AssignedAccess/201810/config.
• AllowRemovableDrives e NoRestriction sono definiti in un nuovo spazio dei nomi https://schemas.microsoft.com/AssignedAccess/2020/config.

• Quando FileExplorerNamespaceRestrictions il nodo non viene usato o usato ma rimane vuoto, l'utente non sarà in grado di accedere a alcuna cartella in una finestra di dialogo comune. Ad esempio, Salva con nome nel browser Microsoft Edge.
• Quando i download sono indicati nello spazio dei nomi consentito, l'utente sarà in grado di accedere alla cartella Download.
• Quando AllowRemovableDrives viene usato, l'utente accederà alle unità rimovibili.
• Quando NoRestriction viene usato, non verrà applicata alcuna restrizione alla finestra di dialogo.
• AllowRemovableDrives e AllowedNamespace:Downloads può essere usato contemporaneamente.

StartLayout

Dopo aver definito l'elenco delle applicazioni consentite, puoi personalizzare il layout della schermata Start per l'esperienza del chiosco multimediale. Puoi scegliere di aggiungere tutte le app consentite nella schermata Start o solo un sottoinsieme, a seconda che tu voglia che l'utente finale vi acceda direttamente nella schermata Start.

Il modo più semplice per creare un layout start personalizzato da applicare ad altri dispositivi client Windows consiste nel configurare la schermata Start in un dispositivo di test e quindi esportare il layout. Per istruzioni dettagliate, vedi Personalizzare ed esportare il layout della schermata Start.

Alcune considerazioni da tenere presenti:

• Il dispositivo di test in cui personalizzi il layout della schermata Start deve avere la stessa versione del sistema operativo installato nel dispositivo in cui prevedi di distribuire la configurazione di accesso assegnato con più app.
• Dato che l'esperienza di accesso assegnato con più app è destinata ai dispositivi a scopo fisso, per assicurare che le esperienze siano coerenti e prevedibili, utilizza l'opzione di layout della schermata Start full invece di partial.
• Non sono presenti app aggiunte sulla barra delle applicazioni in modalità multi-app e non è supportato configurare il layout della barra delle applicazioni usando il <CustomTaskbarLayoutCollection> tag in un xml di modifica del layout come parte della configurazione di accesso assegnata.
• L'esempio seguente usa DesktopApplicationLinkPath per aggiungere l'app desktop per l'avvio. Quando l'app desktop non dispone di un collegamento di collegamento nel dispositivo di destinazione, scopri come effettuare il provisioning dei file con estensione lnk usando Progettazione configurazione di Windows.

L'esempio seguente aggiunge le app Groove Music, Movies & TV, Photos, Weather, Calculator, Paint e Notepad su Start:

<StartLayout>
        <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="https://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Group1">
                              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
                              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
                              <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
                              <start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
                            </start:Group>
                            <start:Group Name="Group2">
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk" />
                              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
</StartLayout>

Nota

Se un'app non è installata per l'utente, ma è inclusa nel codice XML del layout start, l'app non viene visualizzata nella schermata Start.

Taskbar

Definisci se vuoi che la barra delle applicazioni sia presente nel chiosco multimediale. Per i chioschi all-in-one basati su tablet o abilitati per il tocco, quando non si collega una tastiera e un mouse, è possibile nascondere la barra delle applicazioni come parte dell'esperienza multi-app, se si desidera.

L'esempio seguente espone la barra delle applicazioni all'utente finale:

<Taskbar ShowTaskbar="true"/>

Nell'esempio seguente la barra delle applicazioni viene nascosta:

<Taskbar ShowTaskbar="false"/>

Nota

Questo caso è diverso dall'opzione Nascondi automaticamente la barra delle applicazioni in modalità tablet, che mostra la barra delle applicazioni quando si scorre rapidamente verso l'alto o si sposta il puntatore del mouse nella parte inferiore dello schermo. L'impostazione di ShowTaskbar su false manterrà la barra delle applicazioni sempre nascosta.

KioskModeApp

KioskModeApp viene usato solo per un profilo chiosco multimediale . Immettere l'AUMID per una singola app. È possibile specificare un solo profilo chiosco multimediale nel codice XML.

<KioskModeApp AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"/>

Importante

Il profilo del chiosco multimediale è progettato per i dispositivi con chiosco multimediale pubblico. È consigliabile usare un account locale non amministratore. Se il dispositivo è connesso alla rete aziendale, l'uso di un dominio o di un account Azure Active Directory potrebbe compromettere le informazioni riservate.

Configs

In Configs, specifica quale account utente sarà associato al profilo. Quando questo account utente accede al dispositivo, verrà applicato il profilo di accesso assegnato associato. Questo comportamento include le app consentite, il layout start, la configurazione della barra delle applicazioni e altri criteri di gruppo locali o i criteri di gestione dei dispositivi mobili (MDM) impostati come parte dell'esperienza multi-app.

L'esperienza completa di accesso assegnato con più app può funzionare solo per gli utenti non amministratori. Non è supportato associare un utente amministratore al profilo di accesso assegnato. L'esecuzione di questa configurazione nel file XML comporterà esperienze impreviste o non supportate quando l'utente amministratore accede.

È possibile assegnare:

• Un account utente standard locale che esegue automaticamente l'accesso (si applica solo a Windows 10 versione 1803)
• Un singolo account, che può essere locale, di dominio o di Azure Active Directory (Azure AD)
• Un account di gruppo, che può essere locale, Active Directory (dominio) o Azure AD (si applica solo a Windows 10 versione 1803).

Nota

Le configurazioni che specificano gli account di gruppo non possono usare un profilo chiosco multimediale, ma solo un profilo di blocco. Se un gruppo è configurato per un profilo in modalità tutto schermo, il CSP rifiuterà la richiesta.

Configurazione per l'account di accesso automatico

Quando si usa <AutoLogonAccount> e la configurazione viene applicata a un dispositivo, l'account specificato (gestito da Accesso assegnato) viene creato nel dispositivo come account utente standard locale. L'account specificato viene connesso automaticamente dopo il riavvio.

L'esempio seguente illustra come specificare un account per l'accesso automatico.

<Configs>
  <Config>
    <AutoLogonAccount/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

A partire da Windows 10 versione 1809, è possibile configurare il nome visualizzato che verrà visualizzato quando l'utente accede. Nell'esempio seguente viene illustrato come creare un account di accesso automatico che mostra il nome "Hello World".

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Hello World"/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

Nei dispositivi aggiunti a un dominio, gli account utente locali non vengono visualizzati nella schermata di accesso per impostazione predefinita. Per visualizzare AutoLogonAccount nella schermata di accesso, abilitare l'impostazione di Criteri di gruppo seguente: Configurazione > computer Modelli > amministrativi Accesso di sistema >> Enumerare gli utenti locali nei computer aggiunti a un dominio. L'impostazione dei criteri MDM corrispondente è WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers nel provider di servizi di configurazione dei criteri.

Importante

Quando le restrizioni delle password di Exchange Active Sync (EAS) sono attive nel dispositivo, la funzionalità di accesso automatico non funziona. Si tratta di un comportamento previsto. Per altre informazioni, vedere Come attivare l'accesso automatico in Windows.

Configurazione per i singoli account

I singoli account vengono specificati usando <Account>.

• L'account locale può essere immesso come machinename\account o .\account o semplicemente account.
• L'account di dominio deve essere specificato come domain\account.
• L'account di Azure AD deve essere specificato in questo formato: AzureAD\{email address}. AzureAD deve essere fornito così come è e considerare che si tratta di un nome di dominio fisso. Seguire quindi con l'indirizzo di posta elettronica di Azure AD. Per esempio AzureAD\someone@contoso.onmicrosoft.com

Warning

L'accesso assegnato può essere configurato tramite WMI o CSP in modo che le applicazioni vengano eseguite in un utente di dominio o account di servizio anziché un account locale. Tuttavia, utilizzare un utente di dominio o account di servizio introduce il rischio che un utente malintenzionato sabotando l'applicazione di accesso assegnato possa accedere a risorse sensibili del dominio lasciate inavvertitamente accessibili a qualsiasi account di dominio. Consigliamo ai clienti di procedere con attenzione nell'uso di account di dominio con accesso assegnato e tenere presente che le risorse del dominio sono potenzialmente esposte a seguito della decisione di procedere in questo modo.

Prima di applicare la configurazione con più app, assicurati che l'account utente specificato sia disponibile nel dispositivo, in caso contrario la configurazione non funzionerà.

Nota

Sia per gli account di dominio che per gli account Azure AD, non è necessario che l'account di destinazione venga aggiunto in modo esplicito al dispositivo. Purché il dispositivo sia aggiunto ad AD o Azure AD, l'account può essere individuato nella foresta di domini o nel tenant a cui il dispositivo viene aggiunto. Per gli account locali, è necessario che l'account esista prima di configurarlo per l'accesso assegnato.

<Configs>
  <Config>
    <Account>MultiAppKioskUser</Account>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

Configurazione per gli account di gruppo

Gli account di gruppo vengono specificati tramite <UserGroup>. I gruppi annidati non sono supportati. Ad esempio, se l'utente A è membro del gruppo 1, il gruppo 1 è membro del gruppo 2 e il gruppo 2 viene usato in <Config/>, l'utente A non avrà l'esperienza del chiosco multimediale.

• Gruppo locale: specificare il tipo di gruppo come LocalGroup e inserire il nome del gruppo nell'attributo Name. Per gli account Azure AD aggiunti al gruppo locale non verranno applicate le impostazioni del chiosco multimediale.

  <Config>
    <UserGroup Type="LocalGroup" Name="mygroup" />
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
  

• Gruppo di dominio: sono supportati sia i gruppi di sicurezza che di distribuzione. Specificare il tipo di gruppo come ActiveDirectoryGroup. Usare il nome di dominio come prefisso nell'attributo name.

  <Config>
    <UserGroup Type="ActiveDirectoryGroup" Name="mydomain\mygroup" />
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
  

• Gruppo di Azure AD: usare l'ID oggetto gruppo del portale di Azure per identificare in modo univoco il gruppo nell'attributo Name. È possibile trovare l'ID oggetto nella pagina di panoramica per il gruppo in Utenti e gruppi>Tutti i gruppi. Specificare il tipo di gruppo come AzureActiveDirectoryGroup. Il dispositivo chiosco multimediale deve avere la connettività Internet quando gli utenti che appartengono all'accesso al gruppo.

  <Config>
    <UserGroup Type="AzureActiveDirectoryGroup" Name="a8d36e43-4180-4ac5-a627-fb8149bba1ac" />
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
  

  Nota

  Se un gruppo di Azure AD è configurato con un profilo di blocco in un dispositivo, un utente del gruppo di Azure AD deve modificare la password (dopo che l'account è stato creato con la password predefinita nel portale) prima di poter accedere a questo dispositivo. Se l'utente usa la password predefinita per accedere al dispositivo, l'utente verrà immediatamente disconnesso.

[Anteprima] Profilo globale

Il profilo globale è disponibile in Windows 10. Se si vuole che tutti gli utenti che accedono a un dispositivo specifico vengano assegnati come utente di accesso, anche se non esiste un profilo dedicato per tale utente. In alternativa, è possibile che l'accesso assegnato non sia in grado di identificare un profilo per l'utente e si vuole avere un profilo di fallback. Il profilo globale è progettato per questi scenari.

L'utilizzo è illustrato di seguito, usando il nuovo spazio dei nomi XML e specificando GlobalProfile da tale spazio dei nomi. Quando si configura GlobalProfile, un account non amministratore accede, se l'utente non dispone di un profilo designato in Accesso assegnato o l'accesso assegnato non riesce a determinare un profilo per l'utente corrente, viene applicato un profilo globale per l'utente.

Nota

1. GlobalProfile può essere solo un profilo multi-app.
2. Solo uno GlobalProfile può essere usato in un file AssignedAccess XML di configurazione.
3. GlobalProfile può essere usato come unica configurazione oppure può essere usato insieme alla normale configurazione utente o di gruppo.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v2="https://schemas.microsoft.com/AssignedAccess/201810/config"
    xmlns:v3="https://schemas.microsoft.com/AssignedAccess/2020/config"
>
    <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    <App AppUserModelId="Microsoft.Microsoft3DViewer_8wekyb3d8bbwe!Microsoft.Microsoft3DViewer" v2:AutoLaunch="true" v2:AutoLaunchArguments="123"/>
                    <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                    <App AppUserModelId="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
                    <App DesktopAppPath="%SystemRoot%\system32\notepad.exe" />
                </AllowedApps>
            </AllAppsList>
            <StartLayout>
                <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="https://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Life at a glance">
                              <start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="microsoft.windowscommunicationsapps_8wekyb3d8bbwe!microsoft.windowsLive.calendar" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsStore_8wekyb3d8bbwe!App" />
                              <!-- A link file is required for desktop applications to show on start layout, the link file can be placed under
                                   "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs" if the link file is shared for all users or
                                   "%AppData%\Microsoft\Windows\Start Menu\Programs" if the link file is for the specific user only 
                                   see document https://learn.microsoft.com/windows/configuration/start-layout-xml-desktop
                              -->
                              <!-- for inbox desktop applications, a link file might already exist and can be used directly -->
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Accessories\paint.lnk" />
                              <!-- for 3rd party desktop application, place the link file under appropriate folder -->
                              <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationLinkPath="%AppData%\Microsoft\Windows\Start Menu\Programs\MyLOB.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
    <Configs>
        <v3:GlobalProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Configs>
</AssignedAccessConfiguration>

Aggiungere il file XML al pacchetto di provisioning

Prima di aggiungere il file XML a un pacchetto di provisioning, puoi convalidare la configurazione XML rispetto al linguaggio XSD.

Utilizza lo strumento Progettazione configurazione di Windows per creare un pacchetto di provisioning. Scopri come installare Progettazione configurazione di Windows.

Importante

Quando crei un pacchetto di provisioning potresti includere informazioni riservate nei file di progetto e nel file del pacchetto di provisioning (con estensione PPKG). Anche se hai la possibilità di crittografare il file con estensione PPKG, i file di progetto non vengono crittografati. Devi archiviare i file del progetto in un luogo sicuro ed eliminare i file del progetto quando non sono più necessari.

1. Apri Progettazione configurazione di Windows. Per impostazione predefinita: %systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe.

2. Scegli Provisioning avanzato.

3. Assegnare un nome al progetto e selezionare Avanti.

4. Scegliere Tutte le edizioni desktop di Windows e selezionare Avanti.

5. In Nuovo progetto selezionare Fine. Si aprirà l'area di lavoro per il pacchetto.

6. Espandere Impostazioni> di runtimeAssignedAccess>MultiAppAssignedAccessSettings.

7. Nel riquadro centrale selezionare Sfoglia. Individuare e selezionare il file XML di configurazione dell'accesso assegnato creato.

   

8. Facoltativo: se si vuole applicare il pacchetto di provisioning dopo la configurazione iniziale del dispositivo ed è già disponibile un utente amministratore nel dispositivo tutto schermo, ignorare questo passaggio. Creare un account utente amministratore nelle impostazioni> di runtimeAccount>Utenti. Fornisci UserName e Password e seleziona UserGroup come Amministratori. Con questo account, puoi visualizzare lo stato di provisioning e i registri, se necessario.

9. Facoltativo: se si dispone già di un account non amministratore nel dispositivo tutto schermo, ignorare questo passaggio. Creare un account utente standard locale nelle impostazioni> di runtimeAccount>Utenti. Assicurati che UserName sia lo stesso specificato nel file XML di configurazione. Seleziona UserGroup come Utente standard.

10. Scegli Salva dal menu File.

11. Scegli Pacchetto di provisioning dal menu Esporta.

12. Modifica Proprietario in Amministratore IT per assegnare a questo pacchetto di provisioning una precedenza maggiore rispetto agli altri pacchetti di provisioning applicati al dispositivo da altre origini, quindi seleziona Avanti.

13. Facoltativo. Nella finestra Sicurezza pacchetto di provisioning puoi scegliere di crittografare il pacchetto e abilitare la firma del pacchetto.

    • Abilita crittografia pacchetto - Se selezioni questa opzione, sullo schermo verrà visualizzata una password generata automaticamente.

    • Abilita firma pacchetto - Se selezioni questa opzione, devi selezionare un certificato valido da usare per la firma del pacchetto. Per specificare il certificato, fai clic su Sfoglia e scegli il certificato che vuoi usare per firmare il pacchetto.

14. Selezionare Avanti per specificare il percorso di output in cui si vuole che il pacchetto di provisioning venga compilato. Per impostazione predefinita, Progettazione immagine e configurazione di Windows usa la cartella di progetto come percorso di output.

    Facoltativamente, è possibile selezionare Sfoglia per modificare il percorso di output predefinito.

15. Seleziona Avanti.

16. Selezionare Compila per iniziare a compilare il pacchetto. La compilazione del pacchetto di provisioning non richiede molto tempo. Le informazioni del progetto vengono visualizzate nella pagina di compilazione e la barra di stato indica lo stato della compilazione.

    Se è necessario annullare la compilazione, selezionare Annulla. Questa azione annulla il processo di compilazione corrente, chiude la procedura guidata e torna alla pagina Personalizzazioni.

17. Se la compilazione non riesce, viene visualizzato un messaggio di errore che include un link alla cartella del progetto. Puoi esaminare i log per stabilire la causa dell'errore. Dopo aver risolto il problema, prova a generare il pacchetto di nuovo.

    Se la compilazione riesce, verranno visualizzati il nome del pacchetto di provisioning, la directory di output e la directory del progetto.

    • Se vuoi, puoi generare di nuovo il pacchetto di provisioning e selezionare un percorso diverso per il pacchetto di output. Per eseguire questa azione, selezionare Indietro per modificare il nome e il percorso del pacchetto di output e quindi selezionare Avanti per avviare un'altra compilazione.
    • Al termine, selezionare Fine per chiudere la procedura guidata e tornare alla pagina Personalizzazioni.

18. Copia il pacchetto di provisioning nella directory radice di un'unità USB.

Applicare il pacchetto di provisioning al dispositivo

I pacchetti di provisioning possono essere applicati a un dispositivo durante l'installazione iniziale (esperienza predefinita o "Configurazione guidata") e dopo ("runtime"). Per altre informazioni, vedere Applicare un pacchetto di provisioning.

Nota

Se il pacchetto di provisioning non include la creazione dell'account utente di accesso assegnato, verificare che l'account specificato nel codice XML di configurazione multi-app esista nel dispositivo.

Usare MDM per distribuire la configurazione con più app

La modalità tutto schermo (chiosco multimediale) con più app è abilitata dal provider di servizi di configurazione (CSP) AssignedAccess. I criteri MDM possono contenere il file XML di configurazione di accesso assegnato.

Se il dispositivo è registrato con un servizio MDM che supporta l'applicazione della configurazione di accesso assegnata, è possibile usarla per applicare l'impostazione in remoto.

L'URI OMA per i criteri per più app è ./Device/Vendor/MSFT/AssignedAccess/Configuration.

Considerazioni sui visori VR immersive di Windows Mixed Reality

Con l'avvento dei dispositivi di realtà mista (collegamento video), puoi decidere di creare un chiosco multimediale che può eseguire app di realtà mista.

Per creare un chiosco multimediale con più app che può eseguire app di realtà mista, devi includere le app seguenti nell'elenco AllowedApps:

<App AppUserModelId="MixedRealityLearning_cw5n1h2txyewy!MixedRealityLearning" />
<App AppUserModelId="HoloShell_cw5n1h2txyewy!HoloShell" />
<App AppUserModelId="Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy!App" />
<App AppUserModelId="Microsoft.MixedReality.Portal_8wekyb3d8bbwe!App" />

Queste app si aggiungono a tutte le app di realtà mista consentite.

Prima che l'utente del chiosco multimediale esegua l'accesso: un utente amministratore deve eseguire l'accesso al PC, connettersi a un dispositivo in realtà mista e completare la configurazione guidata del Portale realtà mista. La prima volta che viene configurato il Portale realtà mista, alcuni file e contenuti vengono scaricati. Un utente in modalità tutto schermo non avrebbe le autorizzazioni per il download e quindi la configurazione del portale di Realtà mista avrà esito negativo.

Dopo che l'amministratore ha completato la configurazione, l'account del chiosco multimediale può accedere e ripetere la configurazione. L'utente amministratore può decidere di completare la configurazione dell'utente del chiosco multimediale prima di fornire il PC ai dipendenti o ai clienti.

Esiste una differenza tra le esperienze di realtà mista per un utente in modalità tutto schermo e altri utenti. In genere, quando un utente si connette a un dispositivo di realtà mista, inizia nella home di Mixed Reality. La home di Mixed Reality è una shell che viene eseguita in modalità "invisibile all'utente" quando il PC è configurato come chiosco multimediale. Quando un utente in modalità tutto schermo connette un dispositivo di realtà mista, visualizzerà solo uno schermo vuoto nel dispositivo e non avrà accesso alle funzionalità e alle funzionalità disponibili in casa. Per eseguire un'app di realtà mista, l'utente del chiosco multimediale deve avviare l'app dalla schermata Start del PC.

Criteri impostati dalla configurazione di chiosco multimediale con più app

Non è consigliabile impostare criteri applicati in modalità multi-app di accesso assegnato a valori diversi usando altri canali, poiché la modalità multi-app è stata ottimizzata per offrire un'esperienza di blocco.

Quando la configurazione di accesso assegnata a più app viene applicata nel dispositivo, alcuni criteri vengono applicati a livello di sistema e influiranno su altri utenti nel dispositivo.

Criteri di gruppo

I criteri locali seguenti interessano tutti gli utenti senza privilegi di amministratore nel sistema, indipendentemente dal fatto che siano configurati come utente con accesso assegnato o no. Questo elenco include utenti locali, utenti di dominio e utenti di Azure Active Directory.

Impostazione	Valore
Rimuovi accesso ai menu di scelta rapida per la barra delle applicazioni	Abilitato
Cancella la cronologia dei documenti aperti recentemente in uscita	Abilitato
Impedisci agli utenti di personalizzare la schermata Start	Abilitato
Impedisci agli utenti di disinstallare applicazioni dal menu Start	Abilitato
Rimuovi l'elenco Tutti i programmi dal menu Start	Abilitato
Rimuovi il menu Esegui dal menu Start	Abilitato
Disabilita la visualizzazione delle notifiche in fumetti come avvisi popup	Abilitato
Non consentire l'aggiunta di elementi alle Jump List	Abilitato
Non consentire l'aggiunta di programmi alla barra delle applicazioni	Abilitato
Non visualizzare o rilevare gli elementi nelle Jump List da posizioni remote	Abilitato
Rimuovi notifiche e centro notifiche	Abilitato
Blocca tutte le impostazioni della barra delle applicazioni	Abilitato
Blocca la barra delle applicazioni	Abilitato
Impedisci agli utenti di aggiungere o rimuovere barre degli strumenti	Abilitato
Impedisci agli utenti di ridimensionare la barra delle applicazioni	Abilitato
Rimuovi l'elenco dei programmi più utilizzati dal menu Start	Abilitato
Rimuovere "Mappa unità di rete" e "Disconnetti unità di rete"	Abilitato
Rimuovi l'icona di Sicurezza e manutenzione	Abilitato
Disattiva tutti i fumetti notifica	Abilitato
Disattiva fumetti notifica di annuncio funzionalità	Abilitato
Disattiva notifiche di tipo avviso popup	Abilitato
Rimuovi Gestione attività	Abilitato
Remove Change Password option in Security Options UI	Abilitato
Remove Sign Out option in Security Options UI	Abilitato
Rimuovi l'elenco Tutti i programmi dal menu Start	Abilitato - Rimuovi e disabilita l'impostazione
Impedisci l'accesso alle unità da Risorse del computer	Abilitato: limita tutti i driver

Nota

Quando Impedisci l'accesso alle unità da Risorse del computer è abilitato, gli utenti possono esplorare la struttura di directory in Esplora file, ma non possono aprire cartelle e accedere al contenuto. Inoltre, non possono utilizzare le finestre di dialogo Esegui e Connessione unità di rete per visualizzare le directory in tali unità. Le icone che rappresentano le unità specificate vengono ancora visualizzate in Esplora file, ma se gli utenti fanno doppio clic sulle icone, viene visualizzato un messaggio che spiega che un'impostazione impedisce l'azione. Questa impostazione non impedisce agli utenti di utilizzare programmi per accedere a unità locali e di rete. Non impedisce agli utenti di utilizzare lo snap-in Gestione disco per visualizzare e modificare le caratteristiche delle unità.

Criteri MDM

Alcuni dei criteri MDM basati sul provider di servizi di configurazione dei criteri (CSP) interessano tutti gli utenti del sistema.

Impostazione	Valore	A livello di sistema
Experience/AllowCortana	0 - Non consentito	Sì
Start/AllowPinnedFolderDocuments	0 - Il collegamento è nascosto e disabilita l'impostazione nell'app Impostazioni	Sì
Start/AllowPinnedFolderDownloads	0 - Il collegamento è nascosto e disabilita l'impostazione nell'app Impostazioni	Sì
Start/AllowPinnedFolderFileExplorer	0 - Il collegamento è nascosto e disabilita l'impostazione nell'app Impostazioni	Sì
Start/AllowPinnedFolderHomeGroup	0 - Il collegamento è nascosto e disabilita l'impostazione nell'app Impostazioni	Sì
Start/AllowPinnedFolderMusic	0 - Il collegamento è nascosto e disabilita l'impostazione nell'app Impostazioni	Sì
Start/AllowPinnedFolderNetwork	0 - Il collegamento è nascosto e disabilita l'impostazione nell'app Impostazioni	Sì
Start/AllowPinnedFolderPersonalFolder	0 - Il collegamento è nascosto e disabilita l'impostazione nell'app Impostazioni	Sì
Start/AllowPinnedFolderPictures	0 - Il collegamento è nascosto e disabilita l'impostazione nell'app Impostazioni	Sì
Start/AllowPinnedFolderSettings	0 - Il collegamento è nascosto e disabilita l'impostazione nell'app Impostazioni	Sì
Start/AllowPinnedFolderVideos	0 - Il collegamento è nascosto e disabilita l'impostazione nell'app Impostazioni	Sì
Start/DisableContextMenus	1 - I menu di scelta rapida sono nascosti per le app start	No
Start/HidePeopleBar	1 - True (nasconde)	No
Start/HideChangeAccountSettings	1 - True (nasconde)	Sì
WindowsInkWorkspace/AllowWindowsInkWorkspace	0 - L'accesso all'Area Windows Ink è disabilitato e la funzionalità è disabilitata	Sì
Start/StartLayout	Dipende dalla configurazione	No
WindowsLogon/DontDisplayNetworkSelectionUI	<Enabled/>	Sì

Effettuare il provisioning dei file .lnk tramite Progettazione configurazione di Windows

Per prima cosa, creare il file di collegamento dell'app desktop installando l'app in un dispositivo di test, usando il percorso di installazione predefinito. Fai clic con il pulsante destro del mouse sull'applicazione installata e scegli Invia a>Desktop (crea collegamento). Rinominare il collegamento in <appName>.lnk

Successivamente, crea un file batch con due comandi. Se l'app desktop è già installata nel dispositivo di destinazione, ignora il primo comando per l'installazione MSI.

msiexec /I "<appName>.msi" /qn /norestart
copy <appName>.lnk "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\<appName>.lnk"

In Progettazione configurazione di Windows, in ProvisioningCommands>DeviceContext:

• In CommandFiles caricare il file batch, il file con estensione lnk e il file di installazione dell'app desktop.

  Importante

  Incollare il percorso completo del file con estensione lnk nel campo CommandFiles . Se si passa a e si seleziona il file con estensione lnk, il percorso del file verrà modificato nel percorso della destinazione del file con estensione lnk.

• In Riga di comando immettere cmd /c *FileName*.bat.

Altri metodi

Gli ambienti che usano WMI possono usare il provider WMI del bridge MDM per configurare un chiosco multimediale.