할당된 액세스란?

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10

할당된 액세스는 디바이스를 키오스크 또는 제한된 사용자 환경으로 구성하는 데 사용할 수 있는 Windows 기능입니다.

키오스크 환경을 구성하면 UWP(단일 유니버설 Windows 플랫폼) 애플리케이션 또는 Microsoft Edge가 잠금 화면 위의 전체 화면으로 실행됩니다. 사용자는 해당 애플리케이션만 사용할 수 있습니다. 키오스크 앱이 닫히면 자동으로 다시 시작됩니다. 실용적인 예는 다음과 같습니다.

• 공개 검색
• 대화형 디지털 사이니지

제한된 사용자 환경을 구성할 때 사용자는 맞춤형 시작 메뉴와 작업 표시줄을 사용하여 정의된 애플리케이션 목록만 실행할 수 있습니다. 다른 정책 설정 및 AppLocker 규칙이 적용되어 잠긴 환경을 만듭니다. 사용자는 익숙한 Windows 데스크톱에 액세스할 수 있지만 액세스를 제한하고 방해 요소 및 의도치 않은 사용 가능성을 줄일 수 있습니다. 공유 디바이스에 이상적입니다. 다양한 사용자에 대해 다양한 구성을 만들 수 있습니다. 실용적인 예는 다음과 같습니다.

• 최전방 작업자 디바이스
• 학생 장치
• 랩 디바이스

참고

제한된 사용자 환경을 구성하면 디바이스에 다른 정책 설정이 적용됩니다. 일부 정책 설정은 표준 사용자에게만 적용되며 일부 정책 설정은 관리자 계정에도 적용됩니다. 자세한 내용은 할당된 액세스 정책 설정을 참조하세요.

요구 사항

할당된 액세스에 대한 요구 사항은 다음과 같습니다.

• 키오스크 환경을 사용하려면 UAC(사용자 계정 컨트롤) 를 사용하도록 설정해야 합니다.
• 키오스크 환경을 사용하려면 콘솔에서 로그인해야 합니다. 키오스크 환경은 원격 데스크톱 연결을 통해 지원되지 않습니다.

Windows 버전 및 라이선싱 요구 사항

다음 표에는 할당된 액세스를 지원하는 Windows 버전이 나와 있습니다.

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
예	예	예	예

할당된 액세스 라이선스 자격은 다음 라이선스에 의해 부여됩니다.

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
예	예	예	예	예

Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.

키오스크 환경 구성

키오스크 환경을 구성하는 몇 가지 옵션이 있습니다. 로컬 계정으로 단일 디바이스를 구성해야 하는 경우 다음을 사용할 수 있습니다.

• PowerShell: PowerShell cmdlet을 Set-AssignedAccess 사용하여 로컬 표준 계정을 사용하여 키오스크 환경을 구성할 수 있습니다.
• 설정: 로컬 표준 사용자 계정으로 단일 디바이스를 구성하는 간단한 방법이 필요한 경우 이 옵션을 사용합니다.

고급 사용자 지정의 경우 할당된 액세스 CSP 를 사용하여 키오스크 환경을 구성할 수 있습니다. CSP를 사용하면 키오스크 앱, 사용자 계정 및 키오스크 앱의 동작을 구성할 수 있습니다. CSP를 사용하는 경우 키오스크 앱 및 사용자 계정을 지정하는 XML 구성 파일을 만들어야 합니다. XML 파일은 다음 옵션 중 하나를 사용하여 디바이스에 적용됩니다.

• Microsoft Intune 같은 MDM(모바일 장치 관리) 솔루션
• 프로비저닝 패키지
• MDM 브리지 WMI 공급자를 사용하여 PowerShell

셸 시작 관리자 XML 파일을 구성하는 방법을 알아보려면 할당된 액세스 구성 파일 만들기를 참조하세요.

다음 지침에서는 디바이스를 구성하는 방법을 자세히 설명합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.

Intune/CSP

AssignedAccess CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.

• 설정:./Vendor/MSFT/AssignedAccess/Configuration
• 값: XML 구성 파일의 콘텐츠

구성하려는 디바이스를 멤버로 포함하는 그룹에 정책을 할당합니다.

PPKG

다음 설정을 사용하여 프로비저닝 패키지를 만듭니다.

• 경로:AssignedAccess/AssignedAccessSettings
• 값: 앱의 AUMID를 사용하여 할당된 액세스에 사용할 계정 및 애플리케이션을 입력합니다. 예제:
  • {"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}

구성하려는 디바이스에 프로비저닝 패키지를 적용합니다.

PowerShell

Windows PowerShell 사용하여 디바이스를 구성하려면 다음을 수행합니다.

1. 관리자 권한으로 로그인

2. 할당된 액세스에 대한 사용자 계정 만들기

3. 할당된 액세스 사용자 계정으로 로그인

4. 필요한 UWP 앱 설치

5. 할당된 액세스 사용자 계정으로 로그아웃

6. 관리자 권한으로 로그인하고 관리자 권한 PowerShell 프롬프트에서 다음 명령 중 하나를 사용합니다.

   #Configure Assigned Access by AppUserModelID and user name
   Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
   
   #Configure Assigned Access by AppUserModelID and user SID
   Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
   
   #Configure Assigned Access by app name and user name
   Set-AssignedAccess -AppName <CustomApp> -UserName <username>
   
   #Configure Assigned Access by app name and user SID**:
   Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
   
   

참고

를 사용하여 -AppName할당된 액세스를 설정하려면 할당된 액세스에 대해 입력한 사용자 계정이 한 번 이상 로그인해야 합니다.

자세한 내용을 보려면 다음을 수행하십시오.

• 설치된 앱의 응용 프로그램 사용자 모델 ID 찾기
• Set-AssignedAccess

할당된 액세스를 제거하려면 PowerShell을 사용하여 다음 cmdlet을 실행합니다.

Clear-AssignedAccess

XML 구성 파일을 사용하는 고급 사용자 지정의 경우 MDM 브리지 WMI 공급자를 통해 PowerShell 스크립트를 사용할 수 있습니다.

중요

모든 디바이스 설정에 대해 WMI 브리지 클라이언트를 SYSTEM(LocalSystem) 계정으로 실행해야 합니다.

PowerShell 스크립트를 테스트하려면 다음을 수행할 수 있습니다.

1. psexec 도구 다운로드
2. 관리자 권한 명령 프롬프트를 열고 다음을 실행합니다. psexec.exe -i -s powershell.exe
3. PowerShell 세션에서 스크립트 실행

$shellLauncherConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Shell Launcher configuration"

자세한 내용은 WMI 브리지 공급자와 함께 PowerShell 스크립팅 사용을 참조하세요.

설정

설정 앱을 사용하여 키오스크를 구성하는 단계는 다음과 같습니다.

1. 설정 앱을 열어 디바이스를 키오스크로 보고 구성합니다. 설정 > 계정 > 다른 사용자로 이동하거나 다음 바로 가기를 사용합니다.

   다른 사용자

2. 키오스크 설정에서시작을 선택합니다.

3. 계정 만들기 대화 상자에서 계정 이름을 입력하고 다음을 선택합니다.

   참고

   로컬 표준 사용자 계정이 이미 있는 경우 계정 만들기 대화 상자에서 기존 계정 선택 옵션을 제공합니다.

4. 키오스크 계정이 로그인할 때 실행할 애플리케이션을 선택합니다. 잠금 화면 위에서 실행할 수 있는 앱만 선택할 앱 목록에서 사용할 수 있습니다. Microsoft Edge 를 키오스크 앱으로 선택하는 경우 다음 옵션을 구성합니다.

   • Microsoft Edge에서 웹 사이트를 전체 화면(디지털 기호)으로 표시할지 또는 일부 브라우저 컨트롤을 사용할 수 있는지 여부(공용 브라우저)
   • 키오스크 계정이 로그인할 때 열어야 하는 URL
   • 비활성 기간 후에 Microsoft Edge를 다시 시작해야 하는 경우(공용 브라우저로 실행하도록 선택하는 경우)

5. 닫기 선택

디바이스가 Active Directory 도메인 또는 Microsoft Entra ID 조인되지 않으면 키오스크 계정의 자동 로그인이 자동으로 구성됩니다.

• 키오스크 계정이 자동으로 로그인하고 디바이스가 다시 시작될 때 키오스크 앱이 시작되도록 하려면 아무 것도 할 필요가 없습니다.
• 디바이스가 다시 시작될 때 키오스크 계정이 자동으로 로그인되지 않도록 하려면 디바이스를 키오스크로 구성하기 전에 기본 설정을 변경해야 합니다. 키오스크 계정으로 사용하려는 계정으로 로그인합니다. 설정>계정>로그인 옵션을 엽니다. 업데이트 또는 다시 시작 후 내 로그인 정보 사용을 설정하여 자동으로 디바이스 설정을끄기로 설정합니다. 설정을 변경한 후 디바이스에 키오스크 구성을 적용할 수 있습니다.

팁

실제 예제는 빠른 시작: 할당된 액세스를 사용하여 키오스크 구성을 참조하세요.

제한된 사용자 환경 구성

할당된 액세스에서 제한된 사용자 환경을 구성하려면 원하는 환경에 대한 설정을 사용하여 XML 구성 파일을 만들어야 합니다. XML 파일은 다음 옵션 중 하나를 사용하여 할당된 액세스 CSP를 통해 디바이스에 적용됩니다.

• Microsoft Intune 같은 MDM(모바일 장치 관리) 솔루션
• 프로비저닝 패키지
• MDM 브리지 WMI 공급자를 사용하여 PowerShell

할당된 액세스 XML 파일을 구성하는 방법을 알아보려면 할당된 액세스 구성 파일 만들기를 참조하세요.

다음 지침에서는 디바이스를 구성하는 방법을 자세히 설명합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.

Intune/CSP

AssignedAccess CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.

• 설정:./Vendor/MSFT/AssignedAccess/ShellLauncher
• 값: XML 구성 파일의 콘텐츠

구성하려는 디바이스를 멤버로 포함하는 그룹에 정책을 할당합니다.

PPKG

다음 설정을 사용하여 프로비저닝 패키지를 만듭니다.

• 경로:AssignedAccess/MultiAppAssignedAccessSettings
• 값: XML 구성 파일의 콘텐츠

구성하려는 디바이스에 프로비저닝 패키지를 적용합니다.

PowerShell

MDM 브리지 WMI 공급자를 통해 PowerShell 스크립트를 사용하여 디바이스를 구성합니다.

중요

모든 디바이스 설정에 대해 WMI 브리지 클라이언트를 SYSTEM(LocalSystem) 계정으로 실행해야 합니다.

PowerShell 스크립트를 테스트하려면 다음을 수행할 수 있습니다.

1. psexec 도구 다운로드
2. 관리자 권한 명령 프롬프트를 열고 다음을 실행합니다. psexec.exe -i -s powershell.exe
3. PowerShell 세션에서 스크립트 실행

$assignedAccessConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Assigned Access configuration"

자세한 내용은 WMI 브리지 공급자와 함께 PowerShell 스크립팅 사용을 참조하세요.

설정

이 옵션은 설정을 사용하여 사용할 수 없습니다.

팁

실제 예제는 빠른 시작: 할당된 액세스를 사용하여 제한된 사용자 환경 구성을 참조하세요.

사용자 환경

키오스크 또는 제한된 사용자 환경의 유효성을 검사하려면 구성 파일에 지정한 사용자 계정으로 로그인합니다.

할당된 액세스 구성은 다음에 대상 사용자가 로그인할 때 적용됩니다. 구성을 적용할 때 해당 사용자 계정이 로그인되면 로그아웃하고 다시 로그인하여 환경의 유효성을 검사합니다.

참고

Windows 11 시작하여 제한된 사용자 환경은 여러 모니터의 사용을 지원합니다.

Autotrigger 터치 키보드

터치 키보드는 입력이 필요하고 터치 사용 디바이스에 물리적 키보드가 연결되지 않은 경우 자동으로 트리거됩니다. 이 동작을 적용하기 위해 다른 설정을 구성할 필요가 없습니다.

팁

터치 키보드는 텍스트 상자를 탭할 때만 트리거됩니다. 마우스 클릭은 터치 키보드를 트리거하지 않습니다. 이 기능을 테스트하는 경우 터치 키보드가 VM에서 트리거되지 않으므로 VM(가상 머신) 대신 물리적 디바이스를 사용합니다.

할당된 액세스 계정에서 로그아웃

기본적으로 키오스크 환경을 종료하려면 CtrlAlt + Del을 + 누릅니다. 키오스크 앱이 자동으로 종료됩니다. 할당된 액세스 계정으로 다시 로그인하거나 로그인 화면 시간 제한을 기다리는 경우 키오스크 앱이 다시 실행됩니다. 기본 시간 제한은 30초이지만 레지스트리 키를 사용하여 시간 제한을 변경할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

할당된 액세스가 다시 시작될 기본 시간을 변경하려면 DWORD(IdleTimeOut )를 추가하고 값 데이터를 16진수 밀리초로 입력합니다.

참고

IdleTimeOut 는 Microsoft Edge 키오스크 모드에 적용되지 않습니다.

Ctrl + Alt + Del의 소규모 시퀀스는 기본값이지만 이 시퀀스는 다른 키 시퀀스로 구성할 수 있습니다. 브레이크아웃 시퀀스는 형식 한정자 + 키를 사용합니다. 예제 브레이크아웃 시퀀스는 Ctrl + Alt + A입니다. 여기서 Ctrl + Alt 는 한정자이고 A 는 키 값입니다. 자세한 내용은 할당된 액세스 구성 XML 파일 만들기를 참조하세요.

바로 가기 키

할당된 액세스 권한이 있는 사용자 계정에 대해 다음 바로 가기 키가 차단됩니다.

바로 가기 키	작업
Ctrl + Shift + Esc	작업 관리자 열기
승리 + , (쉼표)	바탕 화면을 일시적으로 미리 보기
승리 + A	알림 센터 열기
승리 + Alt + D	바탕 화면에서 날짜와 시간 표시 및 숨기기
승리 + Ctrl + F	Active Directory에서 컴퓨터 개체 찾기
승리 + D	바탕 화면 표시 및 숨기기
승리 + 전자	파일 탐색기 열기
승리 + F	피드백 허브 열기
승리 + G	게임이 열려 있을 때 게임 바 열기
승리 + 나	설정 열기
승리 + J	포커스를 사용 가능한 경우 Windows 팁으로 설정
승리 + O	디바이스 방향 잠금
승리 + Q	검색 열기
승리 + R	실행 대화 상자 열기
승리 + S(S)	검색 열기
승리 + Shift + C	듣기 모드에서 Cortana 열기
승리 + X	빠른 링크 메뉴 열기
LaunchApp1	이 키에 할당된 앱 열기
LaunchApp2	이 키에 할당된 앱을 엽니다. 많은 Microsoft 키보드에서 앱은 계산기입니다.
LaunchMail	기본 메일 클라이언트 열기

할당된 액세스 제거

제한된 사용자 환경을 삭제하면 사용자와 연결된 정책 설정이 제거되지만 모든 구성을 되돌리기 수는 없습니다. 예를 들어 시작 메뉴 구성은 유지 관리됩니다.

다음 단계

할당된 액세스를 배포하기 전에 권장 사항을 검토합니다.

할당된 액세스 권장 사항