Início Rápido: configurar um quiosque de aplicação única com o Acesso Atribuído

2025-03-07
Aplica-se a: ✅ Windows 11, ✅ Windows 10

Este início rápido fornece exemplos práticos de como configurar um quiosque de aplicação única no Windows com Acesso Atribuído. Os exemplos descrevem os passos através da aplicação Definições, uma solução de gestão de dispositivos móveis (MDM), como Microsoft Intune, pacotes de aprovisionamento (PPKG) e PowerShell. Embora sejam utilizadas diferentes soluções, as definições de configuração e os resultados são os mesmos.

Os exemplos podem ser modificados de acordo com os seus requisitos específicos. Por exemplo, pode alterar a aplicação utilizada, o URL especificado ao abrir o Microsoft Edge ou alterar o nome do utilizador que inicia sessão automaticamente no Windows.

Pré-requisitos

Segue-se uma lista de requisitos para concluir este início rápido:

Um dispositivo Windows
Microsoft Intune ou uma solução de MDM que não seja da Microsoft, se quiser configurar as definições com a MDM
Configuração do Windows Designer, se quiser configurar as definições com um pacote de aprovisionamento
Acesso à ferramenta psexec, se quiser testar a configuração com Windows PowerShell

Configurar um quiosque

As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.

Dica

Utilize a seguinte chamada do Graph para criar automaticamente uma política personalizada no seu inquilino Microsoft Intune sem atribuições nem etiquetas de âmbito.

Ao utilizar esta chamada, autentique-se no seu inquilino na janela do Graph Explorer. Se for a primeira vez que utiliza o Graph Explorer, poderá ter de autorizar a aplicação a aceder ao seu inquilino ou modificar as permissões existentes. Esta chamada de gráfico requer permissões DeviceManagementConfiguration.ReadWrite.All .

POST https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations
Content-Type: application/json

{ "id": "00000000-0000-0000-0000-000000000000", "displayName": "_MSLearn_Example_Kiosk - Assigned Access", "description": "This is a sample policy created from an article on learn.microsoft.com.", "roleScopeTagIds": [ "0" ], "@odata.type": "#microsoft.graph.windows10CustomConfiguration", "omaSettings": [ { "omaUri": "./Vendor/MSFT/AssignedAccess/Configuration", "displayName": "Configuration", "@odata.type": "#microsoft.graph.omaSettingString", "value": "<?xml version=\"1.0\" encoding=\"utf-8\" ?>\n<AssignedAccessConfiguration\n    xmlns=\"http://schemas.microsoft.com/AssignedAccess/2017/config\"\n    xmlns:rs5=\"http://schemas.microsoft.com/AssignedAccess/201810/config\"\n    xmlns:v4=\"http://schemas.microsoft.com/AssignedAccess/2021/config\"\n    >\n    <Profiles>\n        <Profile Id=\"{EDB3036B-780D-487D-A375-69369D8A8F78}\">\n            <KioskModeApp v4:ClassicAppPath=\"%ProgramFiles(x86)%\\Microsoft\\Edge\\Application\\msedge.exe\" v4:ClassicAppArguments=\"--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2\" />\n            <v4:BreakoutSequence Key=\"Ctrl+A\"/>\n        </Profile>\n    </Profiles>\n    <Configs>\n        <Config>\n            <AutoLogonAccount rs5:DisplayName=\"MS Learn Example\"/>\n            <DefaultProfile Id=\"{EDB3036B-780D-487D-A375-69369D8A8F78}\"/>\n        </Config>\n    </Configs>\n</AssignedAccessConfiguration>" } ] }

Em alternativa, pode configurar dispositivos com uma política personalizada com o CSP AssignedAccess.

Definição:./Vendor/MSFT/AssignedAccess/Configuration
Valor:

<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>

Atribua a política a um grupo que contém como membros os dispositivos que pretende configurar.

Utilize as seguintes definições para criar um pacote de aprovisionamento:

Caminho:AssignedAccess/MultiAppAssignedAccessSettings
Valor:

<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>

Aplique o pacote de aprovisionamento aos dispositivos que pretende configurar.

Configure os seus dispositivos com scripts do PowerShell através do Fornecedor de WMI de Bridge mdm.

Importante

Para todas as definições do dispositivo, o cliente da Ponte WMI tem de ser executado como conta SYSTEM (LocalSystem).

Para testar o script do PowerShell, pode:

Transferir a ferramenta psexec
Abra uma linha de comandos elevada e execute: psexec.exe -i -s powershell.exe
Executar o script na sessão do PowerShell

$assignedAccessConfiguration = @"
<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>
"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
Set-CimInstance -CimInstance $obj

Para obter mais informações, veja Utilizar scripting do PowerShell com o Fornecedor de Bridge WMI.

Experiência do usuário

Depois de as definições serem aplicadas, reinicie o dispositivo. Uma conta de utilizador local tem sessão iniciada automaticamente, abrindo o Microsoft Edge.

Remover Acesso Atribuído

Assim que já não precisar da configuração do quiosque, pode removê-la.

Eis um exemplo do PowerShell para remover a configuração de Acesso Atribuído:

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = $null
Set-CimInstance -CimInstance $obj

Reinicie o dispositivo para aplicar as alterações.

Próximas etapas

Saiba mais sobre o Acesso Atribuído e como configurá-lo:

Descrição geral do Acesso Atribuído