Что такое назначенный доступ?

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

Назначенный доступ — это функция Windows, которую можно использовать для настройки устройства в качестве киоска или с ограниченным пользовательский интерфейс.

При настройке работы киоска одно приложение универсальной платформы Windows (UWP) или Microsoft Edge выполняется в полноэкранном режиме над экраном блокировки. Пользователи могут использовать только это приложение. Если приложение киоска закрыто, оно автоматически перезапускается. Практические примеры:

• Общедоступный просмотр
• Интерактивные цифровые вывески

При настройке ограниченного пользовательского интерфейса пользователи могут выполнять только определенный список приложений с помощью специального меню "Пуск" и панели задач. Применяются различные параметры политики и правила AppLocker, что создает заблокированный интерфейс. Пользователи могут получить доступ к знакомому рабочему столу Windows, ограничивая свой доступ, уменьшая отвлекающие факторы и потенциальные возможности случайного использования. Идеально подходит для общих устройств. Вы можете создавать разные конфигурации для разных пользователей. Практические примеры:

• Рабочие устройства переднего плана
• Устройства учащихся
• Устройства лаборатории

Примечание.

При настройке ограниченного взаимодействия с пользователем к устройству применяются другие параметры политики. Некоторые параметры политики применяются только к стандартным пользователям, а некоторые — к учетным записям администратора. Дополнительные сведения см. в разделе Параметры политики назначенного доступа.

Требования

Ниже приведены требования к назначенному доступу.

• Чтобы использовать интерфейс киоска, необходимо включить контроль учетных записей пользователей (UAC)
• Чтобы использовать интерфейс киоска, необходимо выполнить вход с консоли. Взаимодействие с киоском не поддерживается через подключение к удаленному рабочему столу

Требования к выпуску Windows

В следующей таблице перечислены выпуски Windows, поддерживающие назначенный доступ:

Выпуск	Поддержка назначенного доступа
Education	✅
Корпоративная	✅
Корпоративная LTSC	✅
IoT Enterprise	✅
IoT Enterprise LTSC	✅
Pro для образовательных учреждений	✅
Pro	✅

Настройка работы киоска

Существует несколько вариантов настройки работы киоска. Если необходимо настроить одно устройство с локальной учетной записью, можно использовать:

• PowerShell. Вы можете использовать Set-AssignedAccess командлет PowerShell для настройки работы киоска с помощью локальной стандартной учетной записи.
• Параметры: используйте этот параметр, если вам нужен простой метод для настройки одного устройства с локальной учетной записью стандартного пользователя.

Для дополнительных настроек можно использовать CSP назначенного доступа , чтобы настроить интерфейс киоска. CSP позволяет настроить приложение киоска, учетную запись пользователя и поведение приложения киоска. При использовании CSP необходимо создать XML-файл конфигурации, указывающий приложение киоска и учетную запись пользователя. XML-файл применяется к устройству с помощью одного из следующих параметров:

• Решение для управления мобильными устройствами (MDM), например Microsoft Intune
• Пакеты подготовки
• PowerShell с поставщиком WMI моста MDM

Сведения о настройке XML-файла средства запуска оболочки см. в статье Создание файла конфигурации назначенного доступа.

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Intune/CSP

Устройства можно настроить с помощью настраиваемой политики с помощью поставщика CSP AssignedAccess.

• Оправа:./Vendor/MSFT/AssignedAccess/Configuration
• Значение: содержимое XML-файла конфигурации

Назначьте политику группе, содержащей в качестве участников устройства, которые требуется настроить.

PPKG

Чтобы создать пакет подготовки, используйте следующие параметры:

• Путь:AssignedAccess/AssignedAccessSettings
• Ценность: Введите учетную запись и приложение, которое вы хотите использовать для назначенного доступа, используя AUMID приложения. Пример.
  • {"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}

Примените пакет подготовки к устройствам, которые требуется настроить.

PowerShell

Чтобы настроить устройство с помощью Windows PowerShell, выполните следующие действия:

1. Вход с правами администратора

2. Создание учетной записи пользователя для назначенного доступа

3. Вход в качестве учетной записи пользователя с назначенным доступом

4. Установка необходимого приложения UWP

5. Выйдите из учетной записи пользователя с назначенным доступом

6. Войдите с правами администратора и в командной строке PowerShell с повышенными привилегиями используйте одну из следующих команд:

   #Configure Assigned Access by AppUserModelID and user name
   Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
   
   #Configure Assigned Access by AppUserModelID and user SID
   Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
   
   #Configure Assigned Access by app name and user name
   Set-AssignedAccess -AppName <CustomApp> -UserName <username>
   
   #Configure Assigned Access by app name and user SID**:
   Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
   
   

Примечание.

Чтобы настроить назначенный доступ с помощью -AppName, учетная запись пользователя, которую вы ввели для параметра Назначенный доступ, должна войти в систему хотя бы один раз.

Дополнительные сведения:

• Определение идентификатора модели пользователя установленного приложения
• Set-AssignedAccess

Чтобы удалить ограниченный доступ с помощью PowerShell, запустите следующий командлет:

Clear-AssignedAccess

Для дополнительных настроек, использующих XML-файл конфигурации, можно использовать скрипты PowerShell с помощью поставщика WMI моста MDM.

Важно.

Для всех параметров устройства клиент WMI Bridge должен выполняться как учетная запись SYSTEM (LocalSystem).

Чтобы протестировать сценарий PowerShell, можно:

1. Скачивание средства psexec
2. Откройте командную строку с повышенными привилегиями и выполните следующую команду: psexec.exe -i -s powershell.exe
3. Запуск сценария в сеансе PowerShell

$shellLauncherConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Shell Launcher configuration"

Дополнительные сведения см. в статье Использование сценариев PowerShell с поставщиком моста WMI.

Параметры

Ниже приведены действия по настройке киоска с помощью приложения "Параметры".

1. Откройте приложение "Параметры", чтобы просмотреть и настроить устройство в качестве киоска. Перейдите в раздел Параметры > Учетные > записи Другие пользователи или используйте следующий ярлык:

   Другие пользователи

2. В разделе Настройка киоска выберите Начало работы.

3. В диалоговом окне Создание учетной записи введите имя учетной записи и нажмите кнопку Далее.

   Примечание.

   Если уже есть локальные учетные записи стандартных пользователей, в диалоговом окне Создание учетной записи можно выбрать существующую учетную запись.

4. Выберите приложение для запуска при входе в учетную запись киоска. В списке доступны только приложения, которые могут выполняться над экраном блокировки. Если вы выберете Microsoft Edge в качестве приложения киоска, настройте следующие параметры:

   • Следует ли отображать ваш веб-сайт в Microsoft Edge в полноэкранном режиме (цифровой сигнал) или с некоторыми элементами управления браузером (общедоступный браузер)
   • Какой URL-адрес должен быть открыт при входе в учетную запись киоска
   • Когда Microsoft Edge следует перезапустить после периода бездействия (если выбран запуск в качестве общедоступного браузера)

5. Нажмите кнопку Закрыть.

Если устройство не присоединено к домену Active Directory или идентификатору Microsoft Entra, автоматически настраивается автоматический вход в учетную запись киоска:

• Если вы хотите, чтобы учетная запись киоска выполнялась автоматически и приложение киоска запускалось при перезапуске устройства, вам не нужно ничего делать.
• Если вы не хотите, чтобы при перезапуске устройства выполнялся автоматический вход с помощью учетной записи киоска, необходимо изменить параметр по умолчанию, прежде чем настраивать устройство в качестве киоска. Войдите с учетной записью, которую вы хотите использовать в качестве учетной записи киоска. Откройте Параметры Учетные>>записиПараметры входа. Задайте для параметра Использовать мои данные для входа, чтобы автоматически завершить настройку устройства после обновления или перезапуска значение Выкл. После изменения параметра вы можете применить конфигурацию киоска к устройству.

Совет

Практические примеры см. в кратком руководстве по настройке киоска с назначенным доступом.

Настройка ограниченного взаимодействия с пользователем

Чтобы настроить ограниченный пользовательский интерфейс с назначенным доступом, необходимо создать XML-файл конфигурации с параметрами для требуемого интерфейса. XML-файл применяется к устройству через поставщик служб CSP назначенного доступа, используя один из следующих вариантов:

• Решение для управления мобильными устройствами (MDM), например Microsoft Intune
• Пакеты подготовки
• PowerShell с поставщиком WMI моста MDM

Сведения о настройке XML-файла назначенного доступа см. в статье Создание файла конфигурации назначенного доступа.

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Intune/CSP

Устройства можно настроить с помощью настраиваемой политики с помощью поставщика CSP AssignedAccess.

• Оправа:./Vendor/MSFT/AssignedAccess/ShellLauncher
• Значение: содержимое XML-файла конфигурации

Назначьте политику группе, содержащей в качестве участников устройства, которые требуется настроить.

PPKG

Чтобы создать пакет подготовки, используйте следующие параметры:

• Путь:AssignedAccess/MultiAppAssignedAccessSettings
• Значение: содержимое XML-файла конфигурации

Примените пакет подготовки к устройствам, которые требуется настроить.

PowerShell

Настройте устройства с помощью скриптов PowerShell с помощью поставщика WMI моста MDM.

Важно.

Для всех параметров устройства клиент WMI Bridge должен выполняться как учетная запись SYSTEM (LocalSystem).

Чтобы протестировать сценарий PowerShell, можно:

1. Скачивание средства psexec
2. Откройте командную строку с повышенными привилегиями и выполните следующую команду: psexec.exe -i -s powershell.exe
3. Запуск сценария в сеансе PowerShell

$assignedAccessConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Assigned Access configuration"

Дополнительные сведения см. в статье Использование сценариев PowerShell с поставщиком моста WMI.

Параметры

Этот параметр недоступен с помощью параметров.

Совет

Практические примеры см. в кратком руководстве по настройке ограниченного взаимодействия с пользователем с помощью назначенного доступа.

Взаимодействие с пользователем

Чтобы проверить взаимодействие с пользователем в киоске или ограниченном режиме, войдите с помощью учетной записи пользователя, указанной в файле конфигурации.

Конфигурация назначенного доступа вступает в силу при следующем входе целевого пользователя. Если эта учетная запись пользователя выполнена при применении конфигурации, выйдите и войдите обратно, чтобы проверить взаимодействие.

Примечание.

Начиная с Windows 11, ограниченный пользовательский интерфейс поддерживает использование нескольких мониторов.

Сенсорная клавиатура autotrigger

Сенсорная клавиатура автоматически активируется, когда требуется ввод и на устройствах с поддержкой сенсорного ввода не подключена физическая клавиатура. Вам не нужно настраивать какой-либо другой параметр для принудительного применения этого поведения.

Совет

Сенсорная клавиатура активируется только при касании текстового поля. Щелчки мышью не активируют сенсорную клавиатуру. Если вы тестируете эту функцию, используйте физическое устройство вместо виртуальной машины, так как сенсорная клавиатура не активируется на виртуальных машинах.

Выход из режима ограниченного доступа

По умолчанию, чтобы выйти из работы киоска, нажмите клавиши CTRL + ALT + DEL. Приложение киоска завершает работу автоматически. Если вы снова войдете в систему с учетной записью назначенного доступа или дождитесь истечения времени ожидания экрана входа, приложение киоска будет повторно запущено. Время ожидания по умолчанию составляет 30 секунд, но время ожидания можно изменить с помощью раздела реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

Чтобы изменить время возобновления назначенного доступа по умолчанию, добавьте IdleTimeOut (DWORD) и введите значения в миллисекундах в шестнадцатеричном формате.

Примечание.

IdleTimeOut не применяется к режиму терминала Microsoft Edge.

Последовательность прерывания ctrl + alt + Del используется по умолчанию, но эту последовательность можно настроить на другую последовательность ключей. Последовательность прорыва использует формат модификаторы + ключи Примером последовательности разрывов является CTRL + ALT + A, где CTRL + ALT — это модификаторы, а A — значение ключа. Дополнительные сведения см. в статье Создание XML-файла конфигурации назначенного доступа.

Сочетания клавиш

Следующие сочетания клавиш блокируются для учетных записей пользователей с назначенным доступом:

Сочетание клавиш	Действие
CTRL + Сдвиг + Esc	Открытие диспетчера задач
ПОБЕЖДАТЬ + , (запятая)	Временное включение показа рабочего стола при наведении
ПОБЕЖДАТЬ + A	Открытие центра уведомлений
ПОБЕЖДАТЬ + Alt + D	Отображение и скрытие даты и времени на рабочем столе
ПОБЕЖДАТЬ + CTRL + F	Поиск объектов-компьютеров в Active Directory
ПОБЕЖДАТЬ + D	Отображение и скрытие рабочего стола
ПОБЕЖДАТЬ + E	Открытие проводника
ПОБЕЖДАТЬ + F	Открытие Центра отзывов
ПОБЕЖДАТЬ + G	Открытие меню запущенной игры
ПОБЕЖДАТЬ + Я	Открытие "Параметров"
ПОБЕЖДАТЬ + J	Установка фокуса на подсказку Windows, когда она доступна
ПОБЕЖДАТЬ + O	Фиксация ориентации устройства
ПОБЕЖДАТЬ + Q	Открытие окна поиска
ПОБЕЖДАТЬ + R	Открытие диалогового окна "Выполнить"
ПОБЕЖДАТЬ + S	Открытие окна поиска
ПОБЕЖДАТЬ + Сдвиг + C	Открытие Кортаны в режиме прослушивания
ПОБЕЖДАТЬ + X	Открытие меню быстрых ссылок
LaunchApp1	Откройте приложение, назначенное этому ключу
LaunchApp2	Откройте приложение, назначенное этому ключу. На многих клавиатурах Майкрософт приложение является калькулятором
LaunchMail	Открытие почтового клиента по умолчанию

Сведения о настройке сочетаний клавиш см. в разделе Рекомендации по назначению доступа.

Удаление назначенного доступа

При удалении ограниченного взаимодействия с пользователем удаляются параметры политики, связанные с пользователями, но не удается отменить все конфигурации. Например, конфигурация меню "Пуск" сохраняется.

Дальнейшие действия

Прежде чем развертывать назначенный доступ, ознакомьтесь с рекомендациями.

Рекомендации по назначенному доступу