Краткое руководство. Настройка киоска с назначенным доступом

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

В этом кратком руководстве приведены практические примеры настройки работы киоска в Windows с назначенным доступом. В примерах описаны шаги с помощью приложения "Параметры", решения для управления мобильными устройствами (MDM), например Microsoft Intune, пакетов подготовки (PPKG) и PowerShell. Хотя используются различные решения, параметры конфигурации и результаты одинаковы.

Примеры можно изменить в соответствии с конкретными требованиями. Например, можно изменить используемое приложение, URL-адрес, указанный при открытии Microsoft Edge, или изменить имя пользователя, который автоматически входит в Windows.

Предварительные условия

Ниже приведен список требований для выполнения этого краткого руководства.

• Устройство с Windows
• Microsoft Intune или решение MDM сторонних поставщиков, если вы хотите настроить параметры с помощью MDM
• Конфигурация Windows Designer, если вы хотите настроить параметры с помощью пакета подготовки
• Доступ к средству psexec, если вы хотите протестировать конфигурацию с помощью Windows PowerShell

Настройка киоска

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Intune/CSP

Совет

Используйте следующий вызов Graph, чтобы автоматически создать настраиваемую политику в клиенте Microsoft Intune без назначений и область тегов.

При использовании этого вызова выполните проверку подлинности в клиенте в окне Обозреватель Graph. При первом использовании Graph Обозреватель может потребоваться авторизовать приложение для доступа к клиенту или изменить существующие разрешения. Для вызова графа требуются разрешения DeviceManagementConfiguration.ReadWrite.All .

POST https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations
Content-Type: application/json

{ "id": "00000000-0000-0000-0000-000000000000", "displayName": "_MSLearn_Example_Kiosk - Assigned Access", "description": "This is a sample policy created from an article on learn.microsoft.com.", "roleScopeTagIds": [ "0" ], "@odata.type": "#microsoft.graph.windows10CustomConfiguration", "omaSettings": [ { "omaUri": "./Vendor/MSFT/AssignedAccess/Configuration", "displayName": "Configuration", "@odata.type": "#microsoft.graph.omaSettingString", "value": "<?xml version=\"1.0\" encoding=\"utf-8\" ?>\n<AssignedAccessConfiguration\n    xmlns=\"http://schemas.microsoft.com/AssignedAccess/2017/config\"\n    xmlns:rs5=\"http://schemas.microsoft.com/AssignedAccess/201810/config\"\n    xmlns:v4=\"http://schemas.microsoft.com/AssignedAccess/2021/config\"\n    >\n    <Profiles>\n        <Profile Id=\"{EDB3036B-780D-487D-A375-69369D8A8F78}\">\n            <KioskModeApp v4:ClassicAppPath=\"%ProgramFiles(x86)%\\Microsoft\\Edge\\Application\\msedge.exe\" v4:ClassicAppArguments=\"--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2\" />\n            <v4:BreakoutSequence Key=\"Ctrl+A\"/>\n        </Profile>\n    </Profiles>\n    <Configs>\n        <Config>\n            <AutoLogonAccount rs5:DisplayName=\"MS Learn Example\"/>\n            <DefaultProfile Id=\"{EDB3036B-780D-487D-A375-69369D8A8F78}\"/>\n        </Config>\n    </Configs>\n</AssignedAccessConfiguration>" } ] }

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP AssignedAccess.

• Параметр:./Vendor/MSFT/AssignedAccess/Configuration
• Значение:

<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>

Назначьте политику группе, содержащей в качестве участников устройства, которые требуется настроить.

PPKG

Чтобы создать пакет подготовки, используйте следующие параметры:

• Путь:AssignedAccess/MultiAppAssignedAccessSettings
• Значение:

<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>

Примените пакет подготовки к устройствам, которые требуется настроить.

PowerShell

Настройте устройства с помощью скриптов PowerShell с помощью поставщика WMI моста MDM.

Важно.

Для всех параметров устройства клиент WMI Bridge должен выполняться как учетная запись SYSTEM (LocalSystem).

Чтобы протестировать сценарий PowerShell, можно:

1. Скачивание средства psexec
2. Откройте командную строку с повышенными привилегиями и выполните следующую команду: psexec.exe -i -s powershell.exe
3. Запуск сценария в сеансе PowerShell

$assignedAccessConfiguration = @"
<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>
"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
Set-CimInstance -CimInstance $obj

Дополнительные сведения см. в статье Использование сценариев PowerShell с поставщиком моста WMI.

Параметры

Ниже приведены действия по настройке киоска с помощью приложения "Параметры".

1. Откройте приложение "Параметры", чтобы просмотреть и настроить устройство в качестве киоска. Перейдите в раздел Параметры > Учетные > записи Другие пользователи или используйте следующий ярлык:

   Другие пользователи

2. В разделе Настройка киоска выберите Начало работы.

3. В диалоговом окне Создание учетной записи введите имя учетной записи и нажмите кнопку Далее.

   Примечание.

   Если уже есть локальные учетные записи стандартных пользователей, в диалоговом окне Создание учетной записи можно выбрать существующую учетную запись.

4. Выберите приложение для запуска при входе в учетную запись киоска. В списке доступны только приложения, которые могут выполняться над экраном блокировки. Если вы выберете Microsoft Edge в качестве приложения киоска, настройте следующие параметры:

   • Следует ли отображать ваш веб-сайт в Microsoft Edge в полноэкранном режиме (цифровой сигнал) или с некоторыми элементами управления браузером (общедоступный браузер)
   • Какой URL-адрес должен быть открыт при входе в учетную запись киоска
   • Когда Microsoft Edge следует перезапустить после периода бездействия (если выбран запуск в качестве общедоступного браузера)

5. Нажмите кнопку Закрыть.

Взаимодействие с пользователем

После применения параметров перезагрузите устройство. Учетная запись локального пользователя автоматически войдет в систему, открыв Microsoft Edge.

Дальнейшие действия

Узнайте больше о назначенном доступе и его настройке:

Общие сведения о назначенном доступе