什么是指定访问权限？

• 适用于:

  ✅ Windows 11, ✅ Windows 10

指定访问权限是一项 Windows 功能，可用于将设备配置为展台或为设备配置受限的用户体验。

配置展台体验时，可以在锁屏界面上全屏执行单个通用 Windows 平台 (UWP) 应用程序或 Microsoft Edge。 用户只能使用该应用程序。 如果展台应用已关闭，该应用会自动重启。 实际示例包括：

• 公共浏览
• 交互式数字标牌

配置受限用户体验后，用户只能使用定制的“开始”菜单和任务栏执行一系列限定的应用程序。 通过强制实施不同的策略设置和 AppLocker 规则，创建锁定体验。 这样可以让用户访问熟悉的 Windows 桌面，同时限制其访问权限、减少干扰和无意使用的可能性。 非常适合共享设备，你可以为不同的用户创建不同的配置。 实际示例包括：

• 一线员工设备
• 学生设备
• 实验室设备

注意

配置受限用户体验时，设备将应用不同的策略设置。 某些策略设置仅适用于标准用户，某些也适用于管理员帐户。 有关详细信息，请参阅指定访问权限策略设置。

要求

下面是指定访问权限的要求：

• 若要使用展台体验，必须启用用户帐户控制 (UAC)
• 若要使用展台体验，必须从控制台登录。 不支持通过远程桌面连接使用展台体验

Windows 版本要求

下表列出了支持指定访问权限的 Windows 版本：

版次	支持指定访问权限
教育	✅
企业	✅
企业版 LTSC	✅
IoT 企业版	✅
IoT 企业版 LTSC	✅
专业教育版	✅
专业版	✅

配置展台体验

配置展台体验有多个选项。 如果需要使用本地帐户配置单个设备，可以使用：

• PowerShell：可以运行 Set-AssignedAccess PowerShell cmdlet 使用本地标准帐户配置展台体验
• 设置：在需要通过一个简单的方法来使用本地标准用户帐户配置单个设备时，请使用此选项

对于高级自定义，可以使用指定访问权限 CSP 来配置展台体验。 通过 CSP 可以配置展台应用、用户帐户和展台应用的行为。 使用 CSP 时，必须创建一个指定展台应用和用户帐户的 XML 配置文件。 XML 文件使用以下选项之一应用于设备：

• 移动设备管理 (MDM) 解决方案，如 Microsoft Intune
• 预配程序包
• 使用 MDM Bridge WMI 提供程序的 PowerShell

若要了解如何配置 Shell Launcher XML 文件，请参阅创建指定访问权限配置文件。

以下说明提供了有关如何配置设备的详细信息。 选择最适合需要的选项。

Intune/CSP

可以将自定义策略与 AssignedAccess CSP 配合使用来配置设备。

• 设置：./Vendor/MSFT/AssignedAccess/Configuration
• 值：XML 配置文件的内容

将策略分配给包含要配置的设备成员的组。

PPKG

使用以下设置创建预配包：

• 路径：AssignedAccess/AssignedAccessSettings
• 值：使用应用的 AUMID 输入你想要用于指定访问权限的帐户和应用程序。 示例：
  • {"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}

对要配置的设备应用预配包。

PowerShell

使用 Windows PowerShell 配置设备：

1. 以管理员身份登录

2. 为指定访问权限创建用户帐户

3. 以指定访问权限用户帐户身份登录

4. 安装所需的 UWP 应用

5. 以指定访问权限用户帐户身份退出登录

6. 以管理员身份登录，并通过提升的 PowerShell 提示符使用以下命令之一：

   #Configure Assigned Access by AppUserModelID and user name
   Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
   
   #Configure Assigned Access by AppUserModelID and user SID
   Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
   
   #Configure Assigned Access by app name and user name
   Set-AssignedAccess -AppName <CustomApp> -UserName <username>
   
   #Configure Assigned Access by app name and user SID**:
   Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
   
   

注意

若要使用 -AppName 设置指定访问权限，为指定访问权限输入的用户帐户必须至少登录一次。

有关详细信息：

• 查找已安装应用的应用程序用户模型 ID
• Set-AssignedAccess

若要使用 PowerShell 删除指定访问权限，请运行以下 cmdlet：

Clear-AssignedAccess

对于使用 XML 配置文件的高级自定义项，可以通过 MDM Bridge WMI 提供程序使用 PowerShell 脚本。

重要提示

对于所有设备设置，必须以 SYSTEM (LocalSystem) 帐户的身份执行 WMI Bridge 客户端。

若要测试 PowerShell 脚本，可以：

1. 下载 psexec 工具
2. 打开提升权限的命令提示符并运行：psexec.exe -i -s powershell.exe
3. 在 PowerShell 会话中运行脚本

$shellLauncherConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Shell Launcher configuration"

有关详细信息，请参阅将 PowerShell 脚本与 WMI Bridge 程序配合使用。

“设置”

下面是使用“设置”应用配置展台的步骤：

1. 打开“设置”应用以查看设备并将其配置为展台。 转到“设置”>“帐户”>“其他用户”，或使用以下快捷方式：

   其他用户

2. 在“设置展台”下，选择“开始使用”

3. 在“创建帐户”对话框中，输入帐户名称，然后选择“下一步”

   注意

   如果已有任何本地标准用户帐户，则“创建帐户”对话框可提供“选择现有帐户”选项

4. 选择展台帐户登录时要运行的应用程序。 可供选择的应用列表仅提供能在锁屏界面上运行的应用。 如果选择 Microsoft Edge 作为展台应用，则配置以下选项：

   • Microsoft Edge 是应全屏显示网站（数字符号）还是在显示网站时提供一些可用的浏览器控件（公共浏览器）
   • 展台帐户登录时应打开哪个 URL
   • 当 Microsoft Edge 应在处于非活动状态一段时间后的什么时候重新启动（如果选择将其作为公共浏览器运行）

5. 选择“关闭”

如果设备未加入 Active Directory 域或 Microsoft Entra ID，则自动配置展台帐户的自动登录：

• 如果希望展台帐户自动登录，并且在设备重启时启动展台应用，则无需执行任何操作
• 如果你不希望展台帐户在设备重启后自动登录，则必须在将设备配置为展台之前更改默认设置。 使用要用作展台帐户的帐户登录。 打开“设置”>“帐户”>“登录选项”。 将“更新或重启后，使用我的登录信息自动完成设备设置”设置设为“关”。 更改设置后，你便可以将展台配置应用于设备了

提示

有关实际示例，请参阅快速入门：使用指定访问权限配置展台。

配置受限用户体验

若要使用指定访问权限配置受限用户体验，必须使用所需体验的设置创建 XML 配置文件。 XML 文件通过指定访问权限 CSP 应用到设备，并使用以下选项之一：

• 移动设备管理 (MDM) 解决方案，如 Microsoft Intune
• 预配程序包
• 使用 MDM Bridge WMI 提供程序的 PowerShell

若要了解如何配置指定访问权限 XML 文件，请参阅创建指定访问权限配置文件。

以下说明提供了有关如何配置设备的详细信息。 选择最适合需要的选项。

Intune/CSP

可以将自定义策略与 AssignedAccess CSP 配合使用来配置设备。

• 设置：./Vendor/MSFT/AssignedAccess/ShellLauncher
• 值：XML 配置文件的内容

将策略分配给包含要配置的设备成员的组。

PPKG

使用以下设置创建预配包：

• 路径：AssignedAccess/MultiAppAssignedAccessSettings
• 值：XML 配置文件的内容

对要配置的设备应用预配包。

PowerShell

通过 MDM Bridge WMI 提供程序使用 PowerShell 脚本配置设备。

重要提示

对于所有设备设置，必须以 SYSTEM (LocalSystem) 帐户的身份执行 WMI Bridge 客户端。

若要测试 PowerShell 脚本，可以：

1. 下载 psexec 工具
2. 打开提升权限的命令提示符并运行：psexec.exe -i -s powershell.exe
3. 在 PowerShell 会话中运行脚本

$assignedAccessConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Assigned Access configuration"

有关详细信息，请参阅将 PowerShell 脚本与 WMI Bridge 程序配合使用。

“设置”

“设置”未提供此选项。

提示

有关实际示例，请参阅快速入门：使用指定访问权限配置受限用户体验

用户体验

若要验证展台或受限用户体验，请使用在配置文件中指定的用户帐户登录。

指定访问权限配置在目标用户下次登录时生效。 如果该用户帐户在你应用配置时已登录，请注销并重新登录以验证体验。

注意

从 Windows 11 开始，受限用户体验支持使用多个监视器。

自动触发触摸键盘

如果需要输入，并且物理键盘未连接到支持触摸的设备，则将自动触发触摸键盘。 你无需配置任何其他设置即可强制执行此行为。

提示

仅在点击文本框时才触发触摸键盘。 点击鼠标不会触发触摸键盘。 如果要测试此功能，请使用物理设备而不是虚拟机 (VM)，因为 VM 上不会触发触摸键盘。

注销分配的访问权限

默认情况下，若要退出展台体验，请按 Ctrl + Alt + Del。展台应用会自动退出。 如果以指定访问权限帐户的身份重新登录或者等待登录屏幕超时，展台应用将重启。 默认超时为 30 秒，但可以使用注册表项更改超时：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

若要更改指定访问权限恢复的默认时间，请添加 IdleTimeOut (DWORD)，并输入十六进制形式的值数据(以毫秒为单位)。

注意

IdleTimeOut 不适用于 Microsoft Edge 展台模式。

中断序列 Ctrl + Alt + Del 是默认值，但此序列可以配置为其他按键序列。 中断序列使用“修饰键 + 按键”格式。 一个示例中断序列是 CTRL + ALT + A，其中 CTRL + ALT 是修饰键， A 是按键值。 若要了解详细信息，请参阅创建指定访问权限配置 XML 文件。

键盘快捷方式

系统将阻止具有指定访问权限的用户帐户使用以下键盘快捷方式：

键盘快捷方式	操作
Ctrl + Shift + Esc	打开任务管理器
WIN + ,（逗号）	临时显示在桌面上
WIN + A	打开操作中心
WIN + Alt + D	在桌面上显示和隐藏日期和时间
WIN + Ctrl + F	在 Active Directory 中查找计算机对象
WIN + D	显示和隐藏桌面
WIN + E	打开文件资源管理器
WIN + F	打开反馈中心
WIN + G	当游戏处于打开状态时打开“游戏栏”
WIN + I	打开“设置”
WIN + J	将焦点设置到可用的 Windows 提示
WIN + O	锁定设备方向
WIN + Q	打开搜素
WIN + R	打开“运行”对话框
WIN + S	打开搜素
WIN + Shift + C	在侦听模式下打开 Cortana
WIN + X	打开“快速链接”菜单
LaunchApp1	打开分配给此按键的应用
LaunchApp2	打开分配给此按键的应用。 在许多 Microsoft 键盘上，该应用是计算器
LaunchMail	打开默认邮件客户端

有关如何自定义键盘快捷方式的信息，请参阅 指定访问权限建议。

删除指定访问权限

删除受限用户体验会删除与用户关联的策略设置，但无法还原所有配置。 例如，维护“开始”菜单配置。

后续步骤

在部署指定访问权限之前，请查看建议：

指定访问权限建议