选择具有分配的访问权限的应用指南(网亭模式)

适用范围

  • Windows 10
  • Windows 11

可使用分配的访问权限将使用你的业务的客户限制为仅使用一个 Windows 应用,由此你的设备即发挥网亭的作用。 管理员可以使用分配的访问权限来限制所选用户帐户对单个 Windows 应用的访问权限。 你可以选择几乎所有的 Windows 应用来获取分配的访问权限;但是,某些应用可能无法提供良好的用户体验。

以下指南可帮助你选择适当的 Windows 应用来获取分配的访问权限体验。

一般指南

  • 必须先为分配的访问权限帐户预配或安装 Windows 应用,然后才能将这些应用选择为分配的访问权限应用。 了解如何预配和安装应用

  • 更新 Windows 应用有时会更改该应用的应用程序用户模型 ID (AUMID)。 如果发生此更改,必须更新分配的访问权限设置,才能启动更新后的应用,因为分配的访问权限使用 AUMID 来确定要启动的应用。

  • 使用 Desktop App Converter(桌面桥) 生成的应用不能用作网亭应用。

启动其他应用的 Windows 应用指南

某些 Windows 应用可以启动其他应用。 分配的访问权限会阻止 Windows 应用启动其他应用。

避免选择旨在启动其他应用的 Windows 应用作为其核心功能的一部分。

Web 浏览器指南

从 Windows 10 版本 1809+ 开始,Microsoft Edge包括对展台模式的支持。 了解如何部署 Microsoft Edge 展台模式。

在 Windows 客户端中,你可以从 Microsoft 安装 展台浏览器 应用,以用作展台应用。 对于数字标志方案,你可以配置展台浏览器以导航到 URL,并仅显示该内容 -- 无导航按钮、地址栏等。对于展台方案,你可以配置更多设置,如允许和阻止的 URL、导航按钮和结束会话按钮。 例如,你可以将展台配置为显示应用商店的在线目录,客户可以在部门和项目之间导航,但不允许转到客户的网站。

注意

展台浏览器支持单个选项卡。如果网站具有打开新选项卡的链接,则这些链接将不能与展台浏览器一起使用。 网亭浏览器不支持 .pdfs。

网亭浏览器无法访问 Intranet 网站。

必须下载 展台浏览器,以使用适用于 Business 的 Microsoft Store 进行离线许可。 可以将 展台浏览器 部署到运行 Windows 10 版本 1803(专业版、商业版、企业版和教育版)和 Windows 11 的设备。

  1. 获取具有脱机许可证类型的适用于企业的 Microsoft Store中的展台浏览器
  2. 展台浏览器 部署到展台设备。
  3. 使用 KioskBrowser的策略配置服务提供程序 (CSP) 中的设置配置策略。 这些设置可以使用 MDM 服务提供商进行配置,也可在 预配包中配置。 在 Windows 配置设计器中,当你为 Windows 桌面版选择高级预配时,设置位于 策略 > 展台浏览器 中。

注意

如果使用预配包配置展台,则必须在设备完成 OOBE 体验的开箱即用体验 (预配)。

展台浏览器设置

展台浏览器设置 使用此设置可
阻止的 URL 异常 指定用户可以导航到的 URL,即使 URL 位于阻止的 URL 列表中。 可以使用通配符。

例如,如果希望将用户限制为仅阻止 URL 异常列表,然后阻止 http://contoso.com.contoso.com 所有其他 URL。
阻止的 URL 指定用户无法导航到的 URL。 可以使用通配符。

如果要将用户限制为特定网站,请添加到阻止的 URL 列表中,然后在阻止的 URL 例外列表中指定 https://* 允许的网站。
默认 URL 指定展台浏览器将打开的 URL。 提示! 请确保阻止的 URL 不包含默认 URL。
启用结束会话按钮 在展台浏览器中显示用户可用于重置浏览器的按钮。 结束会话将清除所有浏览数据并导航回默认 URL。
启用"开始"按钮 在展台浏览器中显示"主页"按钮。 主页将浏览器返回到默认 URL。
启用导航按钮 在展台浏览器中显示前进和后退按钮。
在空闲时间重启 指定展台浏览器应在自上次用户交互后经过一段时间的空闲时间后以全新的状态重新启动。

重要提示

若要在 Windows 配置设计器 中为阻止的 URL 异常 或阻止的 URL 配置多个 URL:

  1. 创建预配包。 准备好导出时,在 Windows 配置设计器中关闭该项目。
  2. 打开项目customizations.xml文件,例如 C:\Users\name\Documents\Windows Imaging and Configuration Designer (WICD (\) \Project_18)。
  3. 在每个 URL 之间插入空字符串 (例如  www.bing.com www.contoso.com)。
  4. 保存 XML 文件。
  5. 在 Windows 配置设计器中再次打开该项目。
  6. 导出程序包。 确保你未重新访问展台浏览器下创建的策略,否则将删除空字符。

提示

若要在Intune 中为展台浏览器启用"结束会话"按钮,你必须使用以下信息创建自定义OMA-URI策略:

  • OMA-URI:./Vendor/MSFT/Policy/Config/KioskBrowser/EnableEndSessionButton
  • 数据类型:整数
  • 值:1

展台浏览器设置中的 URL 规则

网亭浏览器筛选规则基于 Chromium 项目

URL 可以包括:

  • 有效端口值从 1 到 65,535。
  • 资源的路径。
  • 查询参数。

有关 URL 的更多准则:

  • 如果时间段在主机之前,则策略筛选器仅筛选完全匹配的主机。
  • 不能使用 user:pass 字段。
  • 当阻止的 URL 和阻止的 URL 异常都应用相同的路径长度时,异常优先。
  • 策略将搜索通配符 (*) 最后一个。
  • 可选查询是一组由“”&分隔的键值标记和仅键标记。
  • 键值标记由"="分隔。
  • 查询令牌可以选择以"*"结尾以指示前缀匹配。 匹配期间将忽略标记顺序。

阻止的 URL 和异常的示例

下表介绍阻止的 URL 和阻止的 URL 异常的不同组合的结果。

阻止的 URL 规则 阻止 URL 异常规则 结果
* contoso.com
fabrikam.com
所有请求都将被阻止,除非 contoso.com、fabrikam.com 或其任何子域。
contoso.com mail.contoso.com
.contoso.com
.www.contoso.com
阻止所有请求 contoso.com,主页及其邮件子域除外。
youtube.com youtube.com/watch?v=v1
youtube.com/watch?v=v2
阻止所有视频 youtube.com 指定的视频(v1 和 v2)除外。

下表提供了阻止的 URL 的示例。

条目 结果
contoso.com 阻止 contoso.com、 www.contoso.com 和 sub.www.contoso.com 的所有请求
https://* 阻止对任意域的所有 HTTPS 请求。
mail.contoso.com 阻止对 mail.contoso.com 的请求,但不 www.contoso.com 或 contoso.com
.contoso.com 阻止 contoso.com 但不是其子域,如 subdomain.contoso.com。
.www.contoso.com www.contoso.com ,但不阻止其子域。
* 阻止除"阻止的 URL 异常"列表中的 URL 之外的所有请求。
*:8080 阻止所有对端口 8080 的请求。
contoso.com/stuff 阻止所有对 contoso.com/stuff 及其子域的请求。
192.168.1.2 阻止对 192.168.1.2 的请求。
youtube.com/watch?v=V1 使用 id V1 阻止 youtube 视频。

其他浏览器

你可以通过使用 WebView 类创建自己的 Web 浏览器 Windows 应用。 了解关于开发自己的 Web 浏览器应用的详细信息:

保护你的信息

避免选择可能会公开你不希望在网亭中显示的信息的 Windows 应用,因为网亭通常意味着匿名访问,以及定位在公共设置中,像一个购物中心一样。 例如,具有文件选取器的应用允许用户访问用户系统上的文件和文件夹,避免在提供不必要的数据访问时选择这些类型的应用。

应用配置

某些应用可能需要更多配置,然后才能在分配的访问权限中正确使用。 例如,Microsoft OneNote 要求设置分配的访问权限用户帐户的 Microsoft 帐户,才能在分配的访问权限中打开 OneNote。

查看所选应用发布的指南,并相应地进行设置。

开发网亭应用

在 Windows 客户端中分配的访问权限利用新的锁框架。 当分配的访问权限用户登录时,选定的展台应用在锁屏界面上启动。 展台应用作为上述锁屏界面应用运行。

遵循开发用于分配的访问权限的网亭应用最佳做法指南

测试你的分配的访问权限体验

上述指南可帮助你选择或开发适当的 Windows 应用来获取分配的访问权限体验。 选择应用后,我们建议你全面测试分配的访问权限体验,以确保设备可以提供良好的客户体验。