快速入门：使用分配的访问权限配置展台

• 适用于:

  ✅ Windows 11, ✅ Windows 10

本快速入门提供了有关如何使用分配访问权限在 Windows 上配置 展台体验 的实用示例。 这些示例描述了使用“设置”应用、移动设备管理解决方案 (MDM) （如Microsoft Intune、预配包 (PPKG) 和 PowerShell）的步骤。 虽然使用不同的解决方案，但配置设置和结果是相同的。

可以修改示例以满足你的特定要求。 例如，可以更改使用的应用、打开 Microsoft Edge 时指定的 URL，或更改自动登录到 Windows 的用户的名称。

必备条件

下面是完成本快速入门的要求列表：

• Windows 设备
• 如果要使用 MDM 配置设置，Microsoft Intune或非 Microsoft MDM 解决方案
• Windows 配置Designer，如果要使用预配包配置设置
• 若要使用 Windows PowerShell测试配置，则对 psexec 工具的访问权限

配置展台

以下说明详细介绍了如何配置设备。 选择最适合你需求的选项。

Intune/CSP

提示

使用以下 Graph 调用在Microsoft Intune租户中自动创建自定义策略，而无需分配或范围标记。

使用此调用时，请在 Graph 资源管理器窗口中向租户进行身份验证。 如果是第一次使用 Graph 资源管理器，则可能需要授权应用程序访问租户或修改现有权限。 此图形调用需要 DeviceManagementConfiguration.ReadWrite.All 权限。

POST https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations
Content-Type: application/json

{ "id": "00000000-0000-0000-0000-000000000000", "displayName": "_MSLearn_Example_Kiosk - Assigned Access", "description": "This is a sample policy created from an article on learn.microsoft.com.", "roleScopeTagIds": [ "0" ], "@odata.type": "#microsoft.graph.windows10CustomConfiguration", "omaSettings": [ { "omaUri": "./Vendor/MSFT/AssignedAccess/Configuration", "displayName": "Configuration", "@odata.type": "#microsoft.graph.omaSettingString", "value": "<?xml version=\"1.0\" encoding=\"utf-8\" ?>\n<AssignedAccessConfiguration\n    xmlns=\"http://schemas.microsoft.com/AssignedAccess/2017/config\"\n    xmlns:rs5=\"http://schemas.microsoft.com/AssignedAccess/201810/config\"\n    xmlns:v4=\"http://schemas.microsoft.com/AssignedAccess/2021/config\"\n    >\n    <Profiles>\n        <Profile Id=\"{EDB3036B-780D-487D-A375-69369D8A8F78}\">\n            <KioskModeApp v4:ClassicAppPath=\"%ProgramFiles(x86)%\\Microsoft\\Edge\\Application\\msedge.exe\" v4:ClassicAppArguments=\"--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2\" />\n            <v4:BreakoutSequence Key=\"Ctrl+A\"/>\n        </Profile>\n    </Profiles>\n    <Configs>\n        <Config>\n            <AutoLogonAccount rs5:DisplayName=\"MS Learn Example\"/>\n            <DefaultProfile Id=\"{EDB3036B-780D-487D-A375-69369D8A8F78}\"/>\n        </Config>\n    </Configs>\n</AssignedAccessConfiguration>" } ] }

或者，可以使用 AssignedAccess CSP 使用自定义策略配置设备。

• 设置：./Vendor/MSFT/AssignedAccess/Configuration
• 价值：

<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>

将策略分配给一个组，该组包含要配置的设备作为成员。

PPKG

使用以下设置 创建预配包：

• 路径：AssignedAccess/MultiAppAssignedAccessSettings
• 价值：

<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>

将预配包应用于 要配置的设备。

PowerShell

通过 MDM 桥 WMI 提供程序使用 PowerShell 脚本配置设备。

重要提示

对于所有设备设置，WMI Bridge 客户端必须作为 SYSTEM (LocalSystem) 帐户执行。

若要测试 PowerShell 脚本，可以：

1. 下载 psexec 工具
2. 打开提升的命令提示符并运行： psexec.exe -i -s powershell.exe
3. 在 PowerShell 会话中运行脚本

$assignedAccessConfiguration = @"
<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>
"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
Set-CimInstance -CimInstance $obj

有关详细信息，请参阅 将 PowerShell 脚本与 WMI 桥提供程序配合使用。

“设置”

下面是使用“设置”应用配置展台的步骤：

1. 打开“设置”应用，查看设备并将其配置为展台。 转到“设置帐户>”“其他用户”>，或使用以下快捷方式：

   其他用户

2. 在“设置展台”下，选择“入门”

3. 在“创建帐户”对话框中，输入帐户名称，然后选择“下一步”

   注意

   如果已有任何本地标准用户帐户，“创建帐户”对话框将提供“选择现有帐户”选项

4. 选择要在展台帐户登录时运行的应用程序。 只有可在锁屏界面上方运行的应用才能在可供选择的应用列表中提供。 如果选择 Microsoft Edge 作为展台应用，则配置以下选项：

   • Microsoft Edge 是应全屏显示网站 (数字签名) ，还是应使用一些可用的浏览器控件 (公共浏览器)
   • 展台帐户登录时应打开哪个 URL
   • 如果选择作为公共浏览器运行，Microsoft Edge 何时应在处于非活动状态一段时间后重启 ()

5. 选择 “关闭”

用户体验

应用设置后，重新启动设备。 本地用户帐户会自动登录，并打开 Microsoft Edge。

后续步骤

详细了解分配的访问权限以及如何对其进行配置：

分配的访问权限概述