在 Windows 10/11 上设置单应用展台

适用范围

  • Windows 10 专业版、企业版和教育版
  • Windows 11

单应用展台使用“分配的访问权限”功能在锁屏界面上方运行单个应用。 当展台帐户登录时,应用会自动启动。 使用展台的人员无法在展台应用之外的设备上执行任何操作。

单应用展台体验的插图。

重要提示

必须启用用户帐户控制 (UAC) 才能启用展台模式。

不支持通过远程桌面连接使用展台模式。 展台用户必须在设置为展台的物理设备上登录。 在展台模式下运行的应用无法使用复制和粘贴。

有多个选项可用于配置单应用展台。

  • 在本地,在“设置设置” 中设置展台 (以前名为 “设置分配的访问权限) 选项是一种快速简便的方法,可将单个设备设置为本地标准用户帐户的展台。

    此选项支持:

    • Windows 10 专业版、企业版和教育版
    • Windows 11
  • PowerShell:可以使用 Windows PowerShell cmdlet 设置单应用展台。 首先,需要在设备上 创建用户帐户 ,并为该帐户安装展台应用。

    此选项支持:

    • Windows 10 专业版、企业版和教育版
    • Windows 11
  • Windows 配置设计器中的展台向导:Windows 配置设计器是生成 预配包的工具。 预配包包括配置设置,这些设置可以在首次运行体验期间 (OOBE) ,或者在 OOBE 完成 (运行时) 之后应用于一个或多个设备。 使用展台向导,还可以创建展台用户帐户、安装展台应用以及配置更多有用的设置。

    此选项支持:

    • Windows 10 专业版版本 1709+、企业和教育版
    • Windows 11
  • Microsoft Intune或其他移动设备管理 (MDM) 提供程序:对于组织管理的设备,可以使用 MDM 设置展台配置。

    此选项支持:

    • Windows 10 专业版版本 1709+、企业和教育版
    • Windows 11

提示

还可以使用展台配置文件 在预配包中为 XML 中的 单应用 展台配置展台帐户和应用。

在设置展台之前,请务必检查 配置建议

在本地设置中设置展台

应用类型:

  • UWP

操作系统:

  • Windows 10 专业版、Ent、Edu
  • Windows 11

帐户类型:

  • 本地标准用户

可使用设置,将一台或几台设备快速配置为展台。

当展台不是由 Active Directory 或 Azure Active Directory 管理的本地设备时,有一个默认设置可在重启后启用自动登录。 这意味着在设备重启后,上次登录的用户将自动登录。 如果上次登录的用户是展台帐户,展台应用会在设备重启后自动启动。

  • 如果希望展台帐户自动登录,并在设备重启时启动展台应用,则无需执行任何操作。

  • 如果不希望展台帐户在设备重启时自动登录,则必须在将设备配置为展台之前更改默认设置。 使用将分配为展台帐户的帐户登录。 打开 “设置” 应用 >“帐户>登录选项。 将 “使用我的登录信息在更新或重启后自动完成设备设置 ”设置为 “关闭”。 更改设置后,你便可以将展台配置应用于设备了。

    自动登录设置的屏幕截图。

Windows 10版本 1809+ / Windows 11

在 Windows 客户端的设置中设置展台 (也称为分配的访问权限) 时,可以同时创建展台用户帐户。 若要在电脑设置中设置分配的访问权限,请执行以下操作:

  1. 打开 “设置” 应用 >帐户。 选择 “其他用户” 或“ 家庭和其他用户”。

  2. 选择“ 设置展台 > 分配的访问权限”,然后选择“ 入门”。

  3. 输入新帐户的名称。

    注意

    如果设备上已有任何本地标准用户帐户,“ 创建帐户 ”页将提供 “选择现有帐户”选项。

  4. 选择将在展台帐户登录时运行的应用。 可供选择的应用列表将仅提供能在锁屏界面上运行的应用。 有关详细信息,请参阅选择具有分配的访问权限的应用指南。 如果选择“Microsoft Edge”作为展台应用,则配置以下选项:

    • Microsoft Edge 是应显示网站全屏 (数字签名) ,还是应使用一些可用的浏览器控件 (公共浏览器)
    • 展台帐户登录时应显示哪个 URL
    • 如果选择以公共浏览器身份运行,Microsoft Edge 应在处于非活动状态一段时间后重启 ()
  5. 选择关闭

若要删除分配的访问权限,请在“ 设置展台 ”页上选择帐户磁贴,然后选择“ 删除展台”。

Windows 10版本 1803 及更低版本

Windows 10 版本 1803 及更低版本中设置展台 (也称为分配的访问权限) 时,必须选择现有的本地标准用户帐户。 了解如何创建本地标准用户帐户。

“设置”中的“设置分配的访问权限”页。

若要在电脑设置上设置分配的访问权限

  1. 转到“开始>设置帐户>>”“其他人”。

  2. 选择 “设置分配的访问权限”。

  3. 选择帐户。

  4. 选择一个应用。 可供选择的应用列表将仅提供能在锁屏界面上运行的应用。 有关详细信息,请参阅选择具有分配的访问权限的应用指南

  5. 关闭 设置 - 你的选择将自动保存,并将在下次用户帐户登录时应用。

若要删除分配的访问权限,请选择关闭分配的访问权限并注销所选帐户

使用 Windows PowerShell 设置展台

应用类型:

  • UWP

操作系统:

  • Windows 10 专业版、Ent、Edu
  • Windows 11

帐户类型:

  • 本地标准用户

显示Set-AssignedAccess cmdlet 的 PowerShell 窗口。

可使用以下任一 PowerShell cmdlet 在多台设备上设置分配的访问权限。

运行 cmdlet 之前:

  1. 以管理员身份登录。
  2. 为分配的访问权限创建用户帐户
  3. 以分配的访问权限用户帐户身份登录。
  4. 安装遵循分配的访问权限/高于锁定准则的通用 Windows 应用。
  5. 以分配的访问权限用户帐户身份注销。
  6. 以管理员身份登录。

若要在 Windows 客户端上打开 PowerShell,请搜索 PowerShell,并在结果中找到Windows PowerShell桌面应用。 以管理员身份运行 PowerShell。

  • 按 AppUserModelID 和用户名配置分配的访问权限Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
  • 配置 AppUserModelID 和用户 SID 分配的访问权限Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
  • 按应用名称和用户名配置分配的访问权限Set-AssignedAccess -AppName <CustomApp> -UserName <username>
  • 按应用名称和用户 SID 配置分配的访问权限Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>

注意

若要使用 -AppName设置分配的访问权限,为分配的访问权限输入的用户帐户必须至少登录一次。

了解如何获取 AUMID

了解如何获取 AppName(请参阅参数)。

若要删除分配的访问权限,请使用 PowerShell 运行以下 cmdlet:

Clear-AssignedAccess

使用 Windows 配置设计器中的展台向导设置展台

应用类型:

  • UWP
  • Windows 桌面应用程序

操作系统:

  • Windows 10 专业版版本 1709+ 仅适用于 UWP
  • Windows 10 Ent、Edu for UWP 和 Windows 桌面应用程序
  • Windows 11

帐户类型:

  • 本地标准用户
  • Active Directory

Windows 配置设计器中的展台向导选项。

重要提示

当 Exchange Active Sync (EAS) 密码限制在设备上处于活动状态时,自动登录功能不起作用。 此行为是设计使然。 有关详细信息,请参阅 如何在 Windows 中启用自动登录

在 Windows 配置设计器中使用 预配展台设备 向导时,可以将展台配置为运行通用 Windows 应用或 Windows 桌面应用程序。

安装 Windows 配置设计器,然后打开 Windows 配置设计器,并选择预配展台设备。 命名项目后,选择“ 下一步”,配置以下设置:

  1. 启用设备设置:

    在 Windows 配置设计器中,启用设备设置,输入设备名称、要升级的产品密钥、关闭共享使用并删除预安装的软件。

    如果要启用设备设置,请选择“ 设置设备”,并配置以下设置:

    • 设备名称:必需。 为设备输入唯一的 15 个字符名称。 可以使用变量向名称添加唯一字符,例如 Contoso-%SERIAL%Contoso-%RAND:5%
    • 输入产品密钥:可选。 选择许可证文件以将 Windows 客户端升级到其他版本。 有关详细信息,请参阅 允许的升级
    • 配置设备以供共享使用:此设置针对共享使用方案优化 Windows 客户端,对于展台方案不是必需的。 将此值设置为 “否”,这可能是默认值。
    • 删除预安装的软件:可选。 如果要删除预安装的软件,请选择“ ”。
  2. 设置网络:

    在 Windows 配置设计器中,打开无线连接,输入网络 SSID 和网络类型。

    如果要启用网络设置,请选择“ 设置网络”,并配置以下设置:

    • 设置网络:若要启用无线连接,请选择“ 打开”。
    • 网络 SSID:输入网络) SSID (服务集标识符。
    • 网络类型:选择 “打开 ”或“ WPA2 个人”。 如果选择 “WPA2-个人”,请输入无线网络的密码。
  3. 启用帐户管理:

    在 Windows 配置设计器中,加入 Active Directory、Azure AD 或创建本地管理员帐户。

    如果要启用帐户管理,请选择“ 帐户管理”,并配置以下设置:

    • 管理组织/学校帐户:选择注册设备的方式。 选项:
      • Active Directory:输入最低特权用户帐户的凭据,以便将设备加入域。

      • Azure Active Directory:在使用 Windows 配置设计器向导配置批量 Azure AD 注册之前, 请在组织中设置 Azure AD 联接。 在 Azure AD 租户中, 每个用户的最大设备数 设置决定了可以使用向导中的批量令牌的次数。

        如果选择此选项,请输入使用向导获取的批量令牌的友好名称。 设置令牌的到期日期。 最长为自获得令牌之日起的 180 天。 选择“ 获取批量令牌”。 在 “让我们让你登录”中,输入有权将设备加入 Azure AD 的帐户,然后输入密码。 选择“ 接受 ”,为 Windows 配置设计器授予必要的权限。

        必须在 Windows 客户端上运行 Windows 配置设计器,才能使用任何向导配置 Azure AD 注册。

      • 本地管理员:如果选择此选项,请输入用户名和密码。 如果在预配包中创建本地帐户,则必须每 42 天使用设置应用更改密码。 如果在此期间未更改密码,则帐户可能被锁定,无法登录。

  4. 添加应用程序:

    在 Windows 配置设计器中,添加将在展台模式下运行的应用程序。

    若要将应用程序添加到设备,请选择“ 添加应用程序”。 可以在预配包中安装多个应用程序,包括 Windows 桌面应用程序 (Win32) 和通用 Windows 平台 (UWP) 应用。 此步骤中的设置因所选应用程序而异。 有关这些设置的帮助,请参阅使用应用预配电脑

    警告

    如果选择加号按钮添加应用程序,则必须输入要验证的预配包的应用程序。 如果错误地选择了加号按钮,则:

    1. “安装程序路径”中,选择任何可执行文件。
    2. 显示“ 取消 ”按钮时,将其选中。

    通过这些步骤,无需添加应用程序即可完成预配包。

  5. 添加证书:

    在 Windows 配置设计器中,添加证书。

    若要向设备添加证书,请选择“ 添加证书”,并配置以下设置:

    • 证书名称:输入证书的名称。
    • 证书路径:浏览并选择要添加的证书。
  6. 配置展台帐户和展台模式应用:

    在 Windows 配置设计器中,预配展台设备时会显示“配置展台通用设置”按钮。

    若要添加运行应用的帐户并选择应用类型,请选择“ 配置展台帐户和应用”,然后配置以下设置:

    • 创建本地标准用户帐户以运行展台模式应用:选择“ ”以创建本地标准用户帐户,然后输入 “用户名 ”和 “密码”。 此用户帐户运行应用。 如果选择“ ”,请确保拥有运行展台应用的现有用户帐户。
    • 自动登录:选择“ ”以在设备启动时自动登录帐户。 不会自动登录帐户。 如果在应用预配包后出现自动登录问题,请检查事件查看器日志中的自动登录问题 (Applications and Services Logs\Microsoft\Windows\Authentication User Interface\Operational) 。
    • 配置展台模式应用:输入将运行展台模式应用的帐户的 用户名 。 在 “应用类型”中,选择要运行的应用类型。 选项:
      • Windows 桌面应用程序:输入路径或文件名。 如果文件路径位于 PATH 环境变量中,则可以使用文件名。 否则,需要完整路径。
      • 通用 Windows 应用:输入 AUMID。
  7. 配置展台常用设置:

    在 Windows 配置设计器中,设置平板电脑模式,配置欢迎屏幕和关闭屏幕,并关闭电源超时设置。

    若要配置平板电脑模式、配置欢迎屏幕和关闭屏幕,并设置电源设置,请选择 “配置展台通用设置”,然后配置以下设置:

    • 设置平板电脑模式
    • 自定义用户体验
    • 配置电源设置
  8. 完成:

    在 Windows 配置设计器中,使用密码保护包。

    若要完成向导,请选择“ 完成”,并配置以下设置:

    • 保护包:选择“ ”以密码保护预配包。 将预配包应用于设备时,必须输入此密码。

注意

如果要在 Windows 配置设计器中使用高级编辑器,请在运行时设置>AssignedAccess>AssignedAccessSettings 中指定用户帐户和应用 (AUMID)

重要提示

生成预配包时,可能会在项目文件和预配包 (.ppkg) 文件中包含敏感信息。 尽管你可以选择加密 .ppkg 文件,但项目文件不会加密。 应将项目文件存储在安全位置,并在不再需要它们时删除项目文件。

了解如何应用预配程序包。

使用Microsoft Intune或其他 MDM 服务设置展台或数字签名

应用类型:

  • UWP

操作系统:

  • Windows 10 专业版版本 1709+、Ent、Edu
  • Windows 11

帐户类型:

  • 本地标准用户
  • Azure AD

Microsoft Intune 和其他 MDM 服务通过 AssignedAccess 配置服务提供商(CSP) 启用展台配置。 分配的访问权限具有设置 KioskModeApp 。 在设置中 KioskModeApp ,输入在展台模式下运行的应用的用户帐户名称和 AUMID

提示

ShellLauncher 节点已添加到 AssignedAccess CSP

若要在 Microsoft Intune 中配置展台,请参阅 Windows 客户端和Windows Holographic for Business设备设置,以使用 Intune 作为专用展台运行。 有关其他 MDM 服务,请参阅提供商的文档。

注销分配的访问权限

若要退出分配的访问权限(展台)应用,请按 Ctrl + Alt + Del,然后使用其他帐户登录。 当你按下 Ctrl + Alt + Del 以注销分配的访问权限时,展台应用将自动退出。 如果再次以分配的访问帐户登录或等待登录屏幕超时,展台应用将重新启动。 分配的访问权限用户将保持登录状态,直到管理员帐户打开任务管理器>用户,并注销用户帐户。

如果你按下 Ctrl + Alt + Del 并且不登录其他帐户,则在设定的时间后,分配的访问权限将恢复。 默认时间为 30 秒,但是你可以在以下注册表项中更改该设置:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

若要更改分配的访问权限的默认恢复时间恢复,请添加 IdleTimeOut (DWORD),并输入十六进制形式的值数据(以毫秒为单位)。

注意

IdleTimeOut 不适用于新的 Microsoft Edge 展台模式。

默认值为 Ctrl + Alt + Del 的分组序列,但此序列可以配置为不同的键序列。 分组讨论序列使用格式 修饰符 + 键。 分组讨论序列示例类似于 Shift + Alt + a,其中 ShiftAlt 是修饰符, 而 a 是键值。 有关详细信息,请参阅 Microsoft Edge 展台 XML 示例