在 Windows 10/11 上设置单应用展台

  • 项目

适用范围

  • Windows 10 专业版、企业版和教育版
  • Windows 11

单应用展台使用“分配的访问权限”功能在锁屏界面上方运行单个应用。 当展台帐户登录时,应用会自动启动。 使用展台的人员无法在展台应用之外的设备上执行任何操作。

单应用展台体验的插图。

重要提示

必须启用用户帐户控制 (UAC) 才能启用展台模式。

不支持通过远程桌面连接使用展台模式。 展台用户必须在设置为展台的物理设备上登录。 在展台模式下运行的应用无法使用复制和粘贴。

有多个选项可用于配置单应用展台。

  • 在本地,在“设置设置” 中设置展台 (以前名为 “设置分配的访问权限) 选项是一种快速简便的方法,可将单个设备设置为本地标准用户帐户的展台。

    此选项支持:

    • Windows 10 专业版、企业版和教育版
    • Windows 11

  • PowerShell:可以使用 Windows PowerShell cmdlet 设置单应用展台。 首先,需要在设备上 创建用户帐户 ,并为该帐户安装展台应用。

    此选项支持:

    • Windows 10 专业版、企业版和教育版
    • Windows 11

  • Windows 配置中的展台向导Designer:Windows 配置Designer是生成预配包的工具。 预配包包括配置设置,这些设置可以在首次运行体验期间 (OOBE) ,或者在 OOBE 完成 (运行时) 之后应用于一个或多个设备。 使用展台向导,还可以创建展台用户帐户、安装展台应用以及配置更多有用的设置。

    此选项支持:

    • Windows 10 专业版版本 1709+、企业和教育版
    • Windows 11

  • Microsoft Intune或其他移动设备管理 (MDM) 提供程序:对于组织管理的设备,可以使用 MDM 设置展台配置。

    此选项支持:

    • Windows 10 专业版版本 1709+、企业和教育版
    • Windows 11

提示

还可以使用展台配置文件 在预配包中为 XML 中的 单应用 展台配置展台帐户和应用。

在设置展台之前,请务必检查配置建议

在本地设置中设置展台

应用类型:

  • UWP

操作系统:

  • Windows 10 专业版、Ent、Edu
  • Windows 11

帐户类型:

  • 本地标准用户

可使用设置,将一台或几台设备快速配置为展台。

当展台不是由 Active Directory 或 Microsoft Entra ID 管理的本地设备时,有一个默认设置可在重启后启用自动登录。 这意味着在设备重启后,上次登录的用户将自动登录。 如果上次登录的用户是展台帐户,展台应用会在设备重启后自动启动。

  • 如果希望展台帐户自动登录,并在设备重启时启动展台应用,则无需执行任何操作。

  • 如果不希望展台帐户在设备重启时自动登录,则必须在将设备配置为展台之前更改默认设置。 使用将分配为展台帐户的帐户登录。 打开 “设置” 应用 >“帐户>登录选项。 将 “使用我的登录信息在更新或重启后自动完成设备设置 ”设置为 “关闭”。 更改设置后,你便可以将展台配置应用于设备了。

    自动登录设置的屏幕截图。

Windows 10版本 1809+ / Windows 11

在 Windows 客户端的设置中设置展台 (也称为分配的访问权限) 时,可以同时创建展台用户帐户。 若要在电脑设置中设置分配的访问权限,请执行以下操作:

  1. 打开 “设置” 应用 >帐户。 选择 “其他用户” 或“ 家庭和其他用户”。

  2. 选择“ 设置展台 > 分配的访问权限”,然后选择“ 入门”。

  3. 输入新帐户的名称。

    注意

    如果设备上已有任何本地标准用户帐户,“ 创建帐户 ”页将提供 “选择现有帐户”选项。

  4. 选择将在展台帐户登录时运行的应用。 可供选择的应用列表将仅提供能在锁屏界面上运行的应用。 有关详细信息,请参阅选择具有分配的访问权限的应用指南。 如果选择 Microsoft Edge 作为展台应用,则配置以下选项:

    • Microsoft Edge 是应全屏显示网站 (数字签名) ,还是应使用一些可用的浏览器控件 (公共浏览器)
    • 展台帐户登录时应显示哪个 URL
    • 如果选择作为公共浏览器运行,Microsoft Edge 何时应在处于非活动状态一段时间后重启 ()

  5. 选择关闭

若要删除分配的访问权限,请在“ 设置展台 ”页上选择帐户磁贴,然后选择“ 删除展台”。

Windows 10版本 1803 及更低版本

Windows 10 版本 1803 及更低版本中设置展台 (也称为分配的访问权限) 时,必须选择现有的本地标准用户帐户。 了解如何创建本地标准用户帐户。

“设置”中的“设置分配的访问权限”页。

若要在电脑设置上设置分配的访问权限

  1. 转到“开始>设置帐户>>”“其他人”。

  2. 选择 “设置分配的访问权限”。

  3. 选择帐户。

  4. 选择一个应用。 可供选择的应用列表将仅提供能在锁屏界面上运行的应用。 有关详细信息,请参阅选择具有分配的访问权限的应用指南

  5. 关闭 设置 - 你的选择将自动保存,并在下次用户帐户登录时应用。

若要删除分配的访问权限,请选择关闭分配的访问权限并注销所选帐户

使用 Windows PowerShell 设置展台

应用类型:

  • UWP

操作系统:

  • Windows 10 专业版、Ent、Edu
  • Windows 11

帐户类型:

  • 本地标准用户

显示 Set-AssignedAccess cmdlet 的 PowerShell 窗口。

可使用以下任一 PowerShell cmdlet 在多台设备上设置分配的访问权限。

运行 cmdlet 之前:

  1. 以管理员身份登录。
  2. 为分配的访问权限创建用户帐户
  3. 以分配的访问权限用户帐户身份登录。
  4. 安装遵循分配的访问权限/高于锁定准则的通用 Windows 应用。
  5. 以分配的访问权限用户帐户身份注销。
  6. 以管理员身份登录。

若要在 Windows 客户端上打开 PowerShell,请搜索 PowerShell,并在结果中找到Windows PowerShell桌面应用。 以管理员身份运行 PowerShell。

  • 按 AppUserModelID 和用户名配置分配的访问权限Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
  • 配置 AppUserModelID 和用户 SID 分配的访问权限Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
  • 按应用名称和用户名配置分配的访问权限Set-AssignedAccess -AppName <CustomApp> -UserName <username>
  • 按应用名称和用户 SID 配置分配的访问权限Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>

注意

若要使用 -AppName设置分配的访问权限,为分配的访问权限输入的用户帐户必须至少登录一次。

了解如何获取 AUMID

了解如何获取 AppName(请参阅参数)。

若要删除分配的访问权限,请使用 PowerShell 运行以下 cmdlet:

Clear-AssignedAccess

使用 Windows 配置Designer中的展台向导设置展台

应用类型:

  • UWP
  • Windows 桌面应用程序

操作系统:

  • Windows 10 专业版版本 1709+ 仅适用于 UWP
  • Windows 10 Ent、Edu for UWP 和 Windows 桌面应用程序
  • Windows 11

帐户类型:

  • 本地标准用户
  • Active Directory

Windows 配置Designer中的展台向导选项。

重要提示

当 Exchange Active Sync (EAS) 密码限制在设备上处于活动状态时,自动登录功能不起作用。 此行为是设计使然。 有关详细信息,请参阅 如何在 Windows 中启用自动登录

在 Windows 配置Designer中使用预配展台设备向导时,可以将展台配置为运行通用 Windows 应用或 Windows 桌面应用程序。

安装 Windows 配置设计器,然后打开 Windows 配置设计器,并选择预配展台设备。 命名项目后,选择“ 下一步”,配置以下设置:

  1. 启用设备设置:

    在 Windows 配置Designer中,启用设备设置、输入设备名称、要升级的产品密钥、关闭共享使用以及删除预安装的软件。

    如果要启用设备设置,请选择“ 设置设备”,并配置以下设置:

    • 设备名称:必需。 输入设备的唯一 15 个字符名称。 可以使用变量向名称添加唯一字符,例如 Contoso-%SERIAL%Contoso-%RAND:5%
    • 输入产品密钥:可选。 选择许可证文件以将 Windows 客户端升级到其他版本。 有关详细信息,请参阅 允许的升级
    • 配置共享使用的设备:此设置针对共享使用方案优化 Windows 客户端,对于展台方案不是必需的。 将此值设置为 “否”,这可能是默认值。
    • 删除预安装的软件:可选。 如果要删除预安装的软件,请选择 “是 ”。

  2. 设置网络:

    在 Windows 配置Designer中,打开无线连接,输入网络 SSID 和网络类型。

    如果要启用网络设置,请选择“ 设置网络”,并配置以下设置:

    • 设置网络:若要启用无线连接,请选择“ 打开”。
    • 网络 SSID:输入网络) SSID (服务集标识符。
    • 网络类型:选择 “打开 ”或“ WPA2 个人”。 如果选择 “WPA2-个人”,请输入无线网络的密码。

  3. 启用帐户管理:

    在 Windows 配置Designer中,加入 Active Directory、Microsoft Entra ID 或创建本地管理员帐户。

    如果要启用帐户管理,请选择“ 帐户管理”,并配置以下设置:

    • 管理组织/学校帐户:选择注册设备的方式。 选项:

      • Active Directory:输入最低特权用户帐户的凭据,以便将设备加入域。

      • Microsoft Entra ID:在使用 Windows 配置Designer向导配置批量Microsoft Entra注册之前,请在组织中设置Microsoft Entra加入。 在Microsoft Entra租户中,每个用户的最大设备数设置决定了可以使用向导中的批量令牌的次数。

        如果选择此选项,请输入使用向导获取的批量令牌的友好名称。 设置令牌的到期日期。 最长为自获得令牌之日起的 180 天。 选择“ 获取批量令牌”。 在“让我们让你登录”中,输入有权加入设备以Microsoft Entra ID 的帐户,然后输入密码。 选择“接受”,为 Windows 配置Designer授予必要的权限。

        必须在 Windows 客户端上运行 Windows 配置Designer,才能使用任何向导配置Microsoft Entra注册。

      • 本地管理员:如果选择此选项,请输入用户名和密码。 如果在预配包中创建本地帐户,则必须每 42 天使用设置应用更改密码。 如果在此期间未更改密码,则帐户可能被锁定,无法登录。

  4. 添加应用程序:

    在 Windows 配置Designer中添加将在展台模式下运行的应用程序。

    若要将应用程序添加到设备,请选择“ 添加应用程序”。 可以在预配包中安装多个应用程序,包括 Windows 桌面应用程序 (Win32) 和通用 Windows 平台 (UWP) 应用。 此步骤中的设置因所选应用程序而异。 有关这些设置的帮助,请参阅使用应用预配电脑

    警告

    如果选择加号按钮添加应用程序,则必须输入要验证的预配包的应用程序。 如果错误地选择了加号按钮,则:

    1. “安装程序路径”中,选择任何可执行文件。
    2. 显示“ 取消 ”按钮时,将其选中。

    通过这些步骤,无需添加应用程序即可完成预配包。

  5. 添加证书:

    在 Windows 配置Designer中添加证书。

    若要向设备添加证书,请选择“ 添加证书”,并配置以下设置:

    • 证书名称:输入证书的名称。
    • 证书路径:浏览并选择要添加的证书。

  6. 配置展台帐户和展台模式应用:

    在 Windows 配置Designer中,预配展台设备时会显示“配置展台通用设置”按钮。

    若要添加运行应用的帐户并选择应用类型,请选择“ 配置展台帐户和应用”,并配置以下设置:

    • 创建本地标准用户帐户以运行展台模式应用:选择“ ”以创建本地标准用户帐户,然后输入 “用户名 ”和 “密码”。 此用户帐户运行应用。 如果选择“ ”,请确保拥有运行展台应用的现有用户帐户。
    • 自动登录:选择“ ”以在设备启动时自动登录帐户。 不会自动登录帐户。 如果在应用预配包后出现自动登录问题,检查) (自动登录问题的事件查看器Applications and Services Logs\Microsoft\Windows\Authentication User Interface\Operational日志。
    • 配置展台模式应用:输入将运行展台模式应用的帐户的 用户名 。 在 “应用类型”中,选择要运行的应用类型。 选项:
      • Windows 桌面应用程序:输入路径或文件名。 如果文件路径位于 PATH 环境变量中,则可以使用文件名。 否则,需要完整路径。
      • 通用 Windows 应用:输入 AUMID。

  7. 配置展台常用设置:

    在 Windows 配置Designer中,设置平板电脑模式,配置欢迎屏幕和关闭屏幕,并关闭电源超时设置。

    若要配置平板电脑模式、配置欢迎屏幕和关闭屏幕,并设置电源设置,请选择 “配置展台通用设置”,然后配置以下设置:

    • 设置平板电脑模式
    • 自定义用户体验
    • 配置电源设置

  8. 完成:

    在 Windows 配置Designer中,使用密码保护包。

    若要完成向导,请选择“ 完成”,并配置以下设置:

    • 保护包:选择“ ”以密码保护预配包。 将预配包应用于设备时,必须输入此密码。

注意

如果要在 Windows 配置Designer中使用高级编辑器,请在运行时设置>AssignedAccess>AssignedAccessSettings 中指定用户帐户和应用 (AUMID)

重要提示

生成预配包时,可能会在项目文件和预配包 (.ppkg) 文件中包含敏感信息。 尽管你可以选择加密 .ppkg 文件,但项目文件不会加密。 应将项目文件存储在安全位置,并在不再需要它们时删除项目文件。

了解如何应用预配程序包。

使用Microsoft Intune或其他 MDM 服务设置展台或数字签名

应用类型:

  • UWP

操作系统:

  • Windows 10 专业版版本 1709+、Ent、Edu
  • Windows 11

帐户类型:

  • 本地标准用户
  • Microsoft Entra ID

Microsoft Intune 和其他 MDM 服务通过 AssignedAccess 配置服务提供商(CSP) 启用展台配置。 分配的访问权限具有设置 KioskModeApp 。 在设置中 KioskModeApp ,输入在展台模式下运行的应用的用户帐户名称和 AUMID

提示

ShellLauncher 节点已添加到 AssignedAccess CSP

若要在 Microsoft Intune 中配置展台,请参阅 Windows 客户端和Windows Holographic for Business设备设置,以使用 Intune 作为专用展台运行。 有关其他 MDM 服务,请参阅提供商的文档。

注销分配的访问权限

若要退出分配的访问权限(展台)应用,请按 Ctrl + Alt + Del,然后使用其他帐户登录。 当你按下 Ctrl + Alt + Del 以注销分配的访问权限时,展台应用将自动退出。 如果以分配的访问帐户重新登录或等待登录屏幕超时,展台应用将重新启动。 分配的访问权限用户将保持登录状态,直到管理员帐户打开任务管理器>用户,并注销用户帐户。

如果你按下 Ctrl + Alt + Del 并且不登录其他帐户,则在设定的时间后,分配的访问权限将恢复。 默认时间为 30 秒,但是你可以在以下注册表项中更改该设置:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

若要更改分配的访问权限的默认恢复时间恢复,请添加 IdleTimeOut (DWORD),并输入十六进制形式的值数据(以毫秒为单位)。

注意

IdleTimeOut 不适用于新的 Microsoft Edge 展台模式。

默认值为 Ctrl + Alt + Del 的分组序列,但此序列可以配置为不同的键序列。 分组讨论序列使用格式 修饰符 + 键。 分组讨论序列示例类似于 Shift + Alt + a,其中 ShiftAlt 是修饰符, 而 a 是键值。 有关详细信息,请参阅 Microsoft Edge 展台 XML 示例