在Windows 10设备上设置多应用展台

适用范围

  • Windows 10 专业版、企业版和教育版

备注

目前,仅 Windows 10 支持多应用展台。 Windows 11 不支持此功能。

多应用展台模式不支持使用多个监视器。

展台设备通常只运行一个应用,用户无法从展台应用之外访问设备上的任何特性或功能。 在 Windows 10 版本 1709 中,已扩展 AssignedAccess 配置服务提供程序 (CSP) ,使管理员能够轻松创建运行多个应用的展台。 仅运行一个或多个指定应用的展台的好处是,只需在个人面前放置他们需要使用的内容,并从视图中删除不需要访问的内容,即可为个人提供易于理解的体验。

下表列出了最近更新中对多应用展台的更改。

新功能和改进 更新中
- 在 XML 文件中配置单应用展台配置文件

- 将 组帐户分配到配置文件

- 将 帐户配置为自动登录
Windows 10 版本 1803
- 当用户打开文件对话框时显式允许某些已知文件夹

- 当用户登录时自动启动应用

- 配置 自动登录帐户的显示名称
Windows 10 版本 1809

重要: 若要使用 Windows 10 版本 1809 中发布的功能,请确保 XML 文件引用 https://schemas.microsoft.com/AssignedAccess/201810/config

警告

分配的访问权限功能专用于企业拥有的固定用途设备,例如展台。 如果对设备应用多应用分配的访问权限配置,则会在系统范围内强制执行某些策略,这将会影响该设备上的其他用户。 删除展台配置将删除与用户关联的分配访问锁定配置文件,但无法还原所有强制实施的策略 (,例如“开始”布局) 。 需要恢复出厂设置,才能清除通过分配的访问权限强制执行的所有策略。

你可以使用 Microsoft Intune预配包来配置多应用展台。

提示

在设置展台之前,请务必检查 配置建议

在 Microsoft Intune 中配置展台

若要在 Microsoft Intune 中配置展台,请参阅:

使用预配包配置展台

过程:

  1. 创建 XML 文件
  2. 将 XML 文件添加到预配包中
  3. 将预配包应用于设备

观看如何使用预配包来配置多应用展台。

如果不想使用预配包,可以使用 移动设备管理 (MDM) 部署配置 XML 文件,也可以使用 MDM 桥 WMI 提供程序配置分配的访问权限。

必备条件

  • Windows 配置设计器 (Windows 10版本 1709 或更高版本)
  • 展台设备必须运行Windows 10 (S、专业版、企业版或教育版) 版本 1709 或更高版本

备注

对于运行 1709 版本之前的 Windows 10 版本的设备,你可以创建 AppLocker 规则以配置多应用展台。

创建 XML 文件

让我们首先看看 XML 文件的基本结构。

  • 配置 XML 可以定义多个配置文件。 每个配置文件都有唯一的 ID,并定义了一组可运行的应用程序(无论任务栏是否可见),可以包括自定义“开始”布局。

  • 配置 XML 可以具有多个配置部分。 每个配置部分都将非管理员用户帐户关联到默认配置文件 ID

  • 多个配置部分可关联到同一个配置文件。

  • 如果配置文件未关联到配置部分,则它不起作用。

    profile = app and config = account。

可以通过以下方式启动文件:将以下 XML 粘贴到 XML 编辑器中,并将文件保存为 文件名.xml。 本文介绍了此 XML 的每个部分。 可以在分配的访问权限 XML 参考中看到完整的示例版本。

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
    >
    <Profiles>
        <Profile Id="">
            <AllAppsList>
                <AllowedApps/>
            </AllAppsList>
            <StartLayout/>
            <Taskbar/>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <Account/>
            <DefaultProfile Id=""/>
        </Config>
    </Configs>
</AssignedAccessConfiguration>

个人资料

可以在 XML 中指定两种类型的配置文件:

  • 锁定配置文件:分配锁定配置文件的用户将在平板电脑模式下看到桌面,并在“开始”屏幕上显示特定应用。
  • 展台配置文件:从 Windows 10 版本 1803 开始,此配置文件将替换 AssignedAccess CSP 的 KioskModeApp 节点。 分配了展台配置文件的用户不会看到桌面,而只会看到以全屏模式运行的展台应用。

XML 中的锁定配置文件部分包含以下条目:

XML 中的展台配置文件具有以下条目:

ID

配置文件 ID 是 GUID 属性,用于唯一地标识该配置文件。 你可以使用 GUID 生成器创建 GUID。 该 GUID 在此 XML 文件中必须是唯一的。

<Profiles>
  <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">…</Profile>
</Profiles>
AllowedApps

AllowedApps 是允许运行的应用程序的列表。 应用可以是通用 Windows 平台 (UWP) 应用或 Windows 桌面应用程序。 从 Windows 10 版本 1809 开始,可以在 AllowedApps 列表中配置单个应用,以便在分配的访问权限用户帐户登录时自动运行。

  • 对于 UWP 应用,你需要提供应用用户模型 ID (AUMID)。 了解如何获取 AUMID从“开始”布局 XML 获取 AUMID
  • 对于桌面应用,需要指定可执行文件的完整路径,该路径可以包含一 %variableName%个或多个形式的系统环境变量。 例如,%systemroot%%windir%
  • 如果一个应用依赖于另一个应用,则两者都必须包含在允许的应用列表中。 例如,Internet Explorer 64 位依赖于 Internet Explorer 32 位,因此必须同时 "C:\Program Files\internet explorer\iexplore.exe" 允许 和 "C:\Program Files (x86)\Internet Explorer\iexplore.exe"
  • 若要将单个应用配置为在用户登录时自动启动,请在 AUMID 或路径之后添加 rs5:AutoLaunch="true" 。 还可以包含要传递给应用的参数。 有关示例,请参阅 AllowedApps 示例 XML

将多应用展台配置应用于设备时,将生成 AppLocker 规则以允许配置中列出的应用。 下面是为 UWP 应用预定义的分配的访问权限 AppLocker 规则:

  1. 默认规则就是允许所有用户启动已签名的程序包应用。

  2. 当分配的访问权限的用户登录时,会在运行时生成包应用阻止列表。 根据用户帐户可用的已安装/预配的包应用,分配的访问权限会生成阻止列表。 此列表将排除默认允许的收件箱包应用,这些应用对于系统正常运行至关重要。 然后,它将排除企业在分配的访问配置中定义的允许包。 如果同一个程序包中有多个应用,则将排除所有这些应用。 此阻止列表将用于阻止用户访问当前可供用户使用但不允许列表中的应用。

    备注

    无法管理 由 MMC 管理单元中的多应用展台配置生成的 AppLocker 规则。避免创建与多应用展台配置生成的 AppLocker 规则冲突的 AppLocker 规则。

    多应用展台模式不会阻止企业或用户安装 UWP 应用。 在当前分配的访问权限用户会话期间安装新的 UWP 应用时,此应用将不在拒绝列表中。 当用户注销并再次登录时,该应用将包含在阻止列表中。 如果这是企业部署的业务线应用,并且你想要允许该应用运行,请更新分配的访问权限配置,以将其包括在允许的应用列表中。

下面是为桌面应用预定义的分配的访问权限 AppLocker 规则:

  1. 默认规则就是允许所有用户启动使用 Microsoft 证书进行签名的桌面程序,以便于系统启动并正常运行。 该规则也允许管理员用户组启动所有桌面程序。
  2. 分配的访问用户帐户有预定义的收件箱桌面应用阻止列表,此阻止列表将根据你在多应用配置中定义的桌面应用允许列表进行调整。
  3. 企业定义的允许桌面应用添加到 AppLocker 允许列表中。

以下示例允许 Groove 音乐、电影&电视、照片、天气、计算器、画图和记事本应用在设备上运行,并将记事本配置为在用户登录时自动启动并创建名为 123.text 的文件。

<AllAppsList>
        <AllowedApps>
          <App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
          <App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
          <App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
          <App DesktopAppPath="%windir%\system32\mspaint.exe" />
          <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="123.txt">
        </AllowedApps>
</AllAppsList>
FileExplorerNamespaceRestrictions

从 Windows 10 版本 1809 开始,可以通过在 XML 文件中包括 FileExplorerNamespaceRestrictions,在用户尝试在多应用分配访问权限中打开文件对话框时显式允许访问某些已知文件夹。 目前, “下载” 是唯一受支持的文件夹。 也可以使用 Microsoft Intune 设置此行为。

以下示例演示如何允许用户访问常见文件对话框中的 Downloads 文件夹。

提示

若要通过文件资源管理器授予对“下载”文件夹的访问权限,请将“Explorer.exe”添加到允许的应用列表,并将文件资源管理器快捷方式固定到展台开始菜单。

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
>     <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    ...
                </AllowedApps>
            </AllAppsList>
            <rs5:FileExplorerNamespaceRestrictions>
                <rs5:AllowedNamespace Name="Downloads"/>
            </rs5:FileExplorerNamespaceRestrictions>
            <StartLayout>
                ...
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
</AssignedAccessConfiguration>

FileExplorerNamespaceRestriction 已在当前Windows 10预发行版中进行了扩展,以便更精细且更易于使用。 有关详细信息和完整示例,请参阅 分配的访问权限 XML 参考。 通过使用新元素,可以配置用户是否可以访问 Downloads 文件夹或可移动驱动器,或者完全没有限制。

备注

  • FileExplorerNamespaceRestrictionsAllowedNamespace:Downloads 在命名空间 https://schemas.microsoft.com/AssignedAccess/201810/config中可用。
  • AllowRemovableDrivesNoRestriction 在新命名空间 https://schemas.microsoft.com/AssignedAccess/2020/config中定义。
  • 如果未 FileExplorerNamespaceRestrictions 使用节点,或者未使用节点,但留空,用户将无法访问公共对话框中的任何文件夹。 例如,Microsoft Edge 浏览器中的 “另存为 ”。
  • 在允许的命名空间中提及下载时,用户将能够访问 Downloads 文件夹。
  • 使用 时 AllowRemovableDrives ,用户将访问可移动驱动器。
  • 使用 时 NoRestriction ,不会对对话框应用任何限制。
  • AllowRemovableDrivesAllowedNamespace:Downloads 可以同时使用。
StartLayout

定义了允许的应用程序列表后,你可以针对自己的展台体验自定义“开始”布局。 你可以选择将所有允许的应用固定到“开始”屏幕,也可以仅将一部分应用固定到该屏幕,具体取决于你是否希望最终用户直接在“开始”屏幕上访问它们。

若要创建自定义的“开始”菜单布局以应用于其他 Windows 客户端设备,最简单的方法是在测试设备上设置“开始”屏幕,然后导出布局。 有关详细步骤,请参阅自定义和导出“开始”布局

下面是值得注意的一些事项:

  • 自定义“开始”布局的测试设备应与你计划部署多应用分配的访问权限配置的设备上安装的操作系统版本相同。
  • 由于多应用分配的访问权限体验仅适用于固定用途设备,因此,为了确保设备体验一致且可预测,请使用完整“开始”布局选项,而非部分“开始”布局。
  • 在多应用模式下,任务栏上没有固定的应用,并且不支持在 <CustomTaskbarLayoutCollection> 分配的访问配置中使用布局修改 XML 中的 标记来配置任务栏布局。
  • 以下示例使用 DesktopApplicationLinkPath 固定桌面应用以启动。 当桌面应用在目标设备上没有快捷方式链接时,请了解如何使用 Windows 配置设计器预配 .lnk 文件

以下示例在“开始”屏幕上固定 Groove 音乐、电影&电视、照片、天气、计算器、绘图和记事本应用:

<StartLayout>
        <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="httsp://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Group1">
                              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
                              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
                              <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
                              <start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
                            </start:Group>
                            <start:Group Name="Group2">
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk" />
                              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
</StartLayout>

备注

如果未为用户安装应用,但包含在“开始”布局 XML 中,则不会在“开始”屏幕上显示该应用。

应用 XML 示例时“开始”屏幕的外观。

任务栏

定义你是否希望在展台设备中显示任务栏。 对于基于平板电脑或支持触摸的一体化展台,如果你未连接键盘和鼠标,则可以在多应用体验中隐藏任务栏(如果你希望)。

以下示例向最终用户显示任务栏:

<Taskbar ShowTaskbar="true"/>

以下示例会隐藏任务栏:

<Taskbar ShowTaskbar="false"/>

备注

在平板电脑模式下,这不同于自动隐藏任务栏选项,后者在向上轻扫或将鼠标指针向下移动到屏幕底部时会显示任务栏。 将 ShowTaskbar 设置为 false 将始终保持任务栏处于隐藏状态。

KioskModeApp

KioskModeApp 仅用于 展台配置文件 。 输入单个应用的 AUMID。 只能在 XML 中指定一个展台配置文件。

<KioskModeApp AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"/>

重要

展台配置文件专为面向公众的展台设备而设计。 建议使用本地非管理员帐户。 如果设备已连接到公司网络,则使用域或 Azure Active Directory 帐户可能会泄露机密信息。

配置

配置下,定义哪个用户帐户将与配置文件关联。 当此用户帐户在设备上登录时,将强制实施关联的已分配访问配置文件。 此行为包括允许的应用、“开始”布局、任务栏配置和其他本地组策略或移动设备管理, (MDM) 策略设置为多应用体验的一部分。

该完整的多应用分配的访问权限体验只能适用于非管理员用户。 不支持将管理员用户与分配的访问权限配置文件相关联。 当此管理员用户登录时,在 XML 文件中进行此配置将导致意外或不受支持的体验。

可以分配:

备注

指定组帐户的配置不能使用展台配置文件,只能使用锁定配置文件。 如果将组配置为展台配置文件,CSP 将拒绝该请求。

自动登录帐户的配置

使用 <AutoLogonAccount> 并将配置应用于设备时, (分配的访问权限) 管理的指定帐户将作为本地标准用户帐户在设备上创建。 指定的帐户会在重启后自动登录。

以下示例演示如何指定要自动登录的帐户。

<Configs>
  <Config>
    <AutoLogonAccount/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

从 Windows 10 版本 1809 开始,可以配置将在用户登录时显示的显示名称。 以下示例演示如何创建显示名称“Hello World”的 AutoLogon 帐户。

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Hello World"/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

在已加入域的设备上,默认情况下,登录屏幕上不会显示本地用户帐户。 若要在登录屏幕上显示 AutoLogonAccount,请启用以下组策略设置:计算机配置>管理模板>系统>登录>枚举已加入域的计算机上的本地用户。 (策略 CSP.) 中的相应 MDM 策略设置为 WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers

重要

当 Exchange Active Sync (EAS) 密码限制在设备上处于活动状态时,自动登录功能不起作用。 此行为是设计使然。 有关详细信息,请参阅 如何在 Windows 中启用自动登录

为单个帐户配置

使用 <Account>指定单个帐户。

  • 可以将本地帐户输入为 machinename\account.\account 或仅限 account
  • 应将域帐户输入为 domain\account
  • 必须采用以下格式指定 Azure AD 帐户:AzureAD\{email address}AzureAD 必须 _按原样_提供,并认为它是固定域名。 然后按照 Azure AD 电子邮件地址操作。 例如, AzureAD\someone@contoso.onmicrosoft.com

警告

可通过 WMI 或 CSP 将分配的访问权限配置为根据域用户或服务帐户而非本地帐户运行其应用程序。 但是,使用域用户或服务帐户时,会招致破坏分配的访问权限应用程序的攻击者可能会访问无意中留下可访问任何域帐户的敏感域资源的风险。 我们建议客户在将域帐户与分配的访问权限结合使用时应谨慎行事,并且考虑因决定执行此操作可能公开的域资源。

在应用多应用配置之前,请确保指定的用户帐户将在设备上可用,否则该帐户将不可用。

备注

对于域帐户和 Azure AD 帐户,不需要将目标帐户显式添加到设备。 只要设备加入 AD 或 Azure AD,就可以在该设备加入到的域林或租户中发现帐户。 对于本地帐户,帐户必须在针对分配的访问权限配置该帐户前存在。

<Configs>
  <Config>
    <Account>MultiAppKioskUser</Account>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>
为组帐户配置

使用 <UserGroup>指定组帐户。 不支持嵌套组。 例如,如果用户 A 是组 1 的成员,组 1 是组 2 的成员,组 2 用于 <Config/>,则用户 A 将没有展台体验。

  • 本地组:将组类型指定为 LocalGroup ,并将组名称置于 Name 属性中。 添加到本地组的任何 Azure AD 帐户都不会应用展台设置。

    <Config>
      <UserGroup Type="LocalGroup" Name="mygroup" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    
  • 域组:支持安全和通讯组。 将组类型指定为 ActiveDirectoryGroup。 在 name 属性中使用域名作为前缀。

    <Config>
      <UserGroup Type="ActiveDirectoryGroup" Name="mydomain\mygroup" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    
  • Azure AD 组:使用Azure 门户中的组对象 ID 在 Name 属性中唯一标识组。 可以在 “用户 > 和组”“所有组”中的组的概述页上找到该的对象 ID。 将组类型指定为 AzureActiveDirectoryGroup。 当属于组的用户登录时,展台设备必须具有 Internet 连接。

    <Config>
      <UserGroup Type="AzureActiveDirectoryGroup" Name="a8d36e43-4180-4ac5-a627-fb8149bba1ac" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    

    备注

    如果在设备上为 Azure AD 组配置了锁定配置文件,则 Azure AD 组中的用户必须在门户) 上使用默认密码创建帐户后更改其密码 (,然后才能登录到此设备。 如果用户使用默认密码登录到设备,用户将立即注销。

[预览]全局配置文件

Windows 10中提供了全局配置文件。 如果希望登录特定设备的所有人被分配为访问用户,即使该用户没有专用配置文件也是如此。 或者,分配的访问权限可能无法识别用户的配置文件,并且你希望具有回退配置文件。 全局配置文件是针对这些方案设计的。

下面演示了用法,具体方法是使用新的 XML 命名空间并从该命名空间中指定 GlobalProfile 。 配置 GlobalProfile时,非管理员帐户登录时,如果此用户在分配的访问权限中没有指定的配置文件,或者分配的访问权限无法确定当前用户的配置文件,则会为该用户应用全局配置文件。

备注

  1. GlobalProfile 只能是多应用配置文件。
  2. 一个 GlobalProfile 配置 XML 中只能使用一个 AssignedAccess
  3. GlobalProfile 可用作唯一配置,也可以与常规用户或组配置一起使用。
<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v2="https://schemas.microsoft.com/AssignedAccess/201810/config"
    xmlns:v3="https://schemas.microsoft.com/AssignedAccess/2020/config"
>
    <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    <App AppUserModelId="Microsoft.Microsoft3DViewer_8wekyb3d8bbwe!Microsoft.Microsoft3DViewer" v2:AutoLaunch="true" v2:AutoLaunchArguments="123"/>
                    <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                    <App AppUserModelId="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
                    <App DesktopAppPath="%SystemRoot%\system32\notepad.exe" />
                </AllowedApps>
            </AllAppsList>
            <StartLayout>
                <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="https://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Life at a glance">
                              <start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="microsoft.windowscommunicationsapps_8wekyb3d8bbwe!microsoft.windowsLive.calendar" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsStore_8wekyb3d8bbwe!App" />
                              <!-- A link file is required for desktop applications to show on start layout, the link file can be placed under
                                   "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs" if the link file is shared for all users or
                                   "%AppData%\Microsoft\Windows\Start Menu\Programs" if the link file is for the specific user only 
                                   see document https://learn.microsoft.com/windows/configuration/start-layout-xml-desktop
                              -->
                              <!-- for inbox desktop applications, a link file might already exist and can be used directly -->
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Accessories\paint.lnk" />
                              <!-- for 3rd party desktop application, place the link file under appropriate folder -->
                              <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationLinkPath="%AppData%\Microsoft\Windows\Start Menu\Programs\MyLOB.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
    <Configs>
        <v3:GlobalProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Configs>
</AssignedAccessConfiguration>

将 XML 文件添加到预配包中

在向预配包中添加 XML 文件之前,你可以针对 XSD 验证配置 XML

使用 Windows 配置设计器工具创建预配包。 了解如何安装 Windows 配置设计器。

重要

生成预配包时,可能会在项目文件和预配包 (.ppkg) 文件中包含敏感信息。 尽管你可以选择加密 .ppkg 文件,但项目文件不会加密。 应将项目文件存储在安全位置,并在不再需要它们时删除项目文件。

  1. 打开 Windows 配置设计器。 默认情况下: %systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe

  2. 选择高级预配

  3. 为项目命名,然后选择“ 下一步”。

  4. 选择 “所有 Windows 桌面版 ”,然后选择“ 下一步”。

  5. “新建项目”上,选择“ 完成”。 此时将打开你的程序包的工作区。

  6. 依次展开运行时设置 > AssignedAccess > MultiAppAssignedAccessSettings

  7. 在中心窗格中,选择“ 浏览”。 找到并选择创建的已分配访问配置 XML 文件。

    Windows 配置设计器中 MultiAppAssignedAccessSettings 字段的屏幕截图。

  8. 可选:如果要在设备初始设置后应用预配包,并且展台设备上已有管理员用户可用,请跳过此步骤。运行时设置帐户>用户”>中创建管理员用户帐户。 提供用户名密码,然后选择用户组作为管理员。 使用此帐户,你可以根据需要查看预配状态和日志。

  9. 可选:如果展台设备上已有非管理员帐户,请跳过此步骤。运行时设置帐户>用户”>中创建本地标准用户帐户。 确保用户名与你在配置 XML 中指定的帐户相同。 选择用户组作为标准用户

  10. 文件菜单上,选择保存

  11. 在“导出”**** 菜单上,选择“设置包”****。

  12. 所有者更改为 IT 管理员,这会将此预配包的优先级设置为高于应用于来自其他源的设备的预配包,然后选择下一步

  13. 可选。 在设置程序包安全性窗口中,你可以选择对程序包进行加密并启用程序包签名。

    • 启用程序包加密 - 如果你选择此选项,将在屏幕上显示自动生成的密码。

    • 启用程序包签名 - 如果你选择此选项,则必须选择一个有效的证书,用于对程序包进行签名。 你可以通过单击 浏览 并选择要用于对程序包进行签名的证书指定相关证书。

  14. 选择“ 下一步 ”,指定要在生成预配包时转到的输出位置。 默认情况下,Windows 映像和配置设计器 (ICD) 使用项目文件夹作为输出位置。

    (可选)可以选择“ 浏览 ”以更改默认输出位置。

  15. 选择下一步

  16. 选择“ 生成 ”以开始生成包。 无需花费太长时间即可生成预配包。 项目信息会显示在构建页面中,并且进度栏会指示构建状态。

    如果需要取消生成,请选择“ 取消”。 此操作将取消当前生成过程、关闭向导并返回到 “自定义”页

  17. 如果构建失败,则显示一条包含项目文件夹链接的错误消息。 你可以扫描日志以确定导致错误的原因。 解决问题后,请尝试重新构建程序包。

    如果构建成功,将显示设置包的名称、输出目录和项目目录。

    • 如果要进行选择,你可以重新构建设置包并选择不同的输出程序包路径。 若要执行此操作,请选择“ 返回 ”以更改输出包名称和路径,然后选择“ 下一步 ”启动另一个生成。
    • 完成后,选择“ 完成 ”以关闭向导并返回到 “自定义页”。
  18. 将预配包复制到 U 盘的根目录。

将预配包应用于设备

预配包可以在初始设置期间 (现成体验或“OOBE”) 以及 (“runtime”) 之后应用于设备。 有关详细信息,请参阅 应用预配包

备注

如果预配包不包括分配的访问权限用户帐户创建,请确保设备上存在多应用配置 XML 中指定的帐户。

使用 MDM 部署多应用配置

多应用展台模式由 AssignedAccess 配置服务提供程序 (CSP) 启用。 你的 MDM 策略中可能包含分配的访问权限配置 XML。

如果设备已注册支持应用分配的访问配置的 MDM 服务,则可以使用它来远程应用设置。

多应用策略的 OMA-URI 是 ./Device/Vendor/MSFT/AssignedAccess/Configuration

Windows Mixed Reality 沉浸式头戴显示设备的注意事项

随着混合现实设备(视频链接)的出现,你可能希望创建可以运行混合现实应用的展台。

若要创建可以运行混合现实应用的多应用展台,你必须将以下应用包括在 AllowedApps 列表中:

<App AppUserModelId="MixedRealityLearning_cw5n1h2txyewy!MixedRealityLearning" />
<App AppUserModelId="HoloShell_cw5n1h2txyewy!HoloShell" />
<App AppUserModelId="Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy!App" />
<App AppUserModelId="Microsoft.MixedReality.Portal_8wekyb3d8bbwe!App" />

这些应用是你允许的任何混合现实应用的补充。

在你的展台用户登录前: 管理员用户必须登录到电脑,连接混合现实设备,并完成混合现实门户的引导式设置。 首次设置混合现实门户时,将下载一些文件和内容。 展台用户没有下载权限,因此他们设置混合现实门户会失败。

在管理员完成了设置后,展台帐户可以登录并重复执行设置。 管理员用户可能需要先完成展台用户设置,然后再为员工或客户提供电脑。

展台用户和其他用户的混合现实体验存在差异。 通常,当用户连接混合现实设备时,他们开始在混合现实家庭版中操作。 混合现实家庭版是将电脑配置为展台时在“无提示”模式下运行的 shell。 当展台用户连接混合现实设备时,他们将只看到设备中的空白显示,并且无法访问家庭中可用的特性和功能。 若要运行混合现实应用,展台用户必须从电脑的“开始”屏幕启动应用。

根据多应用展台配置设置的策略

不建议使用其他通道将分配的访问多应用模式下强制实施的策略设置为不同的值,因为多应用模式已经过优化以提供锁定体验。

在设备上应用多应用分配的访问配置时,某些策略将在系统范围内强制实施,并且会影响设备上的其他用户。

组策略

以下本地策略会影响系统上的所有非管理员用户,无论用户是否配置为分配的访问权限用户。 此列表包括本地用户、域用户和 Azure Active Directory 用户。

设置
删除任务栏的上下文菜单的访问权限 已启用
退出系统时清除最近打开的文档的历史记录 已启用
阻止用户自定义“开始”屏幕 已启用
阻止用户从“开始”屏幕中卸载应用程序 已启用
从“开始”菜单中删除“所有程序”列表 已启用
从“开始”菜单中删除“运行”菜单 已启用
禁止将气球通知显示为 toast 已启用
不允许在跳转列表中固定项目 已启用
不允许将程序固定到任务栏 已启用
不在跳转列表中显示或跟踪来自远程位置的项目 已启用
删除通知和操作中心 已启用
锁定所有任务栏设置 已启用
锁定任务栏 已启用
阻止用户添加或删除工具栏 已启用
防止用户调整任务栏大小 已启用
从“开始”菜单中删除常用程序列表 已启用
删除“映射网络驱动器”和“断开连接网络驱动器” 已启用
删除“安全和维护”图标 已启用
关闭所有气球通知 已启用
关闭功能广告气球通知 已启用
关闭 toast 通知 已启用
删除任务管理器 已启用
删除安全选项 UI 中的“更改密码”选项 已启用
删除安全选项 UI 中的“注销”选项 已启用
从“开始”菜单中删除“所有程序”列表 已启用 – 删除和禁用设置
阻止从“我的电脑”访问驱动器 已启用 - 限制所有驱动程序

备注

启用防止从“我的电脑”访问驱动器后,用户可以在文件资源管理器中浏览目录结构,但他们无法打开文件夹并访问内容。 此外,他们不能使用运行对话框或映射网络驱动器对话框,以查看这些驱动器上的目录。 表示指定驱动器的图标仍显示在文件资源管理器中,但如果用户双击图标,将显示一条消息,说明设置会阻止该操作。 此设置不会阻止用户使用程序访问本地驱动器和网络驱动器。 它不会阻止用户使用“磁盘管理”管理单元查看和更改驱动器特性。

MDM 策略

某些基于 策略配置服务提供程序的 MDM 策略 (CSP) 影响系统上的所有用户。

设置 系统范围
Experience/AllowCortana 0 - 不允许
Start/AllowPinnedFolderDocuments 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
Start/AllowPinnedFolderDownloads 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
Start/AllowPinnedFolderFileExplorer 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
Start/AllowPinnedFolderHomeGroup 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
Start/AllowPinnedFolderMusic 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
Start/AllowPinnedFolderNetwork 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
Start/AllowPinnedFolderPersonalFolder 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
Start/AllowPinnedFolderPictures 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
Start/AllowPinnedFolderSettings 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
Start/AllowPinnedFolderVideos 0 - 快捷方式处于隐藏状态,并禁用“设置”应用中的设置
Start/DisableContextMenus 1 - “开始”应用隐藏上下文菜单
Start/HidePeopleBar 1 - True(隐藏)
Start/HideChangeAccountSettings 1 - True(隐藏)
WindowsInkWorkspace/AllowWindowsInkWorkspace 0 - 禁止访问 Ink 工作区并关闭此功能
Start/StartLayout 依赖于配置
WindowsLogon/DontDisplayNetworkSelectionUI <已启用/>

使用 Windows 配置设计器预配 .lnk 文件

首先,使用默认安装位置在测试设备上安装应用,从而创建桌面应用的快捷方式文件。 右键单击安装的应用程序,然后依次选择发送到 > 桌面(创建快捷方式)。 重命名快捷方式 <appName>.lnk

其次,使用两个命令创建批处理文件。 如果桌面应用已安装在目标设备上,对于 MSI 安装,请跳过第一个命令。

msiexec /I "<appName>.msi" /qn /norestart
copy <appName>.lnk "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\<appName>.lnk"

在 Windows 配置设计器中的 ProvisioningCommands > DeviceContext 下:

  • “CommandFiles”下,上传批处理文件、.lnk 文件和桌面应用安装文件。

    重要

    将完整文件路径粘贴到 CommandFiles 字段中的 .lnk 文件。 如果浏览到并选择 .lnk 文件,则文件路径将更改为 .lnk 的目标路径。

  • “CommandLine”下,输入 cmd /c *FileName*.bat

其他方法

使用 WMI 的环境可以使用 MDM 桥 WMI 提供程序来配置展台