什么是分配的访问权限?
本文内容
分配的访问权限是一项 Windows 功能,可用于将设备配置为展台或具有受限用户体验。
配置 展台体验 时,将在锁屏界面上方全屏执行单个通用 Windows 平台 (UWP) 应用程序或 Microsoft Edge。 用户只能使用该应用程序。 如果展台应用已关闭,则会自动重启。 实际示例包括:
配置 受限的用户体验 时,用户只能使用定制的“开始”菜单和任务栏执行定义的应用程序列表。 将强制实施不同的策略设置和 AppLocker 规则,从而创建锁定体验。 用户可以访问熟悉的 Windows 桌面,同时限制其访问权限,减少干扰和无意使用的可能性。 非常适合共享设备,可以为不同的用户创建不同的配置。 实际示例包括:
注意
配置受限的用户体验时,会将不同的策略设置应用于设备。 某些策略设置仅适用于标准用户,有些策略设置也适用于管理员帐户。 有关详细信息,请参阅 分配的访问权限策略设置 。
要求
下面是分配的访问权限的要求:
若要使用展台体验,必须启用用户帐户控制 (UAC)
若要使用展台体验,必须从控制台登录。 不支持通过远程桌面连接使用展台体验
Windows 版本要求
下表列出了支持分配访问权限的 Windows 版本:
版次
分配的访问权限支持
教育
✅
企业
✅
企业版 LTSC
✅
IoT 企业版
✅
IoT Enterprise LTSC
✅
专业教育版
✅
专业版
✅
有多种选项可用于配置展台体验。 如果需要使用本地帐户配置单个设备,可以使用:
PowerShell:可以使用 Set-AssignedAccess
PowerShell cmdlet 使用本地标准帐户配置展台体验
设置:需要简单的方法使用本地标准用户帐户配置单个设备时,请使用此选项
对于高级自定义,可以使用 分配的访问权限 CSP 配置展台体验。 CSP 允许配置展台应用、用户帐户和展台应用的行为。 使用 CSP 时,必须创建一个指定展台应用和用户帐户的 XML 配置文件。 XML 文件使用以下选项之一应用于设备:
移动设备管理 (MDM) 解决方案,如 Microsoft Intune
预配程序包
使用 MDM 桥 WMI 提供程序的 PowerShell
若要了解如何配置 Shell Launcher XML 文件,请参阅 创建分配的访问权限配置文件 。
以下说明详细介绍了如何配置设备。 选择最适合你需求的选项。
使用以下设置 创建预配包 :
路径: AssignedAccess/AssignedAccessSettings
价值: 使用应用的 AUMID 输入要用于分配访问权限的帐户和应用程序。 示例:
{"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}
将预配包应用于 要配置的设备。
若要使用 Windows PowerShell 配置设备,请执行以下操作:
以管理员身份登录
为分配的访问权限创建用户帐户
以分配的访问权限用户帐户身份登录
安装所需的 UWP 应用
以分配的访问权限用户帐户身份注销
以管理员身份登录,并从提升的 PowerShell 提示符使用以下命令之一:
#Configure Assigned Access by AppUserModelID and user name
Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
#Configure Assigned Access by AppUserModelID and user SID
Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
#Configure Assigned Access by app name and user name
Set-AssignedAccess -AppName <CustomApp> -UserName <username>
#Configure Assigned Access by app name and user SID**:
Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
注意
若要使用 -AppName
设置分配的访问权限,您为分配的访问权限输入的用户帐户必须至少登录一次。
有关详细信息:
若要删除分配的访问权限,请使用 PowerShell 运行以下 cmdlet:
Clear-AssignedAccess
对于使用 XML 配置文件的高级自定义,可以通过 MDM Bridge WMI 提供程序 使用 PowerShell 脚本。
重要提示
对于所有设备设置,WMI Bridge 客户端必须作为 SYSTEM (LocalSystem) 帐户执行。
若要测试 PowerShell 脚本,可以:
下载 psexec 工具
打开提升的命令提示符并运行: psexec.exe -i -s powershell.exe
在 PowerShell 会话中运行脚本
$shellLauncherConfiguration = @"
# content of the XML configuration file
"@
$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
Write-Error -ErrorRecord $cimSetError[0]
$timeout = New-TimeSpan -Seconds 30
$stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
do{
$events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
} until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available
if($events.Count) {
$events | ForEach-Object {
Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
}
} else {
Write-Warning "Timed-out attempting to retrieve event logs..."
}
Exit 1
}
Write-Output "Successfully applied Shell Launcher configuration"
有关详细信息,请参阅 将 PowerShell 脚本与 WMI 桥提供程序配合使用 。
下面是使用“设置”应用配置展台的步骤:
打开“设置”应用,查看设备并将其配置为展台。 转到“设置帐户>”“其他用户”> ,或使用以下快捷方式:
在“设置展台 ”下,选择“入门 ”
在“创建帐户 ”对话框中,输入帐户名称,然后选择“下一步 ”
注意
如果已有任何本地标准用户帐户,“创建帐户 ”对话框将提供“选择现有帐户 ”选项
选择要在展台帐户登录时运行的应用程序。 只有可在锁屏界面上方运行的应用才能在可供选择的应用列表中提供。 如果选择 “Microsoft Edge ”作为展台应用,则会配置以下选项:
Microsoft Edge 是应显示网站全屏 (数字签名) ,还是应使用一些可用的浏览器控件 (公共浏览器)
展台帐户登录时应打开哪个 URL
当你选择作为公共浏览器运行时,Microsoft Edge 应在处于非活动状态一段时间后重启) (
选择 “关闭”
当设备未加入 Active Directory 域或Microsoft Entra ID 时,会自动配置展台帐户的自动登录:
如果希望展台帐户自动登录,并在设备重启时启动展台应用,则无需执行任何操作
如果不希望展台帐户在设备重启时自动登录,则必须在将设备配置为展台之前更改默认设置。 使用要用作展台帐户的帐户登录。 打开 “设置 >帐户 >”登录选项 。 将 “使用我的登录信息在更新或重启后自动完成设备设置 ”设置为 “关闭 ”。 更改设置后,可以将展台配置应用于设备
若要使用分配的访问权限配置受限的用户体验,必须使用所需体验的设置创建 XML 配置文件。 XML 文件通过 分配的访问权限 CSP ,使用以下选项之一应用于设备:
移动设备管理 (MDM) 解决方案,如 Microsoft Intune
预配程序包
使用 MDM 桥 WMI 提供程序的 PowerShell
若要了解如何配置分配的访问权限 XML 文件,请参阅 创建分配的访问权限配置文件 。
以下说明详细介绍了如何配置设备。 选择最适合你需求的选项。
使用以下设置 创建预配包 :
路径: AssignedAccess/MultiAppAssignedAccessSettings
值: XML 配置文件的内容
将预配包应用于 要配置的设备。
通过 MDM 桥 WMI 提供程序 使用 PowerShell 脚本配置设备。
重要提示
对于所有设备设置,WMI Bridge 客户端必须作为 SYSTEM (LocalSystem) 帐户执行。
若要测试 PowerShell 脚本,可以:
下载 psexec 工具
打开提升的命令提示符并运行: psexec.exe -i -s powershell.exe
在 PowerShell 会话中运行脚本
$assignedAccessConfiguration = @"
# content of the XML configuration file
"@
$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
Write-Error -ErrorRecord $cimSetError[0]
$timeout = New-TimeSpan -Seconds 30
$stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
do{
$events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
} until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available
if($events.Count) {
$events | ForEach-Object {
Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
}
} else {
Write-Warning "Timed-out attempting to retrieve event logs..."
}
Exit 1
}
Write-Output "Successfully applied Assigned Access configuration"
有关详细信息,请参阅 将 PowerShell 脚本与 WMI 桥提供程序配合使用 。
用户体验
若要验证展台或受限用户体验,请使用在配置文件中指定的用户帐户登录。
分配的访问权限配置在目标用户下次登录时生效。 如果应用配置时该用户帐户已登录,请注销并重新登录以验证体验。
注意
从 Windows 11 开始,受限用户体验支持使用多个监视器。
自动触发触摸键盘
当需要输入且启用触摸的设备上没有附加物理键盘时,将自动触发触摸键盘。 无需配置任何其他设置来强制实施此行为。
提示
仅当点击文本框时,才会触发触摸键盘。 鼠标单击不会触发触摸键盘。 如果要测试此功能,请使用物理设备而不是虚拟机 (VM) ,因为不会在 VM 上触发触摸键盘。
注销分配的访问权限
默认情况下,若要退出展台体验,请按 Ctrl + Alt + Del 。展台应用会自动退出。 如果再次以分配的访问权限帐户登录,或等待登录屏幕超时,展台应用将重新启动。 默认超时为 30 秒,但可以使用注册表项更改超时:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
若要将分配的访问权限的默认时间更改为恢复,请添加 IdleTimeOut (DWORD) 并将值数据输入为毫秒(以十六进制为单位)。
注意
IdleTimeOut
不适用于 Microsoft Edge 展台模式。
默认值为 Ctrl + Alt + Del 的分组序列,但此序列可以配置为不同的键序列。 分组讨论序列使用格式 修饰符 + 键 。 一个示例分组序列是 CTRL + ALT + A ,其中 CTRL + ALT 是修饰符, A 是键值。 若要了解详细信息,请参阅 创建分配的访问权限配置 XML 文件 。
键盘快捷方式
已分配访问权限的用户帐户将阻止以下键盘快捷方式:
键盘快捷方式
操作
Ctrl + 转变 + Esc
打开任务管理器
赢 + 、 (逗号)
临时显示在桌面上
赢 + 一个
打开操作中心
赢 + Alt + D
在桌面上显示和隐藏日期和时间
赢 + Ctrl + F
在 Active Directory 中查找计算机对象
赢 + D
显示和隐藏桌面
赢 + E
打开文件资源管理器
赢 + F
打开反馈中心
赢 + G
当游戏处于打开状态时打开“游戏栏”
赢 + 我
打开“设置”
赢 + J
在 Windows 提示可用时将焦点设置为 Windows 提示
赢 + O
锁定设备方向
赢 + Q
打开搜素
赢 + R
打开“运行”对话框
赢 + S
打开搜素
赢 + 转变 + C
在侦听模式下打开 Cortana
赢 + X
打开“快速链接”菜单
LaunchApp1
打开分配给此密钥的应用
LaunchApp2
打开分配给此密钥的应用。 在许多Microsoft键盘上,应用为“计算器”
LaunchMail
打开默认邮件客户端
有关如何自定义键盘快捷方式的信息,请参阅 分配的访问权限建议 。
删除分配的访问权限
删除受限的用户体验会删除与用户关联的策略设置,但无法还原所有配置。 例如,维护“开始”菜单配置。
后续步骤