什麼是受指派的存取權?
本文內容
受指派的存取權是一項 Windows 功能,可用來將裝置設定為 kiosk 或具有受限制的用戶體驗。
當您設定 kiosk 體驗 時,單一 通用 Windows 平台 (UWP) 應用程式或 Microsoft Edge 會在鎖定畫面上方以全螢幕執行。 使用者只能使用該應用程式。 如果 kiosk 應用程式已關閉,則會自動重新啟動。 實際範例包括:
當您設定 受限制的用戶體驗 時,使用者只能使用量身訂做的 [開始] 功能表和任務列來執行已定義的應用程式清單。 系統會強制執行不同的原則設定和 AppLocker 規則,以建立鎖定的體驗。 用戶可以存取熟悉的 Windows 桌面,同時限制其存取權、減少干擾,以及意外使用的可能性。 適用於共享裝置,您可以為不同的使用者建立不同的組態。 實際範例包括:
注意
當您設定受限制的用戶體驗時,會將不同的原則設定套用至裝置。 有些原則設定僅適用於標準使用者,有些也適用於系統管理員帳戶。 如需詳細資訊,請 參閱指派的存取原則設定 。
需求
以下是受指派存取權的需求:
若要使用 kiosk 體驗,必須啟用使用者帳戶控制 (UAC)
若要使用 kiosk 體驗,您必須從主控台登入。 遠端桌面連線不支援 kiosk 體驗
Windows 版本和授權需求
下表列出支援受指派存取權的 Windows 版本:
Windows 專業版
Windows 企業版
Windows 專業教育版/SE
Windows 教育版
是
是
是
是
受指派的存取權授權權利由下列授權授與:
Windows 專業版/專業教育版/SE
Windows 企業版 E3
Windows 企業版 E5
Windows 教育版 A3
Windows 教育版 A5
是
是
是
是
是
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀 。
有數個選項可設定 kiosk 體驗。 如果您需要使用本機帳戶設定單一裝置,您可以使用:
PowerShell:您可以使用 Set-AssignedAccess PowerShell Cmdlet,使用本機標準帳戶來設定 kiosk 體驗
設定:當您需要簡單的方法來設定具有本機標準用戶帳戶的單一裝置時,請使用此選項
針對進階自定義,您可以使用 受指派的存取 CSP 來設定 kiosk 體驗。 CSP 可讓您設定 kiosk 應用程式、用戶帳戶和 kiosk 應用程式的行為。 當您使用 CSP 時,您必須建立 XML 組態檔,以指定 kiosk 應用程式和用戶帳戶。 XML 檔案會使用下列其中一個選項套用至裝置:
行動 裝置管理 (MDM) 解決方案,例如 Microsoft Intune
佈建套件
PowerShell,搭配 MDM 網橋 WMI 提供者
若要瞭解如何設定Shell Launcher XML 檔案,請參閱 建立指派的存取配置檔 。
下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。
您可以使用 自定義原則 搭配 AssignedAccess CSP 來設定裝置。
設定: ./Vendor/MSFT/AssignedAccess/Configuration值: XML 組態檔的內容
將原則指派給包含 為您要設定之裝置成員的群組。
使用下列設定來 建立布建套件 :
路徑: AssignedAccess/AssignedAccessSettings價值: 使用應用程式的 AUMID,輸入您想要用於受指派存取權的帳戶和應用程式。 範例:
{"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}
將布建套件 套用至您想要設定的裝置。
若要使用下列項目設定裝置 Windows PowerShell:
以系統管理員身分登入
建立受 指派存取權的用戶帳戶
以受指派的存取權用戶帳戶登入
安裝必要的 UWP 應用程式
以受指派的存取權用戶帳戶註銷
以系統管理員身分登入,並從提升許可權的 PowerShell 提示字元使用下列其中一個命令:
#Configure Assigned Access by AppUserModelID and user name
Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
#Configure Assigned Access by AppUserModelID and user SID
Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
#Configure Assigned Access by app name and user name
Set-AssignedAccess -AppName <CustomApp> -UserName <username>
#Configure Assigned Access by app name and user SID**:
Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
注意
若要使用 -AppName設定受指派的存取權,您為 [指派的存取權] 輸入的使用者帳戶必須至少登入一次。
如需詳細資訊:
若要使用 PowerShell 移除指派的存取權,請執行下列 Cmdlet:
Clear-AssignedAccess
如需使用 XML 組態檔的進階自定義專案,您可以透過 MDM 網橋 WMI 提供者 使用 PowerShell 腳本。
重要
針對所有裝置設定,WMI 網橋客戶端必須以 SYSTEM (LocalSystem) 帳戶執行。
若要測試 PowerShell 腳本,您可以:
下載 psexec 工具 開啟提升權限的命令提示字元並執行: psexec.exe -i -s powershell.exe
在 PowerShell 工作階段中執行腳本
$shellLauncherConfiguration = @"
# content of the XML configuration file
"@
$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
Write-Error -ErrorRecord $cimSetError[0]
$timeout = New-TimeSpan -Seconds 30
$stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
do{
$events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
} until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available
if($events.Count) {
$events | ForEach-Object {
Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
}
} else {
Write-Warning "Timed-out attempting to retrieve event logs..."
}
Exit 1
}
Write-Output "Successfully applied Shell Launcher configuration"
如需詳細資訊,請 參閱搭配 WMI 網橋提供者使用 PowerShell 腳本 。
以下是使用 [設定] 應用程式設定 kiosk 的步驟:
開啟 [設定] 應用程式,以檢視裝置並將其設定為 kiosk。 移至 [ 設定 > 帳戶 > ][其他使用者] ,或使用下列快捷方式:
在 [設定 kiosk ] 下,選 取 [開始使用]
在 [ 建立帳戶] 對話框中,輸入帳戶名稱,然後選取 [ 下一步]
注意
如果已經有任何本機標準用戶帳戶,[建立帳戶 ] 對話方塊會提供選擇現有帳戶的 選項
選擇 kiosk 帳戶登入時要執行的應用程式。 只有可以在鎖定畫面上方執行的應用程式,才可在要選擇的應用程式清單中使用。 如果您選取 Microsoft Edge 作為 kiosk 應用程式,請設定下列選項:
Microsoft Edge 是否應該在數位簽名) (全螢幕顯示您的網站,或使用公用瀏覽器 (可用的瀏覽器控件)
當 kiosk 帳戶登入時,應該開啟哪一個 URL
當 Microsoft Edge 在閒置一段時間之後重新啟動時 (如果您選擇以公用瀏覽器)
選取 [關閉]
當裝置未加入 Active Directory 網域或 Microsoft Entra ID 時,會自動設定 kiosk 帳戶的自動登入:
如果您想要讓 kiosk 帳戶自動登入,且 kiosk 應用程式在裝置重新啟動時啟動,則不需要執行任何動作
如果您不想讓 kiosk 帳戶在裝置重新啟動時自動登入,則必須先變更預設設定,再將裝置設定為 kiosk。 使用您想要作為 kiosk 帳戶的帳戶登入。 開啟 > [設定帳戶 >登入] 選項 。 將 [使用我的登入資訊] 設定為 [在 更新或重新啟動之後自動完成裝置的設定 ] 設定為 [關閉] 。 變更設定之後,您可以將 kiosk 組態套用至裝置
若要使用受指派的存取權來設定受限制的用戶體驗,您必須建立具有所需體驗設定的 XML 組態檔。 XML 檔案會使用下列其中一個選項,透過 受指派的存取 CSP 套用至裝置:
行動 裝置管理 (MDM) 解決方案,例如 Microsoft Intune
佈建套件
PowerShell,搭配 MDM 網橋 WMI 提供者
若要瞭解如何設定受指派的存取 XML 檔案,請參閱 建立受指派的存取配置檔 。
下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。
您可以使用 自定義原則 搭配 AssignedAccess CSP 來設定裝置。
設定: ./Vendor/MSFT/AssignedAccess/ShellLauncher值: XML 組態檔的內容
將原則指派給包含 為您要設定之裝置成員的群組。
使用下列設定來 建立布建套件 :
路徑: AssignedAccess/MultiAppAssignedAccessSettings值: XML 組態檔的內容
將布建套件 套用至您想要設定的裝置。
透過 MDM 網橋 WMI 提供者 ,使用 PowerShell 腳本設定您的裝置。
重要
針對所有裝置設定,WMI 網橋客戶端必須以 SYSTEM (LocalSystem) 帳戶執行。
若要測試 PowerShell 腳本,您可以:
下載 psexec 工具 開啟提升權限的命令提示字元並執行: psexec.exe -i -s powershell.exe
在 PowerShell 工作階段中執行腳本
$assignedAccessConfiguration = @"
# content of the XML configuration file
"@
$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
Write-Error -ErrorRecord $cimSetError[0]
$timeout = New-TimeSpan -Seconds 30
$stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
do{
$events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
} until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available
if($events.Count) {
$events | ForEach-Object {
Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
}
} else {
Write-Warning "Timed-out attempting to retrieve event logs..."
}
Exit 1
}
Write-Output "Successfully applied Assigned Access configuration"
如需詳細資訊,請 參閱搭配 WMI 網橋提供者使用 PowerShell 腳本 。
使用者體驗
若要驗證 kiosk 或受限制的用戶體驗,請使用您在組態檔中指定的使用者帳戶登入。
受指派的存取權設定會在下次目標使用者登入時生效。 如果您在套用設定時登入該用戶帳戶,請註銷並重新登入以驗證體驗。
注意
從 Windows 11 開始,受限制的用戶體驗支援使用多個監視器。
自動操作工具觸控式鍵盤
當需要輸入且未在已啟用觸控功能的裝置上連結任何實體鍵盤時,即會自動觸發觸控式鍵盤。 您不需要設定任何其他設定來強制執行此行為。
提示
只有在點選文字框時,才會觸發觸控式鍵盤。 滑鼠點選不會觸發觸控式鍵盤。 如果您要測試這項功能,請使用實體裝置,而不是虛擬機 (VM) ,因為觸控式鍵盤不會在 VM 上觸發。
登出受指派的存取權
根據預設,若要結束 kiosk 體驗,請按 Ctrl + Alt + Del 。kiosk 應用程式會自動結束。 如果您再次以受指派的存取權帳戶登入,或等待登入畫面逾時,kiosk 應用程式會重新啟動。 預設逾時為 30 秒,但您可以使用登錄機碼來變更逾時:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
若要變更 [指派的存取權] 繼續的默認時間,請將 IdleTimeOut 新增 (DWORD) ,然後以十六進位的毫秒為單位輸入值數據。
注意
IdleTimeOut 不適用於 Microsoft Edge kiosk 模式。
Ctrl + Alt + Del 的分組順序是預設值,但此序列可以設定為不同的按鍵序列。 分組順序會使用格式 修飾詞 + 索引鍵 。 例如,分組順序是 CTRL + ALT + A ,其中 CTRL + ALT 是修飾詞, 而 A 是索引鍵值。 若要深入瞭解,請 參閱建立受指派的存取權組態 XML 檔案 。
鍵盤快速鍵
下列鍵盤快捷方式會針對具有受指派存取權的用戶帳戶封鎖:
捷徑
動作
Ctrl + 轉變 + Esc 開啟任務管理員
贏得 + , (逗號) 暫時預覽桌面
贏得 + A 開啟 \[重要訊息中心\]
贏得 + Alt + D 在桌面上顯示及隱藏日期和時間
贏得 + Ctrl + F 在 Active Directory 中尋找電腦物件
贏得 + D 顯示及隱藏桌面
贏得 + E 開啟檔案總管
贏得 + F 開啟意見反應中樞
贏得 + G 開啟「遊戲列」(當開啟遊戲時)
贏得 + 我 開啟設定
贏得 + J 當有可用時,將焦點設定為 Windows 提示
贏得 + O 鎖定裝置方向
贏得 + 問 開啟搜尋
贏得 + R 開啟 \[執行\] 對話方塊
贏得 + S 開啟搜尋
贏得 + 轉變 + C 以聆聽模式開啟 Cortana
贏得 + X 開啟 \[快速連結\] 功能表
LaunchApp1 開啟指派給此金鑰的應用程式
LaunchApp2 開啟指派給此金鑰的應用程式。 在許多 Microsoft 鍵盤上,應用程式是計算機
LaunchMail 開啟預設郵件用戶端
拿掉指派的存取權
刪除受限制的用戶體驗會移除與使用者相關聯的原則設定,但無法還原所有設定。 例如,會維護 [開始] 功能表組態。
後續步驟
Intune/CSP
PPKG
PowerShell
設定