什麼是受指派的存取權？

• 適用於:

  ✅ Windows 11, ✅ Windows 10

受指派的存取權是一項 Windows 功能，可用來將裝置設定為 kiosk 或具有受限制的用戶體驗。

當您設定 kiosk 體驗時，單一 通用 Windows 平台 (UWP) 應用程式或Microsoft Edge 會在鎖定畫面上方以全螢幕執行。 使用者只能使用該應用程式。 如果 kiosk 應用程式已關閉，則會自動重新啟動。 實際範例包括：

• 公用瀏覽
• 互動式數字簽名

當您設定 受限制的用戶體驗時，使用者只能使用量身訂做的 [開始] 功能表和任務列來執行已定義的應用程式清單。 系統會強制執行不同的原則設定和 AppLocker 規則，以建立鎖定的體驗。 用戶可以存取熟悉的 Windows 桌面，同時限制其存取權、減少干擾，以及意外使用的可能性。 適用於共享裝置，您可以為不同的使用者建立不同的組態。 實際範例包括：

• 第一線工作者裝置
• 學生裝置
• 實驗室裝置

注意

當您設定受限制的用戶體驗時，會將不同的原則設定套用至裝置。 有些原則設定僅適用於標準使用者，有些也適用於系統管理員帳戶。 如需詳細資訊，請 參閱指派的存取原則設定。

需求

以下是受指派存取權的需求：

• 若要使用 kiosk 體驗，必須啟用使用者帳戶控制 (UAC)
• 若要使用 kiosk 體驗，您必須從主控台登入。 遠端桌面連線不支援 kiosk 體驗

Windows 版本需求

下表列出支援受指派存取權的 Windows 版本：

版本	受指派的存取權支援
教育版	✅
企業	✅
企業版 LTSC	✅
IoT 企業版	✅
IoT 企業版 LTSC	✅
專業教育版	✅
專業版	✅

設定 kiosk 體驗

有數個選項可設定 kiosk 體驗。 如果您需要使用本機帳戶設定單一裝置，您可以使用：

• PowerShell：您可以使用 Set-AssignedAccess PowerShell Cmdlet，使用本機標準帳戶來設定 kiosk 體驗
• 設定：當您需要簡單的方法來設定具有本機標準用戶帳戶的單一裝置時，請使用此選項

針對進階自定義，您可以使用 受指派的存取 CSP 來設定 kiosk 體驗。 CSP 可讓您設定 kiosk 應用程式、用戶帳戶和 kiosk 應用程式的行為。 當您使用 CSP 時，您必須建立 XML 組態檔，以指定 kiosk 應用程式和用戶帳戶。 XML 檔案會使用下列其中一個選項套用至裝置：

• 行動裝置 裝置管理 (MDM) 解決方案，例如 Microsoft Intune
• 佈建套件
• PowerShell，搭配 MDM 網橋 WMI 提供者

若要瞭解如何設定Shell Launcher XML 檔案，請參閱 建立指派的存取配置檔。

下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。

Intune/CSP

您可以使用 自定義原則 搭配 AssignedAccess CSP 來設定裝置。

• 設定：./Vendor/MSFT/AssignedAccess/Configuration
• 值： XML 組態檔的內容

將原則指派給包含 為您要設定之裝置成員的群組。

PPKG

使用下列設定來 建立布建套件：

• 路徑：AssignedAccess/AssignedAccessSettings
• 價值： 使用應用程式的 AUMID，輸入您想要用於受指派存取權的帳戶和應用程式。 範例：
  • {"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}

將布建套件 套用至您想要設定的裝置。

PowerShell

若要使用下列項目設定裝置 Windows PowerShell：

1. 以系統管理員身分登入

2. 建立受 指派存取權的用戶帳戶

3. 以受指派的存取權用戶帳戶登入

4. 安裝必要的 UWP 應用程式

5. 以受指派的存取權用戶帳戶註銷

6. 以系統管理員身分登入，並從提升許可權的 PowerShell 提示字元使用下列其中一個命令：

   #Configure Assigned Access by AppUserModelID and user name
   Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
   
   #Configure Assigned Access by AppUserModelID and user SID
   Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
   
   #Configure Assigned Access by app name and user name
   Set-AssignedAccess -AppName <CustomApp> -UserName <username>
   
   #Configure Assigned Access by app name and user SID**:
   Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
   
   

注意

若要使用 -AppName設定受指派的存取權，您為 [指派的存取權] 輸入的使用者帳戶必須至少登入一次。

如需詳細資訊：

• 尋找已安裝應用程式的應用程式使用者模型識別碼
• Set-AssignedAccess

若要使用 PowerShell 移除指派的存取權，請執行下列 Cmdlet：

Clear-AssignedAccess

如需使用 XML 組態檔的進階自定義專案，您可以透過 MDM 網橋 WMI 提供者使用 PowerShell 腳本。

重要

針對所有裝置設定，WMI 網橋客戶端必須以 SYSTEM (LocalSystem) 帳戶執行。

若要測試 PowerShell 腳本，您可以：

1. 下載 psexec 工具
2. 開啟提升權限的命令提示字元並執行： psexec.exe -i -s powershell.exe
3. 在 PowerShell 工作階段中執行腳本

$shellLauncherConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Shell Launcher configuration"

如需詳細資訊，請 參閱搭配 WMI 網橋提供者使用 PowerShell 腳本。

設定

以下是使用 [設定] 應用程式設定 kiosk 的步驟：

1. 開啟 [設定] 應用程式，以檢視裝置並將其設定為 kiosk。 移至 [ 設定 > 帳戶 > ][其他使用者]，或使用下列快捷方式：

   其他使用者

2. 在 [設定 kiosk] 下，選 取 [開始使用]

3. 在 [ 建立帳戶] 對話框中，輸入帳戶名稱，然後選取 [ 下一步]

   注意

   如果已經有任何本機標準用戶帳戶，[建立帳戶] 對話方塊會提供選擇現有帳戶的選項

4. 選擇 kiosk 帳戶登入時要執行的應用程式。 只有可以在鎖定畫面上方執行的應用程式，才可在要選擇的應用程式清單中使用。 如果您選 取 Microsoft Edge 作為 kiosk 應用程式，請設定下列選項：

   • Microsoft Edge 是否應該在數位簽名) (全螢幕顯示您的網站，或使用公用瀏覽器 (可用的瀏覽器控件)
   • 當 kiosk 帳戶登入時，應該開啟哪一個 URL
   • 當Microsoft Edge 應該在閑置一段時間之後重新啟動時 (如果您選擇以公用瀏覽器)

5. 選取 [關閉]

當裝置未加入 Active Directory 網域或 Microsoft Entra ID 時，會自動設定 kiosk 帳戶的自動登入：

• 如果您想要讓 kiosk 帳戶自動登入，且 kiosk 應用程式在裝置重新啟動時啟動，則不需要執行任何動作
• 如果您不想讓 kiosk 帳戶在裝置重新啟動時自動登入，則必須先變更預設設定，再將裝置設定為 kiosk。 使用您想要作為 kiosk 帳戶的帳戶登入。 開啟> [設定帳戶>登入] 選項。 將 [使用我的登入資訊] 設定為 [在 更新或重新啟動之後自動完成裝置的設定 ] 設定為 [關閉]。 變更設定之後，您可以將 kiosk 組態套用至裝置

提示

如需實際範例，請參閱 快速入門：使用指派的存取權設定 kiosk。

設定受限制的用戶體驗

若要使用受指派的存取權來設定受限制的用戶體驗，您必須建立具有所需體驗設定的 XML 組態檔。 XML 檔案會使用下列其中一個選項，透過 受指派的存取 CSP 套用至裝置：

• 行動裝置 裝置管理 (MDM) 解決方案，例如 Microsoft Intune
• 佈建套件
• PowerShell，搭配 MDM 網橋 WMI 提供者

若要瞭解如何設定受指派的存取 XML 檔案，請參閱 建立受指派的存取配置檔。

下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。

Intune/CSP

您可以使用 自定義原則 搭配 AssignedAccess CSP 來設定裝置。

• 設定：./Vendor/MSFT/AssignedAccess/ShellLauncher
• 值： XML 組態檔的內容

將原則指派給包含 為您要設定之裝置成員的群組。

PPKG

使用下列設定來 建立布建套件：

• 路徑：AssignedAccess/MultiAppAssignedAccessSettings
• 值： XML 組態檔的內容

將布建套件 套用至您想要設定的裝置。

PowerShell

透過 MDM 網橋 WMI 提供者，使用 PowerShell 腳本設定您的裝置。

重要

針對所有裝置設定，WMI 網橋客戶端必須以 SYSTEM (LocalSystem) 帳戶執行。

若要測試 PowerShell 腳本，您可以：

1. 下載 psexec 工具
2. 開啟提升權限的命令提示字元並執行： psexec.exe -i -s powershell.exe
3. 在 PowerShell 工作階段中執行腳本

$assignedAccessConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Assigned Access configuration"

如需詳細資訊，請 參閱搭配 WMI 網橋提供者使用 PowerShell 腳本。

設定

此選項無法使用 [設定]。

提示

如需實際範例，請參閱 快速入門：使用受指派的存取權設定受限制的用戶體驗

使用者體驗

若要驗證 kiosk 或受限制的用戶體驗，請使用您在組態檔中指定的使用者帳戶登入。

受指派的存取權設定會在下次目標使用者登入時生效。 如果您在套用設定時登入該用戶帳戶，請註銷並重新登入以驗證體驗。

注意

從 Windows 11 開始，受限制的用戶體驗支援使用多個監視器。

自動操作工具觸控式鍵盤

當需要輸入且未在已啟用觸控功能的裝置上連結任何實體鍵盤時，即會自動觸發觸控式鍵盤。 您不需要設定任何其他設定來強制執行此行為。

提示

只有在點選文字框時，才會觸發觸控式鍵盤。 滑鼠點選不會觸發觸控式鍵盤。 如果您要測試這項功能，請使用實體裝置，而不是虛擬機 (VM) ，因為觸控式鍵盤不會在 VM 上觸發。

登出受指派的存取權

根據預設，若要結束 kiosk 體驗，請按 Ctrl + Alt + Del。kiosk 應用程式會自動結束。 如果您再次以受指派的存取權帳戶登入，或等待登入畫面逾時，kiosk 應用程式會重新啟動。 預設逾時為 30 秒，但您可以使用登錄機碼來變更逾時：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

若要變更 [指派的存取權] 繼續的默認時間，請將 IdleTimeOut 新增 (DWORD) ，然後以十六進位的毫秒為單位輸入值數據。

注意

IdleTimeOut 不適用於Microsoft Edge kiosk 模式。

Ctrl + Alt + Del 的分組順序是預設值，但此序列可以設定為不同的按鍵序列。 分組順序會使用格式 修飾詞 + 索引鍵。 例如，分組順序是 CTRL + ALT + A，其中 CTRL + ALT 是修飾詞， 而 A 是索引鍵值。 若要深入瞭解，請 參閱建立受指派的存取權組態 XML 檔案。

拿掉指派的存取權

刪除受限制的用戶體驗會移除與使用者相關聯的原則設定，但無法還原所有設定。 例如，會維護 [開始] 功能表組態。

後續步驟

部署受指派的存取權之前，請先檢閱建議：

受指派的存取權建議