Что такое назначенный доступ?
Назначенный доступ — это функция Windows, которую можно использовать для настройки устройства в качестве киоска или с ограниченным пользовательский интерфейс.
При настройке работы киоска одно приложение универсальная платформа Windows (UWP) или Microsoft Edge выполняется в полноэкранном режиме над экраном блокировки. Пользователи могут использовать только это приложение. Если приложение киоска закрыто, оно автоматически перезапускается. Практические примеры:
- Общедоступный просмотр
- Интерактивные цифровые вывески
При настройке ограниченного пользовательского интерфейса пользователи могут выполнять только определенный список приложений с помощью специального меню "Пуск" и панели задач. Применяются различные параметры политики и правила AppLocker, что создает заблокированный интерфейс. Пользователи могут получить доступ к знакомому рабочему столу Windows, ограничивая свой доступ, уменьшая отвлекающие факторы и потенциальные возможности случайного использования. Идеально подходит для общих устройств. Вы можете создавать разные конфигурации для разных пользователей. Практические примеры:
- Рабочие устройства переднего плана
- Устройства учащихся
- Устройства лаборатории
Примечание.
При настройке ограниченного взаимодействия с пользователем к устройству применяются другие параметры политики. Некоторые параметры политики применяются только к стандартным пользователям, а некоторые — к учетным записям администратора. Дополнительные сведения см. в разделе Параметры политики назначенного доступа.
Требования
Ниже приведены требования к назначенному доступу.
- Чтобы использовать интерфейс киоска, необходимо включить контроль учетных записей пользователей (UAC)
- Чтобы использовать интерфейс киоска, необходимо выполнить вход с консоли. Взаимодействие с киоском не поддерживается через подключение к удаленному рабочему столу
Требования к выпуску Windows
В следующей таблице перечислены выпуски Windows, поддерживающие назначенный доступ:
Выпуск | Поддержка назначенного доступа |
---|---|
Education | ✅ |
Корпоративная | ✅ |
Корпоративная LTSC | ✅ |
IoT Enterprise | ✅ |
IoT Enterprise LTSC | ✅ |
Pro для образовательных учреждений | ✅ |
Pro | ✅ |
Настройка работы киоска
Существует несколько вариантов настройки работы киоска. Если необходимо настроить одно устройство с локальной учетной записью, можно использовать:
- PowerShell. Вы можете использовать
Set-AssignedAccess
командлет PowerShell для настройки работы киоска с помощью локальной стандартной учетной записи. - Параметры: используйте этот параметр, если вам нужен простой метод для настройки одного устройства с локальной учетной записью стандартного пользователя.
Для дополнительных настроек можно использовать CSP назначенного доступа , чтобы настроить интерфейс киоска. CSP позволяет настроить приложение киоска, учетную запись пользователя и поведение приложения киоска. При использовании CSP необходимо создать XML-файл конфигурации, указывающий приложение киоска и учетную запись пользователя. XML-файл применяется к устройству с помощью одного из следующих параметров:
- Решение для мобильных Управление устройствами (MDM), например Microsoft Intune
- Пакеты подготовки
- PowerShell с поставщиком WMI моста MDM
Сведения о настройке XML-файла средства запуска оболочки см. в статье Создание файла конфигурации назначенного доступа.
Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.
Устройства можно настроить с помощью настраиваемой политики с помощью поставщика CSP AssignedAccess.
-
Оправа:
./Vendor/MSFT/AssignedAccess/Configuration
- Значение: содержимое XML-файла конфигурации
Назначьте политику группе, содержащей в качестве участников устройства, которые требуется настроить.
Совет
Практические примеры см. в кратком руководстве по настройке киоска с назначенным доступом.
Настройка ограниченного взаимодействия с пользователем
Чтобы настроить ограниченный пользовательский интерфейс с назначенным доступом, необходимо создать XML-файл конфигурации с параметрами для требуемого интерфейса. XML-файл применяется к устройству через поставщик служб CSP назначенного доступа, используя один из следующих вариантов:
- Решение для мобильных Управление устройствами (MDM), например Microsoft Intune
- Пакеты подготовки
- PowerShell с поставщиком WMI моста MDM
Сведения о настройке XML-файла назначенного доступа см. в статье Создание файла конфигурации назначенного доступа.
Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.
Устройства можно настроить с помощью настраиваемой политики с помощью поставщика CSP AssignedAccess.
-
Оправа:
./Vendor/MSFT/AssignedAccess/ShellLauncher
- Значение: содержимое XML-файла конфигурации
Назначьте политику группе, содержащей в качестве участников устройства, которые требуется настроить.
Совет
Практические примеры см. в кратком руководстве по настройке ограниченного взаимодействия с пользователем с помощью назначенного доступа.
Взаимодействие с пользователем
Чтобы проверить взаимодействие с пользователем в киоске или ограниченном режиме, войдите с помощью учетной записи пользователя, указанной в файле конфигурации.
Конфигурация назначенного доступа вступает в силу при следующем входе целевого пользователя. Если эта учетная запись пользователя выполнена при применении конфигурации, выйдите и войдите обратно, чтобы проверить взаимодействие.
Примечание.
Начиная с Windows 11, ограниченный пользовательский интерфейс поддерживает использование нескольких мониторов.
Сенсорная клавиатура autotrigger
Сенсорная клавиатура автоматически активируется, когда требуется ввод и на устройствах с поддержкой сенсорного ввода не подключена физическая клавиатура. Вам не нужно настраивать какой-либо другой параметр для принудительного применения этого поведения.
Совет
Сенсорная клавиатура активируется только при касании текстового поля. Щелчки мышью не активируют сенсорную клавиатуру. Если вы тестируете эту функцию, используйте физическое устройство вместо виртуальной машины, так как сенсорная клавиатура не активируется на виртуальных машинах.
Выход из режима ограниченного доступа
По умолчанию, чтобы выйти из работы киоска, нажмите клавиши CTRL + ALT + DEL. Приложение киоска завершает работу автоматически. Если вы снова войдете в систему с учетной записью назначенного доступа или дождитесь истечения времени ожидания экрана входа, приложение киоска будет повторно запущено. Время ожидания по умолчанию составляет 30 секунд, но время ожидания можно изменить с помощью раздела реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
Чтобы изменить время возобновления назначенного доступа по умолчанию, добавьте IdleTimeOut (DWORD) и введите значения в миллисекундах в шестнадцатеричном формате.
Примечание.
IdleTimeOut
не применяется к режиму терминала Microsoft Edge.
Последовательность прерывания ctrl + alt + Del используется по умолчанию, но эту последовательность можно настроить на другую последовательность ключей. Последовательность прорыва использует формат модификаторы + ключи Примером последовательности разрывов является CTRL + ALT + A, где CTRL + ALT — это модификаторы, а A — значение ключа. Дополнительные сведения см. в статье Создание XML-файла конфигурации назначенного доступа.
Удаление назначенного доступа
При удалении ограниченного пользовательского интерфейса удаляются параметры политики, связанные с пользователями, но не могут отменить изменения все конфигурации. Например, конфигурация меню "Пуск" сохраняется.
Дальнейшие действия
Прежде чем развертывать назначенный доступ, ознакомьтесь с рекомендациями.