Schnellstart: Konfigurieren eines Einzel-App-Kiosks mit zugewiesenem Zugriff

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Diese Schnellstartanleitung enthält praktische Beispiele zum Konfigurieren eines Kiosks mit einer einzelnen App unter Windows mit zugewiesenem Zugriff. In den Beispielen werden die Schritte mit der App "Einstellungen", einer Verwaltungslösung für mobile Geräte (Mobile Device Management, MDM) wie Microsoft Intune, Bereitstellungspaketen (PPKG) und PowerShell beschrieben. Während verschiedene Lösungen verwendet werden, sind die Konfigurationseinstellungen und -ergebnisse identisch.

Die Beispiele können an Ihre spezifischen Anforderungen angepasst werden. Sie können beispielsweise die verwendete App, die url ändern, die beim Öffnen von Microsoft Edge angegeben wurde, oder den Namen des Benutzers ändern, der sich automatisch bei Windows anmeldet.

Voraussetzungen

Im Folgenden finden Sie eine Liste der Anforderungen für diese Schnellstartanleitung:

• Ein Windows-Gerät
• Microsoft Intune oder einer nicht von Microsoft stammenden MDM-Lösung, wenn Sie die Einstellungen mithilfe von MDM konfigurieren möchten
• Windows Configuration Designer, wenn Sie die Einstellungen mithilfe eines Bereitstellungspakets konfigurieren möchten
• Zugriff auf das psexec-Tool, wenn Sie die Konfiguration mit Windows PowerShell

Konfigurieren eines Kiosks

Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.

Intune/CSP

Tipp

Verwenden Sie den folgenden Graph-Aufruf, um automatisch eine benutzerdefinierte Richtlinie in Ihrem Microsoft Intune Mandanten ohne Zuweisungen oder Bereichstags zu erstellen.

Wenn Sie diesen Aufruf verwenden, authentifizieren Sie sich bei Ihrem Mandanten im Fenster Graph Explorer. Wenn Graph Explorer zum ersten Mal verwendet wird, müssen Sie die Anwendung möglicherweise für den Zugriff auf Ihren Mandanten autorisieren oder die vorhandenen Berechtigungen ändern. Dieser Graphaufruf erfordert DeviceManagementConfiguration.ReadWrite.All-Berechtigungen .

POST https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations
Content-Type: application/json

{ "id": "00000000-0000-0000-0000-000000000000", "displayName": "_MSLearn_Example_Kiosk - Assigned Access", "description": "This is a sample policy created from an article on learn.microsoft.com.", "roleScopeTagIds": [ "0" ], "@odata.type": "#microsoft.graph.windows10CustomConfiguration", "omaSettings": [ { "omaUri": "./Vendor/MSFT/AssignedAccess/Configuration", "displayName": "Configuration", "@odata.type": "#microsoft.graph.omaSettingString", "value": "<?xml version=\"1.0\" encoding=\"utf-8\" ?>\n<AssignedAccessConfiguration\n    xmlns=\"http://schemas.microsoft.com/AssignedAccess/2017/config\"\n    xmlns:rs5=\"http://schemas.microsoft.com/AssignedAccess/201810/config\"\n    xmlns:v4=\"http://schemas.microsoft.com/AssignedAccess/2021/config\"\n    >\n    <Profiles>\n        <Profile Id=\"{EDB3036B-780D-487D-A375-69369D8A8F78}\">\n            <KioskModeApp v4:ClassicAppPath=\"%ProgramFiles(x86)%\\Microsoft\\Edge\\Application\\msedge.exe\" v4:ClassicAppArguments=\"--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2\" />\n            <v4:BreakoutSequence Key=\"Ctrl+A\"/>\n        </Profile>\n    </Profiles>\n    <Configs>\n        <Config>\n            <AutoLogonAccount rs5:DisplayName=\"MS Learn Example\"/>\n            <DefaultProfile Id=\"{EDB3036B-780D-487D-A375-69369D8A8F78}\"/>\n        </Config>\n    </Configs>\n</AssignedAccessConfiguration>" } ] }

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem AssignedAccess-CSP konfigurieren.

• Einstellung:./Vendor/MSFT/AssignedAccess/Configuration
• Wert:

<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>

Weisen Sie die Richtlinie einer Gruppe zu, die die zu konfigurierenden Geräte als Mitglieder enthält.

PPKG

Verwenden Sie die folgenden Einstellungen, um ein Provisioning-Paket zu erstellen:

• Pfad:AssignedAccess/MultiAppAssignedAccessSettings
• Wert:

<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>

Wenden Sie das Bereitstellungspaket auf die Geräte an, die Sie konfigurieren möchten.

PowerShell

Konfigurieren Sie Ihre Geräte mit PowerShell-Skripten über den MDM Bridge WMI Provider.

Wichtig

Für alle Geräteeinstellungen muss der WMI Bridge-Client als SYSTEM (LocalSystem)-Konto ausgeführt werden.

Um das PowerShell-Skript zu testen, können Sie:

1. Laden Sie das Tool psexec herunter
2. Öffnen Sie eine erweiterte Eingabeaufforderung und führen Sie sie aus: psexec.exe -i -s powershell.exe
3. Führen Sie das Skript in der PowerShell-Sitzung aus

$assignedAccessConfiguration = @"
<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>
"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
Set-CimInstance -CimInstance $obj

Weitere Informationen finden Sie unter Verwenden von PowerShell-Skripten mit dem WMI Bridge Provider.

Einstellungen

Im Folgenden werden die Schritte zur Konfiguration eines Kiosks über die App Einstellungen beschrieben:

1. Öffnen Sie die App Einstellungen, um ein Gerät als Kiosk anzuzeigen und zu konfigurieren. Gehen Sie zu Einstellungen > Konten > Andere Benutzer, oder verwenden Sie die folgende Abkürzung:

   Andere Benutzer

2. Wählen Sie unter Kiosk einrichten die Option Starten

3. Geben Sie im Dialogfeld Konto erstellen den Kontonamen ein, und wählen Sie Weiter

   Hinweis

   Wenn es bereits lokale Standardbenutzerkonten gibt, bietet das Dialogfeld Konto erstellen die Möglichkeit, ein bestehendes Konto auszuwählen

4. Wählen Sie die Anwendung, die ausgeführt werden soll, wenn sich das Kioskkonto anmeldet. Wenn Sie Microsoft Edge als Kiosk-App wählen, konfigurieren Sie die folgenden Optionen:

   • Ob Microsoft Edge Ihre Website im Vollbildmodus (digitales Zeichen) oder mit einigen verfügbaren Browsersteuerungen (öffentlicher Browser) anzeigen soll
   • Welche URL soll geöffnet sein, wenn sich der Kioskkunde anmeldet?
   • Wann Microsoft Edge nach einem Zeitraum der Inaktivität neu gestartet werden soll (wenn Sie die Ausführung als öffentlicher Browser auswählen)

5. Wählen Sie Schließen

Benutzerfreundlichkeit

Nachdem die Einstellungen angewendet wurden, starten Sie das Gerät neu. Ein lokales Benutzerkonto wird automatisch angemeldet und Microsoft Edge geöffnet.

Zugewiesenen Zugriff entfernen

Wenn Sie die Kioskkonfiguration nicht mehr benötigen, können Sie sie entfernen.

Hier sehen Sie ein PowerShell-Beispiel zum Entfernen der Konfiguration für zugewiesenen Zugriff:

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = $null
Set-CimInstance -CimInstance $obj

Starten Sie das Gerät neu, um die Änderungen zu übernehmen.

Nächste Schritte

Erfahren Sie mehr über den zugewiesenen Zugriff und dessen Konfiguration:

Übersicht über den zugewiesenen Zugriff