快速入门：使用分配的访问权限配置展台

• 适用于:

  ✅ Windows 11, ✅ Windows 10

本快速入门提供了有关如何使用分配访问权限在 Windows 上配置 展台体验 的实用示例。 这些示例描述了使用“设置”应用、移动设备管理解决方案 (MDM) （如 Microsoft Intune、 (PPKG) 预配包和 PowerShell）的步骤。 虽然使用不同的解决方案，但配置设置和结果是相同的。

可以修改示例以满足你的特定要求。 例如，可以更改使用的应用、打开 Microsoft Edge 时指定的 URL，或更改自动登录到 Windows 的用户的名称。

必备条件

下面是完成本快速入门的要求列表：

• Windows 设备
• 若要使用 MDM 配置设置，Microsoft Intune 或非Microsoft MDM 解决方案
• Windows 配置设计器（如果要使用预配包配置设置）
• 若要使用 Windows PowerShell 测试配置，可访问 psexec 工具

配置展台

以下说明提供了有关如何配置设备的详细信息。 选择最适合需要的选项。

Intune/CSP

提示

使用以下 Graph 调用在 Microsoft Intune 租户中自动创建自定义策略，而无需分配或范围标记。

使用此调用时，请在 Graph 资源管理器窗口中向租户进行身份验证。 如果是第一次使用 Graph 资源管理器，则可能需要授权应用程序访问租户或修改现有权限。 此图形调用需要 DeviceManagementConfiguration.ReadWrite.All 权限。

POST https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations
Content-Type: application/json

{ "id": "00000000-0000-0000-0000-000000000000", "displayName": "_MSLearn_Example_Kiosk - Assigned Access", "description": "This is a sample policy created from an article on learn.microsoft.com.", "roleScopeTagIds": [ "0" ], "@odata.type": "#microsoft.graph.windows10CustomConfiguration", "omaSettings": [ { "omaUri": "./Vendor/MSFT/AssignedAccess/Configuration", "displayName": "Configuration", "@odata.type": "#microsoft.graph.omaSettingString", "value": "<?xml version=\"1.0\" encoding=\"utf-8\" ?>\n<AssignedAccessConfiguration\n    xmlns=\"http://schemas.microsoft.com/AssignedAccess/2017/config\"\n    xmlns:rs5=\"http://schemas.microsoft.com/AssignedAccess/201810/config\"\n    xmlns:v4=\"http://schemas.microsoft.com/AssignedAccess/2021/config\"\n    >\n    <Profiles>\n        <Profile Id=\"{EDB3036B-780D-487D-A375-69369D8A8F78}\">\n            <KioskModeApp v4:ClassicAppPath=\"%ProgramFiles(x86)%\\Microsoft\\Edge\\Application\\msedge.exe\" v4:ClassicAppArguments=\"--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2\" />\n            <v4:BreakoutSequence Key=\"Ctrl+A\"/>\n        </Profile>\n    </Profiles>\n    <Configs>\n        <Config>\n            <AutoLogonAccount rs5:DisplayName=\"MS Learn Example\"/>\n            <DefaultProfile Id=\"{EDB3036B-780D-487D-A375-69369D8A8F78}\"/>\n        </Config>\n    </Configs>\n</AssignedAccessConfiguration>" } ] }

或者，可以使用 AssignedAccess CSP 使用自定义策略配置设备。

• 设置：./Vendor/MSFT/AssignedAccess/Configuration
• 价值：

<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>

将策略分配给包含要配置的设备成员的组。

PPKG

使用以下设置创建预配包：

• 路径：AssignedAccess/MultiAppAssignedAccessSettings
• 价值：

<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>

对要配置的设备应用预配包。

PowerShell

通过 MDM Bridge WMI 提供程序使用 PowerShell 脚本配置设备。

重要提示

对于所有设备设置，必须以 SYSTEM (LocalSystem) 帐户的身份执行 WMI Bridge 客户端。

若要测试 PowerShell 脚本，可以：

1. 下载 psexec 工具
2. 打开提升权限的命令提示符并运行：psexec.exe -i -s powershell.exe
3. 在 PowerShell 会话中运行脚本

$assignedAccessConfiguration = @"
<?xml version="1.0" encoding="utf-8"?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" xmlns:v4="http://schemas.microsoft.com/AssignedAccess/2021/config">
  <Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
      <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
      <v4:BreakoutSequence Key="Ctrl+A" />
    </Profile>
  </Profiles>
  <Configs>
    <Config>
      <AutoLogonAccount rs5:DisplayName="MS Learn Example" />
      <DefaultProfile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" />
    </Config>
  </Configs>
</AssignedAccessConfiguration>
"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
Set-CimInstance -CimInstance $obj

有关详细信息，请参阅将 PowerShell 脚本与 WMI Bridge 程序配合使用。

“设置”

下面是使用“设置”应用配置展台的步骤：

1. 打开“设置”应用以查看设备并将其配置为展台。 转到“设置”>“帐户”>“其他用户”，或使用以下快捷方式：

   其他用户

2. 在“设置展台”下，选择“开始使用”

3. 在“创建帐户”对话框中，输入帐户名称，然后选择“下一步”

   注意

   如果已有任何本地标准用户帐户，则“创建帐户”对话框可提供“选择现有帐户”选项

4. 选择展台帐户登录时要运行的应用程序。 可供选择的应用列表仅提供能在锁屏界面上运行的应用。 如果选择 Microsoft Edge 作为展台应用，则配置以下选项：

   • Microsoft Edge 是应全屏显示网站（数字符号）还是在显示网站时提供一些可用的浏览器控件（公共浏览器）
   • 展台帐户登录时应打开哪个 URL
   • 当 Microsoft Edge 应在处于非活动状态一段时间后的什么时候重新启动（如果选择将其作为公共浏览器运行）

5. 选择“关闭”

用户体验

应用设置后，重新启动设备。 本地用户帐户会自动登录，Microsoft Edge 打开。

后续步骤

详细了解分配的访问权限以及如何对其进行配置：

分配的访问权限概述