分配的访问权限受限用户体验从桌面运行一个或多个应用。 使用展台的人员具有自定义的“开始”菜单,该菜单仅显示允许的应用的磁贴。 使用此方法,可以为不同的帐户类型配置锁定体验。 多应用展台适用于共享设备。
若要使用指定访问权限配置受限用户体验,必须使用所需体验的设置创建 XML 配置文件。 XML 文件通过指定访问权限 CSP 应用到设备,并使用以下选项之一:
- 移动设备管理 (MDM) 解决方案,如 Microsoft Intune
- 预配程序包
- 使用 MDM Bridge WMI 提供程序的 PowerShell
若要了解如何配置指定访问权限 XML 文件,请参阅创建指定访问权限配置文件。
以下说明提供了有关如何配置设备的详细信息。 选择最适合需要的选项。
可以将自定义策略与 AssignedAccess CSP 配合使用来配置设备。
-
设置:
./Vendor/MSFT/AssignedAccess/Configuration
-
值:XML 配置文件的内容
将策略分配给包含要配置的设备成员的组。
使用以下设置创建预配包:
-
路径:
AssignedAccess/MultiAppAssignedAccessSettings
-
值:XML 配置文件的内容
对要配置的设备应用预配包。
通过 MDM Bridge WMI 提供程序使用 PowerShell 脚本配置设备。
重要提示
对于所有设备设置,必须以 SYSTEM (LocalSystem) 帐户的身份执行 WMI Bridge 客户端。
若要测试 PowerShell 脚本,可以:
-
下载 psexec 工具
- 打开提升权限的命令提示符并运行:
psexec.exe -i -s powershell.exe
- 在 PowerShell 会话中运行脚本
$assignedAccessConfiguration = @"
# content of the XML configuration file
"@
$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
Write-Error -ErrorRecord $cimSetError[0]
$timeout = New-TimeSpan -Seconds 30
$stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
do{
$events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
} until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available
if($events.Count) {
$events | ForEach-Object {
Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
}
} else {
Write-Warning "Timed-out attempting to retrieve event logs..."
}
Exit 1
}
Write-Output "Successfully applied Assigned Access configuration"
有关详细信息,请参阅将 PowerShell 脚本与 WMI Bridge 程序配合使用。
用户体验
若要验证展台配置,请使用在配置文件中指定的用户帐户登录。
指定访问权限配置在目标用户下次登录时生效。 如果该用户帐户在你应用配置时已登录,请注销并重新登录以验证体验。
自动触发触摸键盘
如果需要输入,并且物理键盘未连接到支持触摸的设备,则将自动触发触摸键盘。 你无需配置任何其他设置即可强制执行此行为。
提示
仅在点击文本框时才触发触摸键盘。 点击鼠标不会触发触摸键盘。 如果要测试此功能,请使用物理设备而不是虚拟机 (VM) ,因为不会在 VM 上触发触摸键盘。
注销分配的访问权限
默认情况下,若要退出展台体验,请按 Ctrl + Alt + Del。展台应用会自动退出。 如果再次以分配的访问权限帐户登录,或等待登录屏幕超时,展台应用将重新启动。 默认超时为 30 秒,但可以使用注册表项更改超时:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
若要更改指定访问权限恢复的默认时间,请添加 IdleTimeOut (DWORD),并输入十六进制形式的值数据(以毫秒为单位)。
注意
IdleTimeOut 不适用于 Microsoft Edge 展台模式。
中断序列 Ctrl + Alt + Del 是默认值,但此序列可以配置为其他按键序列。 中断序列使用“修饰键 + 按键”格式。 一个示例中断序列是 CTRL + ALT + A,其中 CTRL + ALT 是修饰键, A 是按键值。 若要了解详细信息,请参阅创建指定访问权限配置 XML 文件。
删除指定访问权限
删除“分配的访问权限”配置会删除与用户关联的策略设置,但无法还原所有更改。 例如,在多应用展台方案中,将维护“开始”菜单配置。
若要删除“分配的访问权限”配置,请取消分配或删除包含该配置的策略。
若要删除“分配的访问权限”配置,请卸载包含该配置的预配包。
$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = $null
Set-CimInstance -CimInstance $obj
转到“设置”>“帐户”>“其他用户”,或使用以下快捷方式:
选择 展台
在 “展台信息”下,展开用于展台体验的应用程序
选择“删除展台”
注意
如果配置了受限的用户体验,则此选项无法使用“设置”。
后续步骤
Intune/CSP
PPKG
PowerShell
“设置”