настройка киоска windows 10
Настройка терминалов и цифровых вывесок в выпусках Windows для настольных компьютеров
Некоторые сведения относятся к предварительным версиям продуктов, в которые перед коммерческим выпуском могут быть внесены существенные изменения. Майкрософт не дает никаких гарантий, явных или подразумеваемых, в отношении предоставленной здесь информации.
Относится к:
Некоторые настольные устройства на предприятии служат специальной цели. Например, компьютер в вестибюле, который клиенты используют для просмотров каталога продуктов. Или компьютер, отображающий визуальный контент в качестве цифрового знака. Windows клиент предлагает два различных заблокированных опытом для общего или специализированного использования:
Киоск с однимприложением: запускает одно универсальное приложение Windows платформы (UWP) на полном экране над экраном блокировки. Люди, использующие киоск, могут видеть только это приложение. При входе учетной записи киоска (локальной стандартной учетной записи пользователя) приложение киоска запустится автоматически, и вы также можете настроить учетную запись киоска, чтобы войти автоматически. Если приложение для терминала закрывается, он автоматически перезагружается.
Киоск с одним приложением идеально подходит для общего пользования. С помощью оболочки Launcherможно настроить устройство киоска, которое запускает Windows настольное приложение в качестве пользовательского интерфейса. Указанное вами приложение заменяет оболочку по умолчанию (explorer.exe), которая обычно запускается при входе пользователя в систему. Этот тип киоска с одним приложением не работает над экраном блокировки.
Киоск с несколькими приложениями: запускает одно или несколько приложений с рабочего стола. Люди, использующие киоск, видят настраиваемый Начните, где показаны только плитки для разрешенных приложений. С помощью этого подхода можно настроить заблокированный опыт для различных типов учетных записей.
В настоящее время киоск с несколькими приложениями поддерживается только Windows 10. Он не поддерживается Windows 11.
Киоск с несколькими приложениями подходит для устройств, общих несколькими людьми. При настройке киоска с несколькими приложениями применяются **** определенные политики, которые затронут всех пользователей, не в отношении администраторов на устройстве.
Существует несколько способов настройки киосков, которые можно выбрать в зависимости от ответов на следующие вопросы.
Какой тип приложения будут запускаться на терминале?
В вашем киоске можно запустить приложение Универсальной Windows платформы (UWP) или Windows настольное приложение. Для цифровых вывесоквыберите цифровой игрок подписи в качестве приложения киоска. Ознакомьтесь с рекомендациями для приложений-киосков.
Какой тип киоска вам нужен?
Если вы хотите, чтобы ваш киоск запускал одно приложение для всех, кто мог видеть или использовать его, рассмотрите киоск с одним приложением, который запускает приложение Universal Windows Platform (UWP) или Windows настольное приложение. Для киоска, в который люди могут войти со своими учетными записями или с несколькими приложениями, выберите киоск с несколькими приложениями.
Какое издание Windows будет работать в киоске?
Все методы конфигурации работают для Windows клиентских Enterprise и образования; некоторые методы работают для Windows Pro. Режим киоска не доступен в Windows Home.
Какой тип учетной записи пользователя использоваться для учетной записи терминала?
Учетной записью терминала может быть локальная учетная запись обычного пользователя, учетная запись локального администратора, учетная запись домена или учетная запись Azure Active Directory (Azure AD) в зависимости от метода, который используется для настройки терминала. Если вы хотите, чтобы люди въехали на устройство и могли проверить подлинность, необходимо использовать конфигурацию киоска с несколькими приложениями. Конфигурация киоска с одним приложением не требует, чтобы люди въехали на устройство, хотя они могут войти в приложение киоска, если вы выберете приложение, которое имеет метод регистрации.
Режим киоска с одним приложением не поддерживается при удаленном подключении к рабочему столу. Пользователи киоска должны войти на физическое устройство, настроенное как киоск.
Методы для киоска с одним приложением под управлением приложения UWP
| Этот метод можно использовать | Для этого выпуска | Для этого типа учетной записи |
|---|---|---|
| Назначен доступ в Параметры | Pro, Ent, Edu | Локальный обычный пользователь |
| Присвоенные кодлеты доступа | Pro, Ent, Edu | Локальный обычный пользователь |
| Мастер киоска в Windows Конструктор конфигурации | Pro (версия 1709), Ent, Edu | Локальный стандартный пользователь, Active Directory, Azure AD |
| Microsoft Intune или другое управление мобильными устройствами (MDM) | Pro (версия 1709), Ent, Edu | Локальный обычный пользователь, Azure AD |
| Shell Launcher v2 | Ent, Edu | Локальный стандартный пользователь, Active Directory, Azure AD |
Методы для киоска с одним приложением с Windows настольным приложением
| Этот метод можно использовать | Для этого выпуска | Для этого типа учетной записи |
|---|---|---|
| Мастер киоска в Windows Конструктор конфигурации | Ent, Edu | Локальный стандартный пользователь, Active Directory, Azure AD |
| Microsoft Intune или другое управление мобильными устройствами (MDM) | Pro (версия 1709), Ent, Edu | Локальный обычный пользователь, Azure AD |
| Shell Launcher v1 и v2 | Ent, Edu | Локальный стандартный пользователь, Active Directory, Azure AD |
Методы для киоска с несколькими приложениями
| Этот метод можно использовать | Для этого выпуска | Для этого типа учетной записи |
|---|---|---|
| XML в пакете подготовка | Pro, Ent, Edu | Локальный стандартный пользователь, Active Directory, Azure AD |
| Microsoft Intune или другой MDM | Pro, Ent, Edu | Локальный обычный пользователь, Azure AD |
| Поставщик мостов MDM WMI | Pro, Ent, Edu | Локальный стандартный пользователь, Active Directory, Azure AD |
Сводка методов конфигурации киосков
| Метод | Тип приложения | Тип учетной записи | Киоск с одним приложением | Киоск с несколькими приложениями |
|---|---|---|---|---|
| Назначен доступ в Параметры | UWP | Локализованная учетная запись | ✔️ | |
| Присвоенные кодлеты доступа | UWP | Локализованная учетная запись | ✔️ | |
| Мастер киоска в Windows Конструктор конфигурации | UWP, Windows настольное приложение | Локальный стандартный пользователь, Active Directory, Azure AD | ✔️ | |
| XML в пакете подготовка | UWP, Windows настольное приложение | Локальный стандартный пользователь, Active Directory, Azure AD | ✔️ | ✔️ |
| Microsoft Intune или другой MDM для полноэкранного киоска с одним приложением или для киоска с несколькими приложениями с настольным компьютером | UWP, Windows настольное приложение | Локальный обычный пользователь, Azure AD | ✔️ | ✔️ |
| Средство запуска оболочки | Windows настольного приложения | Локальный стандартный пользователь, Active Directory, Azure AD | ✔️ | |
| Поставщик WMI моста MDM | UWP, Windows настольное приложение | Локальный стандартный пользователь, Active Directory, Azure AD | ✔️ |
Для устройств, Windows клиентских Enterprise и education, вы также можете использовать Защитник Windows управления приложениями или AppLocker для блокировки устройства для определенных приложений.
Настройка киоска с одним приложением на Windows 10/11
Относится к:
Киоск с одним приложением использует функцию Назначенного доступа для запуска одного приложения над экраном блокировки. При впуске учетной записи киоска приложение запускается автоматически. Лицо, использующее киоск, не может ничего сделать на устройстве за пределами приложения киоска.
Чтобы включить режим киоска, необходимо включить управление учетной записью пользователя (UAC).
Режим киоска не поддерживается при удаленном подключении к рабочему столу. Пользователи киоска должны войти на физическое устройство, настроенное как киоск. Приложения, которые работают в режиме киоска, не могут использовать копирование и вклейку.
У вас есть несколько вариантов настройки киоска с одним приложением.
Локально, в Параметры: Настройка киоска (ранее именуемого Настройка назначенного доступа) в Параметры — это быстрый и простой способ настроить одно устройство в качестве киоска для локальной стандартной учетной записи пользователя. **** ****
Этот параметр поддерживает:
PowerShell.Вы можете использовать Windows PowerShell для настройка киоска с одним приложением. Сначала необходимо создать учетную запись пользователя на устройстве и установить приложение-киоск для этой учетной записи.
Этот параметр поддерживает:
Мастер киоска в Windows Configuration Designer: Windows Configuration Designer — это средство, которое создает пакет предварительной настройки. Пакет подготовка включает параметры конфигурации, которые можно применить к одному или более устройствам во время первого запуска (OOBE) или после окончания OOBE (время запуска). С помощью мастера киоска можно также создать учетную запись пользователя киоска, установить приложение киоска и настроить более полезные параметры.
Этот параметр поддерживает:
Этот параметр поддерживает:
Вы также можете настроить учетную запись киоска и приложение для киоска одного приложения в XML в пакете подготовка с помощью профиля киоска.
Не забудьте проверить рекомендации по конфигурации перед настройкой киоска.
Настройка киоска в локальном Параметры
Тип учетной записи:
Вы можете использовать приложение Параметры, чтобы быстро настроить одно или несколько устройств в режиме терминала.
Если ваш киоск является локальным устройством, которое не управляется Active Directory или Azure Active Directory, существует параметр по умолчанию, который включает автоматическую регистрацию после перезапуска. Это означает, что при перезапуске устройства последний вошедший в систему пользователь будет входить в систему в автоматически. Если последним вошедшим в систему пользователем является учетная запись терминала, приложение терминала запускается автоматически после перезагрузки устройства.
Если вы хотите, чтобы учетная запись киоска автоматически вписались, а приложение киоска было запущено при перезапуске устройства, вам ничего не нужно делать.
Если вы не хотите, чтобы учетная запись киоска автоматически вписались при перезапуске устройства, перед настройкой устройства в качестве киоска необходимо изменить параметр по умолчанию. Вопишите в учетную запись, которую вы назначите в качестве учетной записи киоска. Откройте параметры Параметры приложения > **** > учетных записей. Установите параметр Use my sign-in, чтобы автоматически завершить настройку устройства **** после обновления или перезапуска. После изменения этого параметра можно применить конфигурацию терминала устройстве.
Windows 10 версии 1809+ / Windows 11
При создании киоска (также известного как **** назначен доступ) в Параметры для Windows клиента создается учетная запись пользователя киоска одновременно. Настройка назначенного доступа в параметрах ПК:
Откройте Параметры приложения > учетных записей. Выберите других пользователей или семейство и других пользователей.
Выберите Настройка киоска > назначенного доступа, а затем выберите Начало работы.
Введите имя новой учетной записи.
Если на устройстве уже есть локальные стандартные учетные записи пользователей, страница Create an account предложит выбрать существующую учетную запись.
Выберите приложение, которое будет работать при в записи киоска. Только приложения, которые могут выполняться на экране блокировки, будут доступны в списке приложений, доступных для выбора. Дополнительные сведения см. в разделе Рекомендации по выбору приложения для ограниченного доступа. Если вы Microsoft Edge в качестве приложения-киоска, настройте следующие параметры:
Нажмите Закрыть.
Чтобы удалить назначенный доступ, выберите плитку учетной записи на странице Настройка киоска и выберите киоск Remove.
Windows 10 версии 1803 и более ранней версии
При настройках киоска (также известного как **** назначен доступ) в Параметры версии 1803 Windows 10 версии 1803 и ранее необходимо выбрать существующую локализованную учетную запись пользователя. Узнайте, как создать локальную учетную запись обычного пользователя.
Настройка ограниченного доступа в параметрах компьютера
Перейдите к > запуску Параметры > учетных > записей Других людей.
Выберите Настройка назначенного доступа.
Выберите учетную запись.
Выберите приложение. Только приложения, которые могут выполняться на экране блокировки, будут доступны в списке приложений, доступных для выбора. Дополнительные сведения см. в разделе Рекомендации по выбору приложения для ограниченного доступа.
Закройте Параметры — ваши решения будут сохранены автоматически и будут применены при следующем вписыве учетной записи пользователя.
Для отмены ограниченного доступа выберите Выключить ограниченный доступ и выйти из выбранной учетной записи.
Настройка киоска с помощью Windows PowerShell
Тип учетной записи:
Вы можете использовать любой из следующих командлетов PowerShell для настройки ограниченного доступа на нескольких устройствах.
Перед запуском cmdlet:
Чтобы открыть PowerShell Windows клиенте, поиск PowerShell и найти Windows PowerShell настольного приложения в результатах. Запустите PowerShell от имени администратора.
Чтобы удалить назначенный доступ с помощью PowerShell, запустите следующий cmdlet:
Настройка киоска с помощью мастера киоска в Windows Configuration Designer
Тип учетной записи:
Когда Exchange active Sync (EAS) ограничения паролей активны на устройстве, функция автологона не работает. Это поведение реализовано намеренно. Дополнительные сведения см. в дополнительных сведениях о том, как включить автоматический логотип в Windows.
При использовании **** мастера устройств киоска provision в Windows Configuration Designer можно настроить киоск для запуска приложения universal Windows или Windows настольного приложения.
Установите конструктор конфигураций Windows, затем откройте его и выберите Подготовка устройств в режиме терминала. После того как вы назовите проект и выберите Далее, настройте следующие параметры:
Включить установку устройства:
Если вы хотите включить установку устройства, выберите Настройка устройстваи настройка следующих параметров:
Если вы хотите включить настройку сети, выберите Настройка сетии настройка следующих параметров:
Включить управление учетной записью:
Если вы хотите включить управление учетной записью, выберите управлениеучетной записью и настройте следующие параметры:
Active Directory. Введите учетные данные для учетной записи пользователя с наименьшими привилегиями, чтобы присоединиться к устройству в домене.
Azure Active Directory: Прежде чем использовать мастер Windows configuration Designer для настройки массовой регистрации Azure AD,настройте azure AD присоединиться к организации. В клиенте Azure AD максимальное число устройств на каждого пользователя определяет, сколько раз можно использовать основной маркер в мастере. ****
Если вы выберете этот параметр, введите удобное имя для маркера массы, который вы получаете с помощью мастера. Установите дату истечения срока действия маркера. Максимум 180 дней с даты получения маркера. Выберите маркер Get bulk. Введитеучетную запись, которая имеет разрешения на вступление устройства в Azure AD, а затем пароль. Выберите Accept, чтобы Windows конструктору конфигурации необходимые разрешения.
Чтобы настроить регистрацию Azure AD Windows на Windows клиенте, необходимо выполнить Windows конфигурации с помощью любого мастера.
Локальный администратор. Если вы выберете этот параметр, введите имя пользователя и пароль. Если вы создаете локальную учетную запись в пакете подготовки, необходимо изменять пароль с помощью приложения Параметры один раз в каждые 42 дня. Если пароль не изменен в течение этого периода, учетная запись может быть заблокирована и не сможет войти.
Чтобы добавить приложения на устройства, выберите Добавить приложения. Вы можете установить несколько приложений в пакете подготовка, в том числе Windows настольных приложений (Win32) и универсальных приложений Windows платформы (UWP). Параметры этого шага зависят от выбранного приложения. Для получения справочных сведений по параметрам см.раздел Подготовка компьютеров с приложениями.
Если вы выберите кнопку плюс для добавления приложения, необходимо ввести приложение для проверки пакета подготовка. Если по ошибке выберите кнопку плюс, то:
Эти действия позволит выполнить пакет подготовка без добавления приложения.
Чтобы добавить сертификат на устройства, выберите Добавить сертификатыи настроить следующие параметры:
Настройка учетной записи киоска и приложения режима киоска:
Чтобы добавить учетную запись, которая запускает приложение и выберите тип приложения, выберите Настройкаучетной записи киоска и приложения и настроить следующие параметры:
Настройка общих параметров киоска:
Чтобы настроить режим планшета, настройте экраны приветствия и отключения, **** а также установите параметры питания, выберите параметры настройки обычных киосков и настройте следующие параметры:
Чтобы завершить мастер, выберите Finishи настройте следующий параметр:
Если вы хотите использовать расширенный редактор в Windows Configuration Designer,укажите учетную запись пользователя и приложение (AUMID) в параметрах Runtime > AssignedAccess AssignedAccessSettings > ****
При создании пакета подготовки вы можете включить конфиденциальную информацию в файлы проекта и в файл пакета подготовки (PPKG). Несмотря на то что у вас есть возможность шифрования PPKG-файла, файлы проекта не шифруются. Файлы проекта следует хранить в надежном месте, если они больше не требуются, их необходимо удалять.
Настройка киоска или цифрового знака с помощью Microsoft Intune или другой службы MDM
Тип учетной записи:
Microsoft Intune и другие службы MDM позволяют настроить конфигурацию терминала с помощью поставщика служб конфигурации AssignedAccess (CSP). Назначен доступ имеет KioskModeApp параметр. В этом параметре введите имя учетной записи пользователя и AUMID для запуска приложения KioskModeApp в режиме киоска.
Узел ShellLauncher добавлен в CSP AssignedAccess.
Чтобы настроить киоск в Microsoft Intune, см. Windows параметры Windows Holographic for Business устройства для запуска в качестве выделенного киоска с помощью Intune. Инструкции по другим службам MDM см. в документации вашего поставщика.
Выход из режима ограниченного доступа
Чтобы выйти из приложения ограниченного доступа (режим терминала), нажмите клавиши Ctrl + Alt + Del, а затем войдите под другой учетной записью. При нажатии клавиш CTRL+ALT+DEL для выхода из режима ограниченного доступа приложение терминала закроется автоматически. Если вы снова вписались в качестве назначенной учетной записи доступа или ждете вход в расписку экрана, приложение киоска снова запустит. Пользователь с ограниченным доступом будет оставаться в системе до тех пор, пока пользователь с правами администратора не откроет меню Диспетчер задач > Пользователи и не выполнит выход для этой учетной записи пользователя.
Если нажать клавиши Ctrl + Alt + Del и не войти в другую учетную запись, то после заданного промежутка времени режим ограниченного доступа будет возобновлен. Время по умолчанию — 30 секунд, но его можно изменить в следующем разделе реестра.
Чтобы изменить время возобновления режима ограниченного доступа по умолчанию, добавьте значение IdleTimeOut (DWORD) и укажите время в миллисекундах в шестнадцатеричной системе.
Используйте AppLocker для создания киоска на базе Windows 10, на котором запущено несколько приложений
Область применения
Узнайте, как настроить устройство под управлением Windows 10 Корпоративная или Windows 10 для образовательных учреждений, версия 1703 и более ранние версии, таким образом, чтобы пользователи могли запускать на нем только несколько определенных приложений. Результат использования описанной в этом разделе функции схож с действием устройства киоска, но при этом доступны несколько приложений. Например, библиотечный компьютер можно настроить таким образом, чтобы пользователи могли выполнять поиск по каталогу и просматривать веб-страницы, но не имели возможности запускать другие приложения или изменять параметры компьютера.
Для устройств под управлением Windows 10, версия 1709, мы рекомендуем метод киоска для нескольких приложений.
С помощью функции AppLockerвы можете разрешить пользователям доступ только к определенному набору приложений на устройстве под управлением Windows 10 Корпоративная или Windows 10 для образовательных учреждений. Правила AppLocker определяют, какие приложения можно запускать на устройстве.
Правила AppLocker организованы в коллекции на основе формата файла. Если правила AppLocker для определенной коллекции правил не существуют, то все файлы этого формата можно запускать. Однако если для коллекции создано правило AppLocker, разрешен только запуск файлов, явно указанных в правиле. Подробнее об этом см. в разделе Как работает AppLocker.
В этом разделе описывается, как блокировать приложения на локальном устройстве. AppLocker также можно использовать, чтобы устанавливать правила для приложений в домене с помощью групповой политики.
Установка приложений
Сначала установите на устройстве нужные приложения, используя целевую учетную запись (записи) пользователя. Это работает как для приложений единой Windows платформы (UWP), так и для Windows настольных приложений. Для приложений UWP необходимо войти в систему в качестве этого пользователя для установки приложения. Для настольных приложений можно установить приложение для всех пользователей, не входя в определенную учетную запись.
Использование AppLocker для настройки правил для приложений
После установки необходимых приложений настройте правила AppLocker, чтобы разрешить запуск только определенных приложений, и заблокируйте все остальные.
Запустите локальную политику безопасности (secpol.msc) от имени администратора.
Откройте Параметры безопасности > Политики управления приложениями > AppLocker и выберите Настроить применение правил.
Установите флажок Настроено в разделе Исполняемые правила, а затем нажмите ОК.
Щелкните параметр Исполняемые правила правой кнопкой мыши и выберите Создать правила автоматически.
Выберите папку, содержащую приложение, доступ к которому вы хотите разрешить, или выберите C:\, чтобы проанализировать все приложения.
Введите имя набора правил и нажмите Далее.
На странице Параметры правил нажмите кнопку Далее. Обратите внимание, что создание правил может занять некоторое время.
На странице Проверка правил выберите команду Создать. Мастер создаст набор правил, разрешающих использование набора установленных приложений.
Прочтите сообщение и нажмите Да.
Если вы хотите применить правило к выбранной группе пользователей, щелкните его правой кнопкой мыши и выберите Свойства(необязательно). Затем выберите пользователя или группу пользователей в диалоговом окне.
Если для приложений, использование которых запрещено, созданы правила, их можно удалить, щелкнув правило правой кнопкой мыши и выбрав команду Удалить(необязательно).
Другие параметры блокировки
Помимо определения разрешенных приложений, необходимо также запретить доступ к некоторым параметрам и функциям на устройстве. Чтобы повысить безопасность взаимодействия, рекомендуем внести в конфигурацию устройства приведенные ниже изменения.
Удалите список Все приложения
Перейдите в раздел Редактор групповой политики > Конфигурация пользователя > Административные шаблоны\Меню «Пуск» и панель задач\Удалить список всех программ в меню «Пуск».
Скройте компонент Специальные возможности на экране входа.
Перейдите в раздел Панель управления > Специальные возможности > Центр специальных возможностей и отключите все средства специальных возможностей.
Отключите аппаратную кнопку питания.
Перейдите в раздел Электропитание > Действие кнопки питания, измените значение на Действие не требуется и выберите Сохранить изменения.
Перейдите в раздел Параметры > Конфиденциальность > Камера и отключите параметр Разрешить приложениям использовать камеру.
Отключите отображение уведомлений приложений на экране блокировки.
Перейдите в раздел Редактор групповой политики > Конфигурация компьютера > Административные шаблоны\Система\Вход в систему\Отключить уведомления приложений на экране блокировки.
Отключите съемные носители.
Перейдите в меню Редактор групповой политики > Конфигурация компьютера > Административные шаблоны\Система\Установка устройств\Ограничения на установку устройств. Проверьте параметры политики, отображаемые в разделе Ограничения на установку устройств, чтобы найти параметры, подходящие для вашей ситуации.
Примечание.
Чтобы эта политика не влияла на участников группы «Администраторы», в разделе Ограничения на установку устройствустановите флажок Разрешить администраторам заменять политики ограничения установки устройств.
Подробнее о функциях блокировки см. в разделе Настройки Windows 10 Корпоративная.
Настройка макета начального экрана на устройстве (рекомендуется)
Меню «Пуск» на устройстве можно настроить таким образом, чтобы в нем отображались только плитки разрешенных приложений. Для этого нужно вручную внести изменения, экспортировать макет в XML-файл, а затем использовать этот файл на устройстве, чтобы запретить пользователям вносить изменения. Инструкции: Управление параметрами макета начального экрана Windows10.