Was ist der zugewiesene Zugriff?

Zugewiesener Zugriff ist eine Windows-Funktion, mit der Sie ein Gerät als Kiosk oder mit eingeschränkter Benutzerfreundlichkeit konfigurieren können.

Wenn Sie ein Kiosk-Erlebnis konfigurieren, wird eine einzelne Universelle Windows-Plattform(UWP)-Anwendung oder Microsoft Edge im Vollbildmodus oberhalb des Sperrbildschirms ausgeführt. Die Benutzer können nur diese Anwendung verwenden. Wenn die Kiosk-App geschlossen wird, startet sie automatisch neu. Praktische Beispiele sind:

  • Öffentliches Surfen
  • Interaktive digitale Beschilderung

Wenn Sie eine eingeschränkte Benutzererfahrung konfigurieren, können Benutzer nur eine bestimmte Liste von Anwendungen mit einem angepassten Startmenü und einer Taskleiste ausführen. Verschiedene Richtlinieneinstellungen und AppLocker-Regeln werden durchgesetzt und sorgen für ein abgeschottetes Erlebnis. Die Benutzer können auf einen vertrauten Windows-Desktop zugreifen, während ihr Zugriff eingeschränkt wird, wodurch Ablenkungen und die Gefahr einer ungewollten Nutzung verringert werden. Ideal für gemeinsam genutzte Geräte, da Sie verschiedene Konfigurationen für verschiedene Benutzer erstellen können. Praktische Beispiele sind:

  • Geräte für Frontline-Mitarbeiter
  • Studentische Geräte
  • Laborgeräte

Hinweis

Wenn Sie eine eingeschränkte Benutzererfahrung konfigurieren, werden verschiedene Richtlinieneinstellungen auf das Gerät angewendet. Einige Richtlinieneinstellungen gelten nur für Standardbenutzer, andere auch für Administratorkonten. Weitere Informationen finden Sie unter Richtlinieneinstellungen für zugewiesenen Zugriff.

Anforderungen

Hier sind die Voraussetzungen für den zugewiesenen Zugriff:

  • Um ein Kiosk-Erlebnis zu nutzen, muss die Benutzerkontensteuerung (UAC) aktiviert sein
  • Um ein Kiosk-Erlebnis zu nutzen, müssen Sie sich über die Konsole anmelden. Das Kiosk-Erlebnis wird über eine Remote-Desktop-Verbindung nicht unterstützt

Anforderungen an die Windows-Edition

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die zugewiesenen Zugriff unterstützen:

Edition Unterstützung für zugewiesenen Zugriff
Bildung
Unternehmen
Enterprise LTSC
IoT Enterprise
IoT Enterprise LTSC
Pro Education
Pro

Konfigurieren Sie ein Kiosk-Erlebnis

Es gibt mehrere Möglichkeiten, einen Kiosk zu konfigurieren. Wenn Sie ein einzelnes Gerät mit einem lokalen Konto konfigurieren müssen, können Sie dies tun:

  • PowerShell: Sie können das Set-AssignedAccess PowerShell-Cmdlet verwenden, um ein Kiosk-Erlebnis unter Verwendung eines lokalen Standardkontos zu konfigurieren
  • Einstellungen: Verwenden Sie diese Option, wenn Sie eine einfache Methode zur Konfiguration eines einzelnen Geräts mit einem lokalen Standardbenutzerkonto benötigen

Für fortgeschrittene Anpassungen können Sie den Zugewiesener-Zugriff-CSP verwenden, um das Kiosk-Erlebnis zu konfigurieren. Mit dem CSP können Sie die Kiosk-App, das Benutzerkonto und das Verhalten der Kiosk-App konfigurieren. Wenn Sie den CSP verwenden, müssen Sie eine XML-Konfigurationsdatei erstellen, in der die Kiosk-App und das Benutzerkonto angegeben sind. Die XML-Datei wird mit einer der folgenden Optionen auf das Gerät angewendet:

  • Eine Mobile Device Management (MDM)-Lösung, wie Microsoft Intune
  • Bereitstellungspakete
  • PowerShell, mit dem MDM Bridge WMI Provider

Wie Sie die Shell Launcher-XML-Datei konfigurieren können, erfahren Sie unter Erstellen einer Konfigurationsdatei für zugewiesenen Zugriff.

Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.

Sie können Geräte mit einer benutzerdefinierten Richtlinie mit dem AssignedAccess CSP konfigurieren.

  • Einstellung:./Vendor/MSFT/AssignedAccess/Configuration
  • Wert: Inhalt der XML-Konfigurationsdatei

Weisen Sie die Richtlinie einer Gruppe zu, die die zu konfigurierenden Geräte als Mitglieder enthält.

Konfigurieren Sie eine eingeschränkte Benutzererfahrung

Um eine eingeschränkte Benutzererfahrung mit zugewiesenem Zugriff zu konfigurieren, müssen Sie eine XML-Konfigurationsdatei mit den Einstellungen für die gewünschte Erfahrung erstellen. Die XML-Datei wird über den Zugewiesener-Zugriff-CSP auf das Gerät angewendet, wobei eine der folgenden Optionen verwendet wird:

  • Eine Mobile Device Management (MDM)-Lösung, wie Microsoft Intune
  • Bereitstellungspakete
  • PowerShell, mit dem MDM Bridge WMI Provider

Wie Sie die XML-Datei für den zugewiesenen Zugriff konfigurieren können, erfahren Sie unter Erstellen einer Konfigurationsdatei für den zugewiesenen Zugriff.

Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.

Sie können Geräte mit einer benutzerdefinierten Richtlinie mit dem AssignedAccess CSP konfigurieren.

  • Einstellung:./Vendor/MSFT/AssignedAccess/ShellLauncher
  • Wert: Inhalt der XML-Konfigurationsdatei

Weisen Sie die Richtlinie einer Gruppe zu, die die zu konfigurierenden Geräte als Mitglieder enthält.

Benutzerfreundlichkeit

Um die Kiosk- oder eingeschränkte Benutzererfahrung zu validieren, melden Sie sich mit dem Benutzerkonto an, das Sie in der Konfigurationsdatei angegeben haben.

Die Konfiguration des zugewiesenen Zugriffs wird wirksam, wenn sich der betreffende Benutzer das nächste Mal anmeldet. Wenn dieses Benutzerkonto angemeldet ist, wenn Sie die Konfiguration anwenden, melden Sie sich ab und wieder an, um die Erfahrung zu bestätigen.

Hinweis

Ab Windows 11 unterstützt ein eingeschränktes Benutzererlebnis die Verwendung mehrerer Monitore.

Autotrigger-Touch-Tastatur

Die Touch-Tastatur wird automatisch ausgelöst, wenn eine Eingabe erforderlich ist und auf Touch-fähigen Geräten keine physische Tastatur angebracht ist. Sie müssen keine weiteren Einstellungen vornehmen, um dieses Verhalten zu erzwingen.

Tipp

Die Touch-Tastatur wird nur ausgelöst, wenn Sie auf ein Textfeld tippen. Mausklicks lösen die Touch-Tastatur nicht aus. Wenn Sie diese Funktion testen, verwenden Sie ein physisches Gerät anstelle einer virtuellen Maschine (VM), da die Touch-Tastatur auf VMs nicht ausgelöst wird.

Abmelden vom zugewiesenen Zugriff

Um die Kiosk-Anwendung zu beenden, drücken Sie standardmäßig Strg + Alt + Entf. Die Kiosk-App wird automatisch beendet. Wenn Sie sich erneut mit dem zugewiesenen Zugriffskonto anmelden oder die Zeitüberschreitung des Anmeldebildschirms abwarten, wird die Kiosk-App erneut gestartet. Die Standardzeitüberschreitung beträgt 30 Sekunden, aber Sie können die Zeitüberschreitung mit dem Registrierungsschlüssel ändern:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

Um die Standardzeit für die Wiederaufnahme des zugewiesenen Zugriffs zu ändern, fügen Sie IdleTimeOut (DWORD) hinzu und geben Sie den Wert als Millisekunden in hexadezimaler Form ein.

Hinweis

IdleTimeOut gilt nicht für den Kioskmodus von Microsoft Edge.

Die Breakout-Sequenz Strg + Alt + Entf ist die Standardeinstellung, aber diese Sequenz kann auf eine andere Tastenfolge konfiguriert werden. Die Breakout-Sequenz verwendet das Format Modifikatoren + Tasten. Ein Beispiel für eine Breakout-Sequenz ist CTRL + ALT + A, wobei CTRL + ALT die Modifikatoren sind und A der Schlüsselwert ist. Weitere Informationen finden Sie unter Erstellen einer XML-Konfigurationsdatei für zugewiesenen Zugriff.

Zugewiesenen Zugriff entfernen

Durch das Löschen der eingeschränkten Benutzererfahrung werden die mit den Benutzern verknüpften Richtlinieneinstellungen entfernt, aber es können nicht alle Konfigurationen rückgängig gemacht werden. So wird beispielsweise die Konfiguration des Startmenüs beibehalten.

Nächste Schritte

Lesen Sie die Empfehlungen, bevor Sie zugewiesenen Zugriff einsetzen:

Empfehlungen für zugewiesenen Zugriff