共用方式為


受指派的存取權建議

本文包含使用受指派存取權和殼層啟動器設定之裝置的建議。 大部分的建議包括組策略 (GPO) 和設定服務提供者 (CSP) 設定,以協助您設定 kiosk 裝置。

Kiosk 用戶帳戶

針對位於公開環境中的 kiosk 裝置,請將具有最低許可權的用戶帳戶設定為 kiosk 帳戶,例如本機標準用戶帳戶。 使用 Active Directory 使用者或 Microsoft Entra 使用者可能會允許攻擊者存取任何網域帳戶可存取的網域資源。 使用具有指派存取權的網域帳戶時,請謹慎進行。 請考慮可能使用網域帳戶公開的網域資源。

自動登入

請考慮為您的 kiosk 裝置啟用 自動登 入。 當裝置重新啟動時,從更新或電源中斷,您可以將裝置設定為自動使用受指派的存取權帳戶登入。 請確定套用至裝置的原則設定不會防止自動登入如預期般運作。 例如,原則設定 PreferredAadTenantDomainName 會防止自動登入運作。

您可以使用帳戶設定受指派的存取權和殼層啟動器 XML 檔案,以自動登入。 如需詳細資訊,請檢閱下列文章:

或者,您可以編輯登錄,讓帳戶自動登入:

路徑 名稱 類型
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon AutoAdminLogon REG_DWORD 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultUserName 字串 將值設定為您想要登入的帳戶。
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultPassword 字串 將值設定為帳戶的密碼。
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultDomainName 字串 設定網域的值,僅針對網域帳戶設定。 針對本機帳戶,請勿新增此密鑰。

設定自動登入之後,請重新啟動裝置。 帳戶會自動登入。

注意

如果您使用已啟用的HideAutoLogonUI自定義登入,當使用者帳戶密碼過期時,您可能會遇到黑色畫面。 請考慮 將密碼設定為永不過期

Windows Update

設定 kiosk 裝置,使其永遠保持在最新狀態,而不會中斷用戶體驗。 以下是為 Kiosk 裝置設定 Windows Update 時要考慮的一些原則設定:

類型 路徑 名稱/描述
Csp ./Device/Vendor/MSFT/Policy/Config/Update/ ActiveHoursEnd 表示使用時間結束的整數值。 例如, 22 代表 10PM
Csp ./Device/Vendor/MSFT/Policy/Config/Update/ ActiveHoursStart 表示使用時間開始的整數值。 例如, 7 代表 7AM
Csp ./Device/Vendor/MSFT/Policy/Config/Update/ AllowAutoUpdate 整數值。 設定為 3 - 自動下載並排程安裝
Csp ./Device/Vendor/MSFT/Policy/Config/Update/ ScheduledInstallTime 整數值。 指定裝置安裝更新的時間。 例如, 23 代表 11PM
Csp ./Device/Vendor/MSFT/Policy/Config/Update/ UpdateNotificationLevel 整數值。 設定為 2:關閉所有通知,包括重新啟動警告
GPO 計算機設定\系統管理範本\Windows 元件\Windows Update\管理終端用戶體驗 更新通知的 > 顯示選項 將值設定為 2 - 關閉所有通知,包括重新啟動警告
GPO 計算機設定\系統管理範本\Windows 元件\Windows Update\管理用戶體驗\設定自動更新 4 - 自動下載並排程安裝> 指定非使用時間的安裝時間
GPO 計算機設定\系統管理範本\Windows 元件\Windows Update\管理用戶體驗\關閉使用時間內更新的自動更新 設定開始和結束使用時間,在此期間,Kiosk 裝置因 Windows Update 而無法重新啟動

電源設定

您可能想要防止 kiosk 裝置進入睡眠狀態,或防止使用者關閉或重新啟動 kiosk。 以下是一些要考慮的選項:

類型 路徑 名稱/描述
Csp ./Device/Vendor/MSFT/Policy/Config/ADMX_StartMenu/ HidePowerOptions 字串。 設定為 <Enabled/>
Csp ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/
Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
整數值。 設定為 0
Csp ./Device/Vendor/MSFT/Policy/Config/Power/ DisplayOffTimeoutPluggedIn 字串。 設定為 <Enabled/><Data ID="EnterVideoACPowerDownTimeOut" value="0"/>
Csp ./Device/Vendor/MSFT/Policy/Config/Power/ 選取PowerButtonActionPluggedIn 整數。 設定為 0
Csp ./Device/Vendor/MSFT/Policy/Config/Power/ SelectSleepButtonActionPluggedIn 整數。 設定為 0
Csp ./Device/Vendor/MSFT/Policy/Config/Power/ StandbyTimeoutPluggedIn 字串。 設定為 <Enabled/><Data ID="EnterACStandbyTimeOut" value="0"/>
GPO 計算機設定\系統管理範本\開始功能表和任務列\移除並防止存取 [關機]、[重新啟動]、[睡眠] 和 [休眠] 命令 啟用
GPO 計算機設定\系統管理範本\系統\電源管理\按鈕設定\選取電源按鈕動作 選取動作: 不採取任何動作
GPO 計算機設定\系統管理範本\系統\電源管理\按鈕設定\選取睡眠按鈕動作 選取動作: 不採取任何動作
GPO 計算機設定\系統管理範本\System\Power Management\指定系統睡眠逾時 將值設定為 0 秒。
GPO 計算機設定\系統管理範本\System\Power Management\影片和顯示設置\關閉顯示 將值設定為 0 秒。
GPO 計算機設定\Windows 設定\安全性設定\本機原則\安全性選項\關機:允許系統關閉而不需登入 停用
GPO 計算機設定\Windows 設定\安全性設定\本機原則\使用者權力指派\關閉系統 從此原則中移除使用者或群組。 若要防止此原則影響 Administrators 群組的成員,請務必保留 Administrators 群組。

注意

您也可以使用稱為 自定義登入的功能,從安全性選項畫面停用電源按鈕。 如需移除電源按鈕或停用實體電源按鈕的詳細資訊,請參閱 自定義登入

鍵盤快速鍵

下列鍵盤快捷方式不會針對具有受限制使用者體驗設定的任何使用者帳戶封鎖:

  • Alt + F4
  • Alt + 標籤
  • Alt + 轉變 + 標籤
  • Ctrl + Alt + 刪除

您可以使用 鍵盤篩選 來封鎖按鍵組合。 鍵盤篩選設定適用於其他標準帳戶。

輔助功能快捷方式

指派的存取權不會變更輔助功能設定。 使用 鍵盤篩選 來封鎖下列開啟輔助功能功能的按鍵組合:

按鍵組合 封鎖的行為
左Alt + 左移 + 列印畫面 [開啟高對比度] 對話框
左Alt + 左移 + Num Lock 開啟滑鼠鍵對話框
+ U 開啟 [設定] 應用程式輔助功能面板

注意

如果鍵盤篩選器已開啟,則某些按鍵組合會自動封鎖,而不需要明確封鎖它們。 如需詳細資訊,請參閱 鍵盤篩選

您也可以使用 自定義登入停用鎖定畫面上的輔助功能功能和其他選項。 例如,若要移除輔助功能選項,請使用下列登錄機碼:

路徑 名稱 類型
HKLM\Software\Microsoft\Windows Embedded\EmbeddedLogon\BrandingNeutral BrandingNeutral REG_DWORD 8

Microsoft Edge 快捷方式

若要停用特定 Microsoft Edge 預設快捷方式,您可以使用 ConfigureKeyboardShortcuts 原則。

選擇 kiosk 體驗的應用程式

若要使用受指派的存取權建立 kiosk 體驗,您可以選擇 UWP 應用程式或Microsoft Edge。 不過,某些應用程式在做為 kiosk 時,可能無法提供良好的用戶體驗。

下列指導方針可協助您選擇適合 Kiosk 體驗的 Windows 應用程式:

  • 您必須先為受指派的存取權帳戶布建或安裝 Windows 應用程式,才能選取它們作為受指派的存取權應用程式。 瞭解如何布建和安裝應用程式
  • UWP 應用程式更新有時會變更應用程式的應用程式使用者模型識別碼 (應用程式的 AUMID) 。 在這種情況下,您必須更新受指派的存取權設定,才能執行更新的應用程式,因為受指派的存取權會使用 AUMID 來判斷要啟動的應用程式
  • 應用程式必須能夠在鎖定畫面上方執行。 如果應用程式無法在鎖定畫面上方執行,則無法作為 kiosk 應用程式使用
  • 有些應用程式可以啟動其他應用程式。 Kiosk 模式中的受指派存取權可防止 Windows 應用程式啟動其他應用程式。 避免選取設計來啟動其他應用程式作為其核心功能一部分的 Windows 應用程式
  • Microsoft Edge 包含 kiosk 模式的支援。 若要深入瞭解, 請參閱Microsoft Edge kiosk 模式
  • 請勿選取可能公開您不想要在 kiosk 中顯示資訊的 Windows 應用程式,因為 kiosk 通常表示匿名存取,並在公用設定中尋找。 例如,具有檔案選擇器的應用程式可讓使用者存取用戶系統上的檔案和資料夾,如果提供不必要的數據存取,請避免選取這些類型的應用程式
  • 某些應用程式可能需要更多設定,才能在受指派的存取權中適當地使用。 例如,Microsoft OneNote 要求您在 OneNote 開啟之前,為受指派的存取權使用者帳戶設定Microsoft帳戶
  • kiosk 配置檔是針對公開的 kiosk 裝置所設計。 使用本機非管理員帳戶。 如果裝置連線到您的組織網路,則使用網域或Microsoft Entra 帳戶可能會危害機密資訊

規劃部署 kiosk 或受限制的用戶體驗時,請考慮下列建議:

  • 評估用戶應該使用的所有應用程式。 如果應用程式需要使用者驗證,請勿使用本機或一般用戶帳戶。 相反地,請以受指派存取配置檔內的使用者群組為目標
  • 多應用程式 kiosk 適用於多人共用的裝置。 當您設定多應用程式 kiosk 時,會影響裝置上所有非系統管理員使用者的特定原則設定。 如需這些原則的清單,請 參閱指派的存取原則設定

開發 Kiosk App

受指派的存取權使用 鎖定架構。 當受指派的存取權使用者登入時,選取的 kiosk 應用程式會在鎖定畫面上方啟動。 kiosk 應用程式是以 上述鎖定 畫面應用程式的身分執行。 若要深入瞭解,請參閱 開發 Kiosk 應用程式以取得指派存取權的最佳做法指引

停止錯誤和復原選項

發生停止錯誤時,Windows 會顯示藍色畫面,並顯示停止錯誤碼。 您可以將標準畫面取代為 OS 錯誤的空白畫面。 如需詳細資訊, 請參閱設定系統失敗和復原選項

鎖定畫面通知

請考慮從鎖定畫面移除通知,以防止使用者在裝置鎖定時看到通知。 以下是一些要考慮的選項:

類型 路徑 名稱/描述
Csp ./Device/Vendor/MSFT/Policy/Config/AboveLock/ AllowToasts 整數。 設定為 0
GPO 計算機設定\系統管理範本\System\Logon\關閉鎖定畫面上的應用程式通知 啟用

疑難解答和記錄

測試受指派的存取權時,啟用記錄可協助您針對問題進行疑難解答很有用。 記錄可協助您識別設定和運行時間問題。 您可以啟用下列記錄:應用程式和服務記錄>Microsoft>Windows>AssignedAccess>作業。

下列登錄機碼包含受指派的存取權設定:

  • HKLM\Software\Microsoft\Windows\AssignedAccessConfiguration
  • HKLM\Software\Microsoft\Windows\AssignedAccessCsp

下列登錄機碼包含具有指派存取原則之每個用戶的設定:

  • HKCU\SOFTWARE\Microsoft\Windows\AssignedAccessConfiguration

如需針對 kiosk 問題進行疑難解答的詳細資訊,請參閱 針對 kiosk 模式問題進行疑難解答

後續步驟

瞭解如何建立 XML 檔案來設定受指派的存取權:

建立受指派的存取配置檔