Einrichten eines Kiosks in Windows 10 Pro, Enterprise oder Education

  • Artikel

Einzellizenzgeräte können in den Desktop-Editionen von Windows 10 (Pro, Enterprise und Education) problemlos eingerichtet werden. Damit ein Kioskgerät eine universelle Windows-App ausführen kann, verwenden Sie das Feature Zugewiesener Zugriff. Damit ein Kioskgerät (Windows 10 Enterprise oder Education) eine klassische Windows-Desktopanwendung ausführen kann, verwenden Sie das Shell-Startprogramm zum Festlegen einer angepassten Benutzeroberfläche als Shell. Weitere Informationen zum Zurücksetzen des Geräts auf die reguläre Shell finden Sie unter Abmelden vom zugewiesenen Zugriff.

Hinweis  

Eine universelle Windows-App basiert auf der universellen Windows-Plattform (UWP), die unter Windows 8 erstmals als Windows-Runtime eingeführt wurde. Eine klassische Windows-Desktopanwendung verwendet die klassische Windows-Plattform (Classic Windows Platzform, CWP), wie z. B. COM, Win32, WPF, WinForms usw., und wird in der Regel mit einer .EXE- oder.DLL-Datei gestartet.

 

Andere Einstellungen zum Sperren

Um das Kiosk-Feature noch sicherer zu machen, empfehlen wir Ihnen, die folgenden Konfigurationsänderungen am Gerät vorzunehmen:

  • Versetzen Sie das Gerät in den Tablet-Modus.

    Wenn Sie möchten, dass Benutzer die Touchtastatur (auf dem Bildschirm) verwenden können, wechseln Sie zu Einstellungen > System > Tablet-Modus und wählen Ein aus.

  • Verbergen Sie die Funktion Erleichterte Bedienung auf dem Anmeldebildschirm.

    Wechseln Sie zu Systemsteuerung > Erleichterte Bedienung > Center für erleichterte Bedienung, und deaktivieren Sie alle barrierefreien Anwendungen.

  • Deaktivieren Sie den Netzschalter.

    Wechseln Sie zu Energieoptionen > Auswählen, was beim Drücken des Netzschalters geschehen soll, ändern Sie die Einstellung in Nichts, und wählen Sie dann Änderungen speichern.

  • Entfernen Sie die Schaltfläche „Ein/Aus“ aus den Anmeldebildschirm.

    Wechseln Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien >Sicherheitsoptionen > Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen, und wählen Sie Deaktiviert aus.

  • Deaktivieren Sie die Kamera.

    Wechseln Sie zu Einstellungen > Datenschutz > Kamera, und deaktivieren Sie Apps die Verwendung meiner Kamera erlauben.

  • Deaktivieren Sie App-Benachrichtigungen auf dem Sperrbildschirm.

    Wechseln Sie zu Gruppenrichtlinien-Editor > Computerkonfiguration > Administrative Vorlagen\System\Anmeldung\Anwendungsbenachrichtigungen auf gesperrtem Bildschirm deaktivieren.

  • Deaktivieren Sie Wechselmedien.

    Wechseln Sie zu Gruppenrichtlinien-Editor > Computerkonfiguration > Administrative Vorlagen\System\Geräteinstallation\Einschränkungen bei der Geräteinstallation. Überprüfen Sie anhand der Richtlinieneinstellungen in Einschränkungen bei der Geräteinstallation, welche Einstellungen in Ihrem Fall anwendbar sind.

    Hinweis  

    Um zu verhindern, dass sich diese Richtlinie auf ein Mitglied der Administratorgruppe auswirkt, aktivieren Sie unter Einschränkungen bei der Geräteinstallation die Option Administratoren das Außerkraftsetzen der Richtlinien unter „Einschränkungen bei der Geräteinstallation“ erlauben.

     

Die Methode „Zugewiesener Zugriffs“ für universelle Windows-Apps

Beim zugewiesenen Zugriff führt Windows 10 die festgelegte universelle Windows-App aus, die Sie über dem Sperrbildschirm auswählen, sodass das Konto mit dem zugewiesenen Zugriff keinen Zugriff auf andere Funktionen auf dem Gerät hat. Für den zugewiesenen Zugriff stehen die folgenden Auswahlmöglichkeiten zur Verfügung:

  • Verwenden von Einstellungen auf dem PC – Windows 10 Pro, Enterprise und Education

  • Anwenden einer Richtlinie für mobile Geräteverwaltung (MDM) – Windows 10 Enterprise und Education

  • Erstellen eines Bereitstellungspakets mit dem Windows Bildverarbeitungs- und Konfigurations-Designer (ICD) – Windows 10 Enterprise und Education

  • Ausführen eines PowerShell-Skripts – Windows 10 Pro, Enterprise und Education

Anforderungen

  • Eine Domäne oder ein lokales Benutzerkonto.

    Es muss mindestens eine Anmeldung über das Benutzerkonto erfolgt sein, bevor Sie den zugewiesenen Zugriff einrichten können, oder es stehen keine Apps für dieses Konto zur Verfügung. Zum Einrichten des zugewiesenen Zugriffs mit MDM benötigen Sie das Benutzerkonto (Domäne\Konto).

  • Eine universelle Windows-App, die für dieses Konto installiert und dem Sperrbildschirm übergeordnet ist. Ausführliche Informationen zum Erstellen einer dem Sperrbildschirm übergeordneten App finden Sie unter Kiosk-Apps für zugewiesenen Zugriff: Bewährte Methoden.

    Die App kann eine unternehmenseigene App sein, die Sie in Ihrem eigenen App Store zur Verfügung stellen. Um den zugewiesenen Zugriff mit MDM oder PowerShell einzurichten, benötigen Sie außerdem die Anwendungsbenutzermodell-ID (Application User Model ID, AUMID) für die App. Erfahren Sie, wie Sie die AUMID ermitteln.

    Die universelle Windows-App muss mehrere Ansichten verarbeiten können und kann keine anderen Apps oder Dialogfelder aufrufen.

Hinweis  

Der zugewiesene Zugriff funktioniert nicht auf einem Gerät, das an mehrere Bildschirme angeschlossen ist.

 

Einrichten des zugewiesenen Zugriffs in den PC-Einstellungen

  1. Wechseln Sie zu Start > Einstellungen > Konten > Andere Benutzer.

  2. Wählen Sie Zugewiesenen Zugriff einrichten.

  3. Wählen Sie ein Konto.

  4. Wählen Sie eine App. Es werden nur Apps angezeigt, die oberhalb des Sperrbildschirms ausgeführt werden können.

  5. Schließen Sie Einstellungen. Ihre Auswahl wird automatisch gespeichert und bei der nächsten Anmeldung mit diesem Benutzerkonto angewendet.

Wählen Sie zum Entfernen des zugewiesenen Zugriffs in Schritt 3 Keinen zugewiesenen Zugriff verwenden.

Einrichten des zugewiesenen Zugriffs in MDM

Der zugewiesene Zugriff verfügt über eine Einstellung: KioskModeApp. In der Einstellung „KioskModeApp“ geben Sie den Namen des Benutzerkontos sowie die AUMID für die App ein, die im Kioskmodus ausgeführt werden soll.

Erfahren Sie, wie Sie die AUMID ermitteln..

Weitere Informationen finden Sie in der technischen Referenz zum Konfigurationsdienstanbieter für den zugewiesenen Zugriff.

Einrichten des zugewiesenen Zugriffs mit dem Windows Bildverarbeitungs- und Konfigurations-Designer (ICD)

Verwenden Sie das Windows ICD-Tool aus dem Windows Assessment and Deployment Kit (ADK) für Windows 10, um ein Bereitstellungspaket zu erstellen, das ein Gerät als Kiosk konfiguriert. Installieren Sie das ADK.

Mt219051.wedge(de-de,VS.85).gifErstellen eines Bereitstellungspakets für ein Kioskgerät

  1. Öffnen Sie Windows ICD (standardmäßig unter „%windir%\Programme (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe“).

  2. Wählen Sie Neues Bereitstellungspaket aus.

  3. Benennen Sie Ihr Projekt, und klicken Sie auf Weiter.

  4. Wählen Sie Common to all Windows desktop editions, und klicken Sie auf Weiter.

  5. Klicken Sie unter New project auf Finish. Der Arbeitsbereich für das Paket wird geöffnet.

  6. Erweitern Sie Laufzeiteinstellungen > Zugewiesener Zugriff, und klicken Sie auf Einstellungen für den zugewiesenen Zugriff.

  7. Geben Sie eine Zeichenfolge ein, um das Benutzerkonto und die App (durch AUMID) anzugeben. Beispiel:

    "Konto":"contoso\\kiosk","AUMID":"8f82d991-f842-44c3-9a95-521b58fc2084"

  8. Wählen Sie im Menü File die Option Save.

  9. Wählen Sie im Menü Exportieren die Option Bereitstellungspaket aus.

  10. Ändern Sie den Owner in IT Admin, wodurch die Priorität dieses Bereitstellungspakets höher eingestuft wird als die von Bereitstellungspaketen, die von anderen Quellen auf dieses Gerät angewendet wurden. Wählen Sie anschließend Weiter.

  11. Optional. Im Fenster Provisioning package security können Sie das Paket verschlüsseln und die Paketsignierung aktivieren.

    • Paketverschlüsselung aktivieren – Wenn Sie diese Option auswählen, wird auf dem Bildschirm ein automatisch generiertes Kennwort angezeigt.

    • Paketsignierung aktivieren – Wenn Sie diese Option auswählen, müssen Sie ein gültiges Zertifikat zum Signieren des Pakets auswählen. Sie können das Zertifikat angeben, indem Sie auf Auswählen klicken und das Zertifikat zum Signieren des Pakets auswählen.

  12. Klicken Sie auf Weiter, um den Ausgabespeicherort anzugeben, an dem das Bereitstellungspaket nach dem Erstellen gespeichert werden soll. Standardmäßig verwendet Windows ICD den Projektordner als Ausgabespeicherort.

    Klicken Sie optional auf Durchsuchen, um den Standardausgabespeicherort zu ändern.

  13. Klicken Sie auf Weiter.

  14. Klicken Sie auf Erstellen, um mit der Paketerstellung zu beginnen. Die Erstellung eines Bereitstellungspakets dauert nicht lange. Die Projektinformationen werden auf der Buildseite angezeigt, und die Statusanzeige gibt den Buildstatus an.

    Wenn Sie den Build abbrechen müssen, klicken Sie auf Abbrechen. Dadurch wird der aktuelle Buildprozess abgebrochen, der Assistent geschlossen und wieder die Customizations Page angezeigt.

  15. Falls der Build nicht erfolgreich verläuft, wird eine Fehlermeldung mit einem Link zum Projektordner angezeigt. Sie können die Fehlerursache anhand der Protokolle ermitteln. Nachdem Sie das Problem behoben haben, versuchen Sie, das Paket erneut zu erstellen.

    Wenn der Build erfolgreich ist, werden der Name des Bereitstellungspakets sowie das Ausgabeverzeichnis und Projektverzeichnis angezeigt.

    • Sie können das Bereitstellungspaket ggf. erneut erstellen und einen anderen Pfad für das Ausgabepaket auswählen. Klicken Sie dazu auf Zurück, um den Namen und Pfad des Ausgabepakets zu ändern, und klicken Sie dann auf Weiter, um einen weiteren Build zu starten.

    • Wenn Sie fertig sind, klicken Sie auf Fertig stellen, um den Assistenten zu schließen und zur Customizations Page zurückzukehren.

Mt219051.wedge(de-de,VS.85).gifAnwenden des Bereitstellungspakets

  1. Wählen Sie das anzuwendende Bereitstellungspaket aus, doppelklicken Sie auf die Datei, und akzeptieren Sie dann die Verwendung von Administratorrechten.

  2. Lassen Sie zu, dass das Paket installiert wird.

    Nachdem Sie die Paketinstallation zugelassen haben, werden die Einstellungen auf das Gerät angewendet.

Erfahren Sie, wie ein Bereitstellungspaket im Überwachungsmodus oder mit der Windows-Willkommensseite angewendet wird.

Einrichten des zugewiesenen Zugriffs mit Windows PowerShell

Mit den folgenden PowerShell-Cmdlets können Sie den zugewiesenen Zugriff auf mehreren Geräten einrichten. Um PowerShell unter Windows 10 zu öffnen, suchen Sie nach „PowerShell“ und dann nach der Windows PowerShell-Desktop-App in den Ergebnissen.

Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>

Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>

Set-AssignedAccess -AppName <CustomApp> -UserName <username>

Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>

Erfahren Sie, wie Sie die AUMID ermitteln.

Erfahren Sie, wie Sie die SID ermitteln.

Einrichten der automatischen Anmeldung

Wenn das Kioskgerät entweder aufgrund eines Updates oder eines Stromausfalls neu gestartet wird, können Sie sich manuell beim Konto mit zugewiesenem Zugriff anmelden, oder Sie können das Gerät so konfigurieren, dass die Anmeldung an diesem Konto automatisch erfolgt.

Bearbeiten Sie die Registrierung, damit die automatische Anmeldung für ein Konto erfolgen kann.

  1. Öffnen Sie den Registrierungs-Editor (regedit.exe).

    Hinweis  

    Wenn Sie mit dem Registrierungs-Editor nicht vertraut sind, lesen Sie hier mehr über das Ändern der Windows-Registrierung.

     

  2. Wechseln Sie zu

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

  3. Legen Sie die Werte für die folgenden Schlüssel fest.

    • AutoAdminLogon: Legen Sie den Wert auf 1 fest.

    • DefaultUserName: Legen Sie als Wert das Konto fest, das angemeldet werden soll.

    • DefaultPassword: Legen Sie als Wert das Kennwort für das Konto fest.

      Hinweis  

      Wenn DefaultUserName und DefaultPassword nicht angezeigt werden, fügen Sie sie hinzu, indem Sie Neu > Zeichenfolgenwert auswählen.

       

    • DefaultDomainName: Legen Sie den Wert für die Domäne fest (nur für Domänenkonten). Fügen Sie diesen Schlüssel für lokale Konten nicht hinzu.

  4. Schließen Sie den Registrierungs-Editor. Beim nächsten Neustart des Computers wird das Konto automatisch angemeldet.

Abmelden vom zugewiesenen Zugriff

Um sich von einem Konto mit zugewiesenem Zugriff abzumelden, drücken Sie die Tasten STRG+ALT+ENTF und melden sich anschließend mit einem anderen Konto an. Wenn Sie die Tasten STRG+ALT+DEL drücken, um sich vom zugewiesenen Zugriff abzumelden, wird die Kiosk-App automatisch beendet. Wenn Sie sich erneut als das Konto mit dem zugewiesenen Zugriff anmelden oder auf die Zeitüberschreitung für den Anmeldebildschirm warten, wird die Kiosk-App erneut gestartet.

Wenn Sie die Tasten STRG+ALT+DEL drücken und sich innerhalb eines bestimmten Zeitraums nicht bei einem anderen Konto anmelden, wird der zugewiesene Zugriff fortgesetzt. Die Standardeinstellung ist 30 Sekunden, wobei Sie dies jedoch im folgenden Registrierungsschlüssel ändern können:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

Fügen Sie zum Ändern der Standardzeit zur Fortsetzung des zugewiesenen Zugriffs IdleTimeOut (DWORD) hinzu, und geben Sie den Wert in Millisekunden im Hexadezimalformat ein.

Shell-Startprogramm für klassische Windows-Desktopanwendungen

Mit dem Shell-Startprogramm können Sie ein Kioskgerät konfigurieren, das als Benutzeroberfläche eine klassische Windows-Desktopanwendung ausführt. Die Anwendung, die Sie angeben, ersetzt die Standard-Shell (explorer.exe), die in der Regel ausgeführt wird, wenn sich ein Benutzer anmeldet.

Anforderungen

  • Eine Domäne oder ein lokales Benutzerkonto.

  • Eine klassische Windows-Desktopanwendung, die für dieses Konto installiert ist. Die App kann eine unternehmenseigene Anwendung oder eine allgemeine Anwendung wie Internet Explorer sein.

Weitere Informationen finden Sie in der technischen Referenz für die Shell-Startprogrammkomponente.

Konfigurieren des Shell-Startprogramms

Um eine klassische Windows-Desktopanwendung als Shell festzulegen, aktivieren Sie zuerst das Feature „Shell-Startprogramm“. Anschließend können Sie die benutzerdefinierte Shell mit PowerShell als Standardeinstellung festlegen.

Mt219051.wedge(de-de,VS.85).gifSo aktivieren Sie das Shell-Startprogramm in den Windows-Features

  1. Wechseln Sie zur Systemsteuerung > Programme und Features > Windows-Features aktivieren oder deaktivieren.
  2. Wählen Sie Eingebettetes Shell-Startprogramm und dann OK.

Alternativ können Sie das Shell-Startprogramm mit dem Tool für die Abbildverwaltung für die Bereitstellung (Deployment Image Servicing and Management, DISM) aktivieren (DISM.exe).

Mt219051.wedge(de-de,VS.85).gifSo aktivieren Sie das Shell-Startprogramm mithilfe von DISM

  1. Öffnen Sie eine Eingabeaufforderung mit Administratorrechten.

  2. Geben Sie den folgenden Befehl ein:

    Dism /online /Enable-Feature /FeatureName:Client-EmbeddedShellLauncher

Mt219051.wedge(de-de,VS.85).gifSo legen Sie die benutzerdefinierte Shell fest

  • Ändern Sie das folgende PowerShell-Skript wie gewünscht, und führen Sie das Skript auf dem Kioskgerät aus.

    $COMPUTER = "localhost"
$NAMESPACE = "root\standardcimv2\embedded"

# Create a handle to the class instance so we can call the static methods.
$ShellLauncherClass = [wmiclass]"\\$COMPUTER\${NAMESPACE}:WESL_UserSetting"


# This well-known security identifier (SID) corresponds to the BUILTIN\Administrators group.

$Admins_SID = "S-1-5-32-544"

# Create a function to retrieve the SID for a user account on a machine.

function Get-UsernameSID($AccountName) {

    $NTUserObject = New-Object System.Security.Principal.NTAccount($AccountName)
    $NTUserSID = $NTUserObject.Translate([System.Security.Principal.SecurityIdentifier])

    return $NTUserSID.Value

}

# Get the SID for a user account named \"Cashier\". Rename \"Cashier\" to an existing account on your system to test this script.

$Cashier_SID = Get-UsernameSID("Cashier")

# Define actions to take when the shell program exits.

$restart_shell = 0
$restart_device = 1
$shutdown_device = 2

# Examples

# Set the command prompt as the default shell, and restart the device if it's closed.

$ShellLauncherClass.SetDefaultShell("cmd.exe", $restart_device)

# Display the default shell to verify that it was added correctly.

$DefaultShellObject = $ShellLauncherClass.GetDefaultShell()

"`nDefault Shell is set to " + $DefaultShellObject.Shell + " and the default action is set to " + $DefaultShellObject.defaultaction

# Set Internet Explorer as the shell for \"Cashier\", and restart the machine if it's closed.

$ShellLauncherClass.SetCustomShell($Cashier_SID, "c:\program files\internet explorer\iexplore.exe www.microsoft.com", ($null), ($null), $restart_shell)

# Set Explorer as the shell for administrators.

$ShellLauncherClass.SetCustomShell($Admins_SID, "explorer.exe")

# View all the custom shells defined.

"`nCurrent settings for custom shells:"
Get-WmiObject -namespace $NAMESPACE -computer $COMPUTER -class WESL_UserSetting | Select Sid, Shell, DefaultAction

# Enable Shell Launcher

$ShellLauncherClass.SetEnabled($TRUE)

"`nEnabled is set to " + $DefaultShellObject.IsEnabled()

# Remove the new custom shells.

$ShellLauncherClass.RemoveCustomShell($Admins_SID)

$ShellLauncherClass.RemoveCustomShell($Cashier_SID)

Verwandte Themen

Einrichten eines Geräts zur Verwendung durch alle Personen

Einrichten eines Kiosks für die Windows 10 Mobile Edition

Verwalten und Aktualisieren von Windows 10