Windows 11 Kiosk 模式下的分配访问权限:如何准备 Windows 以启动特定应用程序

最后更新: 30/06/2025
作者: 艾萨克
  • 自助服务终端模式 Windows 11 允许您通过分配访问权限将设备使用限制于特定应用程序。
  • 主要有两种类型:单应用程序信息亭和多应用程序,每种类型都针对不同的组织需求而量身定制。
  • 它可以手动配置或通过设备管理解决方案进行配置,从而优化安全性和控制。

处于 Windows 11 信息亭模式的设备

分配访问权限和信息亭模式 Windows 11 受限设备是配置受限设备的两个最强大且鲜为人知的选项。虽然这听起来像是大公司独有的功能,但事实上,越来越多的组织(包括中小企业、教育中心,甚至面向客户的企业)正在转向这些设置,以 控制什么 应用 以及用户可以访问的功能 在 Windows 计算机上。

在本文中您将找到完整的指南 Windows 11 中的自助服务终端模式和分配访问权限究竟是什么?不同类型的自助服务终端之间的区别,以及如何使用基于 Windows 的工具和现代设备管理解决方案来配置它们。您还将了解实际用例、基本要求以及充分利用这些功能的最佳实践。

Windows 11 中的分配访问和信息亭模式是什么?

信息亭模式并不是针对普通家庭用户的功能。。虽然它是专业版、企业版、教育版和 IoT Windows 显然面向商业环境、教育环境或要求计算机仅允许使用一个或多个预定义应用程序的环境。

在本质上, 自助服务终端模式将传统 PC 转变为专用设备。登录用户只能访问允许的应用程序,无法浏览系统、打开个人文件、修改重要设置或安装软件。它非常适合 自助服务设备、公共终端、共享计算机、计算机实验室或销售点.

信息亭模式基于 分配访问权限 (分配访问),负责限制用户在设备上的操作。它不应与访客模式或众所周知的“上帝模式”混淆,因为它追求的目标恰恰相反: 关闭系统,只保留必需的部分.

到底是为了什么?

  • 确保用户只能使用一个或多个特定的应用程序,防止篡改或系统混乱。
  • 通过阻止访问内部文件和高级设置来保护敏感信息。
  • 方便对公共场所或多人使用的设备的监控和控制。
  • 优化自助服务体验并简化机场、酒店、博物馆、医院、学校和企业等环境中的流程。

Windows 11 中的自助服务终端模式类型

在Windows 11中, 通过分配访问权限可以启用两种主要的自助服务终端模式:

  • 单一申请亭:用户只能使用一个应用程序(通常是来自 Microsoft Store 或 微软边缘)。当您登录时,该应用程序会自动运行,您无法访问任何其他功能、切换应用程序或浏览桌面。
  • 多应用自助服务终端(用户体验受限):允许使用多个特定应用。Windows 桌面会显示受限,“开始”菜单和任务栏仅显示允许的应用,并且可以应用 AppLocker 规则和自定义策略来增强安全性并进一步限制体验。

每种模式都能满足不同的需求单应用程序信息亭通常用于快速参考、数字标牌或高度特定用途的公共信息亭,而多应用程序信息亭则适用于企业或学校中的共享设备,这些场合需要灵活性而又不失去控制。

自助服务终端模式设备的战略优势

部署具有指定访问权限和信息亭模式的设备 为组织提供关键优势:

  • 高效的客户服务无需专业人员即可提供基本服务(例如结账、预订、餐厅订单或卡片打印),从而节省运营成本并减少等待时间。
  • 更少的错误和更高的安全性: : 用户执行不适当操作(删除文件、安装第三方应用程序、修改关键参数等)的可能性被最小化。
  • 专业且一致的品牌形象:用户访问的界面和应用程序仍在公司的控制之下,从而增强了所有设备的视觉和功能一致性。
  • 高级定制:可以配置从触摸设备和交互式信息亭到自助服务终端的一切,以适应不同的需求(目录、目录、寻路等)。
  Spotify 歌词翻译完整指南:技巧和窍门

一些常见的用例包括机场值机亭、销售点终端、博物馆信息面板、图书馆参考计算机、医院监控设备等等。

激活自助服务终端模式和分配访问权限的基本要求

在 Windows 11 中设置自助服务终端之前,最好先查看一下 必须满足的技术和会计要求:

  • 兼容Windows版本:仅适用于 Windows 11 Pro、Enterprise、Education 和 IoT 版本。
  • 支持的应用程序对于单应用自助服务终端,只能选择 UWP(通用 Windows 平台)或 Microsoft Edge 应用。对于多应用自助服务终端,必须先在设备上安装并注册允许的应用。
  • 用户帐户控制(UAC):必须在系统上启用。
  • 标准用户帐户: : 分配的访问权限与标准帐户相关,而非管理员帐户。
  • 必须在本地配置 Kiosk 模式(而不是通过远程桌面)。
  • 选定的用户必须具有本地登录的权限. 可以通过本地安全策略(用户权限分配部分)进行调整。

分配的访问权限与访客模式和其他受限环境有何不同?

分配的访问权限比访客模式施加了更为严格的限制。在访客模式下,用户拥有经典的 Windows 环境,尽管存在一些限制。相比之下,在分配访问权限的情况下,可见界面和 comandos 可用资源减少到最低限度,使得用户无法访问系统的未经授权的区域。

至于其他限制方法,例如 AppLocker的 或自定义策略,分配的访问权限之所以突出,是因为 提供完全以控制使用为导向的用户体验 某些程序,而无法“转入”操作系统的其他部分。

Windows 11 中 Kiosk 模式的分步设置(分配访问权限)

有几种方法可以 配置分配的访问权限 取决于您所需的设备数量、环境和自动化程度。以下是主要选项:

通过 Windows 设置应用手动设置

轻松启用单应用信息亭:

  1. 创建一个 标准用户帐户 (非管理员)。您可以在“设置”中的“帐户”面板中完成此操作。
  2. 打开“设置”应用程序(Windows + I 组合)。
  3. 导航 帐户 > 其他用户 然后点击“设置指定访问权限”或“设置信息亭”。
  4. 选择“开始”。选择你创建的标准帐户。
  5. 选择 Microsoft Store 应用 (UWP) 或 Microsoft Edge 每次用户登录时,它都会以信息亭模式运行。
  6. 配置特定选项(例如,如果是 Microsoft Edge,您可以确定网站是否全屏显示(数字标牌)或使用公共浏览的基本控件、要显示的 URL 以及超时/不活动)。
  7. 保存并重启电脑。当您使用启用了分配访问权限的标准帐户登录时,用户将被限制只能使用所选的应用程序。

退出信息亭模式需要注销(Ctrl+Alt+Del)或在某些情况下重新启动。

  更改 Android 上的应用程序数量 – 如何重命名和更改应用程序数量?

使用 MDM 解决方案(例如 Intune 或 Mobile Device Manager Plus)进行配置

如果您管理组织中的多台设备,您可以 集中创建自助服务终端配置文件:

  1. 访问您使用的 MDM 解决方案的控制台(例如:Intune、Mobile Device Manager Plus……)。
  2. 为 Windows 创建新的配置文件。
  3. 选择“Kiosk”选项并决定类型:单应用程序或多应用程序。
  4. 指示允许的应用程序(名称、包标识符等)。
  5. 定义高级策略(静默应用程序安装、密钥限制、超时、自动重启等)。
  6. 将配置文件与将在信息亭模式下工作的设备或用户组关联。
  7. MDM 可自动化应用程序配置和分发,甚至允许在信息亭激活后安装新应用程序。

这条路线推荐给 大规模提供数十或数百台设备,让他们了解最新情况并监控他们的状态。

高级 PowerShell 配置、策略和配置包

对于复杂或高度定制的场景, 可以应用 CSP 策略和脚本 PowerShell的或配置包 (PPKG) 使用 XML 代码来精确定义设备在信息亭模式下的行为方式。

例如,如下设置:

  • 以信息亭模式运行 Microsoft Edge,使用固定 URL 和命令行参数来确定全屏模式, El Temppo 不活动和退出组合键。
  • 强制使用特定帐户自动登录。
  • 阻止使用特定按键序列(例如 Ctrl+A)以外的方式关闭应用程序。

这种方法技术性最强,但也能对设备行为提供最大程度的控制。

当设备处于信息亭模式激活状态时会发生什么?

信息亭模式

配置并应用信息亭配置文件后:

  • 仅授权应用程序可访问如果您处于单应用模式,则整个用户体验仅限于该应用。
  • 开始菜单、任务栏和其他系统功能被隐藏或受到严重限制。.
  • 重新启动后,登录的用户将直接进入配置的应用程序,而无需任何其他窗口或向导。
  • 在多应用信息亭模式下,您可以拥有自定义菜单,并且 AppLocker 会过滤掉任何打开未经授权的应用程序的尝试。
  • 关闭信息亭或重新启动系统将完全终止会话,并且设备将再次锁定以供下一个用户使用。

如何删除或禁用自助服务终端/指定访问模式

禁用信息亭模式与设置它一样简单。只需返回“设置”应用,依次点击“帐户”>“家庭和其他用户”>“已配置的自助服务终端”,然后移除分配的访问权限即可。您也可以使用 PowerShell 脚本,在相应的设备命名空间中将设置设为空,然后重启设备即可应用更改。

内置自助服务终端模式与专用管理软件之间的差异

Windows 11 中包含 Kiosk 模式 它主要限于在单应用模式下运行 Microsoft Store 应用。. 如果您的组织需要:

  • 允许同时使用多个应用程序。
  • 激活信息亭后安装或更新应用程序。
  • 远程管理多个设备或根据用户组应用不同的配置文件。
  • 集成所有类型的终端,从个人电脑到 Surface Pro 平板电脑。

… 所以 最好选择专门的 MDM 管理解决方案 这大大扩展了功能:集中管理、大规模配置、与企业政策集成、支持商店中没有的企业应用程序等等。

在信息亭模式下利用 Microsoft Edge

Microsoft Edge 在单应用自助服务终端模式中扮演着关键角色,它允许你将浏览器作为主界面启动,非常适合数字标牌、服务亭或自助服务终端。其主要功能包括:

  • 数字标牌模式:全屏显示特定网站,不显示导航栏或选项。
  • 公共浏览器模式:允许在设定的限制内进行一些浏览,并使用 InPrivate 会话在会话结束时自动打开和关闭选项卡,以保护隐私。
  如何沉淀资金。如何创建自己的!

可以直接定义启动 URL、会话重新启动的时间以及用于启用或禁用功能的自定义组合键等参数。

每个信息亭的配置何时合适?

为了选择最合适的体验,您应该问自己以下问题:

  • 我需要运行多少个应用程序? 如果只有一个应用程序,请选择单应用程序信息亭;如果有多个应用程序,则可以选择受限的用户体验。
  • 我需要传统桌面还是自定义界面? 多应用自助服务终端中的指定访问权限允许您保留桌面,但仅显示允许的应用程序。如果您需要完全替换 Shell(图形界面),则可以使用企业高级模式(Shell Launcher),但 Microsoft 仅建议在特定情况下使用。
  • 您使用的 Windows 是什么版本? Pro、Enterprise、Education 和 IoT 中提供分配访问权限;Shell Launcher 专用于 Enterprise 和 Education。
  • 用户帐户是本地帐户还是域帐户? 根据您的环境,您可以将分配的访问权限应用于标准本地帐户、域帐户甚至 Microsoft 登录 ID。

限制和重要考虑因素

Windows 11 信息亭模式下,并非所有功能都具有优势。以下几点值得考虑:

  • 对于内置分配的访问权限,您只能在单应用模式下选择 UWP 或 Edge 应用. 如果不采用高级方法,就不可能包含 Win32 桌面应用程序。
  • 更改信息亭配置文件通常需要重新启动计算机。 以便正确应用它们。
  • 如果删除了授权应用程序,信息亭模式可能会停止工作或被阻止,直到重新安装为止。
  • 用于信息亭的帐户应为标准帐户,而绝不能为管理员帐户。.
  • 并非所有版本的 Windows 11 都支持信息亭(家庭版除外)。
  • 触摸设备上的用户体验可能需要额外的配置和测试。

在企业环境中,始终建议 在大规模部署自助服务终端模式之前,请在一台或多台设备上彻底测试配置 在生产环境中。

使用专门的信息亭软件的额外好处

虽然 Windows 11 中的标准信息亭模式是免费且功能齐全的,但企业通常依赖 Mobile Device Manager Plus 或 Intune 等解决方案来:

  • 远程管理、监控和配置数百台设备。
  • 激活信息亭后安装应用程序,无需人工干预。
  • 支持所有类型的设备(PC、平板电脑、终端、Surface……)
  • 根据不断变化的需求添加或删除用户和配置文件。
  • 应用高级限制,例如网络阻止、静默应用程序安装、自动 Wi-Fi 配置等。

这消除了基本分配访问的许多限制,并使大规模管理变得更加容易。

Windows 11 中的 Kiosk 模式(无论是集成的还是通过专用解决方案实现)可帮助组织在受控环境中最大限度地提升安全性、效率和用户体验。利用这些功能可以改变设备在不同环境中的管理和使用方式,确保日常操作的安全性和简化性。

Windows 11 信息亭模式
相关文章:
Windows 11 中设置信息亭模式的完整指南:高级选项、要求和提示

发表评论