将HoloLens设置为 Kiosk (固定用途的设备)

你可以将 HoloLens 设备配置为固定用途的设备(也称为 kiosk),方法是将设备配置为在kiosk模式下运行。 koisk模式限制设备上可用 (或用户) 的应用程序。 kiosk模式是一种方便的功能,可用于将 HoloLens 设备专用于商业应用,或在应用演示中使用 HoloLens 设备。

本文提供有关特定于 HoloLens 设备的koisk配置方面的信息。 有关不同类型的基于 Windows 的网亭以及如何配置它们的常规信息,请参阅 在 Windows 桌面版上配置kiosk和数字签名

 重要

koisk模式确定当用户登录到设备时,哪些应用可用。 但是,koisk模式不是一种安全方法。 它不会阻止 “允许” 应用打开不允许的另一个应用。 为了阻止应用或进程打开,请使用 Windows Defender 应用程序控件 (WDAC) CSP 来创建相应的策略。

了解有关 Microsoft 服务的详细信息,以便为用户提供 HoloLens 2 使用的高级安全级别,请阅读有关 状态分隔和隔离 Defender 保护的详细信息。 或了解如何 使用 WDAC 和 Windows PowerShell 在 HoloLens 2 设备上使用 Microsoft Intune 允许或阻止应用

你可以在单个应用或多个应用配置中使用koisk模式,并且可以使用三个进程之一来设置和部署koisk配置。

 重要

删除多应用配置将删除分配的访问功能所创建的用户锁定配置文件。 但是,它不会还原所有策略更改。 若要还原这些策略,必须将设备重置为出厂设置。

规划koisk部署

koisk模式要求

您可以将任何 HoloLens 2 设备配置为使用koisk模式。

若要将 HoloLens (第一代) 设备配置为使用koisk模式,必须首先确保该设备运行的是 Windows 10 版本1803或更高版本。 如果你已使用 Windows 设备恢复工具将 HoloLens (第一代) 设备恢复为默认版本,或者如果已安装了最新的更新,则设备已准备好进行配置。

 重要

若要帮助保护在koisk模式下运行的设备,请考虑添加关闭诸如 USB 连接等功能的设备管理策略。 此外,检查更新铃声设置以确保在工作时间内不会自动更新。

在单应用koisk或多应用koisk之间做出选择

当用户登录到设备时,单应用koisk会启动指定的应用。 “开始” 菜单已禁用,与 Cortana 一样。 HoloLens 2 设备不响应 开始 手势。 HoloLens (第一代) 设备不会响应 绽放 手势。 由于只有一个应用可以运行,因此用户无法放置其他应用。

当用户登录到设备时,多应用koisk显示 “开始” 菜单。 koisk配置确定哪些应用在 “开始” 菜单上可用。 你可以使用多应用koisk为用户提供简单易懂的体验,只需向他们展示他们必须使用的功能,并删除不需要使用的功能。

下表列出了不同koisk模式下的功能功能。

 “开始”菜单“快速操作” 菜单摄像头和视频MiracastCortana内置语音命令
单应用koisk已禁用已禁用已禁用已禁用已禁用已启用 1
多应用koisk启用已启用 2可用 2可用 2可用 2,3已启用 1

1与 禁用的功能相关的语音命令不起作用。
2有关 如何配置这些功能的详细信息,请参阅 选择koisk应用
即使禁用 Cortana,也会启用内置语音命令。

下表列出了不同koisk模式的用户支持功能。

 支持的用户类型自动登录多个访问级别
单应用koisk托管服务帐户在 Azure Active Directory (AAD) 或本地帐户中 (MSA)
多应用koiskAAD 帐户

有关如何使用这些功能的示例,请参阅下表。

使用单应用koisk进行以下操作:使用多应用koisk进行以下操作:
仅运行新员工的 Dynamics 365 指南的设备。为一系列员工运行指南和远程协助的设备。
仅运行自定义应用的设备。作为大多数用户的koisk工作的设备 (仅运行自定义应用) ,但作为特定用户组的标准设备运行。

规划koisk应用

有关如何选择koisk应用的一般信息,请参阅 (koisk模式下为分配的 access 选择应用指南) 

如果你使用 Windows Device Portal 配置单应用koisk,请在安装过程中选择该应用。

如果你使用 (MDM) 系统或预配包来配置koisk模式的移动设备管理,请使用 AssignedAccess 配置服务提供程序 (CSP) 来指定应用程序。 CSP 使用 应用程序用户模型 id (aumid) 来标识应用程序。 下表列出了可在多应用koisk中使用的一些内置应用程序的 Aumid。

 重要

koisk模式确定当用户登录到设备时,哪些应用可用。 但是,koisk模式不是一种安全方法。 它不会阻止 “允许” 应用打开不允许的另一个应用。 由于我们不限制此行为,因此仍可从 Edge、文件资源管理器和 Microsoft Store 应用启动应用。 如果你不想从koisk启动特定应用,请使用 Windows Defender 应用程序控件 (WDAC) CSP 来创建相应的策略。

此外,混合现实主页无法设置为koisk应用。

应用名称AUMID
3D 查看器Microsoft3DViewer _8wekyb3d8bbwe !Microsoft3DViewer
日历windowscommunicationsapps _8wekyb3d8bbwe ! windowslive。
相机 1、2HoloCamera _cw5n1h2txyewy !HoloCamera
Cortana 3549981C3F5F10 _8wekyb3d8bbwe !应用
HoloLens 上的设备选取器 (第一代)HoloDevicesFlow _cw5n1h2txyewy !HoloDevicesFlow
HoloLens 2 上的设备选取器DevicesFlowHost _cw5n1h2txyewy !DevicesFlowHost
Dynamics 365 GuidesDynamics365 _8wekyb3d8bbwe !MicrosoftGuides
Dynamics 365 Remote AssistMicrosoftRemoteAssist _8wekyb3d8bbwe !RemoteAssist
反馈   中心WindowsFeedbackHub _8wekyb3d8bbwe !应用
文件资源管理器c5e2524a-ea46-4f67-841f-6a9465d9d515_cw5n1h2txyewy!App
Mailwindowscommunicationsapps_8wekyb3d8bbwe! windowslive!
Microsoft StoreMicrosoft.WindowsStore_8wekyb3d8bbwe!App
Miracast 4 
电影和电视ZuneVideo _8wekyb3d8bbwe !ZuneVideo
OneDrivemicrosoftskydrive _8wekyb3d8bbwe !应用
照片_8wekyb3d8bbwe 照片。应用
“设置”HolographicSystemSettings _cw5n1h2txyewy !应用
提示HoloLensTips _8wekyb3d8bbwe !HoloLensTips

要启用照片或视频捕获,您必须将相机应用启用为koisk应用。
启用摄像头应用时,请注意以下条件:

  • “快速操作” 菜单包含 “照片” 和 “视频” 按钮。
  • 你还应启用可与图片交互或检索图片的应用 (例如照片、邮件或 OneDrive) 。

即使不将 Cortana 启用为koisk应用,也会启用内置语音命令。 但是,与禁用的功能相关的命令不起作用。
不能直接启用 Miracast。 若要将 Miracast 启用为koisk应用,请启用相机应用和设备选取器应用。

规划用户和设备组

在 MDM 环境中,使用组管理设备配置和用户访问。

koisk配置文件包括 ” 用户登录类型 ” 设置。 用户登录类型 标识用户 (或组,其中包含可以使用你添加的应用或应用的用户) 。 如果用户使用未包含在配置文件中的帐户登录,则该用户无法使用koisk上的应用。

 备注

单应用koisk的 用户登录类型 指定单个用户帐户。 这是在其下运行koisk的用户上下文。 多应用koisk的 用户登录类型 可以指定可以使用koisk的一个或多个用户帐户或组。

在将 kiosk 配置部署到设备之前,必须将 kiosk 配置配置文件 分配 给包含设备的组或可登录设备的用户。 此设置将产生如下所示的行为。

  • 如果设备是分配组的成员,则在任何用户首次登录设备时,koisk配置将部署到设备。
  • 如果设备不是分配组的成员,但属于该组成员的用户登录,则 kiosk 配置将在此时部署到设备。

有关在 Intune 中分配配置文件的效果的完整讨论,请参阅 在 Microsoft Intune 中分配用户和设备配置文件

 备注

以下示例介绍了多应koisk。 单应koisk以类似的方式运行,但只有一个用户帐户才获得koisk体验。

示例 1

为设备和用户使用单个组 (组 1) 。 一个设备和用户 A、B 和 C 是该组的成员。 配置koisk配置文件的方式如下所示:

  • 用户登录类型:组1
  • 已分配的组:组1

无论哪个用户首先登录到设备 (并通过 “全新体验” 或 “OOBE) “,”koisk配置” 都将部署到设备。 用户 A、B 和 C 均可登录到设备并获取 kiosk 体验。

示例 2

您向需要不同koisk体验的两个不同供应商推出了设备。 两个供应商都有用户,您希望所有用户都可以从其自己的供应商和其他供应商处访问koisk。 按如下方式配置组:

  • 设备组1:
    • 设备 1 (供应商 1)
    • 设备 2 (供应商 1)
  • 设备组2:
    • 设备 3 (供应商 2)
    • 设备 4 (供应商 2)
  • 用户组:
    • 用户 A (供应商 1)
    • 用户 B (供应商 2)

创建两个具有以下设置的koisk配置文件:

  • koisk档案1:
    • 用户登录类型:用户组
    • 已分配的组:设备组1
  • koisk档案2:
    • 用户登录类型:用户组
    • 已分配的组:设备组2

这些配置将产生以下结果:

  • 当任何用户登录到设备1或设备2时,Intune 将koisk配置文件1部署到该设备。
  • 当任何用户登录到设备3或设备4时,Intune 将koisk配置文件2部署到该设备。
  • 用户 A 和用户 B 可以登录到四个设备中的任何一个。 如果他们登录到设备1或设备2,他们将看到供应商1的koisk体验。 如果他们登录到设备3或设备4,他们将看到供应商2的koisk体验。

配置文件冲突

如果两个或更多koisk配置文件的目标设备相同,则会发生冲突。 在 Intune 托管设备的情况下,Intune 不会应用任何冲突的配置文件。

其他类型的配置文件和策略(如与koisk配置文件无关的设备限制)不会与koisk配置文件冲突。

选择部署方法

你可以选择以下方法之一来部署koisk配置:

下表列出了每个部署方法的功能和优点。

 使用 Windows Device Portal 进行部署使用预配包进行部署使用 MDM 进行部署
部署单应用koisk
部署多路应用koisk
仅部署到本地设备
使用开发人员模式进行部署必需不需要不需要
使用 Azure Active Directory (AAD) 进行部署不需要不需要必需
自动部署
部署速度迅速迅速慢速
按比例部署不建议不建议推荐

使用 Microsoft Intune 或其他 MDM 设置单应用或多应用koisk

若要使用 Microsoft Intune 或其他 MDM 系统设置koisk模式,请按照下列步骤操作。

  1. 准备注册设备。
  2. 创建koisk配置文件。
  3. 配置koisk。
    • 配置单应用koisk的设置。
    • 配置多应用koisk的设置。
  4. 将koisk配置文件分配到组。
  5. 部署设备。
    • 部署单应用koisk。
    • 部署多应用koisk。

MDM,步骤 1 – 准备注册设备

你可以将 MDM 系统配置为在用户首次登录时自动注册 HoloLens 设备,或者让用户手动注册设备。 设备还必须加入到 Azure AD 域,并分配给相应的组。

有关如何注册设备的详细信息,请参阅 在 MDM 中注册 HoloLens 和 Windows 设备的 Intune 注册方法

MDM、步骤 2 – 创建koisk配置文件

  1. 打开 Azure 门户并登录到你的 Intune 管理员帐户。
  2. 选择 ” Microsoft Intune > 设备配置”-配置文件 > 创建配置文件
  3. 输入配置文件名称。
  4. 选择 “平台 > Windows 10 及更高版本“,然后选择 “配置文件类型 > 设备限制“。
  5. 选择 “配置 > koisk“,然后选择下列操作之一:
    • 若要创建单应用koisk,请选择 “koisk模式 > 单应用koisk“。
    • 若要创建多应用程序亭,请选择 “koisk模式 > 多应用koisk“。
  6. 要开始配置koisk,请选择 ” 添加“。

根据所需的koisk类型,后续步骤会有所不同。 有关详细信息,请选择下列选项之一:

有关如何创建koisk配置文件的详细信息,请参阅 windows 10 和 Windows 全息版 For Business 设备设置,以使用 Intune 作为专用koisk运行

MDM、步骤 3 (单应用) – 配置单应用koisk的设置

本部分概述了单应用koisk所需的设置。 有关更多详细信息,请参阅以下文章:

  1. 选择 “用户登录类型 > 本地用户帐户“,然后输入可登录到koisk的本地 (设备) 帐户或 Microsoft 帐户 (MSA) 的用户名。 备注Windows 全息版商业版不支持自动登录用户帐户类型。
  2. 选择 “应用程序类型 > 存储应用“,然后从列表中选择一个应用。

下一步是将配置文件 分配 给组。

MDM、步骤 3 (多应用) – 配置多应用koisk的设置

本部分概述了多应用koisk所需的设置。 有关更多详细信息,请参阅以下文章:

  1. 选择 “在 S 模式设备中确定目标 Windows 10 设备” > No 备注S 模式在 Windows 全息版商业版上不受支持。
  2. 选择 “用户登录类型” > Azure AD 用户或组用户登录类型 > HoloLens 访问者,然后添加一个或多个用户组或帐户。只有属于你在 ” 用户登录类型 ” 中指定的组或帐户的用户才能使用koisk体验。
  3. 使用以下选项选择一个或多个应用:
    • 若要添加已上载的业务线应用程序,请选择 ” 添加应用商店应用 “,然后选择所需的应用。
    • 若要通过指定其 AUMID 添加应用,请选择 ” 由 AUMID 添加 “,然后输入应用的 AUMID。 查看可用的 Aumid 列表

下一步是将配置文件 分配 给组。

MDM,步骤 4 – 将koisk配置文件分配到组

使用koisk配置文件的 ” 分配 ” 页面设置要在其中部署 kiosk 配置的位置。 在最简单的情况下,你将koisk配置配置文件分配给将在使用 MDM 注册设备时包含 HoloLens 设备的组。

MDM、步骤 5 (单应用) – 部署单应用koisk

使用 MDM 系统时,可以在 OOBE 期间在 MDM 中注册设备。 在 OOBE 完成后,登录到设备非常简单。

在 OOBE 期间,请按照下列步骤操作:

  1. 使用在koisk配置文件中指定的帐户登录。
  2. 注册设备。 请确保将设备添加到将设备配置文件分配到的组。
  3. 等待 OOBE 完成,针对要下载和安装的应用商店应用以及要应用的策略。 然后重新启动设备。

下次登录设备时,koisk应用应自动启动。

如果此时看不到koisk配置,请 检查作业状态

MDM、步骤 5 (多应用) – 部署多应用koisk

使用 MDM 系统时,你可以将设备加入 Azure AD 租户,并在 OOBE 期间在 MDM 中注册设备。 如果适用,请向用户提供注册信息,以便用户可以在 OOBE 过程中使用它。

 备注

如果您已将koisk配置文件分配给包含用户的组,请确保其中一个用户帐户是登录到该设备的第一个帐户。

在 OOBE 期间,请按照下列步骤操作:

  1. 使用属于 ” 用户登录类型 ” 组的帐户登录。
  2. 注册设备。
  3. 等待所有属于koisk配置文件的应用下载并安装。 此外,请等待应用策略。
  4. 在 OOBE 完成后,你可以通过 Microsoft store 或通过旁加载来安装其他应用。 设备所属的组自动安装所需的应用
  5. 安装完成后,重新启动设备。

下次使用属于 用户登录类型的帐户登录设备时,koisk应用应自动启动。

如果此时看不到koisk配置,请 检查作业状态

使用预配包设置单应用或多应用koisk

若要使用预配包设置koisk模式,请按照下列步骤操作。

  1. 创建一个定义koisk配置的 XML 文件,包括 “开始” 布局
  2. 将 XML 文件添加到预配包。
  3. 将预配包应用于 HoloLens。

预配程序包,步骤 1 – 创建koisk配置 XML 文件

按照 常规说明为 Windows 桌面版创建koisk配置 XML 文件,但以下内容除外:

  • 不要在 Win32) 中包括经典 Windows 应用程序 (。 HoloLens 不支持这些应用程序。
  • 使用适用于 HoloLens 的 占位符开始布局 XML 。
  • 可选:Guest访问添加到koisk配置

可选:将来宾访问添加到展台koisk配置

在 XML 文件的 “配置” 部分中,可以将名为 “访问者” 的特殊组配置为允许来宾使用koisk。 Configs 当koisk配置为支持 访问者 特殊组时,登录页面中将添加一个 “来宾” 选项。 来宾帐户不需要密码,并且与帐户关联的任何数据在帐户注销时都将被删除。

若要启用 来宾 帐户,请将以下代码片段添加到koisk配置 XML:XML复制

<Configs>
  <Config>  
    <SpecialGroup Name="Visitor" />  
    <DefaultProfile Id="enter a profile ID"/>  
  </Config>  
</Configs>  

HoloLens 的占位符开始布局

如果使用 预配包 配置多应用koisk,则该过程需要 “开始” 布局。 Windows 全息版中不支持 “开始布局自定义”。 因此,你必须使用占位符开始布局。

 备注

由于单应用koisk在用户登录时启动koisk应用,因此它不使用 “开始” 菜单,也不需要具有 “开始” 布局。

 备注

如果使用 MDM 设置多应用koisk,则可以选择使用 “开始” 布局。 有关详细信息,请参阅 MDM (Intune 和其他) 的占位符启动布局文件 

对于 “开始” 布局,将以下 StartLayout 部分添加到koisk预配 XML 文件:XML复制

<!-- This section is required for parity with Desktop Assigned Access. It is not currently used on HoloLens -->
            <StartLayout>
                <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="">
                              <start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="placeholderpackagename_kzf8qxf38zg5c!App" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
            </StartLayout>
            <!-- This section is required for parity with Desktop Assigned Access. It is not currently used on HoloLens -->

适用于 MDM (Intune 和其他人的占位符开始布局文件)

将以下示例另存为 XML 文件。 在 Microsoft Intune 中配置多应用koisk时,你可以使用此文件 (或在提供koisk配置文件的其他 MDM 服务中使用此文件) 。

 备注

如果必须使用自定义设置和完整的 XML 配置来设置 MDM 服务中的koisk,请使用 预配包的启动布局说明。XML复制

<LayoutModificationTemplate
    xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification"
    xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
    xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout"
    Version="1">
  <RequiredStartGroupsCollection>
    <RequiredStartGroups>
      <AppendGroup Name="">
        <start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="placeholderpackagename_kzf8qxf38zg5c!App" />
      </AppendGroup>
    </RequiredStartGroups>
  </RequiredStartGroupsCollection>
 </LayoutModificationTemplate>

Prov. 程序包,步骤 2 – 将 kiosk 配置 XML 文件添加到预配包

  1. 打开 Windows 配置设计器
  2. 选择 ” 高级设置“,输入项目的名称,然后选择 ” 下一步“。
  3. 选择 ” Windows 10 全息版”,然后选择 ” 下一步“。
  4. 选择 ” 完成“。 此时将打开你的程序包的工作区。
  5. 选择 “运行时设置” > AssignedAccess > MultiAppAssignedAccessSettings
  6. 在中心窗格中,选择 ” 浏览 “,找到并选择您创建的koisk配置 XML 文件。Windows 配置设计器中的 MultiAppAssignedAccessSettings 字段的屏幕截图
  7. 可选。 (如果你希望在设备的初始设置之后应用预配程序包,并且在koisk设备上已有管理员用户,请跳过此步骤。 ) 选择 ” 运行时设置 > 帐户 > 用户“,然后创建用户帐户。 提供用户名和密码,然后选择 ” UserGroup > 管理员“。通过使用此帐户,你可以查看预配状态和日志。
  8. 可选。 (如果在koisk设备上已有非管理员帐户,请跳过此步骤。 ) 选择 ” 运行时设置 > 帐户 > 用户“,然后创建一个本地用户帐户。 请确保用户名与你在配置 XML 中指定的帐户相同。 选择 ” UserGroup > 标准用户“。
  9. 选择File” > 保存文件”。
  10. 选择 “导出 > 预配包“,然后选择 “所有者 > IT 管理员“。这会将此预配包的优先级设置为高于从其他源应用到此设备的预配包。
  11. 选择下一步 。
  12. 在 ” 预配程序包安全 ” 页面上,选择一个安全选项。 重要如果选择 ” 启用包签名“,还必须选择用于对程序包进行签名的有效证书。 若要执行此操作,请选择 ” 浏览 “,然后选择要用于对程序包进行签名的证书。 注意不要选择 ” 启用包加密“。 在 HoloLens 设备上,此设置会导致预配失败。
  13. 选择下一步 。
  14. 指定在构建预配包时希望该预配包转到的输出位置。 默认情况下,Windows 配置设计器使用项目文件夹作为输出位置。 如果要更改输出位置,请选择 ” 浏览“。 完成后,选择 ” 下一步“。
  15. 选择 ” 生成 ” 开始构建程序包。 无需花费太长时间即可生成预配包。 “生成” 页面显示项目信息,进度栏指示生成状态。

预配程序包,步骤 3 – 将预配包应用于 HoloLens

“使用预配包配置 HoloLens” 一文提供了在以下情况下应用预配包的详细说明:

使用 Windows Device Portal 设置单应用koisk

若要使用 Windows Device Portal 设置koisk模式,请按照下列步骤操作。

 重要

koisk模式仅在设备安装了 Windows 全息版企业 版时可用。

  1. 将 HoloLens 设备设置为使用 Windows Device Portal。 Device Portal 是 HoloLens 上的 Web 服务器,你可以从电脑上的 Web 浏览器连接到它。 注意将 HoloLens 设置为使用 Device Portal 时,必须在设备上启用开发人员模式。 具有 Windows 全息版企业版的设备上的开发人员模式使你能够使用面加载应用。 但是,此设置会创建一个风险,用户可以安装 Microsoft Store 尚未认证的应用。 管理员可以通过使用策略 CSP中的ApplicationManagement/AllowDeveloper 解锁设置阻止启用开发人员模式的功能。 了解有关开发人员模式的详细信息。
  2. 在计算机上,使用 wi-fi 或 USB连接到 HoloLens。
  3. 执行下列操作之一:
  4. 在 Windows Device Portal 中,选择 ” koisk模式“。
  5. 选择 ” 启用koisk模式“,选择要在设备启动时运行的应用,然后选择 ” 保存“。展台模式
  6. 重新启动 HoloLens。 如果您的设备门户页面仍处于打开状态,则可以在页面顶部选择 ” 重新启动 “。

 备注

可以通过设备门户的 REST API 设置koisk模式,方法是使用一个必需的查询字符串参数 ( “kioskModeEnabled”,使用值为 “true” 或 “false” ) ,使用一个可选参数 ( “startupApp”,并使用包名称) 的值来设置/api/holographic/kioskmode/settings。 请记住,Device Portal 仅面向开发人员,不应在非开发人员设备上启用。 REST API 可能会在将来的更新/发布中更改。

详细信息

观看如何使用预配包配置koisk。

原创文章,作者:游戏开发极客,如若转载,请注明出处:https://hololens2.cn/2020/10/16/%e5%b0%86hololens%e8%ae%be%e7%bd%ae%e4%b8%ba%e4%bf%a1%e6%81%af%e4%ba%ad/

发表评论

电子邮件地址不会被公开。 必填项已用*标注