Как перевести Windows в киоск‑режим с помощью Assigned Access

Быстрые ссылки

• Шаг 1: Создание учётной записи для Assigned Access
• Шаг 2: Настройка Assigned Access
• Шаг 3 (по желанию): Автоматический вход в режим Assigned Access
• Если у вас есть другие учётные записи — обеспечьте их безопасность
• Замена оболочки Windows на пользовательскую (только Enterprise и Education)

Что такое Assigned Access — коротко: Assigned Access (назначенный доступ) — функция Windows, которая ограничивает выбранную локальную учётную запись запуском только одного приложения. Это удобно для киосков, информационных терминалов и POS‑устройств.

Важно: Assigned Access появился в Windows 8.1 и остался в Windows 10. Функция недоступна в домашних редакциях Windows 10 Home или в базовых версиях Windows 8.1; потребуется Professional, Enterprise или Education.

Подготовка и общая логика

Перед началом: назначьте отдельную учётную запись для киоска (не используйте основную учётную запись администратора). Назначенная учётная запись должна быть стандартной (non‑administrator). Если нужно, используйте локальную учётную запись без пароля для простого доступа — но учтите риски безопасности.

Краткая последовательность действий (методология):

1. Создайте отдельную учётную запись (локальную или Microsoft).
2. Настройте Assigned Access и выберите приложение.
3. (Опционально) Настройте автоматический вход при загрузке.
4. Проверьте поведение, настройте меры защиты администраторских учётных записей.

Шаг 1: Создание учётной записи для Assigned Access

Assigned Access ограничивает не весь компьютер, а только отдельную учётную запись, поэтому сначала нужно создать её. Войдите в систему под учётной записью с правами администратора.

На Windows 10:

1. Откройте Параметры (Settings) → Учетные записи → Семья и другие люди (Accounts > Family & Other People).
2. Нажмите “Добавить пользователя на этот ПК” (Add Someone Else to This PC).

На Windows 8.1:

1. Откройте Параметры ПК (PC Settings) → Учетные записи → Другие учётные записи → Добавить учётную запись.

Выберите: использовать Microsoft‑аккаунт или локальную учётную запись. Если вы планируете устанавливать приложения из Microsoft Store для использования в Assigned Access, учётная запись должна быть связана с Microsoft‑аккаунтом. Локальная учётная запись позволит работать с уже установленными универсальными приложениями, поставляемыми вместе с Windows.

Чтобы создать локальную учётную запись в Windows 10: нажмите “У меня нет данных для входа этого человека” (I Don’t Have This Person’s Sign In Information), затем — “Добавить пользователя без учётной записи Microsoft” (Add a User Without a Microsoft Account). Введите имя, например “Kiosk”, и при желании пароль.

В Windows 8.1 выберите “Вход без учётной записи Microsoft” и затем “Локальная учётная запись”.

Рекомендуемая практика: при публичном использовании вы можете создать аккаунт с пустым паролем, чтобы после перезагрузки киоск запускался без ввода данных. Однако пустой пароль повышает риски доступа при пробое других уязвимостей.

Оставьте учётную запись — стандартной, без прав администратора.

Шаг 2: Настройка Assigned Access

На Windows 10:

1. Откройте Параметры → Семья и другие люди → секция Другие люди (Settings > Family & Other People).
2. Нажмите ссылку “Настроить назначенный доступ” (Set Up Assigned Access).

Если ссылка отсутствует — вероятно, у вас Windows 10 Home. В этом случае потребуется обновление до Professional.

На Windows 8.1:

1. Откройте Параметры ПК → Учетные записи → Другие учётные записи и нажмите “Настроить учётную запись для Assigned Access”.
2. При необходимости один раз войдите в создаваемую учётную запись, чтобы прошёл процесс первичной настройки приложений.

Выберите ранее созданную учётную запись и приложение, которое будет доступно ограниченной учётной записи. Ограничения по типам приложений:

• Windows 10 Professional: можно выбрать только универсальные приложения (UWP) — встроенные или установленные из Microsoft Store. Нельзя выбрать классические браузеры вроде Microsoft Edge (в старых сборках выбор браузеров ограничен).
• Windows 10 Enterprise / Education: помимо UWP‑приложений можно назначать классические настольные приложения для ограничения учётной записи.
• Windows 8.1: можно выбирать только приложения из Магазина (Modern/Metro), включая «модернизированную» версию Internet Explorer.

Проверка: выйдите из вашей текущей учётной записи и войдите в учётную запись киоска. Выбранное приложение откроется полноэкранно. Стандартные элементы интерфейса — панель задач, меню Пуск, переключатель приложений — недоступны. Нажатия Win, Alt+Tab не будут работать.

Выход из Assigned Access:

• В Windows 10: нажмите Ctrl+Alt+Delete.
• В Windows 8.1: быстро нажмите клавишу Windows пять раз.

Это действие блокирует экран текущей киоск‑сессии и позволяет другому пользователю войти в систему. Учётная запись киоска останется авторизована и приложение продолжит работать в фоновой сессии.

Шаг 3: Автоматический вход в Assigned Access при загрузке (опционально)

Если вы хотите, чтобы киоск автоматически запускал выбранное приложение после включения устройства без ввода учётных данных, настройте автоматический вход.

Метод (скрытая настройка):

1. Откройте диалог «Выполнить» (Win+R).
2. Введите:

netplwiz

3. В списке пользователей выберите учётную запись Kiosk.
4. Снимите галочку “Пользователи должны вводить имя пользователя и пароль для использования этого компьютера” (Users must enter a user name and password to use this computer).
5. Укажите пароль учётной записи Kiosk (если он есть). Если пароля нет — оставьте поле пустым при подтверждении.

Примечание: автоматический вход снижает безопасность — устройство будет загружаться в киоск‑режим без защиты паролем. Используйте это только в контролируемой среде.

Если у вас есть другие учётные записи — обеспечьте их безопасность

Публичный киоск доступен физически любому человеку. Пользователь может попытаться покинуть киоск, вызвать экран входа и попробовать войти под администратором. Убедитесь, что у администратора надёжный пароль, а учётные данные хранятся в безопасном месте.

Рекомендации по безопасности:

• Дайте администратору сложный пароль и не храните его непосредственно рядом с устройством.
• Ограничьте физический доступ к портам USB и к клавиатуре при необходимости.
• Настройте политики блокировки BIOS/UEFI и защиту загрузчика, чтобы предотвратить загрузку с внешних носителей.
• Рассмотрите аппаратные меры: защёлки, корпусные блокировки и монтаж устройства.

Замена оболочки Windows на пользовательскую (только Enterprise и Education)

Windows 10 предлагает инструмент Shell Launcher, который позволяет заменить стандартную оболочку (Windows Explorer) на любой другой исполняемый файл — традиционное десктоп‑приложение или специально разработанную оболочку. Shell Launcher доступен только в редакциях Enterprise и Education.

Применение: компании используют Shell Launcher, чтобы полностью убрать элементы Windows и предоставить только одно классическое приложение в качестве интерфейса (например, POS‑приложение). Это даёт более гибкий контроль, чем Assigned Access, но требует опыта администрирования и групповых политик.

Совет: ознакомьтесь с официальной документацией Microsoft по Shell Launcher перед развертыванием.

Когда Assigned Access может не подойти

• Нужно ограничить доступ к нескольким приложениям или к группам функций — Assigned Access ограничивает ТОЛЬКО одной программой.
• Нужны комплексные политики безопасности и управление большим парком устройств — рассмотрите Windows Kiosk Mode через Intune или Group Policy и Shell Launcher.
• Необходим доступ к программы на уровне ядра или драйверов — Assigned Access не заменяет полноценно настроенную специализированную систему.
• Устройство использует Windows 10 Home — функция недоступна.

Альтернативные подходы и расширенные варианты

1. Централизованное управление (Intune / Microsoft Endpoint Manager):

   • Подходит для массового развертывания киосков с едиными политиками, удалённым обновлением и мониторингом.

2. Shell Launcher (Enterprise / Education):

   • Позволяет сделать любой exe‑файл оболочкой, полностью убрать элементы Explorer.

3. Сторонние решения для киосков:

   • Поставщики типа KioWare, SiteKiosk и других предлагают тонкие клиенты, управление с облака, web‑фильтрацию и отчётность.

4. Групповые политики (GPO):

   • Настройка прав и ограничений для локальных пользователей в доменной среде.

Выбор зависит от масштаба, бюджета и требований к безопасности.

Мини‑методология развертывания киоска (чек‑лист для команды)

Перед развёртыванием:

• Определить приложение киоска и проверить его совместимость с UWP или настольной версией.
• Выбрать редакцию Windows (Professional для простого Assigned Access; Enterprise/Education для Shell Launcher и централизованного управления).
• Создать учётную запись Kiosk (локальную или Microsoft), определить политику паролей.
• Настроить Assigned Access и протестировать поведение.
• Решить — нужен ли автоматический вход; настроить netplwiz при необходимости.
• Документировать учётные данные администратора и план отката.
• Настроить физическую и программную защиту (BIOS, USB, обновления).

Ролевые чек‑листы

Администратор:

• Создать и протестировать учётную запись Kiosk.
• Проверить совместимость приложения и магазина.
• Настроить автоматический вход (если нужно).
• Настроить резервные сценарии и план восстановления.

Поддержка/оператор:

• Проверить работоспособность киоска при перезагрузке.
• Иметь доступ к инструкции по перезапуску службы/приложения.
• Знать контакты администратора на случай сбоя.

Оператор на месте:

• Проверить внешний вид киоска и наличие повреждений.
• Убедиться, что элементы управления работают и интернет подключён (если требуется).

План отката и инцидент‑руководство

1. При отказе приложения: попытаться безопасно перезапустить приложение в пользовательской сессии Kiosk.
2. Если перезапуск невозможен: выйти из киоск‑сессии (Ctrl+Alt+Delete) и войти под администратором.
3. Провести диагностику: журнал событий, обновления, наличие блокировок.
4. При подозрении на компрометацию: отключить сеть и изъять устройство для офлайн‑анализа.
5. Восстановление: откат обновлений приложения/Windows, восстановление из резервной копии образа.

Критерии приёмки

• После входа в учётную запись Kiosk запускается только выбранное приложение в полноэкранном режиме.
• Нельзя покинуть приложение с помощью Win, Alt+Tab, панели задач или меню Пуск.
• При использовании автоматического входа устройство загружается прямо в киоск без запроса пароля.
• Администраторская учётная запись защищена паролем и не доступна простым обходом.

Однострочный глоссарий

• Assigned Access: встроенная функция Windows, ограничивающая учётную запись запуском одного приложения.
• UWP: Universal Windows Platform — универсальная платформа приложений Microsoft.
• Shell Launcher: инструмент Windows Enterprise/Education для замены оболочки Explorer.

Модель принятия решения (Mermaid)

flowchart TD
  A[Нужно ли только одно приложение?] -->|Да| B[Использовать Assigned Access]
  A -->|Нет| C[Нужны дополнительные политики]
  C --> D{Редакция Windows}
  D -->|Enterprise/Education| E[Рассмотреть Shell Launcher или Intune]
  D -->|Professional| F[Рассмотреть GPO и сторонние решения]
  D -->|Home| G[Обновить до Pro или использовать стороннее ПО]

Примечания по приватности и соответствию

Если киоск обрабатывает персональные данные (например, платежи или ввод персональных данных клиентов), убедитесь, что:

• Собранные данные не сохраняются локально без шифрования.
• Приложение и устройство соответствуют требованиям вашей политики безопасности и локального законодательства (например, защите персональных данных).
• Логи доступа и данные сеансов регулярно удаляются или архивируются согласно политике хранения.

Часто возникающие вопросы

В: Могу ли я выбрать браузер в Assigned Access на Windows 10 Pro? О: В Windows 10 Pro доступны только UWP‑приложения из Microsoft Store; классический настольный Edge или другие браузеры обычно недоступны. Для настольных приложений нужен Enterprise/Education или альтернативный подход.

В: Что произойдёт, если устройство перезагрузится и учётная запись Kiosk без пароля? О: Если настроен автоматический вход — устройство загрузится в киоск без запроса пароля. Если автоматический вход не настроен — потребуется ручной вход в учётную запись Kiosk.

Короткое резюме

Assigned Access — простой способ превратить Windows‑ПК в киоск, ограничив учётную запись одним приложением. Для массовых и более защищённых развертываний используйте Shell Launcher (Enterprise/Education) или централизованные инструменты управления (Intune). Обязательно защитите администраторские учётные записи и продумайте план восстановления на случай сбоев.

Важно: эта статья описывает настройки интерфейса и процедур; перед развёртыванием протестируйте все шаги в ваших условиях и задокументируйте пароли и процедуры безопасности.

Callout: Важно — Assigned Access ограничивает учётную запись, но не заменяет полноценное управление устройством: обновления, защита загрузчика и физическая безопасность остаются вашими задачами.