Microsoft Intune Multi-User Kiosk voor Windows 11 en Windows App

Microsoft Intune biedt krachtige mogelijkheden voor het beheren van Windows-apparaten, waaronder de multi-user kioskmodus voor Windows 11. Dit is een ideale oplossing voor gedeelde apparaten, zoals die in callcenters, bibliotheken, of onderwijsinstellingen. Maar hoewel het concept eenvoudig klinkt, zijn er enkele cruciale aandachtspunten, vooral als je gebruik wilt maken van de nieuwe Windows App uit de Microsoft Store.

In deze blog neem ik je mee in een real-life scenario waarin een organisatie multi-user kiosk wil implementeren om toegang te bieden tot Windows 365 Cloud PC of Azure Virtual Desktop (AVD). Hoewel Microsoft Intune veel standaardconfiguraties biedt, kom je bij deze specifieke use case voor interessante uitdagingen te staan. Denk aan het juist instellen van de kiosk configuratie binnen Microsoft Intune.

Standaard Oplossing Binnen Microsoft Intune voor Kiosk

Microsoft Intune biedt verschillende standaardconfiguraties voor het instellen van een kioskmodus op Windows 11-apparaten. Via Device Configuration Profiles kunnen we gebruik maken van zowel de Kiosk (templates) als de Settings Catalog, waarmee een breed scala aan instellingen aangepast kunnen worden. Hiermee is het mogelijk om een single-app of multi-app kiosk te configureren, waarbij de gebruiker alleen toegang krijgt tot vooraf bepaalde applicaties.

Hoewel deze opties op papier een solide oplossing lijken, merkte ik in mijn scenario al snel dat de standaardconfiguraties niet volledig aansloten bij de specifieke klantwens.

Use Case

In een specifiek project was er een duidelijke vraag vanuit de klant: een aantal Windows 11 desktops moesten worden ingezet als Thin Clients voor toegang tot een Azure Virtual Desktop (AVD) omgeving. De belangrijkste eisen waren:

• De gebruiker moest enkel inloggen op Windows 11 (24H2) en vervolgens automatisch de Windows App (uit de Microsoft Store) voorgeschoteld krijgen.

• Geen toegang tot een volledige Windows 11 desktopomgeving, maar wel beperkte toegang tot systeeminstellingen, bijvoorbeeld om beeldscherminstellingen aan te passen.

• Een stabiele en betrouwbare oplossing zonder handmatige interactie na het inloggen.

Hoewel Intune kioskconfiguraties hier in eerste instantie geschikt voor leken, bleek het in de praktijk een uitdaging om dit op een gestandaardiseerde manier goed te laten werken. Vooral de combinatie met de Windows App uit de Microsoft Store zorgde voor enkele onverwachte obstakels.

Intune Configureren

Tijdens mijn zoektocht naar een passende oplossing voor het configureren van de multi-user kiosk in Microsoft Intune, kwam ik al snel uit bij enkele waardevolle bronnen die me verder op weg hielpen:

1. Peter van der Woude (blogpost)

   • Een zeer interessante blog over het instellen van een Multi-app Kiosk voor Windows 11 met een heldere uitleg en praktijkvoorbeelden.

2. Microsoft Learn

   • Microsoft's officiële documentatie over het gebruik van een XML-configuratiebestand voor Assigned Access op Windows 11.

3. 10Zig YouTube

   • Een video van 10Zig waarin wordt uitgelegd hoe kioskconfiguraties werken en hoe je deze kunt implementeren in een Windows 11-omgeving. (Bekijk de video)

De kracht (en uitdaging) van XML

Wat direct opviel bij al deze bronnen, is dat de aanbevolen methode voor een multi-user kiosk niet gebaseerd is op de standaard templates of Settings Catalog instellingen binnen Microsoft Intune. In plaats daarvan wordt er gebruikgemaakt van een XML-configuratiebestand om de correcte configuratie te implementeren.

Het leek dan ook logisch om deze methode te volgen. Echter, ondanks het nauwgezet volgen van de documentatie en blogs, werkte mijn specifieke scenario nog steeds niet zoals gewenst. Dit leidde tot een nieuwe zoektocht: waar zat het probleem?

De onverwachte hobbels

Na uitgebreid testen en experimenteren, ontdekte ik dat het probleem niet lag bij de XML-methode zelf, maar bij de manier waarop de XML-structuur opgebouwd moest worden. Wat mij vooral verraste, is dat zelfs de officiële Microsoft-documentatie bepaalde cruciale details over deze XML-configuratie niet expliciet benoemt. Dit verklaarde waarom eerdere pogingen om het kioskbeleid correct toe te passen mislukten.

In het volgende hoofdstuk bespreek ik de exacte aanpassingen die nodig waren om de configuratie werkend te krijgen en hoe je een stabiele multi-user kiosk met de Windows App kunt realiseren binnen Microsoft Intune.

Windows 11 24h2 Kiosk XML configuratie

Hoewel Microsoft in hun officiële documentatie (Microsoft Learn) uitlegt hoe een Assigned Access XML-configuratie moet worden opgebouwd, zit de sleutel tot een succesvolle implementatie in de ALIAS.

In de documentatie wordt de ALIAS v5 gebruikt, welke geassocieerd is met Windows 11 22H2. Echter, op het moment van schrijven bevinden we ons in de Windows 11 24H2 release. Om ervoor te zorgen dat de XML-configuratie correct functioneert op Windows 11 24H2, moet de ALIAS worden aangepast naar "win11".

Belangrijke Elementen in de XML

De onderstaande XML-configuratie is met succes toegepast op een Windows 11 24H2 kiosk. Hierin zijn een aantal cruciale punten te herkennen:

1. Standaard Kiosk Profiel

   • Hoewel niet actief gebruikt in dit scenario, is het alsnog vereist binnen de configuratie.

     
     

2. Applicaties

   • Windows App: Wordt automatisch gestart zodra de gebruiker inlogt.

   • Control Panel (Instellingen): Maakt het mogelijk om onder andere de beeldscherminstellingen aan te passen.

     
     

3. Startmenu Beperking

   • Alleen de twee toegestane applicaties worden weergegeven in het Startmenu.

     
     

4. Toegangsbeheer via Entra ID Security Group

   • Alleen gebruikers die lid zijn van een specifieke Entra ID Security Group mogen gebruikmaken van deze kioskmodus. De Object ID van deze groep wordt in de XML opgenomen.

   
   

XML Configuratie

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration 
xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
xmlns:rs5="http://schemas.microsoft.com/AssignedAccess/201810/config" 
xmlns:win11="http://schemas.microsoft.com/AssignedAccess/2022/config">
  <Profiles>
    <Profile Id="{9A2A490F-10F6-4764-974A-53B19E722C23}">       
      <AllAppsList>
        <AllowedApps> 
          <App AppUserModelId="MicrosoftCorporationII.Windows365_8wekyb3d8bbwe!Windows365" rs5:AutoLaunch="true"/> 
          <App AppUserModelId="windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel"/> 
        </AllowedApps> 
      </AllAppsList>

      <win11:StartPins>
      <![CDATA[  
          { "pinnedList":[
            {"packagedAppId":"MicrosoftCorporationII.Windows365_8wekyb3d8bbwe!Windows365"},
	        {"packagedAppId":"windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel"}
          ] }
        ]]>
      </win11:StartPins>
      <Taskbar ShowTaskbar="true"/>
    </Profile> 
  </Profiles>
  <Configs>
    <Config>
      <UserGroup Type="AzureActiveDirectoryGroup" Name="45b5caf5-ac21-482d-b878-128d504dc22a"/>
      <DefaultProfile Id="{OBJECT ID ENTRA SEC GROUP}"/>
    </Config>
  </Configs>
</AssignedAccessConfiguration>

Implementatie via Microsoft Intune Custom Profile

Zodra de XML-configuratie compleet is, kan deze eenvoudig worden doorgevoerd via Microsoft Intune met behulp van een Custom Profile. Dit zorgt ervoor dat de multi-user kioskmodus automatisch op de Windows 11 devices wordt toegepast.

Configuratie van het Custom Profile in Intune

1. Ga naar de Microsoft Intune portal

   • Open Microsoft Intune.

   • Ga naar Devices → Configuration profiles → Create profile.

2. Selecteer het juiste profieltype

   • Platform: Windows 10 and later

   • Profile type: Templates → Custom

3. Vul de instellingen in

Afsluiting

Door gebruik te maken van een aangepaste XML-configuratie hoeft er geen gebruik te worden gemaakt van de standaard Kiosk-templates binnen Microsoft Intune. Echter, een succesvolle implementatie vereist meer dan alleen het instellen van de juiste kioskmodus. Er zijn enkele belangrijke aanvullende configuraties die bijdragen aan een optimale gebruikerservaring en beheerbaarheid:

1. Multi-user configuratie – Aangezien meerdere gebruikers het apparaat zullen gebruiken, moet het correct geconfigureerd worden als multi-user kiosk. Hiervoor heb ik gebruikgemaakt van Autopilot Self-Deploying en de Shared PC-instellingen in de Intune Settings Catalog.

   
   

2. Automatische schoonmaak via Storage Sense – Om te voorkomen dat het apparaat volloopt met tijdelijke bestanden en gebruikersdata, is Storage Sense ingeschakeld via de Intune Settings Catalog. Hierdoor blijft het systeem schoon en responsief.

   
   

3. Voorkomen van ongewenst uitschakelen – Door de juiste Power Settings in Intune te configureren, blijft het apparaat aan en wordt voorkomen dat het in slaapstand gaat, waardoor gebruikers niet telkens opnieuw hoeven in te loggen.

Sources

• Create an Assigned Access configuration file | Microsoft Learn

• All about Microsoft Intune | Configuring multi-app kiosk mode on Windows 11