Vuoi trasformare Surface Go 4 o Surface Pro 9 in un chiosco sicuro per negozi, showroom o flotte aziendali? In questa guida trovi tutto: differenze tra le opzioni Microsoft integrate, quando usare soluzioni di terze parti e procedure passo‑passo per configurare un kiosk mode professionale.
Che cos’è il kiosk mode e perché ha senso su Surface
Per “kiosk mode” si intende il blocco del dispositivo sull’uso di una sola app (o di un set limitato di app), evitando che l’utente possa accedere al desktop, al menu Start, alle impostazioni o ad altre aree del sistema operativo. Su hardware leggero e affidabile come Surface Go 4 e Surface Pro 9 è un modello perfetto per:
- Punto cassa o POS con client web o app dedicate.
- Totem informativi in showroom o reception.
- Raccolta lead in fiere ed eventi.
- Accessi condivisi in biblioteca, aule studio, laboratori.
La domanda tipica: “Esiste un equivalente Microsoft a software come SureLock o Windows Kiosk Software?”. La risposta breve è: sì, Windows 10/11 include già tutto il necessario per la maggior parte degli scenari con strumenti nativi (Accesso assegnato, Shell Launcher, criteri MDM/Intune). Il software di terze parti resta utile per esigenze avanzate o per chi preferisce interfacce di gestione semplificate.
Panoramica delle opzioni disponibili
Esigenza | Soluzione Microsoft | Come funziona | Note |
---|---|---|---|
Bloccare su una sola app | Windows Kiosk (Accesso assegnato) | Associa un account a una app UWP o PWA; su Windows 11 puoi gestire scenari estesi via MDM. | Nessun costo aggiuntivo; rapido da configurare su un singolo device. |
Consentire poche app con Start ristretto | Kiosk multi‑app (via Intune/MDM) | Consenti solo app in whitelist (UWP, PWA e alcune Win32); blocchi menu, impostazioni, notifiche. | Ideale per flotte; richiede profili MDM o Windows Enterprise per opzioni avanzate. |
Rimpiazzare l’intera shell di Windows | Shell Launcher v2 | Sostituisce Explorer.exe con un’app Win32/UWP definita come shell. | Lockdown massimo; adatto a chioschi dedicati e digital signage. |
Limitare siti e impostazioni del browser | Microsoft Edge in modalità kiosk + criteri | Avvio di Edge in kiosk (--kiosk ), blacklist/whitelist siti, cancellazione dati a chiusura sessione. | Ottimo per chioschi “web only”; da combinare con Accesso assegnato. |
Gestione centralizzata su molte unità | Microsoft Intune (MDM) | Distribuzione profili kiosk, reset remoto, monitoraggio conformità, aggiornamenti controllati. | Consigliato per flotte; integra Autopilot, DFCI per firmware Surface. |
Hardening e protezione dati | BitLocker, Defender, criteri restrittivi | Crittografia del disco, antivirus cloud‑based, blocco USB/BT, rete, update controllati. | Inclusi in Windows Pro/Enterprise; attivare al primo avvio. |
Prerequisiti consigliati per Surface Go 4 e Surface Pro 9
- Windows 11 Pro/Enterprise/Education con aggiornamenti recenti.
- Account dedicato al chiosco (locale o Azure AD). Meglio evitare l’account di amministrazione.
- BitLocker attivo e chiavi di ripristino custodite in modo sicuro (es. AAD/Intune).
- Alimentazione stabile e impostazioni energia che impediscano sospensione o spegnimenti involontari.
- DFCI/UEFI Surface configurato (password UEFI, boot da USB disabilitato, porte limitate se necessario).
- Se in flotta: Intune e, preferibilmente, Windows Autopilot per il provisioning zero‑touch.
Quando basta Accesso assegnato e quando serve altro
Se il tuo obiettivo è impedire che l’utente esca da una singola app (ad esempio una PWA o una UWP), Accesso assegnato copre già gran parte dei casi. Se invece devi consentire due o tre app (es. POS + lettore PDF + tool di supporto), passa al kiosk multi‑app con Intune. Quando vuoi la chiusura completa dell’ambiente desktop, scegli Shell Launcher v2.
Procedura rapida: chiosco a singola app con Accesso assegnato
Creazione dell’account dedicato
- Vai in Impostazioni > Account > Famiglia e altri utenti.
- Crea un account locale o scegli un utente Azure AD da dedicare al chiosco (es. kiosk).
Attivazione del chiosco
- Apri Impostazioni > Account > Accesso assegnato o Configura un chiosco.
- Seleziona l’utente kiosk e scegli l’app da bloccare (UWP/PWA o app compatibile).
- Se l’app è un browser, imposta home page, timeout inattività, modalità di navigazione e la lista consentita/negata di siti.
- Esci e rientra con l’utente kiosk per testare.
Consigli pratici
- Quando il chiosco è un sito web, valuta la Microsoft Kiosk Browser app o una PWA installata in Edge: offrono avvio più controllato rispetto al browser standard.
- Se usi Edge “classico” in kiosk, puoi avviarlo con:
msedge.exe --kiosk https://tua-pagina --kiosk-idle-timeout-minutes=5 --edge-kiosk-type=public-browsing
- Riduci al minimo i dialog di sistema: disattiva notifiche e aggiornamenti fuori orario di servizio.
Kiosk multi‑app gestito con Intune
Per flotte o scenari che richiedono più app, il profilo kiosk in Microsoft Intune è la via maestra. In estrema sintesi:
- In Intune vai su Dispositivi > Profili di configurazione > Crea profilo, seleziona Windows 11 e il template Kiosk.
- Scegli il tipo di account: locale dedicato oppure utente Azure AD (anche “device account” condiviso).
- Configura Single‑app oppure Multi‑app:
- Single‑app: seleziona l’app (UWP/PWA) e i parametri specifici (ad esempio l’URL per Kiosk Browser).
- Multi‑app: costruisci la whitelist delle app consentite (UWP, PWA e, dove supportato, Win32) e definisci il layout di Start minimal.
- Imposta autologon se serve (attenzione ai rischi su dispositivi mobili) e le azioni alla chiusura (riavvio app/sistema).
- Assegna il profilo ai gruppi di dispositivi o di utenti e monitora lo stato di distribuzione.
Come recuperare gli identificativi delle app
Per aggiungere app alla whitelist spesso servono App User Model ID (UWP) o percorsi eseguibili (Win32). Con PowerShell:
# Elenco app Start con AUMID (UWP/PWA)
Get-StartApps | Sort-Object Name | Format-Table Name, AppID -Auto
Dati su un pacchetto UWP
Get-AppxPackage browser | Select Name, PackageFullName
Percorso di una app Win32 installata
Get-ChildItem "C:\Program Files", "C:\Program Files (x86)" -Recurse -Filter *.exe -ErrorAction SilentlyContinue |
Where-Object { $_.Name -like "nomeapp" } | Select-Object FullName
Shell Launcher v2 per un lockdown totale
Shell Launcher v2 rimpiazza Explorer con la tua applicazione. È la scelta giusta per chioschi dedicati, digital signage o applicazioni che devono avviare subito e restare uniche interfacce disponibili.
Concetti chiave:
- Definisci un utente kiosk e associa ad esso una shell personalizzata (il tuo eseguibile, uno script o un wrapper che lanci più processi).
- Stabilisci l’azione alla chiusura (riavvia app, disconnetti utente, riavvia sistema) per resilienza.
- Configura il profilo via Intune (CSP ShellLauncher) o criteri di gruppo/MDM equivalenti.
Vantaggi: nessun Start, taskbar o Esplora file; riduci al minimo le superfici d’attacco e le “vie d’uscita” per l’utente.
Hardening di sistema per un chiosco affidabile
Protezione dati e antimalware
- BitLocker attivo su disco di sistema; conserva le chiavi in Azure AD o in un archivio sicuro.
- Microsoft Defender Antivirus con protezione in tempo reale e scansioni pianificate.
- Riduzione della superficie d’attacco (ASR) dove appropriato, soprattutto se la app apre documenti.
Restrizioni di sistema
- Disattiva USB boot e imposta password UEFI tramite DFCI (gestibile con Intune sui Surface).
- Valuta il blocco di Bluetooth, fotocamera, microfono e porte specifiche se non necessari.
- Configura criteri per disattivare Control Panel e Impostazioni, CMD/PowerShell e Regedit per l’utente kiosk.
- Imposta criteri Start/Taskbar (icone minime, notifiche disattivate) o rimuovi del tutto con Shell Launcher.
Energia e affidabilità
- Schermo sempre attivo durante l’orario di servizio; sospensione e ibernazione disabilitate quando alimentato.
- Riavvio automatico dell’app in caso di crash; programmazione riavvii di sistema fuori orario per applicare aggiornamenti.
- Configura Windows Update for Business con anelli di distribuzione e orari di attività per evitare riavvii imprevisti.
Confronto con software di terze parti
Soluzioni come SureLock o Windows Kiosk Software semplificano l’esperienza con interfacce grafiche, wizard e moduli opzionali (reportistica, gestione remota non MDM, branding, timer, scorciatoie per tecnici). Hanno senso quando:
- Vuoi funzioni extra non coperte dai criteri nativi (es. schermate personalizzate, contatori di tempo, workflow per operatori).
- Il team non ha dimestichezza con Intune/criteri e preferisce un pannello unico non Microsoft.
Se scegli questa strada, verifica attentamente licenze, supporto e compatibilità con Windows 11. Ricorda che la gestione e l’assistenza non faranno capo a Microsoft.
Procedure complete passo‑passo
Ricetta pratica: chiosco web con Edge/Kiosk Browser
- Prepara il device: reset “pulito”, BitLocker attivo, aggiornamenti installati, account amministratore separato.
- Crea utente kiosk locale o AAD.
- Installa la PWA della tua applicazione web (in Edge: Installa come app) oppure usa Kiosk Browser.
- Accesso assegnato: collega l’utente all’app scelta e imposta l’URL, il timeout e, se necessario, la white/blacklist di domini.
- Blocchi aggiuntivi: disattiva notifiche, tasti di scelta rapida non utili, stampa se non necessaria.
- Testa logon/logoff, perdita di rete, stampa, gestione errori del sito. Simula l’uso reale con utenti non tecnici.
Ricetta per flotta: multi‑app con Intune e Autopilot
- Raggruppa i device (dinamici per modello “Surface Go 4/Pro 9” o per tag Autopilot).
- Profili di configurazione:
- Kiosk (single/multi‑app) con account dedicato e layout Start minimale.
- Device restrictions: disattiva USB, Bluetooth, impostazioni di sistema, Cortana, notifiche.
- Windows Update: anello “Pilot” e poi “Broad” con deadline e orari di attività.
- DFCI per Surface: password UEFI, blocco avvio esterno, periferiche disattivate se non servono.
- Applicazioni: assegna UWP/PWA/Win32 in modalità “Required” al gruppo dei chioschi.
- Conformità: crea policy che richiedano BitLocker e Defender attivi.
- Autopilot: profili Self‑Deploying o Pre‑provisioned per ridurre i tempi di staging.
- Monitoraggio: verifica lo stato di applicazione dei profili e risolvi eventuali errori di distribuzione.
Controlli e criteri utili
Ambito | Impostazione | Effetto |
---|---|---|
Sicurezza | BitLocker obbligatorio | Protegge i dati in caso di furto o perdita del dispositivo. |
Browser | Avvio Edge con --kiosk + cancellazione dati alla chiusura | Sessioni pulite, niente cronologia persistente sul chiosco. |
UI | Rimozione Start/Taskbar (Shell Launcher) | Elimina “vie d’uscita” accidentali per l’utente. |
Rete | SSID dedicato per chioschi, VLAN separata | Maggiore affidabilità e sicurezza del traffico. |
Energia | Schermo sempre attivo in orario di servizio | Evita che il chiosco sembri “spento” al cliente. |
Verifiche prima del go‑live
- Avvio a freddo: tempo di boot, autologon (se previsto), avvio app.
- Recupero da crash: cosa succede se l’app si chiude? Viene riavviata?
- Offline: comportamento dell’app senza rete e messaggi all’utente.
- Input: tastiera virtuale/touch/penna dove necessario; disabilita gesture non utili.
- Stampa e periferiche: test con stampanti, scanner, lettori barcode.
- Aggiornamenti: verifica che non interrompano il servizio in orario d’apertura.
Troubleshooting e log da consultare
- Event Viewer > Applications and Services Logs > Microsoft > Windows > AssignedAccess (errori di kiosk).
- Event Viewer > DeviceManagement-Enterprise-Diagnostics-Provider (applicazione criteri MDM/Intune).
- Log di Edge/Kiosk Browser per problemi di navigazione o criteri.
- Intune > Dispositivi: verifica stato dei profili, conflitti, errori.
Domande frequenti
Posso usare app Win32 in kiosk?
Sì, in due modi tipici: con Shell Launcher v2 impostando l’eseguibile come shell, oppure nella modalità kiosk multi‑app via Intune (consentendo specifiche app Win32 in whitelist). Per il chiosco “web only”, valuta una PWA o la Kiosk Browser app.
Come faccio a uscire dal chiosco per manutenzione?
Prevedi una combinazione di tasti/gesto o un account “tecnico” separato. In Shell Launcher puoi definire l’azione alla chiusura; in Accesso assegnato usa credenziali di amministratore per cambiare utente.
Serve Windows Enterprise?
Molti scenari sono possibili anche con Windows 11 Pro. Le edizioni Enterprise/Education offrono opzioni avanzate e una migliore integrazione con ambienti gestiti (GPO/MDM). Se gestisci una flotta, la combinazione Windows 11 Pro + Intune è già un’ottima base.
È sicuro usare l’autologon?
È comodo ma non sempre consigliabile. Preferisci l’autologon solo su chioschi fissi in ambienti controllati. In ogni caso, proteggi l’UEFI con password, disabilita il boot esterno e usa BitLocker.
Posso personalizzare il layout della schermata iniziale?
Sì. In multi‑app imposta un layout Start minimale con le sole app consentite. Con Shell Launcher la shell è l’app stessa, quindi il layout non è necessario.
Esempi utili di script e comandi
Elencare le app installate con AUMID (per Accesso assegnato)
# Esegui in PowerShell come amministratore
Get-StartApps | Sort-Object Name | Format-Table -Auto
Creare rapidamente un account locale kiosk
# Sostituisci <PasswordSicura> con una password robusta
net user kiosk <PasswordSicura> /add
net localgroup Users kiosk /add
Avviare Edge in modalità kiosk (test rapido)
# Apri Esegui (Win+R) o un prompt
msedge.exe --kiosk https://tua-pagina --kiosk-idle-timeout-minutes=5 --edge-kiosk-type=public-browsing
Nota: per un chiosco di produzione usa Accesso assegnato, Kiosk Browser o Shell Launcher invece di un semplice collegamento.
Best practice per Surface Go 4 e Surface Pro 9
- Fissaggio fisico: usa stand/armadi con blocco Kensington per evitare furti.
- Alimentazione: cavo ben instradato e protetto; evita che si stacchi accidentalmente.
- Raffreddamento: in installazioni “in vetrina”, assicurati di non ostruire le griglie.
- Connettività: dove possibile rete cablata; in Wi‑Fi usa SSID separato con QoS.
- Firmware: blocca da UEFI funzioni non necessarie con DFCI (boot da USB, webcam, microfono, se non richiesti).
Checklist operativa
- Requisiti definiti (single app vs multi app vs shell custom)
- Account kiosk dedicato creato e testato
- BitLocker attivo e chiavi custodite
- App e dipendenze installate/assegnate
- Accesso assegnato / Kiosk profile applicato
- UEFI protetto, boot esterno disabilitato
- Update ring configurato, riavvii pianificati
- Procedure di assistenza e “uscita tecnica” definite
In sintesi
Microsoft non fornisce un’unica app “alla SureLock”, ma Windows 10/11 integra già strumenti potenti per creare chioschi professionali su Surface Go 4 e Surface Pro 9: Accesso assegnato per la singola app, kiosk multi‑app via Intune e Shell Launcher v2 per il massimo lockdown. Completa il lavoro con criteri di sicurezza (BitLocker, Defender, DFCI), aggiornamenti gestiti e un piano di manutenzione. Se servono funzioni extra (UI personalizzate, reporting, gestione remota proprietaria), i software di terze parti restano un’opzione valida: valutane con attenzione costi, supporto e integrazione nel tuo ecosistema.
Risorse utili (senza link)
- Documentazione Microsoft su Accesso assegnato (kiosk) in Windows 10/11
- Guida Shell Launcher v2 per Windows
- Microsoft Intune: profili “Kiosk” e criteri di restrizione
- Linee guida DFCI per dispositivi Surface
Modello decisionale veloce
Scenario | Scelta consigliata | Motivo |
---|---|---|
Totem informativo web in negozio | Accesso assegnato + Kiosk Browser | Setup rapido, lockdown sufficiente, gestione semplice. |
POS con app + lettore PDF | Kiosk multi‑app via Intune | Whitelist di 2‑3 app, controllo Start e criteri centralizzati. |
Digital signage dedicato | Shell Launcher v2 | Massimo controllo, nessuna shell Windows, avvio immediato dell’app. |
Flotta ampia multi‑sede | Intune + Autopilot + DFCI | Provisioning zero‑touch, hardening firmware, update e reset remoti. |
Suggerimento finale: prima del roll‑out su larga scala crea un pilota di 3–5 dispositivi con utenti reali per almeno una settimana. Le loro segnalazioni su rete, periferiche o timeout inattivi valgono più di mille prove in laboratorio.