Kiosk mode su Surface Go 4 e Surface Pro 9: guida completa a Accesso assegnato, Shell Launcher e Intune

Vuoi trasformare Surface Go 4 o Surface Pro 9 in un chiosco sicuro per negozi, showroom o flotte aziendali? In questa guida trovi tutto: differenze tra le opzioni Microsoft integrate, quando usare soluzioni di terze parti e procedure passo‑passo per configurare un kiosk mode professionale.

Indice

Che cos’è il kiosk mode e perché ha senso su Surface

Per “kiosk mode” si intende il blocco del dispositivo sull’uso di una sola app (o di un set limitato di app), evitando che l’utente possa accedere al desktop, al menu Start, alle impostazioni o ad altre aree del sistema operativo. Su hardware leggero e affidabile come Surface Go 4 e Surface Pro 9 è un modello perfetto per:

Punto cassa o POS con client web o app dedicate.
Totem informativi in showroom o reception.
Raccolta lead in fiere ed eventi.
Accessi condivisi in biblioteca, aule studio, laboratori.

La domanda tipica: “Esiste un equivalente Microsoft a software come SureLock o Windows Kiosk Software?”. La risposta breve è: sì, Windows 10/11 include già tutto il necessario per la maggior parte degli scenari con strumenti nativi (Accesso assegnato, Shell Launcher, criteri MDM/Intune). Il software di terze parti resta utile per esigenze avanzate o per chi preferisce interfacce di gestione semplificate.

Panoramica delle opzioni disponibili

Esigenza	Soluzione Microsoft	Come funziona	Note
Bloccare su una sola app	Windows Kiosk (Accesso assegnato)	Associa un account a una app UWP o PWA; su Windows 11 puoi gestire scenari estesi via MDM.	Nessun costo aggiuntivo; rapido da configurare su un singolo device.
Consentire poche app con Start ristretto	Kiosk multi‑app (via Intune/MDM)	Consenti solo app in whitelist (UWP, PWA e alcune Win32); blocchi menu, impostazioni, notifiche.	Ideale per flotte; richiede profili MDM o Windows Enterprise per opzioni avanzate.
Rimpiazzare l’intera shell di Windows	Shell Launcher v2	Sostituisce Explorer.exe con un’app Win32/UWP definita come shell.	Lockdown massimo; adatto a chioschi dedicati e digital signage.
Limitare siti e impostazioni del browser	Microsoft Edge in modalità kiosk + criteri	Avvio di Edge in kiosk (`--kiosk`), blacklist/whitelist siti, cancellazione dati a chiusura sessione.	Ottimo per chioschi “web only”; da combinare con Accesso assegnato.
Gestione centralizzata su molte unità	Microsoft Intune (MDM)	Distribuzione profili kiosk, reset remoto, monitoraggio conformità, aggiornamenti controllati.	Consigliato per flotte; integra Autopilot, DFCI per firmware Surface.
Hardening e protezione dati	BitLocker, Defender, criteri restrittivi	Crittografia del disco, antivirus cloud‑based, blocco USB/BT, rete, update controllati.	Inclusi in Windows Pro/Enterprise; attivare al primo avvio.

Prerequisiti consigliati per Surface Go 4 e Surface Pro 9

Windows 11 Pro/Enterprise/Education con aggiornamenti recenti.
Account dedicato al chiosco (locale o Azure AD). Meglio evitare l’account di amministrazione.
BitLocker attivo e chiavi di ripristino custodite in modo sicuro (es. AAD/Intune).
Alimentazione stabile e impostazioni energia che impediscano sospensione o spegnimenti involontari.
DFCI/UEFI Surface configurato (password UEFI, boot da USB disabilitato, porte limitate se necessario).
Se in flotta: Intune e, preferibilmente, Windows Autopilot per il provisioning zero‑touch.

Quando basta Accesso assegnato e quando serve altro

Se il tuo obiettivo è impedire che l’utente esca da una singola app (ad esempio una PWA o una UWP), Accesso assegnato copre già gran parte dei casi. Se invece devi consentire due o tre app (es. POS + lettore PDF + tool di supporto), passa al kiosk multi‑app con Intune. Quando vuoi la chiusura completa dell’ambiente desktop, scegli Shell Launcher v2.

Procedura rapida: chiosco a singola app con Accesso assegnato

Creazione dell’account dedicato

Vai in Impostazioni > Account > Famiglia e altri utenti.
Crea un account locale o scegli un utente Azure AD da dedicare al chiosco (es. kiosk).

Attivazione del chiosco

Apri Impostazioni > Account > Accesso assegnato o Configura un chiosco.
Seleziona l’utente kiosk e scegli l’app da bloccare (UWP/PWA o app compatibile).
Se l’app è un browser, imposta home page, timeout inattività, modalità di navigazione e la lista consentita/negata di siti.
Esci e rientra con l’utente kiosk per testare.

Consigli pratici

Quando il chiosco è un sito web, valuta la Microsoft Kiosk Browser app o una PWA installata in Edge: offrono avvio più controllato rispetto al browser standard.
Se usi Edge “classico” in kiosk, puoi avviarlo con: msedge.exe --kiosk https://tua-pagina --kiosk-idle-timeout-minutes=5 --edge-kiosk-type=public-browsing
Riduci al minimo i dialog di sistema: disattiva notifiche e aggiornamenti fuori orario di servizio.

Kiosk multi‑app gestito con Intune

Per flotte o scenari che richiedono più app, il profilo kiosk in Microsoft Intune è la via maestra. In estrema sintesi:

In Intune vai su Dispositivi > Profili di configurazione > Crea profilo, seleziona Windows 11 e il template Kiosk.
Scegli il tipo di account: locale dedicato oppure utente Azure AD (anche “device account” condiviso).
Configura Single‑app oppure Multi‑app:
- Single‑app: seleziona l’app (UWP/PWA) e i parametri specifici (ad esempio l’URL per Kiosk Browser).
- Multi‑app: costruisci la whitelist delle app consentite (UWP, PWA e, dove supportato, Win32) e definisci il layout di Start minimal.
Imposta autologon se serve (attenzione ai rischi su dispositivi mobili) e le azioni alla chiusura (riavvio app/sistema).
Assegna il profilo ai gruppi di dispositivi o di utenti e monitora lo stato di distribuzione.

Come recuperare gli identificativi delle app

Per aggiungere app alla whitelist spesso servono App User Model ID (UWP) o percorsi eseguibili (Win32). Con PowerShell:

# Elenco app Start con AUMID (UWP/PWA)
Get-StartApps | Sort-Object Name | Format-Table Name, AppID -Auto

Dati su un pacchetto UWP

Get-AppxPackage browser | Select Name, PackageFullName

Percorso di una app Win32 installata

Get-ChildItem "C:\Program Files", "C:\Program Files (x86)" -Recurse -Filter *.exe -ErrorAction SilentlyContinue |
Where-Object { $_.Name -like "nomeapp" } | Select-Object FullName

Shell Launcher v2 per un lockdown totale

Shell Launcher v2 rimpiazza Explorer con la tua applicazione. È la scelta giusta per chioschi dedicati, digital signage o applicazioni che devono avviare subito e restare uniche interfacce disponibili.

Concetti chiave:

Definisci un utente kiosk e associa ad esso una shell personalizzata (il tuo eseguibile, uno script o un wrapper che lanci più processi).
Stabilisci l’azione alla chiusura (riavvia app, disconnetti utente, riavvia sistema) per resilienza.
Configura il profilo via Intune (CSP ShellLauncher) o criteri di gruppo/MDM equivalenti.

Vantaggi: nessun Start, taskbar o Esplora file; riduci al minimo le superfici d’attacco e le “vie d’uscita” per l’utente.

Hardening di sistema per un chiosco affidabile

Protezione dati e antimalware

BitLocker attivo su disco di sistema; conserva le chiavi in Azure AD o in un archivio sicuro.
Microsoft Defender Antivirus con protezione in tempo reale e scansioni pianificate.
Riduzione della superficie d’attacco (ASR) dove appropriato, soprattutto se la app apre documenti.

Restrizioni di sistema

Disattiva USB boot e imposta password UEFI tramite DFCI (gestibile con Intune sui Surface).
Valuta il blocco di Bluetooth, fotocamera, microfono e porte specifiche se non necessari.
Configura criteri per disattivare Control Panel e Impostazioni, CMD/PowerShell e Regedit per l’utente kiosk.
Imposta criteri Start/Taskbar (icone minime, notifiche disattivate) o rimuovi del tutto con Shell Launcher.

Energia e affidabilità

Schermo sempre attivo durante l’orario di servizio; sospensione e ibernazione disabilitate quando alimentato.
Riavvio automatico dell’app in caso di crash; programmazione riavvii di sistema fuori orario per applicare aggiornamenti.
Configura Windows Update for Business con anelli di distribuzione e orari di attività per evitare riavvii imprevisti.

Confronto con software di terze parti

Soluzioni come SureLock o Windows Kiosk Software semplificano l’esperienza con interfacce grafiche, wizard e moduli opzionali (reportistica, gestione remota non MDM, branding, timer, scorciatoie per tecnici). Hanno senso quando:

Vuoi funzioni extra non coperte dai criteri nativi (es. schermate personalizzate, contatori di tempo, workflow per operatori).
Il team non ha dimestichezza con Intune/criteri e preferisce un pannello unico non Microsoft.

Se scegli questa strada, verifica attentamente licenze, supporto e compatibilità con Windows 11. Ricorda che la gestione e l’assistenza non faranno capo a Microsoft.

Procedure complete passo‑passo

Ricetta pratica: chiosco web con Edge/Kiosk Browser

Prepara il device: reset “pulito”, BitLocker attivo, aggiornamenti installati, account amministratore separato.
Crea utente kiosk locale o AAD.
Installa la PWA della tua applicazione web (in Edge: Installa come app) oppure usa Kiosk Browser.
Accesso assegnato: collega l’utente all’app scelta e imposta l’URL, il timeout e, se necessario, la white/blacklist di domini.
Blocchi aggiuntivi: disattiva notifiche, tasti di scelta rapida non utili, stampa se non necessaria.
Testa logon/logoff, perdita di rete, stampa, gestione errori del sito. Simula l’uso reale con utenti non tecnici.

Ricetta per flotta: multi‑app con Intune e Autopilot

Raggruppa i device (dinamici per modello “Surface Go 4/Pro 9” o per tag Autopilot).
Profili di configurazione:
- Kiosk (single/multi‑app) con account dedicato e layout Start minimale.
- Device restrictions: disattiva USB, Bluetooth, impostazioni di sistema, Cortana, notifiche.
- Windows Update: anello “Pilot” e poi “Broad” con deadline e orari di attività.
- DFCI per Surface: password UEFI, blocco avvio esterno, periferiche disattivate se non servono.
Applicazioni: assegna UWP/PWA/Win32 in modalità “Required” al gruppo dei chioschi.
Conformità: crea policy che richiedano BitLocker e Defender attivi.
Autopilot: profili Self‑Deploying o Pre‑provisioned per ridurre i tempi di staging.
Monitoraggio: verifica lo stato di applicazione dei profili e risolvi eventuali errori di distribuzione.

Controlli e criteri utili

Ambito	Impostazione	Effetto
Sicurezza	BitLocker obbligatorio	Protegge i dati in caso di furto o perdita del dispositivo.
Browser	Avvio Edge con `--kiosk` + cancellazione dati alla chiusura	Sessioni pulite, niente cronologia persistente sul chiosco.
UI	Rimozione Start/Taskbar (Shell Launcher)	Elimina “vie d’uscita” accidentali per l’utente.
Rete	SSID dedicato per chioschi, VLAN separata	Maggiore affidabilità e sicurezza del traffico.
Energia	Schermo sempre attivo in orario di servizio	Evita che il chiosco sembri “spento” al cliente.

Verifiche prima del go‑live

Avvio a freddo: tempo di boot, autologon (se previsto), avvio app.
Recupero da crash: cosa succede se l’app si chiude? Viene riavviata?
Offline: comportamento dell’app senza rete e messaggi all’utente.
Input: tastiera virtuale/touch/penna dove necessario; disabilita gesture non utili.
Stampa e periferiche: test con stampanti, scanner, lettori barcode.
Aggiornamenti: verifica che non interrompano il servizio in orario d’apertura.

Troubleshooting e log da consultare

Event Viewer > Applications and Services Logs > Microsoft > Windows > AssignedAccess (errori di kiosk).
Event Viewer > DeviceManagement-Enterprise-Diagnostics-Provider (applicazione criteri MDM/Intune).
Log di Edge/Kiosk Browser per problemi di navigazione o criteri.
Intune > Dispositivi: verifica stato dei profili, conflitti, errori.

Domande frequenti

Posso usare app Win32 in kiosk?
Sì, in due modi tipici: con Shell Launcher v2 impostando l’eseguibile come shell, oppure nella modalità kiosk multi‑app via Intune (consentendo specifiche app Win32 in whitelist). Per il chiosco “web only”, valuta una PWA o la Kiosk Browser app.

Come faccio a uscire dal chiosco per manutenzione?
Prevedi una combinazione di tasti/gesto o un account “tecnico” separato. In Shell Launcher puoi definire l’azione alla chiusura; in Accesso assegnato usa credenziali di amministratore per cambiare utente.

Serve Windows Enterprise?
Molti scenari sono possibili anche con Windows 11 Pro. Le edizioni Enterprise/Education offrono opzioni avanzate e una migliore integrazione con ambienti gestiti (GPO/MDM). Se gestisci una flotta, la combinazione Windows 11 Pro + Intune è già un’ottima base.

È sicuro usare l’autologon?
È comodo ma non sempre consigliabile. Preferisci l’autologon solo su chioschi fissi in ambienti controllati. In ogni caso, proteggi l’UEFI con password, disabilita il boot esterno e usa BitLocker.

Posso personalizzare il layout della schermata iniziale?
Sì. In multi‑app imposta un layout Start minimale con le sole app consentite. Con Shell Launcher la shell è l’app stessa, quindi il layout non è necessario.

Esempi utili di script e comandi

Elencare le app installate con AUMID (per Accesso assegnato)

# Esegui in PowerShell come amministratore
Get-StartApps | Sort-Object Name | Format-Table -Auto

Creare rapidamente un account locale kiosk

# Sostituisci &lt;PasswordSicura&gt; con una password robusta
net user kiosk &lt;PasswordSicura&gt; /add
net localgroup Users kiosk /add

Avviare Edge in modalità kiosk (test rapido)

# Apri Esegui (Win+R) o un prompt
msedge.exe --kiosk https://tua-pagina --kiosk-idle-timeout-minutes=5 --edge-kiosk-type=public-browsing

Nota: per un chiosco di produzione usa Accesso assegnato, Kiosk Browser o Shell Launcher invece di un semplice collegamento.

Best practice per Surface Go 4 e Surface Pro 9

Fissaggio fisico: usa stand/armadi con blocco Kensington per evitare furti.
Alimentazione: cavo ben instradato e protetto; evita che si stacchi accidentalmente.
Raffreddamento: in installazioni “in vetrina”, assicurati di non ostruire le griglie.
Connettività: dove possibile rete cablata; in Wi‑Fi usa SSID separato con QoS.
Firmware: blocca da UEFI funzioni non necessarie con DFCI (boot da USB, webcam, microfono, se non richiesti).

Checklist operativa

Requisiti definiti (single app vs multi app vs shell custom)
Account kiosk dedicato creato e testato
BitLocker attivo e chiavi custodite
App e dipendenze installate/assegnate
Accesso assegnato / Kiosk profile applicato
UEFI protetto, boot esterno disabilitato
Update ring configurato, riavvii pianificati
Procedure di assistenza e “uscita tecnica” definite

In sintesi

Microsoft non fornisce un’unica app “alla SureLock”, ma Windows 10/11 integra già strumenti potenti per creare chioschi professionali su Surface Go 4 e Surface Pro 9: Accesso assegnato per la singola app, kiosk multi‑app via Intune e Shell Launcher v2 per il massimo lockdown. Completa il lavoro con criteri di sicurezza (BitLocker, Defender, DFCI), aggiornamenti gestiti e un piano di manutenzione. Se servono funzioni extra (UI personalizzate, reporting, gestione remota proprietaria), i software di terze parti restano un’opzione valida: valutane con attenzione costi, supporto e integrazione nel tuo ecosistema.

Risorse utili (senza link)

Documentazione Microsoft su Accesso assegnato (kiosk) in Windows 10/11
Guida Shell Launcher v2 per Windows
Microsoft Intune: profili “Kiosk” e criteri di restrizione
Linee guida DFCI per dispositivi Surface

Modello decisionale veloce

Scenario	Scelta consigliata	Motivo
Totem informativo web in negozio	Accesso assegnato + Kiosk Browser	Setup rapido, lockdown sufficiente, gestione semplice.
POS con app + lettore PDF	Kiosk multi‑app via Intune	Whitelist di 2‑3 app, controllo Start e criteri centralizzati.
Digital signage dedicato	Shell Launcher v2	Massimo controllo, nessuna shell Windows, avvio immediato dell’app.
Flotta ampia multi‑sede	Intune + Autopilot + DFCI	Provisioning zero‑touch, hardening firmware, update e reset remoti.

Suggerimento finale: prima del roll‑out su larga scala crea un pilota di 3–5 dispositivi con utenti reali per almeno una settimana. Le loro segnalazioni su rete, periferiche o timeout inattivi valgono più di mille prove in laboratorio.