Recomendações de acesso atribuídas
Este artigo contém recomendações para dispositivos configurados com Acesso Atribuído e Inicializador do Shell. A maioria das recomendações incluem configurações de GPO (política de grupo) e CSP (provedor de serviços de configuração) para ajudá-lo a configurar seus dispositivos de quiosque.
Conta de usuário do quiosque
Para dispositivos de quiosque localizados em ambientes voltados para o público, configure como uma conta de quiosque uma conta de usuário com menos privilégios, como uma conta de usuário padrão local. O uso de um usuário ou Microsoft Entra usuário do Active Directory pode permitir que um invasor tenha acesso a recursos de domínio acessíveis a quaisquer contas de domínio. Ao usar contas de domínio com acesso atribuído, prossiga com cuidado. Considere os recursos de domínio potencialmente expostos usando uma conta de domínio.
Entrada automática
Considere habilitar a entrada automática para seu dispositivo de quiosque. Quando o dispositivo é reiniciado, a partir de uma atualização ou interrupção de energia, você pode configurar o dispositivo para entrar com a conta de Acesso Atribuído automaticamente. Verifique se as configurações de política aplicadas ao dispositivo não impedem que a entrada automática funcione conforme o esperado. Por exemplo, as configurações de política PreferredAadTenantDomainName impedem que a entrada automática funcione.
Você pode configurar os arquivos XML do Access Atribuído e do Inicializador do Shell com uma conta para entrar automaticamente. Para obter mais informações, examine os artigos:
- Criar um arquivo XML de configuração de acesso atribuído
- Criar um arquivo de configuração do Shell Launcher
Como alternativa, você pode editar o Registro para que uma conta entre automaticamente:
| Caminho | Nome | Tipo | Valor |
|---|---|---|---|
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
AutoAdminLogon |
REG_DWORD | 1 |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultUserName |
String | Defina o valor como a conta que você deseja entrar. |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultPassword |
String | Defina o valor como a senha da conta. |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultDomainName |
String | Defina o valor para o domínio, somente para contas de domínio. Para contas locais, não adicione essa chave. |
Depois que a entrada automática for configurada, reinicialize o dispositivo. A conta entrará automaticamente.
Observação
Se você estiver usando o Logon Personalizado com HideAutoLogonUI habilitado, poderá ter uma tela preta quando a senha da conta de usuário expirar. Considere definir a senha para nunca expirar.
Windows Update
Configure seus dispositivos de quiosque para que eles estejam sempre atualizados, sem interromper a experiência do usuário. Aqui estão algumas configurações de política a serem consideradas, para configurar Windows Update para seus dispositivos de quiosque:
| Tipo | Caminho | Nome/Descrição |
|---|---|---|
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/ActiveHoursEnd |
Valor inteiro que representa o fim das horas ativas. Por exemplo, 22 representa 10PM |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/ActiveHoursStart |
Valor inteiro que representa o início das horas ativas. Por exemplo, 7 representa 7H |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/AllowAutoUpdate |
Valor inteiro. Definir como 3 – Baixar automaticamente e agendar a instalação |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/ScheduledInstallTime |
Valor inteiro. Especifique a hora para o dispositivo instalar atualizações. Por exemplo, 23 representa 23h |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel |
Valor inteiro. Defina como 2: desative todas as notificações, incluindo avisos de reinicialização |
| GPO | Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Update\Gerenciar experiência do usuário final | Opções de exibição para notificações > de atualização Defina o valor como 2 – Desative todas as notificações, incluindo avisos de reinicialização |
| GPO | Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Update\Gerenciar experiência do usuário final\Configurar Atualizações automática | 4 – Baixar automaticamente e agendar a instalação> especificar um tempo de instalação que está fora do horário ativo |
| GPO | Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Update\Gerenciar experiência do usuário final\Desativar autorestart para atualizações durante o horário ativo | Configure o horário ativo de início e término, durante o qual o dispositivo de quiosque não pode ser reiniciado devido a Windows Update |
Configurações de energia
Talvez você queira impedir que o dispositivo de quiosque durma ou impeça que os usuários desliguem ou reiniciem o quiosque. Aqui estão algumas opções a serem consideradas:
| Tipo | Caminho | Nome/Descrição |
|---|---|---|
| CSP | ./Device/Vendor/MSFT/Policy/Config/ADMX_StartMenu/HidePowerOptions |
String. Definir como <Enabled/> |
| CSP | ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn |
Valor inteiro. Definir como 0 |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Power/DisplayOffTimeoutPluggedIn |
String. Definir como <Enabled/><Data ID="EnterVideoACPowerDownTimeOut" value="0"/> |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Power/SelectPowerButtonActionPluggedIn |
Inteiro. Definir como 0 |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Power/SelectSleepButtonActionPluggedIn |
Inteiro. Definir como 0 |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Power/StandbyTimeoutPluggedIn |
String. Definir como <Enabled/><Data ID="EnterACStandbyTimeOut" value="0"/> |
| GPO | Configuração do Computador\Modelos Administrativos\Menu Iniciar e Barra de Tarefas\Remover e impedir o acesso aos comandos Desligar, Reiniciar, Dormir e Hibernar | Enable |
| GPO | Configuração do computador\Modelos administrativos\System\Power Management\Configurações de botão\Selecione a ação do botão Power | Selecione a ação: não faça nenhuma ação |
| GPO | Configuração do computador\Modelos administrativos\System\Power Management\Configurações de botão\Selecione a ação botão Dormir | Selecione a ação: não faça nenhuma ação |
| GPO | Configuração do computador\Modelos administrativos\System\Power Management\Especificar o tempo limite de sono do sistema | Defina o valor como 0 segundos. |
| GPO | Configuração do computador\Modelos administrativos\System\Power Management\Configurações de vídeo e exibição\Desativar a exibição | Defina o valor como 0 segundos. |
| GPO | Configuração do computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança\Desligamento: permitir que o sistema seja desligado sem precisar fazer logon | Desabilitada |
| GPO | Configuração do computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário\Desligar o sistema | Remova os usuários ou grupos dessa política. Para evitar que essa política afete um membro do grupo Administradores, mantenha o grupo Administradores. |
Observação
Você também pode desabilitar o botão de energia da tela de opções de segurança usando um recurso chamado Logon Personalizado. Para obter mais informações sobre como remover o botão de energia ou desabilitar o botão de energia física, consulte Logon Personalizado.
Atalhos de teclado
Os seguintes atalhos de teclado não são bloqueados para nenhuma conta de usuário configurada com uma experiência restrita do usuário:
- Alt + F4
- Alt + Guia
- Alt + Shift + Guia
- Ctrl + Alt + Excluir
Você pode usar o Filtro de Teclado para bloquear as combinações de chaves. As configurações do Filtro de Teclado se aplicam a outras contas padrão.
Atalhos de acessibilidade
O acesso atribuído não altera as configurações de acessibilidade. Use o Filtro de Teclado para bloquear as seguintes combinações de chaves que abrem recursos de acessibilidade:
| Combinação de chaves | Comportamento bloqueado |
|---|---|
| Alt + à esquerdaTurno + esquerdoTela de Impressão | Caixa de diálogo Abrir Alto Contraste |
| Alt + à esquerdaTurno + esquerdoNum Lock | Caixa de diálogo Abrir Chaves do Mouse |
| GANHAR + U | Abra o painel De configurações de acessibilidade do aplicativo |
Observação
Se o Filtro de Teclado estiver ativado, algumas combinações de chaves serão bloqueadas automaticamente sem que você precise bloqueá-las explicitamente. Para obter mais informações, consulte Filtro de Teclado.
Você também pode desabilitar os recursos de acessibilidade e outras opções na tela de bloqueio com Logon Personalizado. Por exemplo, para remover a opção Acessibilidade, use a seguinte chave do registro:
| Caminho | Nome | Tipo | Valor |
|---|---|---|---|
HKLM\Software\Microsoft\Windows Embedded\EmbeddedLogon\BrandingNeutral |
BrandingNeutral |
REG_DWORD | 8 |
Escolher um aplicativo para uma experiência de quiosque
Para criar uma experiência de quiosque com Acesso Atribuído, você pode escolher aplicativos UWP ou Microsoft Edge. No entanto, alguns aplicativos podem não fornecer uma boa experiência do usuário quando usados como quiosque.
As diretrizes a seguir ajudam você a escolher um aplicativo Windows apropriado para uma experiência de quiosque:
- Os aplicativos Windows devem ser provisionados ou instalados para a conta de Acesso Atribuído antes de poderem ser selecionados como o aplicativo acesso atribuído. Saiba como provisionar e instalar aplicativos
- As atualizações do aplicativo UWP às vezes podem alterar a ID do Modelo de Usuário do Aplicativo (AUMID) do aplicativo. Nesse cenário, você deve atualizar as configurações de Acesso Atribuído para executar o aplicativo atualizado, pois o Acesso Atribuído usa o AUMID para determinar o aplicativo a ser iniciado
- O aplicativo deve ser capaz de executar acima da tela de bloqueio. Se o aplicativo não puder ser executado acima da tela de bloqueio, ele não poderá ser usado como um aplicativo de quiosque
- Alguns aplicativos podem iniciar outros aplicativos. O Acesso Atribuído no modo de quiosque impede que aplicativos windows iniciem outros aplicativos. Evite selecionar aplicativos windows projetados para iniciar outros aplicativos como parte de sua funcionalidade principal
- O Microsoft Edge inclui suporte para o modo de quiosque. Para saber mais, confira Modo de quiosque do Microsoft Edge
- Não selecione aplicativos windows que possam expor informações que você não deseja mostrar em seu quiosque, pois o quiosque geralmente significa acesso anônimo e localiza em uma configuração pública. Por exemplo, um aplicativo que tem um seletor de arquivos permite que o usuário obtenha acesso a arquivos e pastas no sistema do usuário, evite selecionar esses tipos de aplicativos se eles fornecerem acesso desnecessário a dados
- Alguns aplicativos podem exigir mais configurações antes de poderem ser usados adequadamente no Acesso Atribuído. Por exemplo, o Microsoft OneNote exige que você configure uma conta microsoft para a conta de usuário do Acesso Atribuído antes da abertura do OneNote
- O perfil do quiosque foi projetado para dispositivos de quiosque voltados para o público. Use uma conta local, nãoministradora. Se o dispositivo estiver conectado à rede da sua organização, o uso de uma conta de domínio ou Microsoft Entra poderá comprometer informações confidenciais
Ao planejar implantar um quiosque ou uma experiência restrita do usuário, considere as seguintes recomendações:
- Avalie todos os aplicativos que os usuários devem usar. Se os aplicativos exigirem autenticação do usuário, não use uma conta de usuário local ou genérica. Em vez disso, direcione o grupo de usuários no arquivo de configuração de Acesso Atribuído
- Um quiosque de vários aplicativos é apropriado para dispositivos compartilhados por várias pessoas. Quando você configura um quiosque de vários aplicativos, determinadas configurações de política que afetam todos os usuários não administradores no dispositivo. Para obter uma lista dessas políticas, consulte Configurações de política de acesso atribuído
Desenvolver seu aplicativo de quiosque
O Acesso Atribuído usa a estrutura lock. Quando um usuário do Acesso Atribuído entra, o aplicativo de quiosque selecionado é iniciado acima da tela de bloqueio. O aplicativo de quiosque está em execução como um aplicativo de tela de bloqueio acima . Para saber mais, confira as diretrizes de práticas recomendadas para desenvolver um aplicativo de quiosque para acesso atribuído.
Parar erros e opções de recuperação
Quando ocorre um erro de parada, o Windows exibe uma tela azul com um código de erro de parada. Você pode substituir a tela padrão por uma tela em branco para erros do sistema operacional. Para obter mais informações, consulte Configurar opções de falha e recuperação do sistema.
Bloquear notificações de tela
Considere remover notificações da tela de bloqueio para impedir que os usuários vejam notificações quando o dispositivo está bloqueado. Aqui estão algumas opções a serem consideradas:
| Tipo | Caminho | Nome/Descrição |
|---|---|---|
| CSP | ./Device/Vendor/MSFT/Policy/Config/AboveLock/AllowToasts |
Inteiro. Definir como 0 |
| GPO | Configuração do computador\Modelos administrativos\System\Logon\Desativar notificações de aplicativo na tela de bloqueio | Habilitado |
Solução de problemas e logs
Ao testar o Acesso Atribuído, pode ser útil habilitar o registro em log para ajudá-lo a solucionar problemas. Os logs podem ajudá-lo a identificar problemas de configuração e de runtime. Você pode habilitar o seguinte log: Logs de aplicativos e serviços>Microsoft>Windows>AssignedAccess>Operational.
As seguintes chaves de registro contêm as configurações de Acesso Atribuído:
HKLM\Software\Microsoft\Windows\AssignedAccessConfigurationHKLM\Software\Microsoft\Windows\AssignedAccessCsp
A seguinte chave de registro contém a configuração para cada usuário com uma política de Acesso Atribuído:
HKCU\SOFTWARE\Microsoft\Windows\AssignedAccessConfiguration
Para obter mais informações sobre como solucionar problemas de quiosque, confira Solucionar problemas do modo de quiosque.
Próximas etapas
Saiba como criar um arquivo XML para configurar o Acesso Atribuído:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de