Criar um arquivo XML de configuração de acesso atribuído

  • Artigo

Para configurar o Acesso Atribuído, você deve criar e aplicar um arquivo XML de configuração aos seus dispositivos. O arquivo de configuração deve estar em conformidade com um esquema, conforme definido em XSD (Definição de Esquema XML de Acesso Atribuído).

Este artigo descreve como configurar um arquivo de configuração do Acesso Atribuído, incluindo exemplos práticos.

Vamos começar examinando a estrutura básica do arquivo XML. Um arquivo de configuração de acesso atribuído contém:

  • Um ou vários profiles. Cada profile um define um conjunto de aplicativos que podem ser executados
  • Um ou vários configs. Cada config um associa uma conta de usuário ou um grupo a um profile

Aqui está um exemplo básico de um arquivo de configuração do Acesso Atribuído, com um perfil e uma configuração:

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config">
    <Profiles>
        <Profile Id="{GUID}">
            <!-- Add configuration here as needed -->
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <!-- Add configuration here as needed -->
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Controle de versão

O XML de configuração de acesso atribuído é versão. A versão é definida no elemento raiz XML e é usada para determinar qual esquema usar para validar o arquivo XML. A versão também é usada para determinar quais recursos estão disponíveis para a configuração. Aqui está uma tabela das versões, aliases usados nos exemplos de documentação e namespaces:

Versão Alias Namespace
Windows 11, versão 22H2 v5 http://schemas.microsoft.com/AssignedAccess/2022/config
Windows 11, versão 21H2 v4 http://schemas.microsoft.com/AssignedAccess/2021/config
Windows 10 v5 http://schemas.microsoft.com/AssignedAccess/202010/config
Windows 10 v3 http://schemas.microsoft.com/AssignedAccess/2020/config
Windows 10 rs5 http://schemas.microsoft.com/AssignedAccess/201810/config
Windows 10 padrão http://schemas.microsoft.com/AssignedAccess/2017/config

Para autorizar uma configuração compatível XML que inclui elementos e atributos específicos da versão, inclua sempre o namespace dos esquemas de complemento e decore os atributos e elementos de acordo com o alias do namespace. Por exemplo, para configurar o StartPins recurso que foi adicionado no Windows 11, versão 22H2, use o exemplo abaixo. Observe o alias v5 associado ao http://schemas.microsoft.com/AssignedAccess/2022/config namespace para a versão 22H2 e o alias está marcado em StartPins embutido.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v5="http://schemas.microsoft.com/AssignedAccess/2022/config">
    <Profiles>
        <Profile Id="{GUID}">
            <!-- Add configuration here as needed -->
            <v5:StartPins>
              <!-- Add StartPins configuration here -->
            </v5:StartPins>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <!-- Add configuration here as needed -->
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Aqui você pode encontrar as definições de esquema XML de Acesso Atribuído: Definição de Esquema XML de Acesso Atribuído (XSD).

Perfis

Um arquivo de configuração pode conter um ou mais perfis. Cada perfil é identificado por um identificador Profile Id exclusivo e, opcionalmente, por um Name. Por exemplo:

<Profiles>
  <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
    <!-- Add configuration here as needed -->
  </Profile>
</Profiles>

Dica

O Profile Id deve ser exclusivo no arquivo XML. Você pode gerar um GUID com o cmdlet New-Guiddo PowerShell .

Um perfil pode ser um dos dois tipos:

  • KioskModeApp: é usado para configurar uma experiência de quiosque. Os usuários atribuídos a esse perfil não acessam a área de trabalho, mas apenas o aplicativo Plataforma Universal do Windows (UWP) ou o Microsoft Edge em execução na tela inteira acima da tela bloquear
  • AllAppList é usado para configurar uma experiência restrita do usuário. Os usuários atribuídos a esse perfil acessam a área de trabalho com os aplicativos específicos no menu Iniciar

Importante

  • Você não pode definir ambos KioskModeApp e ShellLauncher ao mesmo tempo no dispositivo
  • Um arquivo de configuração pode conter apenas um KioskModeApp perfil, mas pode conter vários AllAppList perfis.

KioskModeApp

As propriedades de um KioskModeApp perfil são:

Propriedade Descrição Detalhes
AppUserModelId A ID do Modelo de Usuário de Aplicativo (AUMID) do aplicativo UWP. Saiba como localizar a ID do Modelo de Usuário de Aplicativo de um aplicativo instalado.
v4:ClassicAppPath O caminho completo para um executável de aplicativo de área de trabalho. Esse é o caminho para o aplicativo de área de trabalho usado no modo de quiosque. O caminho pode conter variáveis de ambiente do sistema na forma de %variableName%.
v4:ClassicAppArguments Os argumentos a serem passados para o aplicativo de área de trabalho. Essa propriedade é opcional.

Por padrão, você pode usar a sequênciaDELALT+da CTRL+ para sair do modo de quiosque. Você pode definir um BreakoutSequence elemento para alterar a sequência padrão. O Key atributo é uma cadeia de caracteres que representa a combinação de chaves.

Exemplo de dois perfis, um aplicativo de área de trabalho e um aplicativo UWP:

<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
  <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
  <v4:BreakoutSequence Key="Ctrl+A"/>
</Profile>
<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F79}">
  <KioskModeApp AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
</Profile>

Observação

Você só pode atribuir um KioskModeApp perfil aos usuários, não a grupos.

AllAppList

De acordo com a finalidade do dispositivo de quiosque, defina a lista de aplicativos que podem ser executados. Essa lista pode conter os aplicativos UWP e os aplicativos da área de trabalho. Quando a configuração do quiosque de mult-app é aplicada a um dispositivo, as regras do AppLocker são geradas para permitir os aplicativos listados na configuração.

Observação

Se um aplicativo tiver uma dependência em outro aplicativo, ambos deverão ser incluídos na lista de aplicativos permitidos.

AllAppList No nó, defina uma lista de aplicativos permitidos para execução. Cada App elemento tem as seguintes propriedades:

Propriedade Descrição Detalhes
AppUserModelId A ID do Modelo de Usuário de Aplicativo (AUMID) do aplicativo UWP. Saiba como localizar a ID do Modelo de Usuário de Aplicativo de um aplicativo instalado.
DesktopAppPath O caminho completo para um executável de aplicativo de área de trabalho. Esse é o caminho para o aplicativo de área de trabalho usado no modo de quiosque. O caminho pode conter variáveis de ambiente do sistema na forma de %variableName%.
rs5:AutoLaunch Um atributo booliano para indicar se deve iniciar o aplicativo (desktop ou aplicativo UWP) automaticamente quando o usuário entrar. Essa propriedade é opcional. Somente um aplicativo pode fazer o lançamento automático.
rs5:AutoLaunchArguments Os argumentos a serem passados para o aplicativo configurado com AutoLaunch. AutoLaunchArguments são passados para os aplicativos como está e o aplicativo precisa lidar com os argumentos explicitamente. Essa propriedade é opcional.

Exemplo:

<AllAppsList>
  <AllowedApps>
    <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
    <App DesktopAppPath="C:\Windows\system32\cmd.exe" />
    <App DesktopAppPath="%windir%\explorer.exe" />
    <App AppUserModelId="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" />
    <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="%windir%\setuperr.log" />
  </AllowedApps>
</AllAppsList>

restrições de Explorador de Arquivos

Em uma experiência restrita do usuário (AllAppList), a navegação em pastas é bloqueada por padrão. Você pode permitir explicitamente o acesso a pastas conhecidas, incluindo o FileExplorerNamespaceRestrictions nó.

Você pode especificar o acesso do usuário à pasta Downloads, unidades removíveis ou nenhuma restrição. Downloads e Unidades Removíveis podem ser permitidos ao mesmo tempo.

<Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
        <AllAppsList>
            <AllowedApps>
                <!-- Add configuration here as needed -->
            </AllowedApps>
        </AllAppsList>
        <rs5:FileExplorerNamespaceRestrictions>
            <!-- Add configuration here as needed -->
        </rs5:FileExplorerNamespaceRestrictions>
        <!-- Add configuration here as needed -->
    </Profile>
</Profiles>

Aqui estão alguns exemplos práticos.

Bloquear tudo

Não use o nó ou deixe-o vazio.

<rs5:FileExplorerNamespaceRestrictions>
</rs5:FileExplorerNamespaceRestrictions>

Permitir apenas downloads

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
</rs5:FileExplorerNamespaceRestrictions>

Permitir somente unidades removíveis

<rs5:FileExplorerNamespaceRestrictions>
    <v3:AllowRemovableDrives />
</rs5:FileExplorerNamespaceRestrictions>

Permitir downloads e unidades removíveis

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
    <v3:AllowRemovableDrives/>
</rs5:FileExplorerNamespaceRestrictions>

Sem restrições, todos os locais são permitidos

<rs5:FileExplorerNamespaceRestrictions>
    <v3:NoRestriction />
</rs5:FileExplorerNamespaceRestrictions>

Dica

Para conceder acesso a Explorador de Arquivos em uma experiência restrita do usuário, adicione Explorer.exe à lista de aplicativos permitidos e fixe um atalho no menu Iniciar.

Iniciar personalizações de menu

Para um perfil de experiência restrita do usuário (AllAppList), você deve definir o layout Iniciar. O layout Iniciar contém uma lista de aplicativos fixados no menu Iniciar. Você pode optar por fixar todos os aplicativos permitidos no menu Iniciar ou em um subconjunto. A maneira mais fácil de criar um layout inicial personalizado é configurar o menu Iniciar em um dispositivo de teste e exportar o layout.

Para saber como personalizar e exportar uma configuração de menu Iniciar, consulte Personalizar o menu Iniciar.

Com a configuração do menu Iniciar exportado, use o StartLayout elemento e adicione o conteúdo do arquivo XML. Por exemplo:

<StartLayout>
  <![CDATA[
    <!-- Add your exported Start menu XML configuration file here -->
  ]]>
</StartLayout>

Exemplo com alguns aplicativos fixados:

<StartLayout>
  <![CDATA[
    <LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
    xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1"
    xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
      <LayoutOptions StartTileGroupCellWidth="6" />
      <DefaultLayoutOverride>
        <StartLayoutCollection>
          <defaultlayout:StartLayout GroupCellWidth="6">
            <start:Group Name="Group1">
              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.  ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.  ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
            </start:Group>
            <start:Group Name="Group2">
              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0"   DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start   Menu\Programs\Accessories\Paint.lnk" />
              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0"   DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.  lnk" />
            </start:Group>
          </defaultlayout:StartLayout>
        </StartLayoutCollection>
      </DefaultLayoutOverride>
    </LayoutModificationTemplate>
  ]]>
</StartLayout>

Com a configuração do menu Iniciar exportado, use o v5:StartPins elemento e adicione o conteúdo do arquivo JSON exportado. Por exemplo:

<v5:StartPins>
  <![CDATA[
      <!-- Add your exported Start menu JSON configuration file here -->
  ]]>
</v5:StartPins>

Exemplo com alguns aplicativos fixados:

<v5:StartPins>

</v5:StartPins>

Observação

Se um aplicativo não estiver instalado para o usuário, mas estiver incluído no XML do layout Iniciar, o aplicativo não será mostrado na tela Iniciar.

Personalizações da barra de tarefas

Você não pode fixar aplicativos na barra de tarefas em uma experiência restrita do usuário. Não há suporte para configurar um layout da barra de tarefas usando a <CustomTaskbarLayoutCollection> marca em um XML de modificação de layout, como parte da configuração de Acesso Atribuído.

A única personalização da barra de tarefas disponível é a opção para mostrar ou ocultar, usando o ShowTaskbar atributo booliano.

O exemplo a seguir expõe a barra de tarefas:

<Taskbar ShowTaskbar="true"/>

O exemplo a seguir oculta a barra de tarefas:

<Taskbar ShowTaskbar="false"/>

Observação

Isso é diferente da opção Ocultar automaticamente a barra de tarefas no modo tablet, que mostra a barra de tarefas quando você desliza o dedo para cima ou move o ponteiro do mouse para baixo até a parte inferior da tela. A configuração ShowTaskbar como false oculta a barra de tarefas permanentemente.

Você pode personalizar a barra de tarefas criando um layout personalizado e adicionando-o ao arquivo XML. Para saber como personalizar e exportar a configuração da barra de tarefas, consulte Personalizar a barra de tarefas.

Observação

Em Windows 11, o ShowTaskbar atributo não é op. Configure-o com um valor de true.

Com a configuração da barra de tarefas exportada, use o v5:TaskbarLayout elemento e adicione o conteúdo do arquivo XML. Por exemplo:

<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
  <!-- Add your exported Taskbar XML configuration file here -->
  ]]>
</v5:TaskbarLayout>

Aqui está um exemplo de uma barra de tarefas personalizada com alguns aplicativos fixados:

<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
  <?xml version="1.0" encoding="utf-8"?>
  <LayoutModificationTemplate
      xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification"
      xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
      xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout"
      xmlns:taskbar="http://schemas.microsoft.com/Start/2014/TaskbarLayout"
      Version="1">
  <CustomTaskbarLayoutCollection>
    <defaultlayout:TaskbarLayout>
    <taskbar:TaskbarPinList>
        <taskbar:DesktopApp DesktopApplicationID="Microsoft.Windows.Explorer" />
        <taskbar:DesktopApp DesktopApplicationID="windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel" />
        <taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk"/>
    </taskbar:TaskbarPinList>
    </defaultlayout:TaskbarLayout>
  </CustomTaskbarLayoutCollection>
  </LayoutModificationTemplate>
  ]]>
</v5:TaskbarLayout>

Configurações

Em Configs, defina uma ou mais contas de usuário ou grupos e sua associação com um perfil.

Quando a conta de usuário entra, o perfil de Acesso Atribuído associado é imposto junto com as configurações de política que fazem parte da experiência restrita do usuário.

Você pode atribuir:

  • Uma conta de usuário padrão, que pode ser local, domínio ou Microsoft Entra ID
  • Uma conta de grupo, que pode ser local, Active Directory (domínio) ou Microsoft Entra ID

Limitações:

  • Configurações que especificam contas de grupo não podem usar um perfil de quiosque, apenas um perfil de experiência restrita do usuário
  • Aplique a experiência restrita do usuário somente aos usuários padrão. Não há suporte para associar um usuário administrador a um perfil de Acesso Atribuído
  • Não aplique o perfil a usuários ou grupos direcionados por políticas de acesso condicional que exigem interação do usuário. Por exemplo, MFA (autenticação multifator) ou Termos de Uso (TOU). Para obter mais informações, consulte Usuários não podem fazer logon no Windows se um perfil de quiosque de vários aplicativos for atribuído

Observação

No Microsoft Entra dispositivos ingressados no domínio e ingressados no domínio, as contas de usuário locais não são exibidas na tela de entrada por padrão. Para exibir as contas locais na tela de entrada, habilite a configuração da política:

  • GPO:Modelos administrativosde configuração> do computadorLogon>do sistema>Enumeram usuários locais em computadores ingressados> no domínio
  • CSP: ./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers

Conta do AutoLogon

Com <AutoLogonAccount>o , o Acesso Atribuído cria e gerencia uma conta de usuário para entrar automaticamente após a reinicialização de um dispositivo. A conta é um usuário padrão local.

O exemplo a seguir mostra como especificar uma conta para entrar automaticamente e o nome de exibição opcional da conta na tela de entrada:

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Microsoft Learn example"/>
    <DefaultProfile Id="{GUID}"/>
  </Config>
</Configs>

Importante

Quando as restrições de senha do Exchange Active Sync (EAS) estão ativas no dispositivo, o recurso de autologon não funciona. Esse comportamento está relacionado ao design. Para obter mais informações, consulte Como ativar o logon automático no Windows.

Perfil global

Com GlobalProfile, você pode definir um perfil de Acesso Atribuído que é aplicado a cada conta que não é administradora que entra. GlobalProfile é útil em cenários como trabalhadores de linha de frente ou dispositivos de estudante, em que você deseja garantir que cada usuário tenha uma experiência consistente.

<Configs>
  <v3:GlobalProfile Id="{GUID}"/>
</Configs>

Observação

Você pode combinar um perfil global com outros perfis. Se você atribuir a um usuário um perfil não global, o perfil global não será aplicado a esse usuário.

Contas de usuário

Contas individuais são especificadas usando <Account>.

Importante

Antes de aplicar a configuração de Acesso Atribuído, verifique se a conta de usuário especificada está disponível no dispositivo, caso contrário, ela falhará.

Para contas de domínio e Microsoft Entra, desde que o dispositivo seja ingressado no Active Directory ou Microsoft Entra ingressado, a conta pode ser descoberta na floresta de domínio ou locatário ao qual o dispositivo está ingressado. Para as contas locais, é necessário que a conta exista antes da configuração da conta para o acesso atribuído.

Usuário local

A conta local pode ser inserida como devicename\user, .\userou apenas user.

<Config>
  <Account>user</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Usuário do Active Directory

As contas de domínio devem ser inseridas usando o formato domain\samAccountName.

<Config>
  <Account>contoso\user</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Microsoft Entra usuário

Microsoft Entra contas devem ser especificadas com o formato: AzureAD\{UPN}. AzureADdeve ser fornecido como está e, em seguida, seguir com o UPN (nome da entidade de usuário) Microsoft Entra.

<Config>
  <Account>AzureAD\user@contoso.onmicrosoft.com</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Contas de grupo

As contas de grupo são especificadas usando <UserGroup>. Não há suporte para grupos aninhados. Por exemplo, se o Usuário A for membro do Grupo A, o Grupo A for membro do Grupo B e o Grupo B for usado no <Config/>, o Usuário A não terá a experiência de quiosque.

Grupo local

Especifique o tipo de grupo como LocalGroup e adicione o nome do Name grupo no atributo.

<Config>
  <UserGroup Type="LocalGroup" Name="groupname" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Grupo active directory

Há suporte para grupos de segurança e distribuição. Especifique o tipo de grupo como ActiveDirectoryGroup. Use o nome de domínio como prefixo no atributo name.

<Config>
  <UserGroup Type="ActiveDirectoryGroup" Name="contoso\groupname" />
  <DefaultProfile Id="{GUID}"/>
</Config>

grupo Microsoft Entra

Use a ID do objeto do grupo Microsoft Entra. Você pode encontrar a ID do objeto na página de visão geral do grupo entrando no centro de administração do Microsoft Entra e navegando paraGrupos de>Identidade>Todos os grupos. Especifique o tipo de grupo como AzureActiveDirectoryGroup. O dispositivo de quiosque deve ter conectividade com a Internet quando os usuários que pertencem à entrada do grupo.

<Config>
  <UserGroup Type="AzureActiveDirectoryGroup" Name="Group_GUID" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Próximas etapas

Examine alguns exemplos práticos de configurações XML de Acesso Atribuído:

Exemplos de acesso atribuídos