Configurar um quiosque de vários aplicativos em Windows 10 dispositivos

Aplicável ao

• Windows 10 Pro, Enterprise e Education

Observação

Atualmente, o quiosque de vários aplicativos só tem suporte no Windows 10. Não há suporte para ele no Windows 11.

Não há suporte para o uso de vários monitores no modo de quiosque de vários aplicativos.

Um dispositivo de quiosque normalmente é executado um único app e os usuários são impedidos de acessar quaisquer recursos ou funções no dispositivo fora do app de quiosque. No Windows 10, versão 1709, o CSP (provedor de serviços de configuração) AssignedAccess foi expandido para facilitar a criação de quiosques que executam mais de um aplicativo. O benefício de um quiosque que executa apenas um ou mais aplicativos especificados é fornecer uma experiência fácil de entender para as pessoas colocando na frente deles apenas as coisas que precisam usar e removendo da exibição as coisas que não precisam acessar.

A tabela a seguir lista as alterações no quiosque de vários aplicativos em atualizações recentes.

Novos recursos e melhorias	Em atualização
– Configurar um perfil de quiosque de aplicativo único no arquivo XML – Atribuir contas de grupo a um perfil de configuração – Configurar uma conta para entrar automaticamente	Windows 10, versão 1803
– Permitir explicitamente algumas pastas conhecidas quando o usuário abrir a caixa de diálogo arquivo - Iniciar automaticamente um aplicativo quando o usuário entrar – Configurar um nome de exibição para a conta de registro automático	Windows 10, versão 1809 Importante: Para usar recursos lançados Windows 10, versão 1809, verifique se o arquivo XML faz referênciahttps://schemas.microsoft.com/AssignedAccess/201810/config.

Aviso

O recurso de acesso atribuído destina-se a dispositivos de finalidade corporativa, como quiosques. Quando a configuração de acesso atribuído a vários aplicativos é aplicada no dispositivo, determinadas políticas são impostas em todo o sistema, afetando outros usuários no dispositivo. A exclusão da configuração de quiosque removerá os perfis de bloqueio de acesso atribuído associados aos usuários, mas não poderá reverter todas as políticas impostas (como o layout iniciar). Uma redefinição de fábrica é necessária para limpar todas as políticas impostas por meio do acesso atribuído.

Você pode configurar quiosques de vários aplicativos usando o Microsoft Intune ou um pacote de provisionamento.

Dica

Verifique as recomendações de configuração antes de configurar o quiosque.

Configurar um quiosque no Microsoft Intune

Para configurar um quiosque no Microsoft Intune, confira:

• Windows configurações de dispositivo Windows Holographic for Business cliente para serem executadas como um quiosque dedicado usando Intune
• Windows configurações do dispositivo cliente a serem executadas como um quiosque no Intune

Configurar um quiosque usando um pacote de provisionamento

Processo:

1. Criar arquivo XML
2. Adicionar arquivo XML ao pacote de provisionamento
3. Aplicar pacote de provisionamento ao dispositivo

Veja como usar um pacote de provisionamento para configurar um quiosque de vários aplicativos.

Se você não quiser usar um pacote de provisionamento, poderá implantar o arquivo XML de configuração usando o MDM (gerenciamento de dispositivo móvel) ou configurar o acesso atribuído usando o Provedor WMI de Ponte MDM.

Pré-requisitos

• Windows Designer de Configuração (Windows 10, versão 1709 ou posterior)
• O dispositivo de quiosque deve estar executando Windows 10 (S, Pro, Enterprise ou Education), versão 1709 ou posterior

Observação

Para os dispositivos que executam versões do Windows 10 anteriores à 1709, você pode criar regras do AppLocker para configurar um quiosque de vários apps.

Criar arquivo XML

Vamos começar examinando a estrutura básica do arquivo XML.

• Um xml de configuração pode definir vários perfis. Cada perfil tem uma Id exclusiva e define um conjunto de aplicativos que podem ser executados, esteja a barra de tarefas visível ou não, e pode incluir um layout personalizado da tela inicial.

• Um xml de configuração pode ter várias seções config. Cada seção de configuração associa uma conta de usuário não administrador a uma Id de perfil padrão.

• Várias seções de configuração podem ser associadas ao mesmo perfil.

• Um perfil não terá efeito se não estiver associado a uma seção de configuração.

  

Você pode iniciar o arquivo colando o XML a seguir em um editor DE XML e salvando o arquivo como nome de arquivo.xml. Cada seção deste XML é explicada neste artigo. Você pode ver uma versão de exemplo completa na referência XML de acesso atribuído.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
    >
    <Profiles>
        <Profile Id="">
            <AllAppsList>
                <AllowedApps/>
            </AllAppsList>
            <StartLayout/>
            <Taskbar/>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <Account/>
            <DefaultProfile Id=""/>
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Perfil

Há dois tipos de perfis que você pode especificar no XML:

• Perfil de bloqueio: os usuários atribuídos a um perfil de bloqueio verão a área de trabalho no modo tablet com os aplicativos específicos no tela inicial.
• Perfil de quiosque: a partir Windows 10 versão 1803, esse perfil substitui o nó KioskModeApp do CSP AssignedAccess. Os usuários atribuídos a um perfil de quiosque não verão a área de trabalho, mas apenas o aplicativo de quiosque em execução no modo de tela inteira.

Uma seção de perfil de bloqueio no XML tem as seguintes entradas:

• Id

• AllowedApps

• FileExplorerNamespaceRestrictions

• StartLayout

• Barra de tarefas

Um perfil de quiosque no XML tem as seguintes entradas:

• Id

• KioskModeApp

Id

A Id do perfil é um atributo GUID para identificar exclusivamente o perfil. Você pode criar um GUID usando um gerador de GUID. O GUID só precisa ser exclusivo dentro desse arquivo XML.

<Profiles>
  <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">…</Profile>
</Profiles>

AllowedApps

AllowedApps é uma lista de aplicativos que podem ser executados. Os aplicativos podem Plataforma Universal do Windows (UWP) ou aplicativos Windows área de trabalho. A partir Windows 10 versão 1809, você pode configurar um único aplicativo na lista AllowedApps para ser executado automaticamente quando a conta de usuário de acesso atribuído entrar.

• Para aplicativos UWP, você deve fornecer a AUMID (ID de Modelo de Usuário do Aplicativo). Saiba como obter a AUMID ou obter a AUMID do XML de Layout da tela inicial.
• Para aplicativos da área de trabalho, você precisa especificar o caminho completo do executável, que pode conter uma ou mais variáveis de ambiente do sistema na forma de %variableName%. Por exemplo, %systemroot% ou %windir%.
• Se um aplicativo tiver uma dependência em outro aplicativo, ambos deverão ser incluídos na lista de aplicativos permitidos. Por exemplo, o Internet Explorer de 64 bits tem uma dependência no Internet Explorer de 32 bits, portanto, você deve permitir ambos "C:\Program Files\internet explorer\iexplore.exe" e "C:\Program Files (x86)\Internet Explorer\iexplore.exe".
• Para configurar um único aplicativo para iniciar automaticamente quando o usuário entrar, inclua após rs5:AutoLaunch="true" a AUMID ou o caminho. Você também pode incluir argumentos a serem passados para o aplicativo. Para obter um exemplo, consulte o XML de exemplo AllowedApps.

Quando a configuração de quiosque de vários aplicativos é aplicada a um dispositivo, as regras do AppLocker serão geradas para permitir os aplicativos listados na configuração. Veja as regras predefinidas do AppLocker atribuídas para aplicativos UWP:

1. A regra padrão é permitir que todos os usuários iniciem os aplicativos do pacote assinado.

2. A lista de bloqueios do aplicativo de pacote é gerada em runtime quando o usuário de acesso atribuído entra. Com base nos aplicativos de pacote instalados/provisionados disponíveis para a conta de usuário, o acesso atribuído gera a lista de bloqueios. Essa lista excluirá os aplicativos de pacote de caixa de entrada permitidos padrão, que são essenciais para que o sistema funcione. Em seguida, ele exclui os pacotes permitidos que as empresas definiram na configuração de acesso atribuído. Se houver vários apps dentro do mesmo pacote, todos esses apps serão excluídos. Essa lista de bloqueios será usada para impedir que o usuário acesse os aplicativos que estão disponíveis no momento para o usuário, mas não na lista de permitidos.

   Observação

   Você não pode gerenciar regras do AppLocker geradas pela configuração de quiosque de vários aplicativos em snap-ins do MMC. Evite criar regras do AppLocker que entram em conflito com as regras do AppLocker geradas pela configuração de quiosque de vários aplicativos.

   O modo de quiosque de vários aplicativos não bloqueia a instalação de aplicativos UWP pela empresa ou pelos usuários. Quando um novo aplicativo UWP é instalado durante a sessão atual do usuário de acesso atribuído, esse aplicativo não estará na lista de negações. Quando o usuário sair e entrar novamente, o aplicativo será incluído na lista de bloqueios. Se for um aplicativo de linha de negócios implantado pela empresa e você quiser permitir que ele seja executado, atualize a configuração de acesso atribuído para incluí-lo na lista de aplicativos permitidos.

Veja as regras predefinidas do AppLocker atribuídas para aplicativos da área de trabalho:

1. A regra padrão é permitir que todos os usuários iniciem os programas da área de trabalho assinados com o Microsoft Certificate para que o sistema inicie e funcione. A regra também permite que o grupo de usuários administradores iniciem todos os programas da área de trabalho.
2. Há uma lista de bloqueios de aplicativos da área de trabalho da caixa de entrada predefinida para a conta de usuário de acesso atribuído e essa lista de bloqueios é ajustada com base na lista de permissões do aplicativo da área de trabalho que você definiu na configuração de vários aplicativos.
3. Enterprise aplicativos da área de trabalho permitidos definidos são adicionados na lista de permitidos do AppLocker.

O exemplo a seguir permite que os aplicativos Groove Música, Filmes & TV, Fotos, Clima, Calculadora, Paint e Bloco de notas executem no dispositivo, com o Bloco de notas 123.text configurado para iniciar e criar automaticamente um arquivo chamado quando o usuário entrar.

<AllAppsList>
        <AllowedApps>
          <App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
          <App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
          <App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
          <App DesktopAppPath="%windir%\system32\mspaint.exe" />
          <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="123.txt">
        </AllowedApps>
</AllAppsList>

FileExplorerNamespaceRestrictions

A partir da Windows 10 1809, você pode permitir explicitamente que algumas pastas conhecidas sejam acessadas quando o usuário tentar abrir a caixa de diálogo de arquivo no acesso atribuído a vários aplicativos, incluindo FileExplorerNamespaceRestrictions em seu arquivo XML. Atualmente, Downloads é a única pasta com suporte. Esse comportamento também pode ser definido usando Microsoft Intune.

O exemplo a seguir mostra como permitir o acesso do usuário à pasta Downloads na caixa de diálogo arquivo comum.

Dica

Para conceder acesso à pasta Downloads por meio do Explorador de Arquivos, adicione "Explorer.exe" à lista de aplicativos permitidos e fixe um atalho do explorador de arquivos no menu iniciar do quiosque.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
>     <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    ...
                </AllowedApps>
            </AllAppsList>
            <rs5:FileExplorerNamespaceRestrictions>
                <rs5:AllowedNamespace Name="Downloads"/>
            </rs5:FileExplorerNamespaceRestrictions>
            <StartLayout>
                ...
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
</AssignedAccessConfiguration>

FileExplorerNamespaceRestriction foi estendido na versão Windows 10 pré-lançamento para maior granularidade e uso mais fácil. Para obter mais informações e exemplos completos, consulte Referência XML de acesso atribuído. Usando novos elementos, você pode configurar se um usuário pode acessar a pasta Downloads ou unidades removíveis ou não ter nenhuma restrição.

Observação

• FileExplorerNamespaceRestrictions e AllowedNamespace:Downloads estão disponíveis no namespace https://schemas.microsoft.com/AssignedAccess/201810/config.
• AllowRemovableDrives e NoRestriction são definidos em um novo namespace https://schemas.microsoft.com/AssignedAccess/2020/config.

• Quando FileExplorerNamespaceRestrictions o nó não é usado ou usado, mas deixado em branco, o usuário não poderá acessar nenhuma pasta em uma caixa de diálogo comum. Por exemplo, Salvar como no Microsoft Edge navegador.
• Quando Downloads são mencionados no namespace permitido, o usuário poderá acessar a pasta Downloads.
• Quando AllowRemovableDrives for usado, o usuário acessará unidades removíveis.
• Quando NoRestriction for usado, nenhuma restrição será aplicada à caixa de diálogo.
• AllowRemovableDrives e AllowedNamespace:Downloads pode ser usado ao mesmo tempo.

StartLayout

Depois de definir a lista de aplicativos permitidos, você poderá personalizar o layout da tela inicial para sua experiência de quiosque. Você pode optar por fixar todos os apps permitidos na tela inicial ou apenas um subconjunto, se quiser que o usuário final os acesse diretamente na tela inicial.

A maneira mais fácil de criar um layout de tela inicial personalizado para aplicar a outros dispositivos Windows cliente é configurar o tela inicial em um dispositivo de teste e, em seguida, exportar o layout. Para obter etapas detalhadas, consulte Personalizar e exportar layout da tela inicial.

Algumas observações:

• O dispositivo de teste no qual você personaliza o layout da tela inicial deve ter a mesma versão do sistema operacional instalada no dispositivo em que você planeja implantar a configuração de acesso atribuído de vários aplicativos.
• Como a experiência de acesso atribuído de vários aplicativos destina-se a dispositivos de finalidade fixa, para garantir que as experiências do dispositivo sejam consistentes e previsíveis, use a opção de layout da tela inicial completo em vez do layout da tela inicial parcial.
• Não há aplicativos fixados na barra de tarefas no modo de vários aplicativos e não há suporte para configurar o layout <CustomTaskbarLayoutCollection> da Barra de Tarefas usando a marca em um XML de modificação de layout como parte da configuração de acesso atribuído.
• O exemplo a seguir usa DesktopApplicationLinkPath para fixar o aplicativo da área de trabalho para iniciar. Quando o aplicativo da área de trabalho não tem um link de atalho no dispositivo de destino, saiba como provisionar arquivos .lnk usando o Designer de Configuração do Windows.

O exemplo a seguir fixa groove música, filmes & TV, fotos, clima, calculadora, Paint e Bloco de notas aplicativos em Iniciar:

<StartLayout>
        <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="httsp://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Group1">
                              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
                              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
                              <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
                              <start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
                            </start:Group>
                            <start:Group Name="Group2">
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk" />
                              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
</StartLayout>

Observação

Se um aplicativo não estiver instalado para o usuário, mas estiver incluído no XML de layout iniciar, o aplicativo não será mostrado no tela inicial.

Barra de tarefas

Defina se você quer ter a barra de tarefas presente no dispositivo de quiosque. Para os quiosques todos-em-um baseados em tablet ou habilitados para toque, quando você não anexar um teclado e um mouse, poderá ocultar a barra de tarefas como parte da experiência de vários aplicativos, se desejar.

O exemplo a seguir expõe a barra de tarefas para o usuário final:

<Taskbar ShowTaskbar="true"/>

O exemplo a seguir oculta a barra de tarefas:

<Taskbar ShowTaskbar="false"/>

Observação

Isso é diferente da opção Ocultar automaticamente a barra de tarefas no modo tablet, que mostra a barra de tarefas quando você desliza o dedo para cima ou move o ponteiro do mouse para baixo até a parte inferior da tela. A configuração de ShowTaskbar como false manterá a barra de tarefas sempre oculta.

KioskModeApp

O KioskModeApp é usado apenas para um perfil de quiosque . Insira a AUMID para um único aplicativo. Você só pode especificar um perfil de quiosque no XML.

<KioskModeApp AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"/>

Importante

O perfil de quiosque foi projetado para dispositivos de quiosque voltados para o público. Recomendamos que você use uma conta local que não seja de administrador. Se o dispositivo estiver conectado à rede da sua empresa, usar um domínio ou Azure Active Directory conta poderá comprometer informações confidenciais.

Configurações

Em Configurações, defina qual conta de usuário será associada ao perfil. Quando essa conta de usuário entrar no dispositivo, o perfil de acesso atribuído associado será imposto. Esse comportamento inclui os aplicativos permitidos, o layout da tela inicial, a configuração da barra de tarefas e outras políticas de grupo local ou políticas de MDM (gerenciamento de dispositivo móvel) definidas como parte da experiência de vários aplicativos.

A experiência completa de acesso atribuído de vários aplicativos pode funcionar somente para os usuários não administradores. Não há suporte para associar um usuário administrador ao perfil de acesso atribuído. Fazer essa configuração no arquivo XML resultará em experiências inesperadas ou sem suporte quando esse usuário administrador entrar.

Você pode atribuir:

• Uma conta de usuário padrão local que entra automaticamente (aplica-se Windows 10, versão 1803 somente)
• Uma conta individual, que pode ser local, domínio ou Azure Active Directory (Azure AD)
• Uma conta de grupo, que pode ser local, Active Directory (domínio) ou Azure AD (aplica-se somente ao Windows 10, versão 1803).

Observação

As configurações que especificam contas de grupo não podem usar um perfil de quiosque, apenas um perfil de bloqueio. Se um grupo estiver configurado para um perfil de quiosque, o CSP rejeitará a solicitação.

Configuração para Conta de Log Automático

Quando você usa <AutoLogonAccount> e a configuração é aplicada a um dispositivo, a conta especificada (gerenciada pelo Acesso Atribuído) é criada no dispositivo como uma conta de usuário padrão local. A conta especificada é conectada automaticamente após a reinicialização.

O exemplo a seguir mostra como especificar uma conta para entrar automaticamente.

<Configs>
  <Config>
    <AutoLogonAccount/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

A partir Windows 10 versão 1809, você pode configurar o nome de exibição que será mostrado quando o usuário entrar. O exemplo a seguir mostra como criar uma conta do AutoLogon que mostra o nome "Olá, Mundo".

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Hello World"/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

Em dispositivos ingressados no domínio, as contas de usuário locais não são mostradas na tela de entrada por padrão. Para mostrar o AutoLogonAccount na tela de entrada, habilite a seguinte configuração de Política de Grupo: Configuração do Computador > Modelos Administrativos > Sistema > Logon > Enumerar usuários locais em computadores ingressados no domínio. (A configuração de política de MDM correspondente é WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers no CSP de Política.)

Importante

Quando Exchange restrições de senha do EAS (Active Sync) estão ativas no dispositivo, o recurso de log automático não funciona. Esse comportamento está relacionado ao design. Para obter mais informações, consulte Como ativar o logon automático Windows.

Configuração para contas individuais

Contas individuais são especificadas usando <Account>.

• A conta local pode ser inserida como machinename\account ou .\account, ou simplesmente account.
• A conta de domínio deve ser inserida como domain\account.
• A conta do Azure AD deve ser especificada neste formato: AzureAD\{email address}. O AzureAD deve ser fornecido como está e considerar que é um nome de domínio fixo. Em seguida, siga com o Azure AD de email. Por exemplo, AzureAD\someone@contoso.onmicrosoft.com

Aviso

O acesso atribuído pode ser configurado por meio de WMI ou CSP para executar seus aplicativos sob um usuário de domínio ou conta de serviço, em vez de uma conta local. No entanto, o uso de contas de usuário de domínio ou de serviço apresenta riscos de que um invasor que subverta o aplicativo de acesso possa obter acesso a recursos do domínio confidenciais que tiverem sido inadvertidamente deixados acessíveis para qualquer conta de domínio. Recomendamos que os clientes prossigam com cuidado ao usar contas de domínio com o acesso atribuído e que considerem os recursos do domínio potencialmente expostos pela decisão de fazer isso.

Antes de aplicar a configuração de vários aplicativos, verifique se a conta de usuário especificada está disponível no dispositivo, caso contrário, ela falhará.

Observação

Para contas de domínio e Azure AD, não é necessário que a conta de destino seja adicionada explicitamente ao dispositivo. Desde que o dispositivo tenha sido ingressado no AD ou no Azure AD, a conta poderá ser descoberta na floresta do domínio ou no locatário em que o dispositivo ingressou. Para as contas locais, é necessário que a conta exista antes da configuração da conta para o acesso atribuído.

<Configs>
  <Config>
    <Account>MultiAppKioskUser</Account>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

Configuração para contas de grupo

As contas de grupo são especificadas usando <UserGroup>. Não há suporte para grupos aninhados. Por exemplo, se o usuário A for membro do Grupo 1, o Grupo 1 for membro do Grupo 2 e o Grupo 2 <Config/>for usado, o usuário A não terá a experiência de quiosque.

• Grupo local: especifique o tipo de grupo como LocalGroup e coloque o nome do grupo no atributo Name. Todas Azure AD contas adicionadas ao grupo local não terão as configurações de quiosque aplicadas.

  <Config>
    <UserGroup Type="LocalGroup" Name="mygroup" />
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
  

• Grupo de domínio: há suporte para grupos de distribuição e segurança. Especifique o tipo de grupo como ActiveDirectoryGroup. Use o nome de domínio como o prefixo no atributo de nome.

  <Config>
    <UserGroup Type="ActiveDirectoryGroup" Name="mydomain\mygroup" />
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
  

• Azure AD grupo: use a ID do objeto de grupo do portal do Azure para identificar exclusivamente o grupo no atributo Name. Você pode encontrar a ID do objeto na página de visão geral do grupo em Usuários e grupos Todos > os grupos. Especifique o tipo de grupo como AzureActiveDirectoryGroup. O dispositivo de quiosque deve ter conectividade com a Internet quando os usuários que pertencem à entrada do grupo.

  <Config>
    <UserGroup Type="AzureActiveDirectoryGroup" Name="a8d36e43-4180-4ac5-a627-fb8149bba1ac" />
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
  

  Observação

  Se um grupo Azure AD estiver configurado com um perfil de bloqueio em um dispositivo, um usuário no grupo Azure AD deverá alterar sua senha (depois que a conta tiver sido criada com a senha padrão no portal) antes de poder entrar nesse dispositivo. Se o usuário usar a senha padrão para entrar no dispositivo, o usuário será imediatamente conectado.

[Versão prévia] Perfil global

O perfil global está disponível em Windows 10. Se você quiser que todos que se conectem a um dispositivo específico sejam atribuídos como um usuário de acesso, mesmo que não haja nenhum perfil dedicado para esse usuário. Como alternativa, talvez o Acesso Atribuído não possa identificar um perfil para o usuário e você queira ter um perfil de fallback. O perfil global foi projetado para esses cenários.

O uso é demonstrado abaixo, usando o novo namespace XML e especificando GlobalProfile desse namespace. GlobalProfileQuando você configura , uma conta não administrativa faz logon, se esse usuário não tiver um perfil designado no Acesso Atribuído ou o Acesso Atribuído falhar ao determinar um perfil para o usuário atual, um perfil global será aplicado ao usuário.

Observação

1. GlobalProfile só pode ser um perfil de vários aplicativos.
2. Somente um GlobalProfile pode ser usado em um AssignedAccess XML de configuração.
3. GlobalProfile pode ser usada como a única configuração ou pode ser usada junto com a configuração de usuário ou grupo normal.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v2="https://schemas.microsoft.com/AssignedAccess/201810/config"
    xmlns:v3="https://schemas.microsoft.com/AssignedAccess/2020/config"
>
    <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    <App AppUserModelId="Microsoft.Microsoft3DViewer_8wekyb3d8bbwe!Microsoft.Microsoft3DViewer" v2:AutoLaunch="true" v2:AutoLaunchArguments="123"/>
                    <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                    <App AppUserModelId="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
                    <App DesktopAppPath="%SystemRoot%\system32\notepad.exe" />
                </AllowedApps>
            </AllAppsList>
            <StartLayout>
                <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="https://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Life at a glance">
                              <start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="microsoft.windowscommunicationsapps_8wekyb3d8bbwe!microsoft.windowsLive.calendar" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsStore_8wekyb3d8bbwe!App" />
                              <!-- A link file is required for desktop applications to show on start layout, the link file can be placed under
                                   "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs" if the link file is shared for all users or
                                   "%AppData%\Microsoft\Windows\Start Menu\Programs" if the link file is for the specific user only 
                                   see document https://docs.microsoft.com/windows/configuration/start-layout-xml-desktop
                              -->
                              <!-- for inbox desktop applications, a link file might already exist and can be used directly -->
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Accessories\paint.lnk" />
                              <!-- for 3rd party desktop application, place the link file under appropriate folder -->
                              <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationLinkPath="%AppData%\Microsoft\Windows\Start Menu\Programs\MyLOB.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
    <Configs>
        <v3:GlobalProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Configs>
</AssignedAccessConfiguration>

Adicionar arquivo XML ao pacote de provisionamento

Antes de adicionar o arquivo XML a um pacote de provisionamento, você pode validar sua configuração XML no XSD.

Use a ferramenta Designer de Configuração do Windows para criar um pacote de provisionamento. Saiba como instalar o Designer de Configuração do Windows.

Importante

Ao criar um pacote de provisionamento, você pode incluir informações confidenciais nos arquivos de projeto e no arquivo de pacote de provisionamento (.ppkg). Embora você tenha a opção de criptografar o arquivo. ppkg, arquivos de projeto não são criptografados. Você deve armazenar os arquivos de projeto em um local seguro e excluí-los quando não forem mais necessários.

1. Abra o Designer de Configuração do Windows. Por padrão: %systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe.

2. Escolha Provisionamento avançado.

3. Nomeie seu projeto e selecione Avançar.

4. Escolha Todas Windows edições da área de trabalho e selecione Avançar.

5. Em Novo projeto, selecione Concluir. O espaço de trabalho para seu pacote é aberto.

6. Expanda Configurações em tempo de execução > AssignedAccess > MultiAppAssignedAccessSettings.

7. No painel central, selecione Procurar. Localize e selecione o arquivo XML de configuração de acesso atribuído que você criou.

   

8. Opcional: se você quiser aplicar o pacote de provisionamento após a configuração inicial do dispositivo e houver um usuário administrador já disponível no dispositivo de quiosque, ignore esta etapa. Crie uma conta de usuário administrador nas configurações de Runtime Contas > de > Usuários. Forneça um UserName e uma Senha e selecione UserGroup como Administradores. Com esta conta, você pode exibir o status de provisionamento e logs, se necessário.

9. Opcional: se você já tiver uma conta não administrativa no dispositivo de quiosque, ignore esta etapa. Crie uma conta de usuário padrão local nas configurações de Runtime Contas > de > Usuários. Verifique se o UserName é o mesmo da conta que você especifica no XML de configuração. Selecione UserGroup como Usuários Padrão.

10. No menu Arquivo, selecione Salvar.

11. No menu Exportar, selecione Pacote de provisionamento.

12. Altere Proprietário para Administrador de TI, que definirá a precedência desse pacote de provisionamento como mais alta do que os pacotes de provisionamento aplicados a este dispositivo de outras origens, e selecione Avançar.

13. Opcional. Na janela Segurança do pacote de provisionamento , você pode optar por criptografar o pacote e habilitar a assinatura do pacote.

    • Habilitar a criptografia de pacote – se você selecionar essa opção, uma senha gerada automaticamente será mostrada na tela.

    • Habilitar a assinatura de pacote – caso selecione essa opção, você deverá selecionar um certificado válido a ser usado para assinar o pacote. Você pode especificar o certificado clicando em Navegar e escolhendo o certificado que deseja usar para assinar o pacote.

14. Selecione Avançar para especificar o local de saída para onde você deseja que o pacote de provisionamento vá quando ele for compilado. Por padrão, o ICD (Designer de Configuração e Imagens do Windows) usa a pasta do projeto como o local de saída.

    Opcionalmente, você pode selecionar Procurar para alterar o local de saída padrão.

15. Selecione Avançar.

16. Selecione Compilar para começar a compilar o pacote. O pacote de provisionamento não leva muito tempo para compilar. As informações do projeto são exibidas na página de compilação, e a barra de progresso indica o status da compilação.

    Se você precisar cancelar o build, selecione Cancelar. Essa ação cancela o processo de build atual, fecha o assistente e leva você de volta para a Página de Personalizações.

17. Se sua compilação falhar, será exibida uma mensagem de erro que inclui um link para a pasta do projeto. Você pode examinar os logs para determinar o que causou o erro. Depois de corrigir o problema, tente compilar o pacote novamente.

    Se a compilação for bem-sucedida, o nome do pacote de provisionamento, o diretório de saída e o diretório do projeto serão mostrados.

    • Se você fizer essa opção, poderá compilar novamente o pacote de provisionamento e escolher um caminho diferente para o pacote de saída. Para executar essa ação, selecione Voltar para alterar o nome e o caminho do pacote de saída e, em seguida, selecione Avançar para iniciar outro build.
    • Se você terminar, selecione Concluir para fechar o assistente e voltar para a Página de Personalizações.

18. Copie o pacote de provisionamento para o diretório raiz de uma unidade USB.

Aplicar pacote de provisionamento ao dispositivo

Os pacotes de provisionamento podem ser aplicados a um dispositivo durante a configuração inicial (experiência inicial ou "OOBE") e após ("runtime"). Para obter mais informações, consulte Aplicar um pacote de provisionamento.

Observação

Se o pacote de provisionamento não incluir a criação da conta de usuário de acesso atribuído, verifique se a conta especificada no XML de configuração de vários aplicativos existe no dispositivo.

Usar o MDM para implantar a configuração de vários aplicativos

O modo de quiosque de vários aplicativos é habilitado pelo CSP (provedor de serviços de configuração) de AssignedAccess. Sua política MDM pode conter o XML de configuração de acesso atribuído.

Se o dispositivo estiver registrado com um serviço MDM que dê suporte à aplicação da configuração de acesso atribuído, você poderá usá-lo para aplicar a configuração remotamente.

O OMA-URI para a política de vários aplicativos é ./Device/Vendor/MSFT/AssignedAccess/Configuration.

Considerações sobre fones de ouvido imersivos do Windows Mixed Reality

Com o advento dos dispositivos de realidade misturada (link de vídeo), convém criar um quiosque que possa executar aplicativos de realidade misturada.

Para criar um quiosque de vários aplicativos que possa executar aplicativos de realidade misturada, você deve incluir os seguintes aplicativos na lista AllowedApps:

<App AppUserModelId="MixedRealityLearning_cw5n1h2txyewy!MixedRealityLearning" />
<App AppUserModelId="HoloShell_cw5n1h2txyewy!HoloShell" />
<App AppUserModelId="Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy!App" />
<App AppUserModelId="Microsoft.MixedReality.Portal_8wekyb3d8bbwe!App" />

Esses aplicativos são além dos aplicativos de realidade misturada que você permite.

Antes de o usuário de quiosque entrar: um usuário administrador deve entrar no computador, conectar um dispositivo de realidade misturada e concluir a instalação interativa para o Portal de Realidade Misturada. Na primeira vez que o Portal de Realidade Misturada for configurado, alguns arquivos e conteúdo serão baixados. Um usuário de quiosque não teria permissões para baixar e, portanto, sua configuração do portal Realidade Misturada falharia.

Depois que o administrador tiver concluído a instalação, a conta de quiosque poderá entrar e repetir a instalação. O administrador pode querer uma forma de concluir a instalação de usuário do quiosque antes de fornecer o computador a funcionários ou clientes.

Há uma diferença entre as experiências de realidade misturada para um usuário de quiosque e outros usuários. Normalmente, quando um usuário conecta um dispositivo de realidade misturada, ele começa na tela inicial de Realidade Misturada. A página inicial de Realidade Misturada é um shell executado no modo "silencioso" quando o computador está configurado como um quiosque. Quando um usuário de quiosque conecta um dispositivo de realidade misturada, ele verá apenas uma exibição em branco no dispositivo e não terá acesso aos recursos e funcionalidades disponíveis na página inicial. Para executar um app de realidade misturada, o usuário de quiosque deverá iniciar o app da tela inicial do computador.

Políticas definidas pela configuração de quiosque de vários aplicativos

Não é recomendável definir políticas impostas no modo de vários aplicativos de acesso atribuído a valores diferentes usando outros canais, pois o modo de vários aplicativos foi otimizado para fornecer uma experiência bloqueada.

Quando a configuração de acesso atribuído a vários aplicativos é aplicada no dispositivo, determinadas políticas são impostas em todo o sistema e afetarão outros usuários no dispositivo.

Política de grupo

As seguintes políticas locais afetam todos os usuários não administradores no sistema, independentemente se o usuário estiver configurado como um usuário de acesso atribuído ou não. Essa lista inclui usuários locais, usuários de domínio e Azure Active Directory usuários.

Configuração	Valor
Remover o acesso aos menus de contexto para a barra de tarefas	Habilitado
Limpar o histórico de documentos abertos recentemente ao sair	Habilitado
Impedir que os usuários personalizem a tela inicial	Habilitado
Impedir que os usuários desinstalem aplicativos da tela inicial	Habilitado
Remover a lista Todos os Programas do menu Iniciar	Habilitado
Remover o comando Executar do menu Iniciar	Habilitado
Desabilitar a exibição de notificações do sistema	Habilitado
Não permitir a fixação de itens nas Listas de Atalhos	Habilitado
Não permitir a fixação de programas na Barra de Tarefas	Habilitado
Não exibir nem controlar itens nas Listas de Atalhos a partir de locais remotos	Habilitado
Remover Notificações e a Central de Ações	Habilitado
Bloquear todas as configurações da barra de tarefas	Habilitado
Bloquear a Barra de Tarefas	Habilitado
Impedir que os usuários adicionem ou removam barras de ferramentas	Habilitado
Impedir que os usuários redimensionem a barra de tarefas	Habilitado
Remover a lista de programas frequentes do menu Iniciar	Habilitado
Remover 'Mapear Unidade de Rede' e 'Desconectar Unidade de Rede'	Habilitado
Remover o ícone de Segurança e Manutenção	Habilitado
Desativar todas as notificações de balão	Habilitado
Desativar as notificações de balão de anúncio do recurso	Habilitado
Desativar as notificações do sistema	Habilitado
Remover o Gerenciador de Tarefas	Habilitado
Remover a opção de Alterar Senha na interface do usuário de Opções de Segurança	Habilitado
Remover a opção Sair da interface do usuário de Opções de Segurança	Habilitado
Remover a lista Todos os Programas do menu Iniciar	Habilitado – Remover e desabilitar configuração
Impedir o acesso a unidades de Meu Computador	Habilitado - Restringir todos os drivers

Observação

Quando Impedir o acesso a unidades de Meu Computador estiver habilitado, os usuários poderão navegar na estrutura de diretórios no Explorador de Arquivos, mas eles não poderão abrir pastas e acessar o conteúdo. Além disso, eles não podem usar a caixa de diálogo Executar ou a caixa de diálogo Mapear Unidade de Rede para exibir as pastas nessas unidades. Os ícones que representam as unidades especificadas ainda aparecem no Explorador de Arquivos, mas se os usuários clicarem duas vezes nos ícones, uma mensagem será exibida explicando que uma configuração impede a ação. Essa configuração não impede que os usuários usem programas para acessar as unidades locais e de rede. Ela não impede que os usuários usem o snap-in Gerenciamento de Disco para exibir e alterar as características da unidade.

Política de MDM

Algumas das políticas de MDM baseadas no CSP ( provedor de serviços de configuração de política) afetam todos os usuários no sistema.

Configuração	Valor	Todo o sistema
Experience/AllowCortana	0 - Não permitido	Sim
Start/AllowPinnedFolderDocuments	0 - O atalho fica oculto e desabilita a configuração no app Configurações	Sim
Start/AllowPinnedFolderDownloads	0 - O atalho fica oculto e desabilita a configuração no app Configurações	Sim
Start/AllowPinnedFolderFileExplorer	0 - O atalho fica oculto e desabilita a configuração no app Configurações	Sim
Start/AllowPinnedFolderHomeGroup	0 - O atalho fica oculto e desabilita a configuração no app Configurações	Sim
Start/AllowPinnedFolderMusic	0 - O atalho fica oculto e desabilita a configuração no app Configurações	Sim
Start/AllowPinnedFolderNetwork	0 - O atalho fica oculto e desabilita a configuração no app Configurações	Sim
Start/AllowPinnedFolderPersonalFolder	0 - O atalho fica oculto e desabilita a configuração no app Configurações	Sim
Start/AllowPinnedFolderPictures	0 - O atalho fica oculto e desabilita a configuração no app Configurações	Sim
Start/AllowPinnedFolderSettings	0 - O atalho fica oculto e desabilita a configuração no app Configurações	Sim
Start/AllowPinnedFolderVideos	0 - O atalho fica oculto e desabilita a configuração no app Configurações	Sim
Start/DisableContextMenus	1 - Os menus de contexto estão ocultos para aplicativos iniciar	Não
Start/HidePeopleBar	1 - True (ocultar)	Não
Start/HideChangeAccountSettings	1 - True (ocultar)	Sim
WindowsInkWorkspace/AllowWindowsInkWorkspace	0 - O acesso ao espaço de trabalho de tinta está desabilitado e o recurso está desativado	Sim
Start/StartLayout	Depende da configuração	Não
WindowsLogon/DontDisplayNetworkSelectionUI	<Habilitado/>	Sim

Provisionar arquivos .lnk usando o Designer de Configuração do Windows

Primeiro, crie o arquivo de atalho do aplicativo da área de trabalho instalando o aplicativo em um dispositivo de teste, usando o local de instalação padrão. Clique com botão direito do mouse no aplicativo instalado e escolha Enviar para > Área de Trabalho (criar atalho). Renomear o atalho para <appName>.lnk

Em seguida, crie um arquivo em lotes com dois comandos. Se o aplicativo da área de trabalho já estiver instalado no dispositivo de destino, ignore o primeiro comando de instalação do MSI.

msiexec /I "<appName>.msi" /qn /norestart
copy <appName>.lnk "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\<appName>.lnk"

No Designer de Configuração do Windows, em ProvisioningCommands > DeviceContext:

• Em CommandFiles, carregue o arquivo em lotes, o arquivo .lnk e o arquivo de instalação do aplicativo da área de trabalho.

  Importante

  Cole o caminho completo do arquivo para o arquivo .lnk no campo CommandFiles . Se você navegar e selecionar o arquivo .lnk, o caminho do arquivo será alterado para o caminho do destino do .lnk.

• Em CommandLine, insira cmd /c *FileName*.bat.

Outros métodos

Ambientes que usam WMI podem usar o Provedor WMI de Ponte MDM para configurar um quiosque.