Configuración de directiva de acceso asignada
Cuando se aplica la configuración de acceso asignado en un dispositivo, se aplican ciertas opciones de configuración de directiva y reglas de AppLocker, lo que afecta a los usuarios que acceden al dispositivo. La configuración de directiva usa una combinación de configuración de proveedor de servicios (CSP) y directiva de grupo (GPO).
En este artículo de referencia se enumeran la configuración de la directiva y las reglas de AppLocker aplicadas por El acceso asignado.
Nota
No se recomienda configurar las opciones de directiva aplicadas por el acceso asignado a valores diferentes mediante otros canales. El acceso asignado está optimizado para proporcionar una experiencia bloqueada.
Configuración de la directiva de dispositivo
La siguiente configuración de directiva se aplica en el nivel de dispositivo al implementar una experiencia de usuario restringida. Cualquier usuario que acceda al dispositivo está sujeto a la configuración de directiva, incluidas las cuentas de administrador:
| Tipo | Ruta de acceso | Nombre/descripción |
|---|---|---|
| CSP | ./Vendor/MSFT/Policy/Config/Experience/AllowCortana |
Deshabilitar Cortana |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDocuments |
Icono Deshabilitar inicio de documentos |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDownloads |
Icono Deshabilite Iniciar descargas |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderFileExplorer |
Deshabilitación del icono Iniciar explorador de archivos |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderHomeGroup |
Deshabilitar el icono de inicio del grupo principal |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderMusic |
Deshabilitación del icono iniciar música |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderNetwork |
Deshabilitar icono de red de inicio |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPersonalFolder |
Deshabilitación del icono Iniciar carpeta personal |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPictures |
Deshabilitación del icono Iniciar imágenes |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderSettings |
Icono Deshabilitar configuración de inicio |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderVideos |
Icono Deshabilitar inicio de vídeos |
| CSP | ./Vendor/MSFT/Policy/Config/Start/HideChangeAccountSettings |
Ocultar cambiar la configuración de la cuenta para que no aparezca en el icono de usuario |
| CSP | ./Vendor/MSFT/Policy/Config/Update/SetAutoRestartNotificationDisable |
Oculta todas las notificaciones de actualización |
| CSP | ./Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel |
Deshabilita las notificaciones de reinicio automático para las actualizaciones |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsInkWorkspace/AllowWindowsInkWorkspace |
El acceso al área de trabajo de ink está deshabilitado |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI |
Ocultar la interfaz de usuario de redes en la pantalla de inicio de sesión, así como en la interfaz de usuario de "opciones de seguridad" |
Configuración de la directiva de usuario
La siguiente configuración de directiva se aplica a cualquier cuenta no administradora al implementar una experiencia de usuario restringida:
| Tipo | Ruta de acceso | Nombre/descripción |
|---|---|---|
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/DisableContextMenus |
Deshabilitar menú contextual para aplicaciones de menú Inicio |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HidePeopleBar |
Ocultar Personas barra de tareas |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentlyAddedApps |
Ocultar la aparición de aplicaciones agregadas recientemente en el menú Inicio |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentJumplists |
Ocultar que aparecen listas de saltos recientes en el menú Inicio o barra de tareas |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Borrar historial de documentos abiertos recientemente al salir |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Deshabilitar los globos de notificaciones del sistema como notificación del sistema |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | No permitir el anclaje de elementos a listas de accesos directos |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | No permitir el anclado de programas a la barra de tareas |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | No mostrar elementos, ni realizar el seguimiento de los mismos, en las listas de accesos directos desde ubicaciones remotas |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Ocultar y deshabilitar todos los elementos del escritorio |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Ocultar el botón Vista de tareas |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Bloquear todas las configuraciones de la barra de tareas |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Bloquear la barra de tareas |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Impedir que los usuarios agreguen o quiten las barras de herramientas |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Impedir que los usuarios personalicen su pantalla Inicio |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Impedir que los usuarios muevan la barra de tareas a otra ubicación de acoplamiento de pantalla |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Impedir que los usuarios reordene las barras de herramientas |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Impedir que los usuarios cambien el tamaño de la barra de tareas |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Impedir que los usuarios desinstalen aplicaciones desde Inicio |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Quitar acceso a los menús contextuales de la barra de tareas |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Quitar del menú Inicio la lista Todos los programas |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Quitar centro de control |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Quitar del menú Inicio la lista de programas de uso frecuente |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Quitar notificación y centro de acciones |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Eliminación de la configuración rápida |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Quitar el menú Ejecutar del menú Inicio |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Quitar el icono de seguridad y mantenimiento |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Desactivar todos los globos de notificaciones |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas | Desactivar los globos de notificaciones de anuncios de características |
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y Barra de tareas\Notificaciones | Desactivar notificaciones del sistema |
| GPO | Configuración de usuario\Plantillas administrativas\Sistema\Opciones Ctrl+Alt+Supr | Quitar cambiar contraseña |
| GPO | Configuración de usuario\Plantillas administrativas\Sistema\Opciones Ctrl+Alt+Supr | Quitar cierre de sesión |
| GPO | Configuración de usuario\Plantillas administrativas\Sistema\Opciones Ctrl+Alt+Supr | Quitar el Administrador de tareas |
| GPO | Configuración de usuario\Plantillas administrativas\Componentes de Windows\Explorador de archivos | Eliminación de la unidad de red de mapa y desconexión de la unidad de red |
| GPO | Configuración de usuario\Plantillas administrativas\Componentes de Windows\Explorador de archivos | Quitar el menú contextual predeterminado de Explorador de archivos |
La siguiente configuración de directiva se aplica a la cuenta de pantalla completa al configurar una experiencia de pantalla completa con Microsoft Edge:
| Tipo | Ruta de acceso | Nombre/descripción |
|---|---|---|
| GPO | Configuración de usuario\Plantillas administrativas\Menú Inicio y Barra de tareas\Notificaciones | Ejecutar solo aplicaciones de Windows especificadas >msedge.exe |
| GPO | Configuración de usuario\Plantillas administrativas\Sistema | Desactivar notificaciones del sistema |
| GPO | Configuración de usuario\Plantillas administrativas\Componentes de Windows\Administrador de datos adjuntos | Nivel de riesgo predeterminado para los datos adjuntos de > archivos Alto riesgo |
| GPO | Configuración de usuario\Plantillas administrativas\Componentes de Windows\Administrador de datos adjuntos | Lista de inclusión para tipos de archivo bajos >.pdf;.epub |
| GPO | Configuración de usuario\Plantillas administrativas\Componentes de Windows\Explorador de archivos | Quitar el menú contextual predeterminado de Explorador de archivos |
Reglas de AppLocker
Al implementar una experiencia de usuario restringida de acceso asignado, se generan reglas de AppLocker para permitir las aplicaciones que aparecen en la configuración. Estas son las reglas predefinidas de AppLocker de acceso asignado:
reglas de aplicación de Plataforma universal de Windows (UWP)
- La regla predeterminada es permitir que todos los usuarios inicien las aplicaciones empaquetadas firmadas.
- La lista de denegación de aplicaciones empaquetadas se genera en tiempo de ejecución cuando el usuario de Acceso asignado inicia sesión:
- En función de las aplicaciones instaladas disponibles para la cuenta de usuario, El acceso asignado genera la lista de denegaciones. La lista excluye las aplicaciones empaquetadas de bandeja de entrada permitidas predeterminadas, que son fundamentales para que el sistema funcione y, a continuación, excluye los paquetes permitidos definidos en la configuración de acceso asignado.
- Si hay varias aplicaciones dentro del mismo paquete, se excluyen todas las aplicaciones.
La lista de denegación se usa para impedir que el usuario acceda a las aplicaciones, que están disponibles actualmente para el usuario, pero no en la lista permitida.
Nota
No se pueden administrar las reglas de AppLocker generadas por la experiencia de usuario restringida en complementos MMC. Evite crear reglas de AppLocker que entren en conflicto con las reglas de AppLocker generadas por El acceso asignado.
El acceso asignado no impide que la organización o los usuarios instalen aplicaciones para UWP. Cuando se instala una nueva aplicación para UWP durante una sesión de acceso asignado, la aplicación no está en la lista de denegaciones. Cuando el usuario cierra la sesión e inicia sesión de nuevo, la aplicación instalada se incluye en la lista de denegaciones. En el caso de las aplicaciones implementadas de forma centralizada que desea permitir, como las aplicaciones de línea de equidad, actualice la configuración de Acceso asignado e incluya las aplicaciones en la lista de aplicaciones permitidas.
Reglas de aplicación de escritorio
- La regla predeterminada es permitir que todos los usuarios inicien los programas de escritorio firmados con Microsoft Certificate para que el sistema arranque y funcione. La regla también permite que el grupo de usuarios administradores inicie todos los programas de escritorio.
- Hay una lista predefinida de denegación de aplicaciones de escritorio de bandeja de entrada para la cuenta de usuario de Acceso asignado, que se actualiza en función de la lista de permitidos de aplicaciones de escritorio que definió en la configuración de Acceso asignado.
- Las aplicaciones de escritorio permitidas definidas por la empresa se agregan en la lista de permitidos de AppLocker.