Share via


Configuración de directiva de acceso asignada

Cuando se aplica la configuración de acceso asignado en un dispositivo, se aplican ciertas opciones de configuración de directiva y reglas de AppLocker, lo que afecta a los usuarios que acceden al dispositivo. La configuración de directiva usa una combinación de configuración de proveedor de servicios (CSP) y directiva de grupo (GPO).

En este artículo de referencia se enumeran la configuración de la directiva y las reglas de AppLocker aplicadas por El acceso asignado.

Nota

No se recomienda configurar las opciones de directiva aplicadas por el acceso asignado a valores diferentes mediante otros canales. El acceso asignado está optimizado para proporcionar una experiencia bloqueada.

Configuración de la directiva de dispositivo

La siguiente configuración de directiva se aplica en el nivel de dispositivo al implementar una experiencia de usuario restringida. Cualquier usuario que acceda al dispositivo está sujeto a la configuración de directiva, incluidas las cuentas de administrador:

Tipo Ruta de acceso Nombre/descripción
CSP ./Vendor/MSFT/Policy/Config/Experience/AllowCortana Deshabilitar Cortana
CSP ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDocuments Icono Deshabilitar inicio de documentos
CSP ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDownloads Icono Deshabilite Iniciar descargas
CSP ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderFileExplorer Deshabilitación del icono Iniciar explorador de archivos
CSP ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderHomeGroup Deshabilitar el icono de inicio del grupo principal
CSP ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderMusic Deshabilitación del icono iniciar música
CSP ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderNetwork Deshabilitar icono de red de inicio
CSP ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPersonalFolder Deshabilitación del icono Iniciar carpeta personal
CSP ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPictures Deshabilitación del icono Iniciar imágenes
CSP ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderSettings Icono Deshabilitar configuración de inicio
CSP ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderVideos Icono Deshabilitar inicio de vídeos
CSP ./Vendor/MSFT/Policy/Config/Start/HideChangeAccountSettings Ocultar cambiar la configuración de la cuenta para que no aparezca en el icono de usuario
CSP ./Vendor/MSFT/Policy/Config/Update/SetAutoRestartNotificationDisable Oculta todas las notificaciones de actualización
CSP ./Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel Deshabilita las notificaciones de reinicio automático para las actualizaciones
CSP ./Vendor/MSFT/Policy/Config/WindowsInkWorkspace/AllowWindowsInkWorkspace El acceso al área de trabajo de ink está deshabilitado
CSP ./Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI Ocultar la interfaz de usuario de redes en la pantalla de inicio de sesión, así como en la interfaz de usuario de "opciones de seguridad"

Configuración de la directiva de usuario

La siguiente configuración de directiva se aplica a cualquier cuenta no administradora al implementar una experiencia de usuario restringida:

Tipo Ruta de acceso Nombre/descripción
CSP ./User/Vendor/MSFT/Policy/Config/Start/DisableContextMenus Deshabilitar menú contextual para aplicaciones de menú Inicio
CSP ./User/Vendor/MSFT/Policy/Config/Start/HidePeopleBar Ocultar Personas barra de tareas
CSP ./User/Vendor/MSFT/Policy/Config/Start/HideRecentlyAddedApps Ocultar la aparición de aplicaciones agregadas recientemente en el menú Inicio
CSP ./User/Vendor/MSFT/Policy/Config/Start/HideRecentJumplists Ocultar que aparecen listas de saltos recientes en el menú Inicio o barra de tareas
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Borrar historial de documentos abiertos recientemente al salir
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Deshabilitar los globos de notificaciones del sistema como notificación del sistema
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas No permitir el anclaje de elementos a listas de accesos directos
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas No permitir el anclado de programas a la barra de tareas
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas No mostrar elementos, ni realizar el seguimiento de los mismos, en las listas de accesos directos desde ubicaciones remotas
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Ocultar y deshabilitar todos los elementos del escritorio
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Ocultar el botón Vista de tareas
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Bloquear todas las configuraciones de la barra de tareas
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Bloquear la barra de tareas
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Impedir que los usuarios agreguen o quiten las barras de herramientas
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Impedir que los usuarios personalicen su pantalla Inicio
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Impedir que los usuarios muevan la barra de tareas a otra ubicación de acoplamiento de pantalla
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Impedir que los usuarios reordene las barras de herramientas
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Impedir que los usuarios cambien el tamaño de la barra de tareas
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Impedir que los usuarios desinstalen aplicaciones desde Inicio
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Quitar acceso a los menús contextuales de la barra de tareas
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Quitar del menú Inicio la lista Todos los programas
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Quitar centro de control
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Quitar del menú Inicio la lista de programas de uso frecuente
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Quitar notificación y centro de acciones
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Eliminación de la configuración rápida
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Quitar el menú Ejecutar del menú Inicio
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Quitar el icono de seguridad y mantenimiento
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Desactivar todos los globos de notificaciones
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y barra de tareas Desactivar los globos de notificaciones de anuncios de características
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y Barra de tareas\Notificaciones Desactivar notificaciones del sistema
GPO Configuración de usuario\Plantillas administrativas\Sistema\Opciones Ctrl+Alt+Supr Quitar cambiar contraseña
GPO Configuración de usuario\Plantillas administrativas\Sistema\Opciones Ctrl+Alt+Supr Quitar cierre de sesión
GPO Configuración de usuario\Plantillas administrativas\Sistema\Opciones Ctrl+Alt+Supr Quitar el Administrador de tareas
GPO Configuración de usuario\Plantillas administrativas\Componentes de Windows\Explorador de archivos Eliminación de la unidad de red de mapa y desconexión de la unidad de red
GPO Configuración de usuario\Plantillas administrativas\Componentes de Windows\Explorador de archivos Quitar el menú contextual predeterminado de Explorador de archivos

La siguiente configuración de directiva se aplica a la cuenta de pantalla completa al configurar una experiencia de pantalla completa con Microsoft Edge:

Tipo Ruta de acceso Nombre/descripción
GPO Configuración de usuario\Plantillas administrativas\Menú Inicio y Barra de tareas\Notificaciones Ejecutar solo aplicaciones de Windows especificadas >msedge.exe
GPO Configuración de usuario\Plantillas administrativas\Sistema Desactivar notificaciones del sistema
GPO Configuración de usuario\Plantillas administrativas\Componentes de Windows\Administrador de datos adjuntos Nivel de riesgo predeterminado para los datos adjuntos de > archivos Alto riesgo
GPO Configuración de usuario\Plantillas administrativas\Componentes de Windows\Administrador de datos adjuntos Lista de inclusión para tipos de archivo bajos >.pdf;.epub
GPO Configuración de usuario\Plantillas administrativas\Componentes de Windows\Explorador de archivos Quitar el menú contextual predeterminado de Explorador de archivos

Reglas de AppLocker

Al implementar una experiencia de usuario restringida de acceso asignado, se generan reglas de AppLocker para permitir las aplicaciones que aparecen en la configuración. Estas son las reglas predefinidas de AppLocker de acceso asignado:

reglas de aplicación de Plataforma universal de Windows (UWP)

  1. La regla predeterminada es permitir que todos los usuarios inicien las aplicaciones empaquetadas firmadas.
  2. La lista de denegación de aplicaciones empaquetadas se genera en tiempo de ejecución cuando el usuario de Acceso asignado inicia sesión:
    1. En función de las aplicaciones instaladas disponibles para la cuenta de usuario, El acceso asignado genera la lista de denegaciones. La lista excluye las aplicaciones empaquetadas de bandeja de entrada permitidas predeterminadas, que son fundamentales para que el sistema funcione y, a continuación, excluye los paquetes permitidos definidos en la configuración de acceso asignado.
    2. Si hay varias aplicaciones dentro del mismo paquete, se excluyen todas las aplicaciones.

La lista de denegación se usa para impedir que el usuario acceda a las aplicaciones, que están disponibles actualmente para el usuario, pero no en la lista permitida.

Nota

No se pueden administrar las reglas de AppLocker generadas por la experiencia de usuario restringida en complementos MMC. Evite crear reglas de AppLocker que entren en conflicto con las reglas de AppLocker generadas por El acceso asignado.

El acceso asignado no impide que la organización o los usuarios instalen aplicaciones para UWP. Cuando se instala una nueva aplicación para UWP durante una sesión de acceso asignado, la aplicación no está en la lista de denegaciones. Cuando el usuario cierra la sesión e inicia sesión de nuevo, la aplicación instalada se incluye en la lista de denegaciones. En el caso de las aplicaciones implementadas de forma centralizada que desea permitir, como las aplicaciones de línea de equidad, actualice la configuración de Acceso asignado e incluya las aplicaciones en la lista de aplicaciones permitidas.

Reglas de aplicación de escritorio

  1. La regla predeterminada es permitir que todos los usuarios inicien los programas de escritorio firmados con Microsoft Certificate para que el sistema arranque y funcione. La regla también permite que el grupo de usuarios administradores inicie todos los programas de escritorio.
  2. Hay una lista predefinida de denegación de aplicaciones de escritorio de bandeja de entrada para la cuenta de usuario de Acceso asignado, que se actualiza en función de la lista de permitidos de aplicaciones de escritorio que definió en la configuración de Acceso asignado.
  3. Las aplicaciones de escritorio permitidas definidas por la empresa se agregan en la lista de permitidos de AppLocker.