Recomendaciones de acceso asignado
Este artículo contiene recomendaciones para dispositivos configurados con acceso asignado y iniciador de shell. La mayoría de las recomendaciones incluyen la configuración de directiva de grupo (GPO) y proveedor de servicios de configuración (CSP) para ayudarle a configurar los dispositivos de pantalla completa.
Cuenta de usuario de pantalla completa
En el caso de los dispositivos de pantalla completa ubicados en entornos orientados al público, configure como una cuenta de pantalla completa una cuenta de usuario con los privilegios mínimos, como una cuenta de usuario estándar local. El uso de un usuario de Active Directory o Microsoft Entra usuario podría permitir que un atacante obtenga acceso a recursos de dominio accesibles para cualquier cuenta de dominio. Cuando use cuentas de dominio con acceso asignado, tenga cuidado. Tenga en cuenta los recursos de dominio potencialmente expuestos mediante una cuenta de dominio.
Inicio de sesión automático
Considere la posibilidad de habilitar el inicio de sesión automático para el dispositivo de pantalla completa. Cuando se reinicia el dispositivo, desde una actualización o una interrupción de energía, puede configurar el dispositivo para que inicie sesión automáticamente con la cuenta de acceso asignado. Asegúrese de que la configuración de directiva aplicada al dispositivo no impide que el inicio de sesión automático funcione según lo esperado. Por ejemplo, la configuración de directiva PreferredAadTenantDomainName impide que el inicio de sesión automático funcione.
Puede configurar los archivos XML de acceso asignado y iniciador de shell con una cuenta para que inicien sesión automáticamente. Para obtener más información, consulte los artículos:
- Creación de un archivo XML de configuración de acceso asignado
- Creación de un archivo de configuración del iniciador de shell
Como alternativa, puede editar el Registro para que una cuenta inicie sesión automáticamente:
| Ruta de acceso | Nombre | Tipo | Valor |
|---|---|---|---|
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
AutoAdminLogon |
REG_DWORD | 1 |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultUserName |
Cadena | Establezca el valor como la cuenta en la que desea iniciar sesión. |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultPassword |
Cadena | Establezca el valor como la contraseña de la cuenta. |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultDomainName |
Cadena | Establezca el valor para el dominio, solo para las cuentas de dominio. En el caso de las cuentas locales, no agregue esta clave. |
Una vez configurado el inicio de sesión automático, reinicie el dispositivo. La cuenta iniciará sesión automáticamente.
Nota
Si usa Inicio de sesión personalizado con HideAutoLogonUI habilitado, es posible que experimente una pantalla negra cuando expire la contraseña de la cuenta de usuario. Considere la posibilidad de establecer la contraseña para que nunca expire.
Windows Update
Configure los dispositivos de pantalla completa para que estén siempre actualizados, sin interrumpir la experiencia del usuario. Estas son algunas opciones de configuración de directiva que se deben tener en cuenta para configurar Windows Update para los dispositivos de pantalla completa:
| Tipo | Ruta de acceso | Nombre/descripción |
|---|---|---|
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/ActiveHoursEnd |
Valor entero que representa el final de las horas activas. Por ejemplo, 22 representa las 10 p.m. |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/ActiveHoursStart |
Valor entero que representa el inicio de las horas activas. Por ejemplo, 7 representa las 7 a. m. |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/AllowAutoUpdate |
Valor entero. Establecer en 3 : descarga automática y programación de la instalación |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/ScheduledInstallTime |
Valor entero. Especifique la hora para que el dispositivo instale las actualizaciones. Por ejemplo, 23 representa las 11 p.m. |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel |
Valor entero. Establézcalo 2en : desactive todas las notificaciones, incluidas las advertencias de reinicio. |
| GPO | Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update\Administrar la experiencia del usuario final | Mostrar opciones para notificaciones de > actualización Establezca el valor en 2: desactivar todas las notificaciones, incluidas las advertencias de reinicio. |
| GPO | Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update\Administrar la experiencia del usuario final\Configurar Novedades automático | 4 - Descarga automática y programación de la instalación> especificar un tiempo de instalación que está fuera de las horas activas |
| GPO | Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update\Administrar la experiencia del usuario final\Desactivar inicio automático para actualizaciones durante las horas activas | Configure las horas activas de inicio y finalización, durante las cuales el dispositivo de pantalla completa no se puede reiniciar debido a Windows Update |
Configuración de energía
Es posible que quiera evitar que el dispositivo de pantalla completa entre en suspensión o impedir que los usuarios apaguen o reinicien el quiosco. Estas son algunas opciones a tener en cuenta:
| Tipo | Ruta de acceso | Nombre/descripción |
|---|---|---|
| CSP | ./Device/Vendor/MSFT/Policy/Config/ADMX_StartMenu/HidePowerOptions |
Cadena. Establecer en <Enabled/> |
| CSP | ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn |
Valor entero. Establecer en 0 |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Power/DisplayOffTimeoutPluggedIn |
Cadena. Establecer en <Enabled/><Data ID="EnterVideoACPowerDownTimeOut" value="0"/> |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Power/SelectPowerButtonActionPluggedIn |
Entero. Establecer en 0 |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Power/SelectSleepButtonActionPluggedIn |
Entero. Establecer en 0 |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Power/StandbyTimeoutPluggedIn |
Cadena. Establecer en <Enabled/><Data ID="EnterACStandbyTimeOut" value="0"/> |
| GPO | Configuración del equipo\Plantillas administrativas\Menú Inicio y barra de tareas\Quitar e impedir el acceso a los comandos Apagar, Reiniciar, Suspender e Hibernar | Habilitar |
| GPO | Configuración del equipo\Plantillas administrativas\Sistema\Administración de energía\Configuración de botón\Seleccionar la acción de botón De encendido | Seleccionar la acción: No realizar ninguna acción |
| GPO | Configuración del equipo\Plantillas administrativas\Sistema\Administración de energía\Configuración de botones\Seleccionar la acción de botón De suspensión | Seleccionar la acción: No realizar ninguna acción |
| GPO | Configuración del equipo\Plantillas administrativas\Sistema\Administración de energía\Especificar el tiempo de espera de suspensión del sistema | Establezca el valor en 0 segundos. |
| GPO | Configuración del equipo\Plantillas administrativas\Sistema\Administración de energía\Configuración de vídeo y visualización\Desactivar la pantalla | Establezca el valor en 0 segundos. |
| GPO | Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Apagado: permitir que el sistema se apague sin tener que iniciar sesión | Deshabilitado |
| GPO | Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Apagar el sistema | Quite los usuarios o grupos de esta directiva. Para evitar que esta directiva afecte a un miembro del grupo Administradores, asegúrese de mantener el grupo Administradores. |
Nota
También puede deshabilitar el botón de encendido en la pantalla de opciones de seguridad mediante una característica denominada Inicio de sesión personalizado. Para obtener más información sobre cómo quitar el botón de encendido o deshabilitar el botón de encendido físico, vea Inicio de sesión personalizado.
Métodos abreviados de teclado
Los siguientes métodos abreviados de teclado no se bloquean para ninguna cuenta de usuario configurada con una experiencia de usuario restringida:
- Alt + F4
- Alt + Pestaña
- Alt + Cambio + Pestaña
- Ctrl + Alt + Eliminar
Puede usar filtro de teclado para bloquear las combinaciones de teclas. La configuración del filtro de teclado se aplica a otras cuentas estándar.
Accesos directos de accesibilidad
El acceso asignado no cambia la configuración de accesibilidad. Use Filtro de teclado para bloquear las siguientes combinaciones de teclas que abren las características de accesibilidad:
| Combinación de teclas | Comportamiento bloqueado |
|---|---|
| Alt + izquierdoDesplazamiento a la + izquierdaPantalla de impresión | Cuadro de diálogo Abrir contraste alto |
| Alt + izquierdoDesplazamiento a la + izquierdaBloqueo num | Cuadro de diálogo Abrir teclas del mouse |
| GANAR + U | Abra el panel de accesibilidad de la aplicación Configuración. |
Nota
Si filtro de teclado está activado, algunas combinaciones de teclas se bloquean automáticamente sin tener que bloquearlas explícitamente. Para obtener más información, vea Filtro de teclado.
También puede deshabilitar las características de accesibilidad y otras opciones en la pantalla de bloqueo con Inicio de sesión personalizado. Por ejemplo, para quitar la opción Accesibilidad, use la siguiente clave del Registro:
| Ruta de acceso | Nombre | Tipo | Valor |
|---|---|---|---|
HKLM\Software\Microsoft\Windows Embedded\EmbeddedLogon\BrandingNeutral |
BrandingNeutral |
REG_DWORD | 8 |
Elección de una aplicación para una experiencia de pantalla completa
Para crear una experiencia de pantalla completa con Acceso asignado, puedes elegir aplicaciones para UWP o Microsoft Edge. Sin embargo, es posible que algunas aplicaciones no proporcionen una buena experiencia de usuario cuando se usan como pantalla completa.
Las siguientes directrices le ayudarán a elegir una aplicación de Windows adecuada para una experiencia de pantalla completa:
- Las aplicaciones de Windows deben aprovisionarse o instalarse para la cuenta de acceso asignado antes de que se puedan seleccionar como la aplicación De acceso asignado. Aprenda a aprovisionar e instalar aplicaciones
- A veces, las actualizaciones de aplicaciones para UWP pueden cambiar el identificador de modelo de usuario de la aplicación (AUMID) de la aplicación. En este escenario, debe actualizar la configuración de Acceso asignado para ejecutar la aplicación actualizada, ya que Acceso asignado usa el AUMID para determinar la aplicación que se va a iniciar.
- La aplicación debe poder ejecutarse encima de la pantalla de bloqueo. Si la aplicación no se puede ejecutar por encima de la pantalla de bloqueo, no se puede usar como una aplicación de pantalla completa.
- Algunas aplicaciones pueden iniciar otras aplicaciones. El acceso asignado en modo de pantalla completa impide que las aplicaciones de Windows inicien otras aplicaciones. Evite seleccionar aplicaciones de Windows diseñadas para iniciar otras aplicaciones como parte de su funcionalidad principal.
- Microsoft Edge incluye compatibilidad con el modo de pantalla completa. Para obtener más información, consulte Modo de pantalla completa de Microsoft Edge.
- No seleccione aplicaciones de Windows que puedan exponer información que no quiera mostrar en la pantalla completa, ya que el quiosco multimedia suele significar acceso anónimo y se localiza en una configuración pública. Por ejemplo, una aplicación que tiene un selector de archivos permite al usuario obtener acceso a archivos y carpetas en el sistema del usuario, evitar seleccionar estos tipos de aplicaciones si proporcionan acceso a datos innecesarios.
- Algunas aplicaciones pueden requerir más configuraciones antes de que se puedan usar correctamente en Acceso asignado. Por ejemplo, Microsoft OneNote requiere que configure una cuenta Microsoft para la cuenta de usuario de Acceso asignado antes de que se abra OneNote.
- El perfil de quiosco está diseñado para dispositivos de pantalla completa orientados al público. Use una cuenta local no administradora. Si el dispositivo está conectado a la red de la organización, el uso de un dominio o una cuenta de Microsoft Entra podría poner en peligro la información confidencial.
Al planear la implementación de una pantalla completa o una experiencia de usuario restringida, tenga en cuenta las siguientes recomendaciones:
- Evalúe todas las aplicaciones que los usuarios deben usar. Si las aplicaciones requieren autenticación de usuario, no use una cuenta de usuario local o genérica. En su lugar, tenga como destino el grupo de usuarios dentro del archivo de configuración de acceso asignado.
- Un quiosco de varias aplicaciones es adecuado para dispositivos compartidos por varias personas. Al configurar una pantalla completa de varias aplicaciones, determinadas opciones de directiva que afectan a todos los usuarios no administradores del dispositivo. Para obtener una lista de estas directivas, consulte Configuración de directivas de acceso asignado.
Desarrollar tu aplicación de pantalla completa
Acceso asignado usa el marco De bloqueo. Cuando un usuario de Acceso asignado inicia sesión, la aplicación de pantalla completa seleccionada se inicia encima de la pantalla de bloqueo. La aplicación de pantalla completa se ejecuta como una aplicación de pantalla de bloqueo anterior . Para obtener más información, consulte la guía de procedimientos recomendados para desarrollar una aplicación de pantalla completa para el acceso asignado.
Detener errores y opciones de recuperación
Cuando se produce un error de detención, Windows muestra una pantalla azul con un código de error de detención. Puede reemplazar la pantalla estándar por una pantalla en blanco para errores del sistema operativo. Para obtener más información, consulte Configuración de opciones de recuperación y errores del sistema.
Notificaciones de pantalla de bloqueo
Considere la posibilidad de quitar notificaciones de la pantalla de bloqueo para evitar que los usuarios vean notificaciones cuando el dispositivo está bloqueado. Estas son algunas opciones a tener en cuenta:
| Tipo | Ruta de acceso | Nombre/descripción |
|---|---|---|
| CSP | ./Device/Vendor/MSFT/Policy/Config/AboveLock/AllowToasts |
Entero. Establecer en 0 |
| GPO | Configuración del equipo\Plantillas administrativas\Sistema\Inicio de sesión\Desactivar notificaciones de aplicación en la pantalla de bloqueo | Habilitado |
Solución de problemas y registros
Al probar el acceso asignado, puede ser útil habilitar el registro para ayudarle a solucionar problemas. Los registros pueden ayudarle a identificar problemas de configuración y tiempo de ejecución. Puede habilitar el siguiente registro: Registros de aplicaciones y servicios>Microsoft>Windows>AssignedAccess>Operational.
Las siguientes claves del Registro contienen las configuraciones de acceso asignado:
HKLM\Software\Microsoft\Windows\AssignedAccessConfigurationHKLM\Software\Microsoft\Windows\AssignedAccessCsp
La siguiente clave del Registro contiene la configuración de cada usuario con una directiva de acceso asignado:
HKCU\SOFTWARE\Microsoft\Windows\AssignedAccessConfiguration
Para obtener más información sobre la solución de problemas de pantalla completa, consulte Solución de problemas del modo de pantalla completa.
Pasos siguientes
Obtenga información sobre cómo crear un archivo XML para configurar el acceso asignado:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de