Preparar un dispositivo para la configuración de quiosco multimedia

Se aplica a

• Windows 10 Pro, Enterprise y Education
• Windows 11

Antes de empezar

• El control de cuentas de usuario (UAC) debe estar activado para habilitar el modo de pantalla completa.

• El modo de pantalla completa no se admite a través de una conexión de escritorio remoto. Los usuarios de pantalla completa deben iniciar sesión en el dispositivo físico configurado como quiosco.

• En el caso de los quioscos de entornos orientados al público con el inicio de sesión automático habilitado, debe usar una cuenta de usuario con los privilegios mínimos, como una cuenta de usuario estándar local.

  El acceso asignado se puede configurar mediante Instrumental de administración de Windows (WMI) o proveedor de servicios de configuración (CSP). El acceso asignado ejecuta una aplicación mediante un usuario de dominio o una cuenta de servicio, no una cuenta local. El uso de cuentas de servicio o de usuario de dominio tiene riesgos y puede permitir que un atacante obtenga acceso a recursos de dominio accesibles para cualquier cuenta de dominio. Cuando use cuentas de dominio con acceso asignado, tenga cuidado. Tenga en cuenta los recursos de dominio potencialmente expuestos mediante una cuenta de dominio.

• Los proveedores de MDM, como Microsoft Intune, usan los proveedores de servicios de configuración (CSP) expuestos por el sistema operativo Windows para administrar la configuración en los dispositivos. En este artículo, mencionamos estos servicios. Si no administra los dispositivos mediante un proveedor de MDM, los siguientes recursos pueden ayudarle a empezar:

  • Endpoint Management en Microsoft
  • ¿Qué es Microsoft Intune y Microsoft Intune guía de planificación?
  • ¿Qué es Configuration Manager?

Recomendaciones de configuración

Para que la experiencia de quiosco multimedia sea más segura, te recomendamos que realices los cambios siguientes en el dispositivo antes de configurarlo como quiosco multimedia:

• Ocultar las notificaciones de actualización. A partir de Windows 10 versión 1809, puede ocultar que las notificaciones se muestren en los dispositivos. Para habilitar esta característica, tiene las siguientes opciones:

  • Usar directiva de grupo: Computer Configuration\Administrative Templates\Windows Components\Windows Update\Display options for update notifications

  • Usar un proveedor de MDM: esta característica usa el CSP Update/UpdateNotificationLevel. En Intune, puede usar la configuración de Windows Update para administrar esta característica.

  • Use el Registro:

    1. Abra el Editor del Registro (regedit).

    2. Vaya a HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

    3. Cree un nuevo>valor DWORD (32 bits). Escriba SetUpdateNotificationLevely establezca su valor en 1.

    4. Cree un nuevo>valor DWORD (32 bits). Escriba UpdateNotificationLevel. Para el valor, puede escribir:

       • 1: oculta todas las notificaciones excepto las advertencias de reinicio.
       • 2: oculta todas las notificaciones, incluidas las advertencias de reinicio.

• Habilite y programe las actualizaciones automáticas. Para habilitar esta característica, tiene las siguientes opciones:

  • Use la directiva de grupo: Computer Configuration\Administrative Templates\Windows Components\Windows Update\Configure Automatic Updates. Seleccione 4 - Auto download and schedule the install.
  • Usar un proveedor de MDM: esta característica usa el CSP Update/AllowAutoUpdate. Seleccione 3 - Auto install and restart at a specified time. En Intune, puede usar la configuración de Windows Update para administrar esta característica.

  También puede programar actualizaciones automáticas, como Programar día de instalación, Programar hora de instalación y Programar semana de instalación. Las instalaciones pueden tardar entre 30 minutos y 2 horas, dependiendo del dispositivo. Programe las actualizaciones para que se produzcan cuando haya un bloque de 3 a 4 horas disponible.

• Habilite el reinicio automático a la hora programada. Para habilitar esta característica, tiene las siguientes opciones:

  • Use la directiva de grupo: Computer Configuration\Administrative Templates\Windows Components\Windows Update\Always automatically restart at the scheduled time. Seleccione 4 - Auto download and schedule the install.

  • Usar un proveedor de MDM: esta característica usa los CSP Update/ActiveHoursStart y Update/ActiveHoursEnd . En Intune, puede usar la configuración de Windows Update para administrar esta característica.

• Reemplace "pantalla azul" por pantalla en blanco para errores del sistema operativo. Para habilitar esta característica, use el Editor del Registro:

  1. Abra el Editor del Registro (regedit).
  2. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl.
  3. Cree un nuevo>valor DWORD (32 bits). Escriba DisplayDisabledy establezca su valor en 1.

• Coloque el dispositivo en "modo tableta". Si quieres que los usuarios usen la pantalla táctil, sin usar un teclado o un mouse, activa el modo tableta mediante la aplicación Configuración. Si los usuarios no interactúan con el quiosco, como para un signo digital, no active esta configuración.

  Solo se aplica a Windows 10. Actualmente, el modo tableta no se admite en Windows 11.

  Las opciones:

  • Use la aplicación Configuración :

    1. Abre la aplicación Configuración.
    2. Vaya almodo tabletadel sistema>.
    3. Configure los valores que desee.

  • Use el Centro de acciones:

    1. En el dispositivo, desliza el dedo desde la izquierda.
    2. Seleccione Modo de tableta.

• Ocultar la característica "Facilidad de acceso" en la pantalla de inicio de sesión: Para habilitar esta característica, tiene las siguientes opciones:

  • Usar un proveedor de MDM: en Intune, puede usar el Panel de control y la configuración para administrar esta característica.
  • Usar el Registro: para obtener más información, vea cómo deshabilitar el botón Facilidad de acceso en el Registro.

• Deshabilitar el botón de encendido de hardware: para habilitar esta característica, tiene las siguientes opciones:

  • Use la aplicación Configuración:

    1. Abre la aplicación Configuración.
    2. Vaya a Configuraciónde energía adicional deSuspensión &> del >sistema>Elija lo que hace el botón de encendido.
    3. Seleccione No hacer nada.
    4. Guarde los cambios.

  • Usar directiva de grupo: opciones:

    • Computer Configuration\Administrative Templates\System\Power Management\Button Settings: establezca Select Power Button Action on Battery y Select Power Button Action on Plugged In en No realizar ninguna acción.

    • User Configuration\Administrative Templates\Start Menu and Taskbar\Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate commands: esta directiva oculta los botones, pero no los deshabilita.

    • Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Shut down the system: quite los usuarios o grupos de esta directiva.

      Para evitar que esta directiva afecte a un miembro del grupo Administradores, asegúrese de mantener el grupo Administradores.

  • Usar un proveedor de MDM: en Intune, tiene algunas opciones:

    • Catálogo de configuración: esta opción muestra todas las opciones que puede configurar, incluidas las plantillas administrativas que se usan en directiva de grupo locales. Configure los siguientes valores:

      • Power\Select Power Button Action on Battery: se establece en No realizar ninguna acción.
      • Power\Select Power Button Action on Plugged In: se establece en No realizar ninguna acción.
      • Start\Hide Power Button: se establece en Habilitado. Esta directiva oculta el botón, pero no lo deshabilita.

    • Plantillas administrativas: estas plantillas son las plantillas administrativas que se usan en directiva de grupo locales. Configure el siguiente valor:

      • \Start menu and Taskbar\Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate commands: esta directiva oculta los botones, pero no los deshabilita.

      Al examinar la configuración, compruebe el sistema operativo compatible para cada configuración para asegurarse de que se aplica.

    • Configuración de inicio en un perfil de configuración de dispositivo: esta opción muestra esta configuración y todas las opciones de menú Inicio que puede administrar.

• Quite el botón de encendido de la pantalla de inicio de sesión. Para habilitar esta característica, tiene las siguientes opciones:

  • Use directiva de grupo: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Shutdown: Allow system to be shut down without having to log on. Seleccione Deshabilitado.

  • Usar MDM: en Intune, tiene la siguiente opción:

    • Catálogo de configuración: esta opción muestra todas las opciones que puede configurar, incluidas las plantillas administrativas que se usan en directiva de grupo locales. Configure el siguiente valor:

      • Local Policies Security Options\Shutdown Allow System To Be Shut Down Without Having To Log On: se establece en Deshabilitado.

• Deshabilitar la cámara: para habilitar esta característica, tiene las siguientes opciones:

  • Use la aplicación Configuración:

    1. Abre la aplicación Configuración.
    2. Vaya a Cámara de privacidad>.
    3. Seleccione Allow apps use my camera Off (Permitir que las aplicaciones usen mi cámara>desactivada).

  • Use directiva de grupo: Computer Configuration\Administrative Templates\Windows Components\Camera: Allow use of camera: seleccione Deshabilitado.

  • Usar un proveedor de MDM: esta característica usa el CSP de directiva : cámara. En Intune, tiene las siguientes opciones:

    • Configuración general en un perfil de configuración de dispositivo: esta opción muestra esta configuración y más opciones que puede administrar.

    • Catálogo de configuración: esta opción muestra todas las opciones que puede configurar, incluidas las plantillas administrativas que se usan en directiva de grupo locales. Configure el siguiente valor:

      • Camera\Allow camera: se establece en No permitido.

• Desactivar las notificaciones de aplicación en la pantalla de bloqueo: para habilitar esta característica, tiene las siguientes opciones:

  • Use la aplicación Configuración:

    1. Abre la aplicación Configuración.
    2. Vaya aAcciones de notificaciones del &sistema>.
    3. En Mostrar notificaciones en la pantalla de bloqueo, seleccione Desactivado.

  • Usar directiva de grupo:

    • Computer Configuration\Administrative Templates\System\Logon\Turn off app notifications on the lock screen: seleccione Habilitado.
    • User Configuration\Administrative Templates\Start Menu and Taskbar\Notifications\Turn off toast notifications on the lock screen: seleccione Habilitado.

  • Usar un proveedor de MDM: esta característica usa el CSP AboveLock/AllowToasts. En Intune, tiene las siguientes opciones:

    • Perfil de configuración del dispositivo de experiencia de pantalla bloqueada: consulte esta configuración y más opciones de configuración que puede administrar.

    • Plantillas administrativas: estas plantillas son las plantillas administrativas que se usan en directiva de grupo locales. Configure los siguientes valores:

      • \Start Menu and Taskbar\Notifications\Turn off toast notifications on the lock screen: seleccione Habilitado.
      • \System\Logon\Turn off app notifications on the lock screen: seleccione Habilitado.

      Al examinar la configuración, compruebe el sistema operativo compatible para cada configuración para asegurarse de que se aplica.

    • Catálogo de configuración: esta opción muestra todas las opciones que puede configurar, incluidas las plantillas administrativas que se usan en directiva de grupo locales. Configure los siguientes valores:

      • \Start Menu and Taskbar\Notifications\Turn off toast notifications on the lock screen: seleccione Habilitado.
      • \System\Logon\Turn off app notifications on the lock screen: seleccione Habilitado.

• Deshabilitar medios extraíbles: para habilitar esta característica, tiene las siguientes opciones:

  • Use la directiva de grupo: Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions. Revise la configuración disponible que se aplica a su situación.

    Para evitar que esta directiva afecte a un miembro del grupo Administradores, seleccione Allow administrators to override Device Installation Restriction policies>Habilitado.

  • Usar un proveedor de MDM: en Intune, tiene las siguientes opciones:

    • Configuración general en un perfil de configuración de dispositivo: consulte la configuración Almacenamiento extraíble y más opciones que puede administrar.

    • Plantillas administrativas: estas plantillas son las plantillas administrativas que se usan en directiva de grupo locales. Configure los siguientes valores:

      • \System\Device Installation: hay varias directivas que puede administrar, incluidas las restricciones en \System\Device Installation\Device Installation Restrictions.

        Para evitar que esta directiva afecte a un miembro del grupo Administradores, seleccione Allow administrators to override Device Installation Restriction policies>Habilitado.

      Al examinar la configuración, compruebe el sistema operativo compatible para cada configuración para asegurarse de que se aplica.

    • Catálogo de configuración: esta opción muestra todas las opciones que puede configurar, incluidas las plantillas administrativas que se usan en directiva de grupo locales. Configure los siguientes valores:

      • \Administrative Templates\System\Device Installation: hay varias directivas que puede administrar, incluidas las restricciones en \System\Device Installation\Device Installation Restrictions.

        Para evitar que esta directiva afecte a un miembro del grupo Administradores, seleccione Allow administrators to override Device Installation Restriction policies>Habilitado.

Habilitación del registro

Los registros pueden ayudarle a solucionar problemas de pantalla completa. Los registros sobre problemas de configuración y tiempo de ejecución se pueden obtener habilitando el canal Registros de aplicaciones y servicios\Microsoft\Windows\AssignedAccess\Operational, que está deshabilitado de forma predeterminada.

Inicio de sesión automático

También puede configurar el inicio de sesión automático para el dispositivo de pantalla completa. Cuando se reinicie el dispositivo de pantalla completa, desde una actualización o una interrupción de energía, puede iniciar sesión manualmente en la cuenta de acceso asignada. O bien, puede configurar el dispositivo para que inicie sesión en la cuenta de acceso asignada automáticamente. Asegúrese de que directiva de grupo configuración aplicada al dispositivo no impida el inicio de sesión automático.

Nota

Si usa un CSP de restricción de dispositivo cliente de Windows para establecer "Dominio de inquilino de Azure AD preferido", se interrumpirá la característica de inicio de sesión automático "Tipo de inicio de sesión de usuario" del perfil de pantalla completa.

Sugerencia

Si usa el Asistente para pantalla completa en el Diseñador de configuraciones de Windows o XML en un paquete de aprovisionamiento para configurar la pantalla completa, puede establecer una cuenta para que inicie sesión automáticamente en el asistente o XML.

Cómo editar el registro para que una cuenta inicie sesión automáticamente

1. Abre el Editor del Registro (regedit.exe).

   Nota

   Si no conoces bien el Editor del Registro, aprende a modificar el Registro de Windows.

2. Ve a

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

3. Establece los valores de las claves siguientes.

   • AutoAdminLogon: establece el valor en 1.

   • DefaultUserName: establezca el valor como la cuenta en la que desea iniciar sesión.

   • DefaultPassword: establece como valor la contraseña de la cuenta.

     Nota

     Si DefaultUserName y DefaultPassword no están allí, agréguelos como Nuevo>valor de cadena.

   • DefaultDomainName: establece como valor el dominio (solo para cuentas de dominio). En el caso de las cuentas locales, no agregue esta clave.

4. Cierra el Editor del Registro. La próxima vez que se reinicie el equipo, la cuenta iniciará sesión automáticamente.

Sugerencia

También puede configurar el inicio de sesión automático mediante la herramienta Autologon de Sysinternals.

Nota

Si también usa Custom Logon con HideAutoLogonUI habilitado, es posible que experimente una pantalla negra después de que expire una contraseña. Se recomienda que considere la posibilidad de establecer la contraseña para que nunca expire.

Interacciones e interoperabilidad

En la tabla siguiente se describen algunas características que tienen problemas de interoperabilidad que se recomienda tener en cuenta al ejecutar el acceso asignado.

• Accesibilidad: el acceso asignado no cambia la configuración de facilidad de acceso. Se recomienda usar filtro de teclado para bloquear las siguientes combinaciones de teclas que presentan características de accesibilidad:

  Combinación de teclas	Comportamiento bloqueado
  Alt izquierdo + Desplazamiento izquierdo + Pantalla de impresión	Abra el cuadro de diálogo Contraste alto.
  Alt izquierdo + Desplazamiento izquierdo + Bloqueo numérico	Abra el cuadro de diálogo Teclas del mouse.
  Tecla del logotipo de Windows + U	Abra el Centro de facilidad de acceso.

• Acceso asignado Windows PowerShell cmdlets: además de usar la interfaz de usuario de Windows, puede usar los cmdlets de Windows PowerShell para establecer o borrar el acceso asignado. Para obtener más información, vea Referencia de Windows PowerShell de acceso asignado

• Secuencias de claves bloqueadas por el acceso asignado: cuando están en acceso asignado, algunas combinaciones de teclas se bloquean para los usuarios de acceso asignados.

  Alt + F4, Alt + Mayús + Tab, Alt + Tab no están bloqueados por acceso asignado, se recomienda usar filtro de teclado para bloquear estas combinaciones de teclas.

  Ctrl + Alt + Eliminar es la clave para salir del acceso asignado. Si es necesario, puede usar filtro de teclado para configurar una combinación de teclas diferente para salir del acceso asignado estableciendo BreakoutKeyScanCode como se describe en WEKF_Settings.

  Combinación de teclas	Comportamiento bloqueado para los usuarios de acceso asignados
  Alt + Esc	Recorra los elementos en el orden inverso desde el que se abrieron.
  Ctrl + Alt + Esc	Recorra los elementos en el orden inverso desde el que se abrieron.
  Ctrl + Esc	Abra la pantalla Inicio.
  Ctrl + F4	Cierra la ventana
  Ctrl + Mayús + Esc	Abre el Administrador de tareas.
  Ctrl + Pestaña	Cambie las ventanas dentro de la aplicación abierta actualmente.
  LaunchApp1	Abra la aplicación que está asignada a esta clave.
  LaunchApp2	Abra la aplicación que está asignada a esta clave. En muchos teclados Microsoft, la aplicación es Calculadora.
  LaunchMail	Abra el cliente de correo predeterminado.
  tecla del logotipo de Windows	Abra la pantalla Inicio.

  La configuración del filtro de teclado se aplica a otras cuentas estándar.

• Secuencias de teclas bloqueadas por el filtro de teclado: si el filtro de teclado está activado, algunas combinaciones de teclas se bloquean automáticamente sin tener que bloquearlas explícitamente. Para obtener más información, vea El filtro de teclado.

  El filtro de teclado solo está disponible en el cliente Windows Enterprise o Education.

• Botón de encendido: las personalizaciones del botón De encendido complementan el acceso asignado, lo que le permite implementar características como quitar el botón de encendido de la pantalla de bienvenida. Al quitar el botón de encendido, se garantiza que el usuario no pueda apagar el dispositivo cuando esté en acceso asignado.

  Para obtener más información sobre cómo quitar el botón de encendido o deshabilitar el botón de encendido físico, vea Inicio de sesión personalizado.

• Filtro de escritura unificado (UWF): las UWFsettings se aplican a todos los usuarios, incluidos los usuarios con acceso asignado.

  Para obtener más información, vea Filtro de escritura unificado.

• WEDL_AssignedAccess clase: puede usar esta clase para configurar y administrar características básicas de bloqueo para el acceso asignado. Se recomienda usar los cmdlets de Windows PowerShell en su lugar.

  Si necesita usar la API de acceso asignada, consulte WEDL_AssignedAccess.

• Pantalla de bienvenida: las personalizaciones de la pantalla de bienvenida le permiten personalizar no solo el aspecto de la pantalla de bienvenida, sino también su funcionamiento. Puede deshabilitar el botón de encendido o idioma o quitar todos los elementos de la interfaz de usuario. Hay muchas opciones para hacer que la pantalla de bienvenida sea suya.

  Para obtener más información, vea Inicio de sesión personalizado.

Prueba de la pantalla completa en una máquina virtual (VM)

A veces, los clientes usan máquinas virtuales (VM) para probar las configuraciones antes de implementar esas configuraciones en dispositivos físicos. Si usa una máquina virtual para probar la configuración de pantalla completa de una sola aplicación, debe saber cómo conectarse a la máquina virtual correctamente.

Una configuración de pantalla completa de una sola aplicación ejecuta una aplicación encima de la pantalla de bloqueo. No funciona cuando se accede de forma remota, lo que incluye sesiones mejoradas en Hyper-V.

Al conectarse a una máquina virtual configurada como pantalla completa de una sola aplicación, necesita una sesión básica en lugar de una sesión mejorada. En la siguiente imagen, observe que la sesión mejorada no está seleccionada en el menú Ver ; esto significa que es una sesión básica.

Para conectarse a una máquina virtual en una sesión básica, no seleccione Conectar en el cuadro de diálogo de conexión, como se muestra en la siguiente imagen, sino que seleccione el botón X de la esquina superior derecha para cancelar el cuadro de diálogo: