Creación de un archivo XML de configuración de acceso asignado

  • Artículo

Para configurar el acceso asignado, debe crear y aplicar un archivo XML de configuración a los dispositivos. El archivo de configuración debe ajustarse a un esquema, tal como se define en Definición de esquema XML de acceso asignado (XSD).

En este artículo se describe cómo configurar un archivo de configuración de acceso asignado, incluidos ejemplos prácticos.

Para empezar, observemos la estructura básica del archivo XML. Un archivo de configuración de acceso asignado contiene:

  • Uno o varios profiles. Cada una profile define un conjunto de aplicaciones que pueden ejecutarse
  • Uno o varios configs. Cada config uno asocia una cuenta de usuario o un grupo a un profile

Este es un ejemplo básico de un archivo de configuración de acceso asignado, con un perfil y una configuración:

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config">
    <Profiles>
        <Profile Id="{GUID}">
            <!-- Add configuration here as needed -->
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <!-- Add configuration here as needed -->
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Control de versiones

Se ha versionado el XML de configuración de acceso asignado. La versión se define en el elemento raíz XML y se usa para determinar qué esquema usar para validar el archivo XML. La versión también se usa para determinar qué características están disponibles para la configuración. Esta es una tabla de las versiones, alias usados en los ejemplos de documentación y espacios de nombres:

Versión Alias Espacio de nombres
Windows 11, versión 22H2 v5 http://schemas.microsoft.com/AssignedAccess/2022/config
Windows 11, versión 21H2 v4 http://schemas.microsoft.com/AssignedAccess/2021/config
Windows 10 v5 http://schemas.microsoft.com/AssignedAccess/202010/config
Windows 10 v3 http://schemas.microsoft.com/AssignedAccess/2020/config
Windows 10 rs5 http://schemas.microsoft.com/AssignedAccess/201810/config
Windows 10 predeterminado http://schemas.microsoft.com/AssignedAccess/2017/config

Para autorizar un XML de configuración compatible que incluya elementos y atributos específicos de la versión, incluya siempre el espacio de nombres de los esquemas del complemento y decore los atributos y elementos en consecuencia con el alias de espacio de nombres. Por ejemplo, para configurar la StartPins característica que se agregó en Windows 11, versión 22H2, use el ejemplo siguiente. Tenga en cuenta el alias v5 asociado al espacio de nombres para la http://schemas.microsoft.com/AssignedAccess/2022/config versión 22H2 y el alias se etiqueta en StartPins línea.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v5="http://schemas.microsoft.com/AssignedAccess/2022/config">
    <Profiles>
        <Profile Id="{GUID}">
            <!-- Add configuration here as needed -->
            <v5:StartPins>
              <!-- Add StartPins configuration here -->
            </v5:StartPins>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <!-- Add configuration here as needed -->
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Aquí puede encontrar las definiciones de esquema XML de acceso asignado: Definición de esquema XML de acceso asignado (XSD).

Perfiles

Un archivo de configuración puede contener uno o varios perfiles. Cada perfil se identifica mediante un identificador Profile Id único y, opcionalmente, un Name. Por ejemplo:

<Profiles>
  <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
    <!-- Add configuration here as needed -->
  </Profile>
</Profiles>

Sugerencia

Profile Id debe ser único en el archivo XML. Puede generar un GUID con el cmdlet New-Guidde PowerShell .

Un perfil puede ser uno de dos tipos:

  • KioskModeApp: se usa para configurar una experiencia de pantalla completa. Los usuarios asignados a este perfil no acceden al escritorio, pero solo la aplicación Plataforma universal de Windows (UWP) o Microsoft Edge que se ejecuta en pantalla completa sobre la pantalla de bloqueo
  • AllAppList se usa para configurar una experiencia de usuario restringida. Los usuarios asignados a este perfil, acceden al escritorio con las aplicaciones específicas en el menú Inicio

Importante

  • No se puede establecer ni KioskModeAppShellLauncher al mismo tiempo en el dispositivo
  • Un archivo de configuración solo puede contener un KioskModeApp perfil, pero puede contener varios AllAppList perfiles.

KioskModeApp

Las propiedades de un KioskModeApp perfil son:

Propiedad Descripción Detalles
AppUserModelId Identificador del modelo de usuario de la aplicación (AUMID) de la aplicación para UWP. Obtenga información sobre cómo buscar el identificador de modelo de usuario de la aplicación de una aplicación instalada.
v4:ClassicAppPath La ruta de acceso completa a un ejecutable de aplicación de escritorio. Esta es la ruta de acceso a la aplicación de escritorio que se usa en el modo de pantalla completa. La ruta de acceso puede contener variables de entorno del sistema en forma de %variableName%.
v4:ClassicAppArguments Argumentos que se van a pasar a la aplicación de escritorio. Esta propiedad es opcional.

De forma predeterminada, puede usar la secuencia CTRL+ALT+DEL para salir del modo de pantalla completa. Puede definir un BreakoutSequence elemento para cambiar la secuencia predeterminada. El Key atributo es una cadena que representa la combinación de teclas.

Ejemplo de dos perfiles, una aplicación de escritorio y una aplicación para UWP:

<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
  <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
  <v4:BreakoutSequence Key="Ctrl+A"/>
</Profile>
<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F79}">
  <KioskModeApp AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
</Profile>

Nota

Solo puede asignar un KioskModeApp perfil a los usuarios, no a los grupos.

AllAppList

En función de la finalidad del dispositivo de quiosco, define la lista de aplicaciones que tienen permiso para ejecutarse. Esta lista puede contener aplicaciones UWP y aplicaciones de escritorio. Cuando se aplica la configuración de pantalla completa de mult-app a un dispositivo, se generan reglas de AppLocker para permitir las aplicaciones que aparecen en la configuración.

Nota

Si una aplicación tiene una dependencia en otra aplicación, ambos deben incluirse en la lista de aplicaciones permitidas.

Dentro del AllAppList nodo, defina una lista de las aplicaciones que se permiten ejecutar. Cada App elemento tiene las siguientes propiedades:

Propiedad Descripción Detalles
AppUserModelId Identificador del modelo de usuario de la aplicación (AUMID) de la aplicación para UWP. Obtenga información sobre cómo buscar el identificador de modelo de usuario de la aplicación de una aplicación instalada.
DesktopAppPath La ruta de acceso completa a un ejecutable de aplicación de escritorio. Esta es la ruta de acceso a la aplicación de escritorio que se usa en modo de pantalla completa. La ruta de acceso puede contener variables de entorno del sistema en forma de %variableName%.
rs5:AutoLaunch Atributo booleano que indica si se inicia la aplicación (ya sea de escritorio o de UWP) automáticamente cuando el usuario inicia sesión. Esta propiedad es opcional. Solo una aplicación puede iniciarse automáticamente.
rs5:AutoLaunchArguments Argumentos que se van a pasar a la aplicación configurada con AutoLaunch. AutoLaunchArguments se pasa a las aplicaciones tal cual y la aplicación debe controlar los argumentos explícitamente. Esta propiedad es opcional.

Por ejemplo:

<AllAppsList>
  <AllowedApps>
    <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
    <App DesktopAppPath="C:\Windows\system32\cmd.exe" />
    <App DesktopAppPath="%windir%\explorer.exe" />
    <App AppUserModelId="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" />
    <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="%windir%\setuperr.log" />
  </AllowedApps>
</AllAppsList>

restricciones de Explorador de archivos

En una experiencia de usuario restringida (AllAppList), la exploración de carpetas está bloqueada de forma predeterminada. Puede permitir explícitamente el acceso a carpetas conocidas mediante la inclusión del FileExplorerNamespaceRestrictions nodo.

Puede especificar el acceso del usuario a la carpeta Descargas, las unidades extraíbles o ninguna restricción. Las descargas y las unidades extraíbles se pueden permitir al mismo tiempo.

<Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
        <AllAppsList>
            <AllowedApps>
                <!-- Add configuration here as needed -->
            </AllowedApps>
        </AllAppsList>
        <rs5:FileExplorerNamespaceRestrictions>
            <!-- Add configuration here as needed -->
        </rs5:FileExplorerNamespaceRestrictions>
        <!-- Add configuration here as needed -->
    </Profile>
</Profiles>

Estos son algunos ejemplos prácticos.

Bloquear todo

No use el nodo o déjelo vacío.

<rs5:FileExplorerNamespaceRestrictions>
</rs5:FileExplorerNamespaceRestrictions>

Permitir solo descargas

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
</rs5:FileExplorerNamespaceRestrictions>

Permitir solo unidades extraíbles

<rs5:FileExplorerNamespaceRestrictions>
    <v3:AllowRemovableDrives />
</rs5:FileExplorerNamespaceRestrictions>

Permitir descargas y unidades extraíbles

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
    <v3:AllowRemovableDrives/>
</rs5:FileExplorerNamespaceRestrictions>

Sin restricciones, se permiten todas las ubicaciones

<rs5:FileExplorerNamespaceRestrictions>
    <v3:NoRestriction />
</rs5:FileExplorerNamespaceRestrictions>

Sugerencia

Para conceder acceso a Explorador de archivos en una experiencia de usuario restringida, agregue Explorer.exe a la lista de aplicaciones permitidas y ancle un acceso directo al menú Inicio.

Personalizaciones del menú Inicio

Para un perfil de experiencia de usuario restringido (AllAppList), debe definir el diseño De inicio. El diseño De inicio contiene una lista de aplicaciones ancladas al menú Inicio. Puede optar por anclar todas las aplicaciones permitidas al menú Inicio o a un subconjunto. La manera más fácil de crear un diseño de inicio personalizado es configurar el menú Inicio en un dispositivo de prueba y, a continuación, exportar el diseño.

Para obtener información sobre cómo personalizar y exportar una configuración de menú Inicio, vea Personalizar el menú Inicio.

Con la configuración del menú Inicio exportada, use el StartLayout elemento y agregue el contenido del archivo XML. Por ejemplo:

<StartLayout>
  <![CDATA[
    <!-- Add your exported Start menu XML configuration file here -->
  ]]>
</StartLayout>

Ejemplo con algunas aplicaciones ancladas:

<StartLayout>
  <![CDATA[
    <LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
    xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1"
    xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
      <LayoutOptions StartTileGroupCellWidth="6" />
      <DefaultLayoutOverride>
        <StartLayoutCollection>
          <defaultlayout:StartLayout GroupCellWidth="6">
            <start:Group Name="Group1">
              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.  ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.  ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
            </start:Group>
            <start:Group Name="Group2">
              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0"   DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start   Menu\Programs\Accessories\Paint.lnk" />
              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0"   DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.  lnk" />
            </start:Group>
          </defaultlayout:StartLayout>
        </StartLayoutCollection>
      </DefaultLayoutOverride>
    </LayoutModificationTemplate>
  ]]>
</StartLayout>

Con la configuración del menú Inicio exportada, use el v5:StartPins elemento y agregue el contenido del archivo JSON exportado. Por ejemplo:

<v5:StartPins>
  <![CDATA[
      <!-- Add your exported Start menu JSON configuration file here -->
  ]]>
</v5:StartPins>

Ejemplo con algunas aplicaciones ancladas:

<v5:StartPins>

</v5:StartPins>

Nota

Si una aplicación no está instalada para el usuario, pero se incluye en el XML de diseño de inicio, la aplicación no se muestra en la pantalla Inicio.

Personalizaciones de la barra de tareas

No se pueden anclar aplicaciones en la barra de tareas en una experiencia de usuario restringida. No se admite configurar un diseño de barra de tareas mediante la <CustomTaskbarLayoutCollection> etiqueta en un XML de modificación de diseño, como parte de la configuración de acceso asignado.

La única personalización de la barra de tareas disponible es la opción para mostrarla u ocultarla mediante el ShowTaskbar atributo booleano.

En el ejemplo siguiente se expone la barra de tareas:

<Taskbar ShowTaskbar="true"/>

El siguiente ejemplo oculta la barra de tareas:

<Taskbar ShowTaskbar="false"/>

Nota

Esto es diferente de la opción Ocultar la barra de tareas automáticamente en el modo de tableta, que muestra la barra de tareas al deslizar el dedo rápidamente hacia arriba o mover el puntero del mouse hacia abajo hasta la parte inferior de la pantalla. Al establecer ShowTaskbar como false se oculta la barra de tareas de forma permanente.

Puede personalizar la barra de tareas creando un diseño personalizado y agregándolo al archivo XML. Para obtener información sobre cómo personalizar y exportar la configuración de la barra de tareas, consulte Personalización de la barra de tareas.

Nota

En Windows 11, el ShowTaskbar atributo no es operativo. Configúrelo con un valor de true.

Con la configuración de la barra de tareas exportada, use el v5:TaskbarLayout elemento y agregue el contenido del archivo XML. Por ejemplo:

<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
  <!-- Add your exported Taskbar XML configuration file here -->
  ]]>
</v5:TaskbarLayout>

Este es un ejemplo de una barra de tareas personalizada con algunas aplicaciones ancladas:

<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
  <?xml version="1.0" encoding="utf-8"?>
  <LayoutModificationTemplate
      xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification"
      xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
      xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout"
      xmlns:taskbar="http://schemas.microsoft.com/Start/2014/TaskbarLayout"
      Version="1">
  <CustomTaskbarLayoutCollection>
    <defaultlayout:TaskbarLayout>
    <taskbar:TaskbarPinList>
        <taskbar:DesktopApp DesktopApplicationID="Microsoft.Windows.Explorer" />
        <taskbar:DesktopApp DesktopApplicationID="windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel" />
        <taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk"/>
    </taskbar:TaskbarPinList>
    </defaultlayout:TaskbarLayout>
  </CustomTaskbarLayoutCollection>
  </LayoutModificationTemplate>
  ]]>
</v5:TaskbarLayout>

Configs

En Configs, defina una o varias cuentas de usuario, o grupos, y su asociación con un perfil.

Cuando la cuenta de usuario inicia sesión, se aplica el perfil de acceso asignado asociado junto con la configuración de directiva que forma parte de la experiencia de usuario restringida.

Puede asignar:

  • Una cuenta de usuario estándar, que puede ser local, dominio o Microsoft Entra ID
  • Una cuenta de grupo, que puede ser local, Active Directory (dominio) o Microsoft Entra ID

Limitaciones:

  • Las configuraciones que especifican cuentas de grupo no pueden usar un perfil de pantalla completa, solo un perfil de experiencia de usuario restringido
  • Aplique la experiencia de usuario restringida solo a los usuarios estándar. No se admite la asociación de un usuario administrador a un perfil de acceso asignado
  • No aplique el perfil a usuarios o grupos destinados a directivas de acceso condicional que requieran la interacción del usuario. Por ejemplo, la autenticación multifactor (MFA) o los Términos de uso (TOU). Para obtener más información, consulte Los usuarios no pueden iniciar sesión en Windows si se asigna un perfil de pantalla completa de varias aplicaciones.

Nota

En Microsoft Entra dispositivos unidos a un dominio y unidos a un dominio, las cuentas de usuario locales no se muestran en la pantalla de inicio de sesión de forma predeterminada. Para mostrar las cuentas locales en la pantalla de inicio de sesión, habilite la configuración de directiva:

  • GPO: Configuración del equipo>Plantillas> administrativas Iniciode sesión>del sistema>Enumeración de usuarios locales en equipos unidos a un dominio
  • CSP: ./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers

Cuenta de AutoLogon

Con <AutoLogonAccount>, Assigned Access crea y administra una cuenta de usuario para iniciar sesión automáticamente después de reiniciar un dispositivo. La cuenta es un usuario estándar local.

En el ejemplo siguiente se muestra cómo especificar una cuenta para iniciar sesión automáticamente y el nombre para mostrar opcional de la cuenta en la pantalla de inicio de sesión:

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Microsoft Learn example"/>
    <DefaultProfile Id="{GUID}"/>
  </Config>
</Configs>

Importante

Cuando las restricciones de contraseña de Exchange Active Sync (EAS) están activas en el dispositivo, la característica de registro automático no funciona. Este comportamiento es así por diseño. Para más información, consulte Cómo activar el inicio de sesión automático en Windows.

Perfil global

Con GlobalProfile, puede definir un perfil de acceso asignado que se aplique a todas las cuentas que no sean de administrador que inicien sesión. GlobalProfile es útil en escenarios como trabajadores de primera línea o dispositivos de estudiantes, donde desea asegurarse de que cada usuario tiene una experiencia coherente.

<Configs>
  <v3:GlobalProfile Id="{GUID}"/>
</Configs>

Nota

Puede combinar un perfil global con otros perfiles. Si asigna a un usuario un perfil no global, el perfil global no se aplicará a ese usuario.

Cuentas de usuario

Las cuentas individuales se especifican mediante <Account>.

Importante

Antes de aplicar la configuración de acceso asignado, asegúrese de que la cuenta de usuario especificada está disponible en el dispositivo; de lo contrario, se produce un error.

Tanto para las cuentas de dominio como de Microsoft Entra, siempre y cuando el dispositivo esté unido a Active Directory o Microsoft Entra unido, la cuenta se puede detectar en el bosque de dominio o el inquilino al que está unido el dispositivo. Para las cuentas locales, es necesario que la cuenta exista antes de configurar la cuenta para el acceso asignado.

Usuario local

La cuenta local se puede especificar como devicename\user, .\usero simplemente user.

<Config>
  <Account>user</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Usuario de Active Directory

Las cuentas de dominio deben escribirse con el formato domain\samAccountName.

<Config>
  <Account>contoso\user</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Microsoft Entra usuario

Microsoft Entra cuentas deben especificarse con el formato : AzureAD\{UPN}. AzureADdebe proporcionarse tal cual y, a continuación, seguir con el nombre principal de usuario (UPN) Microsoft Entra.

<Config>
  <Account>AzureAD\user@contoso.onmicrosoft.com</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Cuentas de grupo

Las cuentas de grupo se especifican mediante <UserGroup>. No se admiten grupos anidados. Por ejemplo, si el usuario A es miembro del grupo A, el grupo A es miembro del grupo B y el grupo B se usa en <Config/>, el usuario A no tiene la experiencia de pantalla completa.

Grupo local

Especifique el tipo de grupo como LocalGroup y agregue el nombre del grupo en el Name atributo .

<Config>
  <UserGroup Type="LocalGroup" Name="groupname" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Grupo de Active Directory

Se admiten los grupos de seguridad y distribución. Especifique el tipo de grupo como ActiveDirectoryGroup. Use el nombre de dominio como prefijo en el atributo name.

<Config>
  <UserGroup Type="ActiveDirectoryGroup" Name="contoso\groupname" />
  <DefaultProfile Id="{GUID}"/>
</Config>

grupo de Microsoft Entra

Use el identificador de objeto del grupo de Microsoft Entra. Para encontrar el identificador de objeto en la página de información general del grupo, inicie sesión en el Centro de administración Microsoft Entra y vaya aGrupos> de identidades>Todos los grupos. Especifique el tipo de grupo como AzureActiveDirectoryGroup. El dispositivo de pantalla completa debe tener conectividad a Internet cuando los usuarios que pertenecen al inicio de sesión del grupo.

<Config>
  <UserGroup Type="AzureActiveDirectoryGroup" Name="Group_GUID" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Pasos siguientes

Revise algunos ejemplos prácticos de configuraciones XML de acceso asignado:

Ejemplos de acceso asignado