Configuración de una pantalla completa de varias aplicaciones en dispositivos Windows 10

Se aplica a

  • Windows 10 Pro, Enterprise y Education

Nota

Actualmente, la pantalla completa de varias aplicaciones solo se admite en Windows 10. No se admite en Windows 11.

El uso de varios monitores no es compatible con el modo de pantalla completa de varias aplicaciones.

Un dispositivo de quiosco normalmente ejecuta una sola aplicación, y los usuarios no pueden acceder a las características o funciones del dispositivo fuera de la aplicación de quiosco. En Windows 10, versión 1709, se expandió el proveedor de servicios de configuración de AssignedAccess (CSP) para facilitar a los administradores la creación de quioscos que ejecutan más de una aplicación. La ventaja de un quiosco que ejecuta solo una o varias aplicaciones especificadas es proporcionar una experiencia fácil de entender para los usuarios al poner delante de ellos solo las cosas que necesitan usar y quitar de su vista las cosas a las que no necesitan acceder.

En la tabla siguiente se enumeran los cambios realizados en la pantalla completa de varias aplicaciones en las actualizaciones recientes.

Nuevas características y mejoras En actualización
- Configuración de un perfil de pantalla completa de una sola aplicación en el archivo XML

- Asignación de cuentas de grupo a un perfil de configuración

- Configuración de una cuenta para iniciar sesión automáticamente
Windows 10, versión 1803
- Permitir explícitamente algunas carpetas conocidas cuando el usuario abre el cuadro de diálogo de archivo

- Iniciar automáticamente una aplicación cuando el usuario inicia sesión

- Configuración de un nombre para mostrar para la cuenta de autologon
Windows 10, versión 1809

Importante: Para usar las características publicadas en Windows 10, versión 1809, asegúrese de que el archivo XML hace referencia a https://schemas.microsoft.com/AssignedAccess/201810/config.

Advertencia

La característica de acceso asignada está destinada a dispositivos corporativos de propósito fijo, como quioscos multimedia. Cuando se aplica la configuración de acceso asignado a varias aplicaciones en el dispositivo, se aplican determinadas directivas en todo el sistema y afectarán a otros usuarios en el dispositivo. Al eliminar la configuración de pantalla completa, se quitarán los perfiles de bloqueo de acceso asignados asociados a los usuarios, pero no se pueden revertir todas las directivas aplicadas (como El diseño de inicio). Para borrar todas las directivas que se aplican a través de acceso asignado, se necesita un restablecimiento de fábrica.

Puedes configurar quioscos multiaplicación usando Microsoft Intune o un paquete de aprovisionamiento.

Sugerencia

Asegúrese de comprobar las recomendaciones de configuración antes de configurar el quiosco.

Configurar un quiosco multimedia en Microsoft Intune

Para configurar una pantalla completa en Microsoft Intune, consulte:

Configuración de un quiosco multimedia mediante un paquete de aprovisionamiento

Proceso:

  1. Crear un archivo XML
  2. Añadir un archivo XML al paquete de aprovisionamiento
  3. Aplicar el paquete de aprovisionamiento al dispositivo

Descubre cómo usar un paquete de aprovisionamiento para configurar un quiosco multiaplicación.

Si no quiere usar un paquete de aprovisionamiento, puede implementar el archivo XML de configuración mediante la administración de dispositivos móviles (MDM) o puede configurar el acceso asignado mediante el proveedor WMI del puente MDM.

Requisitos previos

  • Diseñador de configuración de Windows (Windows 10, versión 1709 o posterior)
  • El dispositivo de pantalla completa debe ejecutarse Windows 10 (S, Pro, Enterprise o Education), versión 1709 o posterior

Nota

Para dispositivos que ejecutan versiones anteriores a la versión 1709 de Windows 10, puedes crear reglas de AppLocker para configurar un quiosco multiaplicación.

Crear un archivo XML

Para empezar, observemos la estructura básica del archivo XML.

  • Un xml de configuración puede definir múltiples perfiles. Cada perfil tiene un Id único y define un conjunto de aplicaciones que tienen permiso para ejecutarse, si la barra de tareas está visible y puede incluir un diseño de inicio personalizado.

  • Un xml de configuración puede tener varias secciones config. Cada sección config asocia una cuenta de usuario no administrador a un Id de perfil predeterminado.

  • Varias secciones config se pueden asociar al mismo perfil.

  • Un perfil no tiene ningún efecto si no está asociado a una sección de configuración.

    profile = app y config = account.

Puede iniciar el archivo pegando el siguiente XML en un editor XML y guardando el archivo como nombre de archivo.xml. Cada sección de este XML se explica en este artículo. Puede ver una versión de ejemplo completa en la referencia XML de acceso asignado.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
    >
    <Profiles>
        <Profile Id="">
            <AllAppsList>
                <AllowedApps/>
            </AllAppsList>
            <StartLayout/>
            <Taskbar/>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <Account/>
            <DefaultProfile Id=""/>
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Perfil

Hay dos tipos de perfiles que puede especificar en el XML:

  • Perfil de bloqueo: los usuarios asignados a un perfil de bloqueo verán el escritorio en modo tableta con las aplicaciones específicas en la pantalla Inicio.
  • Perfil de pantalla completa: a partir de Windows 10 versión 1803, este perfil reemplaza el nodo KioskModeApp del CSP de AssignedAccess. Los usuarios asignados a un perfil de pantalla completa no verán el escritorio, sino solo la aplicación de pantalla completa que se ejecuta en modo de pantalla completa.

Una sección de perfil de bloqueo del XML tiene las siguientes entradas:

Un perfil de pantalla completa en el XML tiene las siguientes entradas:

Id

El perfil Id es un atributo GUID para identificar el perfil de forma única. Puedes crear un GUID con un generador GUID. El GUID debe ser único dentro de este archivo XML.

<Profiles>
  <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">…</Profile>
</Profiles>
AllowedApps

AllowedApps es una lista de aplicaciones que tienen permiso para ejecutarse. Las aplicaciones pueden ser aplicaciones de Plataforma universal de Windows (UWP) o aplicaciones de escritorio de Windows. A partir de Windows 10 versión 1809, puede configurar una sola aplicación en la lista AllowedApps para que se ejecute automáticamente cuando la cuenta de usuario de acceso asignada inicie sesión.

  • Para aplicaciones UWP, debes proporcionar el identificador de modelo de usuario de aplicación (AUMID). Aprende a obtener el AUMID o consigue el AUMID del XML de diseño de inicio.
  • Para las aplicaciones de escritorio, debe especificar la ruta de acceso completa del archivo ejecutable, que puede contener una o varias variables de entorno del sistema en forma de %variableName%. Por ejemplo, %systemroot% o %windir%.
  • Si una aplicación tiene una dependencia en otra aplicación, ambos deben incluirse en la lista de aplicaciones permitidas. Por ejemplo, Internet Explorer de 64 bits tiene una dependencia en Internet Explorer de 32 bits, por lo que debe permitir tanto "C:\Program Files\internet explorer\iexplore.exe" como "C:\Program Files (x86)\Internet Explorer\iexplore.exe".
  • Para configurar una sola aplicación para que se inicie automáticamente cuando el usuario inicie sesión, incluya rs5:AutoLaunch="true" después del AUMID o la ruta de acceso. También puede incluir argumentos que se pasarán a la aplicación. Para obtener un ejemplo, vea el XML de ejemplo AllowedApps.

Cuando se aplica la configuración de pantalla completa de varias aplicaciones a un dispositivo, se generarán reglas de AppLocker para permitir las aplicaciones que aparecen en la configuración. Estas son las reglas de AppLocker de acceso asignado predefinidas para aplicaciones de UWP:

  1. La regla predeterminada es permitir que todos los usuarios inicien las aplicaciones de paquete firmado.

  2. La lista de bloqueos de aplicaciones de paquete se genera en tiempo de ejecución cuando el usuario de acceso asignado inicia sesión. En función de las aplicaciones de paquete instaladas o aprovisionadas disponibles para la cuenta de usuario, el acceso asignado genera la lista de bloqueos. Esta lista excluirá las aplicaciones predeterminadas de paquete de bandeja de entrada permitidas, que son fundamentales para que el sistema funcione. A continuación, excluye los paquetes permitidos definidos por las empresas en la configuración de acceso asignada. Si hay varias aplicaciones en el mismo paquete, se excluirán todas estas aplicaciones. Esta lista de bloqueos se usará para impedir que el usuario acceda a las aplicaciones que están disponibles actualmente para el usuario, pero que no están en la lista de permitidos.

    Nota

    No puede administrar las reglas de AppLocker generadas por la configuración de pantalla completa de varias aplicaciones en complementos MMC. Evite crear reglas de AppLocker que entren en conflicto con las reglas de AppLocker generadas por la configuración de pantalla completa de varias aplicaciones.

    El modo de pantalla completa de varias aplicaciones no impide que la empresa o los usuarios instalen aplicaciones para UWP. Cuando se instala una nueva aplicación UWP durante la sesión de usuario de acceso asignado en curso, esta aplicación no estará en la lista de denegación. Cuando el usuario cierra la sesión e inicia sesión de nuevo, la aplicación se incluirá en la lista de bloqueos. Si se trata de una aplicación de la línea de negocio implementada por la empresa y desea permitir su ejecución, actualiza la configuración de acceso asignado para incluirla en la lista de aplicaciones permitidas.

Estas son las reglas de AppLocker de acceso asignado predefinidas para aplicaciones de escritorio:

  1. La regla predeterminada es permitir que todos los usuarios inicien los programas de escritorio firmados con Microsoft Certificate para que el sistema arranque y funcione. La regla también permite que el grupo de usuarios administradores inicie todos los programas de escritorio.
  2. Hay una lista predefinida de bloqueos de aplicaciones de escritorio de bandeja de entrada para la cuenta de usuario de acceso asignada y esta lista de bloqueos se ajusta en función de la lista de permitidos de aplicaciones de escritorio que definió en la configuración de varias aplicaciones.
  3. Las aplicaciones de escritorio permitidas definidas por la empresa se agregan en la lista de permitidos de AppLocker.

El ejemplo siguiente permite que las aplicaciones Groove Music, Movies & TV, Photos, Weather, Calculator, Paint y Notepad se ejecuten en el dispositivo, con el Bloc de notas configurado para iniciar y crear automáticamente un archivo llamado 123.text cuando el usuario inicia sesión.

<AllAppsList>
        <AllowedApps>
          <App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
          <App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
          <App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
          <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
          <App DesktopAppPath="%windir%\system32\mspaint.exe" />
          <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="123.txt">
        </AllowedApps>
</AllAppsList>
FileExplorerNamespaceRestrictions

A partir de Windows 10 versión 1809, puede permitir explícitamente el acceso a algunas carpetas conocidas cuando el usuario intenta abrir el cuadro de diálogo de archivo en el acceso asignado a varias aplicaciones mediante la inclusión de FileExplorerNamespaceRestrictions en el archivo XML. Actualmente, Descargas es la única carpeta admitida. Este comportamiento también se puede establecer mediante Microsoft Intune.

En el ejemplo siguiente se muestra cómo permitir que el usuario acceda a la carpeta Descargas en el cuadro de diálogo archivo común.

Sugerencia

Para conceder acceso a la carpeta Descargas a través de Explorador de archivos, agregue "Explorer.exe" a la lista de aplicaciones permitidas y ancle un acceso directo del explorador de archivos al menú de inicio de pantalla completa.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
>     <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    ...
                </AllowedApps>
            </AllAppsList>
            <rs5:FileExplorerNamespaceRestrictions>
                <rs5:AllowedNamespace Name="Downloads"/>
            </rs5:FileExplorerNamespaceRestrictions>
            <StartLayout>
                ...
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
</AssignedAccessConfiguration>

FileExplorerNamespaceRestrictionse ha ampliado en el Windows 10 versión preliminar actual para una granularidad más fina y un uso más fácil. Para obtener más información y ejemplos completos, vea Referencia XML de acceso asignado. Mediante el uso de nuevos elementos, puede configurar si un usuario puede acceder a la carpeta Descargas o a las unidades extraíbles, o no tiene ninguna restricción.

Nota

  • FileExplorerNamespaceRestrictions y AllowedNamespace:Downloads están disponibles en el espacio de nombres https://schemas.microsoft.com/AssignedAccess/201810/config.
  • AllowRemovableDrives y NoRestriction se definen en un nuevo espacio de nombres https://schemas.microsoft.com/AssignedAccess/2020/config.
  • Cuando FileExplorerNamespaceRestrictions no se usa el nodo o se usa pero se deja vacío, el usuario no podrá acceder a ninguna carpeta en un cuadro de diálogo común. Por ejemplo, Guardar como en el explorador Microsoft Edge.
  • Cuando se menciona Descargas en el espacio de nombres permitido, el usuario podrá acceder a la carpeta Descargas.
  • Cuando AllowRemovableDrives se usa, el usuario tendrá acceso a las unidades extraíbles.
  • Cuando NoRestriction se usa, no se aplicará ninguna restricción al cuadro de diálogo.
  • AllowRemovableDrives y AllowedNamespace:Downloads se pueden usar al mismo tiempo.
StartLayout

Después de definir la lista de aplicaciones permitidas, puedes personalizar el diseño de inicio para tu experiencia de quiosco. Puedes anclar todas las aplicaciones permitidas en la pantalla Inicio o solo un subconjunto, en función de si quieres que el usuario final acceda directamente a ellas en la pantalla Inicio.

La manera más fácil de crear un diseño de inicio personalizado para aplicarlo a otros dispositivos cliente Windows es configurar la pantalla Inicio en un dispositivo de prueba y, a continuación, exportar el diseño. Para los pasos detallados, consulta Personalizar y exportar el diseño de la pantalla Inicio.

Algunas cosas que hay que tener en cuenta:

  • El dispositivo de prueba en el que personalices el diseño de inicio debe tener la misma versión de sistema operativo que esté instalada en el dispositivo en el que piensas implementar la configuración de acceso asignado a varias aplicaciones.
  • Dado que la experiencia de acceso asignado a varias aplicaciones está pensada para dispositivos con una finalidad fija, para garantizar que las experiencias del dispositivo son coherentes y predecibles, usa la opción de diseño de inicio completo en lugar del diseño de inicio parcial.
  • No hay ninguna aplicación anclada en la barra de tareas en el modo de varias aplicaciones y no se admite configurar el diseño de la barra de tareas mediante la <CustomTaskbarLayoutCollection> etiqueta en un XML de modificación de diseño como parte de la configuración de acceso asignada.
  • En el ejemplo siguiente se usa DesktopApplicationLinkPath para anclar la aplicación de escritorio que se va a iniciar. Cuando la aplicación de escritorio no tiene un vínculo de acceso directo en el dispositivo de destino, aprende a aprovisionar archivos .lnk con el Diseñador de configuraciones de Windows.

En el ejemplo siguiente se anclan las aplicaciones Groove Music, Movies & TV, Photos, Weather, Calculator, Paint y Notepad en Inicio:

<StartLayout>
        <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="httsp://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Group1">
                              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
                              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
                              <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
                              <start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
                            </start:Group>
                            <start:Group Name="Group2">
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk" />
                              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
</StartLayout>

Nota

Si una aplicación no está instalada para el usuario, pero se incluye en el XML de diseño de inicio, la aplicación no se muestra en la pantalla Inicio.

El aspecto de la pantalla Inicio cuando se aplica el ejemplo XML.

Barra de tareas

Define si deseas tener presente la barra de tareas en el dispositivo de quiosco. Para quioscos multimedia integrales basados en tableta o dispositivo táctil, cuando no se conecta un teclado y un mouse, puedes ocultar la barra de tareas como parte de la experiencia de varias aplicaciones si quieres.

El siguiente ejemplo muestra la barra de tareas al usuario final:

<Taskbar ShowTaskbar="true"/>

El siguiente ejemplo oculta la barra de tareas:

<Taskbar ShowTaskbar="false"/>

Nota

Esto es diferente de la opción Ocultar la barra de tareas automáticamente en el modo de tableta, que muestra la barra de tareas al deslizar el dedo rápidamente hacia arriba o mover el puntero del mouse hacia abajo hasta la parte inferior de la pantalla. Configurar ShowTaskbar como false mantendrá siempre oculta la barra de tareas.

KioskModeApp

KioskModeApp solo se usa para un perfil de pantalla completa . Escriba el AUMID para una sola aplicación. Solo puede especificar un perfil de pantalla completa en el XML.

<KioskModeApp AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"/>

Importante

El perfil de quiosco está diseñado para dispositivos de quiosco accesibles públicamente. Se recomienda usar una cuenta local que no sea de administrador. Si el dispositivo está conectado a la red de la empresa, el uso de un dominio o una cuenta de Azure Active Directory podría poner en peligro la información confidencial.

Configs

En Configs, define qué cuenta de usuario se asociará con el perfil. Cuando esta cuenta de usuario inicia sesión en el dispositivo, se aplicará el perfil de acceso asignado asociado. Este comportamiento incluye las aplicaciones permitidas, el diseño de inicio, la configuración de la barra de tareas y otras directivas de grupo local o directivas de administración de dispositivos móviles (MDM) establecidas como parte de la experiencia de varias aplicaciones.

La experiencia de acceso asignado de varias aplicaciones completa solo funciona para los usuarios que no sean administradores. No se admite asociar un usuario administrador al perfil de acceso asignado. Realizar esta configuración en el archivo XML dará lugar a experiencias inesperadas o no admitidas cuando este usuario administrador inicie sesión.

Puede asignar:

Nota

Las configuraciones que especifican cuentas de grupo no pueden usar un perfil de pantalla completa, solo un perfil de bloqueo. Si un grupo está configurado para un perfil de pantalla completa, el CSP rechazará la solicitud.

Configuración de la cuenta de AutoLogon

Cuando se usa <AutoLogonAccount> y la configuración se aplica a un dispositivo, la cuenta especificada (administrada por Acceso asignado) se crea en el dispositivo como una cuenta de usuario estándar local. La cuenta especificada inicia sesión automáticamente después del reinicio.

En el ejemplo siguiente se muestra cómo especificar una cuenta para iniciar sesión automáticamente.

<Configs>
  <Config>
    <AutoLogonAccount/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

A partir de Windows 10 versión 1809, puede configurar el nombre para mostrar que se mostrará cuando el usuario inicie sesión. En el ejemplo siguiente se muestra cómo crear una cuenta de AutoLogon que muestra el nombre "Hola mundo".

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Hello World"/>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>

En los dispositivos unidos a un dominio, las cuentas de usuario locales no se muestran en la pantalla de inicio de sesión de forma predeterminada. Para mostrar AutoLogonAccount en la pantalla de inicio de sesión, habilite la siguiente configuración de directiva de grupo: Configuración > del equipo Plantillas > administrativas Inicio de sesión > del sistema > Enumerar usuarios locales en equipos unidos a un dominio. (La configuración de directiva MDM correspondiente es WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers en el CSP de directiva).

Importante

Cuando las restricciones de contraseña de Exchange Active Sync (EAS) están activas en el dispositivo, la característica de registro automático no funciona. Este comportamiento es así por diseño. Para obtener más información, vea Cómo activar el inicio de sesión automático en Windows.

Configuración de cuentas individuales

Las cuentas individuales se especifican mediante <Account>.

  • La cuenta local se puede especificar como machinename\account o .\account o simplemente account.
  • La cuenta de dominio debe especificarse como domain\account.
  • La cuenta de Azure AD debe especificarse con este formato: AzureAD\{email address}. AzureAD debe proporcionarse tal cual y considerar que es un nombre de dominio fijo. A continuación, siga con la dirección de correo electrónico de Azure AD. Por ejemplo, AzureAD\someone@contoso.onmicrosoft.com

Advertencia

El acceso asignado se puede configurar a través de WMI o CSP para ejecutar sus aplicaciones bajo un usuario de dominio o cuenta de servicio, en lugar de una cuenta local. Sin embargo, el uso de cuentas de usuario de dominio o servicio presenta riesgos de que un atacante que socave la aplicación el acceso asignado podría obtener acceso a los recursos con información confidencial del dominio que se haya dejado inadvertidamente accesible a cualquier cuenta de dominio. Recomendamos que los clientes procedan con cautela al usar cuentas de dominio con acceso asignado y tenga en cuenta los recursos de dominio potencialmente expuestos por la decisión de hacerlo.

Antes de aplicar la configuración de varias aplicaciones, asegúrate de que la cuenta de usuario está disponible en el dispositivo; de lo contrario; se producirá un error.

Nota

Tanto para las cuentas de dominio como de Azure AD, no es necesario que la cuenta de destino se agregue explícitamente al dispositivo. Mientras el dispositivo esté unido a AD o a Azure AD, la cuenta puede detectarse en el bosque de dominios o inquilino al que esté unido el dispositivo. Para las cuentas locales, es necesario que la cuenta exista antes de configurar la cuenta para el acceso asignado.

<Configs>
  <Config>
    <Account>MultiAppKioskUser</Account>
    <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
  </Config>
</Configs>
Configuración de cuentas de grupo

Las cuentas de grupo se especifican mediante <UserGroup>. No se admiten grupos anidados. Por ejemplo, si el usuario A es miembro del grupo 1, el grupo 1 es miembro del grupo 2 y el grupo 2 se usa en <Config/>, el usuario A no tendrá la experiencia de pantalla completa.

  • Grupo local: especifique el tipo de grupo como LocalGroup y coloque el nombre del grupo en el atributo Name. Las cuentas de Azure AD que se agreguen al grupo local no tendrán aplicada la configuración de pantalla completa.

    <Config>
      <UserGroup Type="LocalGroup" Name="mygroup" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    
  • Grupo de dominios: se admiten los grupos de seguridad y distribución. Especifique el tipo de grupo como ActiveDirectoryGroup. Use el nombre de dominio como prefijo en el atributo name.

    <Config>
      <UserGroup Type="ActiveDirectoryGroup" Name="mydomain\mygroup" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    
  • Grupo de Azure AD: use el identificador de objeto de grupo del Azure Portal para identificar de forma única el grupo en el atributo Name. Puede encontrar el identificador de objeto en la página de información general del grupo en Usuarios y grupos>Todos los grupos. Especifique el tipo de grupo como AzureActiveDirectoryGroup. El dispositivo de pantalla completa debe tener conectividad a Internet cuando los usuarios que pertenecen al inicio de sesión del grupo.

    <Config>
      <UserGroup Type="AzureActiveDirectoryGroup" Name="a8d36e43-4180-4ac5-a627-fb8149bba1ac" />
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Config>
    

    Nota

    Si un grupo de Azure AD está configurado con un perfil de bloqueo en un dispositivo, un usuario del grupo de Azure AD debe cambiar su contraseña (una vez creada la cuenta con la contraseña predeterminada en el portal) para poder iniciar sesión en este dispositivo. Si el usuario usa la contraseña predeterminada para iniciar sesión en el dispositivo, el usuario cerrará sesión inmediatamente.

[Versión preliminar] Perfil global

El perfil global está disponible en Windows 10. Si desea que todos los usuarios que inician sesión en un dispositivo específico se asignen como usuario de acceso, incluso si no hay ningún perfil dedicado para ese usuario. Como alternativa, quizás El acceso asignado no pudo identificar un perfil para el usuario y quiere tener un perfil de reserva. El perfil global está diseñado para estos escenarios.

El uso se muestra a continuación, mediante el uso del nuevo espacio de nombres XML y la especificación GlobalProfile desde ese espacio de nombres. Al configurar GlobalProfile, una cuenta que no es de administrador inicia sesión, si este usuario no tiene un perfil designado en Acceso asignado o Acceso asignado no puede determinar un perfil para el usuario actual, se aplica un perfil global para el usuario.

Nota

  1. GlobalProfile solo puede ser un perfil de varias aplicaciones.
  2. Solo se puede usar uno GlobalProfile en un AssignedAccess XML de configuración.
  3. GlobalProfile se puede usar como la única configuración, o se puede usar junto con la configuración de usuario o grupo normal.
<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
    xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v2="https://schemas.microsoft.com/AssignedAccess/201810/config"
    xmlns:v3="https://schemas.microsoft.com/AssignedAccess/2020/config"
>
    <Profiles>
        <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
            <AllAppsList>
                <AllowedApps>
                    <App AppUserModelId="Microsoft.Microsoft3DViewer_8wekyb3d8bbwe!Microsoft.Microsoft3DViewer" v2:AutoLaunch="true" v2:AutoLaunchArguments="123"/>
                    <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
                    <App AppUserModelId="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
                    <App DesktopAppPath="%SystemRoot%\system32\notepad.exe" />
                </AllowedApps>
            </AllAppsList>
            <StartLayout>
                <![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="https://schemas.microsoft.com/Start/2014/LayoutModification">
                      <LayoutOptions StartTileGroupCellWidth="6" />
                      <DefaultLayoutOverride>
                        <StartLayoutCollection>
                          <defaultlayout:StartLayout GroupCellWidth="6">
                            <start:Group Name="Life at a glance">
                              <start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="microsoft.windowscommunicationsapps_8wekyb3d8bbwe!microsoft.windowsLive.calendar" />
                              <start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsStore_8wekyb3d8bbwe!App" />
                              <!-- A link file is required for desktop applications to show on start layout, the link file can be placed under
                                   "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs" if the link file is shared for all users or
                                   "%AppData%\Microsoft\Windows\Start Menu\Programs" if the link file is for the specific user only 
                                   see document https://learn.microsoft.com/windows/configuration/start-layout-xml-desktop
                              -->
                              <!-- for inbox desktop applications, a link file might already exist and can be used directly -->
                              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Accessories\paint.lnk" />
                              <!-- for 3rd party desktop application, place the link file under appropriate folder -->
                              <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationLinkPath="%AppData%\Microsoft\Windows\Start Menu\Programs\MyLOB.lnk" />
                            </start:Group>
                          </defaultlayout:StartLayout>
                        </StartLayoutCollection>
                      </DefaultLayoutOverride>
                    </LayoutModificationTemplate>
                ]]>
            </StartLayout>
            <Taskbar ShowTaskbar="true"/>
        </Profile>
    </Profiles>
    <Configs>
        <v3:GlobalProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
    </Configs>
</AssignedAccessConfiguration>

Añadir un archivo XML al paquete de aprovisionamiento

Antes de agregar el archivo XML para un paquete de aprovisionamiento, puedes validar el XML de configuración contra el XSD.

Usa la herramienta Diseñador de configuraciones de Windows para crear un paquete de aprovisionamiento. Aprende a instalar el Diseñador de configuraciones de Windows.

Importante

Cuando compilas un paquete de aprovisionamiento, puedes incluir información confidencial en los archivos de proyecto y en el archivo del paquete de aprovisionamiento (.ppkg). Aunque tienes la posibilidad de cifrar el archivo .ppkg, los archivos de proyecto no se cifran. Debes almacenar los archivos del proyecto en una ubicación segura y eliminarlos cuando ya no sean necesarios.

  1. Abre el Diseñador de configuraciones de Windows. De forma predeterminada: %systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe.

  2. Elige Aprovisionamiento avanzado.

  3. Asigne un nombre al proyecto y seleccione Siguiente.

  4. Elija Todas las ediciones de escritorio de Windows y seleccione Siguiente.

  5. En Nuevo proyecto, seleccione Finalizar. Se abrirá el área de trabajo para el paquete.

  6. Expanda Configuración en tiempo de> ejecuciónAssignedAccess>MultiAppAssignedAccessSettings.

  7. En el panel central, seleccione Examinar. Busque y seleccione el archivo XML de configuración de acceso asignado que creó.

    Captura de pantalla del campo MultiAppAssignedAccessSettings en el Diseñador de configuraciones de Windows.

  8. Opcional: si desea aplicar el paquete de aprovisionamiento después de la configuración inicial del dispositivo y hay un usuario administrador ya disponible en el dispositivo de pantalla completa, omita este paso. Cree una cuenta de usuario administrador en Configuración de tiempo de> ejecuciónCuentas>Usuarios. Proporciona un Nombre de usuario y Contraseñay selecciona UserGroup como Administradores. Con esta cuenta, puedes ver el estado de aprovisionamiento y registros si es necesario.

  9. Opcional: si ya tiene una cuenta que no sea de administrador en el dispositivo de pantalla completa, omita este paso. Cree una cuenta de usuario estándar local en Configuración de tiempo de> ejecuciónCuentas>Usuarios. Asegúrate de que el Nombre de usuario sea el mismo que la cuenta que especifiques en el XML de configuración. Selecciona UserGroup como Usuarios estándar.

  10. En el menú Archivo, selecciona Guardar.

  11. En el menú Exportar, selecciona Paquete de aprovisionamiento.

  12. Cambia Propietario a Administrador de TIpara establecer una prioridad para este paquete de aprovisionamiento superior a la de los paquetes de aprovisionamiento aplicados a este dispositivo desde otros orígenes. Después, selecciona Siguiente.

  13. Opcional. En la ventana Seguridad del paquete de aprovisionamiento , puedes elegir cifrar el paquete y habilitar la firma del paquete.

    • Habilitar el cifrado del paquete: si seleccionas esta opción, en la pantalla se mostrará una contraseña generada automáticamente.

    • Habilitar la firma del paquete: si seleccionas esta opción, debes seleccionar un certificado válido que se usará para firmar el paquete. Para especificar el certificado, haz clic en Examinar y elige el certificado que quieras usar para firmar el paquete.

  14. Seleccione Siguiente para especificar la ubicación de salida a la que quiere que vaya el paquete de aprovisionamiento cuando se compile. De forma predeterminada, Windows ICD usa la carpeta de proyecto como la ubicación de salida.

    Opcionalmente, puede seleccionar Examinar para cambiar la ubicación de salida predeterminada.

  15. Selecciona Siguiente.

  16. Seleccione Compilar para empezar a compilar el paquete. El paquete de aprovisionamiento no tarda mucho tiempo en compilarse. La información del proyecto se muestra en la página de compilación y la barra de progreso indica el estado de compilación.

    Si necesita cancelar la compilación, seleccione Cancelar. Esta acción cancela el proceso de compilación actual, cierra el asistente y le lleva de vuelta a la página Personalizaciones.

  17. Si se produce un error en la compilación, se mostrará un mensaje de error con un vínculo a la carpeta del proyecto. Puedes examinar los registros para determinar qué produjo el error. Después de solucionar el problema, intenta volver a compilar el paquete.

    Si la compilación es correcta, se mostrará el nombre del paquete de aprovisionamiento, el directorio de salida y el directorio del proyecto.

    • Si quieres, puedes volver a compilar el paquete de aprovisionamiento y elegir otra ruta de acceso para el paquete de salida. Para realizar esta acción, seleccione Atrás para cambiar el nombre y la ruta de acceso del paquete de salida y, a continuación, seleccione Siguiente para iniciar otra compilación.
    • Si ha terminado, seleccione Finalizar para cerrar el asistente y volver a la página Personalizaciones.
  18. Copia el paquete de aprovisionamiento en el directorio raíz de una unidad USB.

Aplicar el paquete de aprovisionamiento al dispositivo

Los paquetes de aprovisionamiento se pueden aplicar a un dispositivo durante la configuración inicial (experiencia integrada o "OOBE") y después de ("tiempo de ejecución"). Para obtener más información, vea Aplicar un paquete de aprovisionamiento.

Nota

Si el paquete de aprovisionamiento no incluye la creación de la cuenta de usuario de acceso asignada, asegúrese de que la cuenta especificada en el XML de configuración de varias aplicaciones existe en el dispositivo.

Usa MDM para implementar la configuración de varias aplicaciones

El modo de quiosco con varias aplicaciones de la Referencia del proveedor de servicio de configuración (CSP) AssignedAccess. La directiva MDM puede contener el XML de configuración de acceso asignado.

Si el dispositivo está inscrito con un servicio MDM que admite la aplicación de la configuración de acceso asignada, puede usarlo para aplicar la configuración de forma remota.

El OMA-URI para la directiva de multiaplicación es ./Device/Vendor/MSFT/AssignedAccess/Configuration.

Consideraciones para cascos envolventes de Realidad mixta de Windows

Con la aparición de dispositivos de realidad mixta (vínculo de vídeo), es posible que quieras crear un quiosco que pueda ejecutar aplicaciones de realidad mixta.

Para crear un quiosco de varias aplicaciones que pueda ejecutar aplicaciones de realidad mixta, debes incluir las siguientes aplicaciones en la Lista AllowedApps:

<App AppUserModelId="MixedRealityLearning_cw5n1h2txyewy!MixedRealityLearning" />
<App AppUserModelId="HoloShell_cw5n1h2txyewy!HoloShell" />
<App AppUserModelId="Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy!App" />
<App AppUserModelId="Microsoft.MixedReality.Portal_8wekyb3d8bbwe!App" />

Estas aplicaciones se suman a las aplicaciones de realidad mixta que permita.

Antes de que el usuario del quiosco inicie sesión: un usuario administrador debe iniciar sesión en el equipo, conectar un dispositivo de realidad mixta y completar la configuración paso a paso del Portal de realidad mixta. La primera vez que se configura el Portal de realidad mixta, se descargan algunos archivos y contenido. Un usuario de pantalla completa no tendría permisos para descargar y, por lo tanto, se produciría un error en la configuración del portal de Mixed Reality.

Una vez que el administrador haya completado la configuración, la cuenta de quiosco puede iniciar sesión y repetir la configuración. Puede que el usuario administrador desee completar la configuración de usuario de quiosco antes de proporcionar el equipo a los empleados o clientes.

Hay una diferencia entre las experiencias de realidad mixta para un usuario de quiosco y otros usuarios. Por lo general, cuando un usuario conecta un dispositivo de realidad mixta, comienza en Inicio de realidad mixta. El inicio de Realidad mixta es un shell que se ejecuta en modo "silencioso" cuando el equipo está configurado como un quiosco. Cuando un usuario de pantalla completa conecta un dispositivo de realidad mixta, solo verá una pantalla en blanco en el dispositivo y no tendrá acceso a las características y funciones disponibles en el hogar. Para ejecutar una aplicación de realidad mixta, el usuario de quiosco debe iniciar la aplicación desde la pantalla Inicio del equipo.

Directivas establecidas por la configuración de quiosco de varias aplicaciones

No se recomienda establecer directivas aplicadas en el modo de varias aplicaciones de acceso asignado a valores diferentes mediante otros canales, ya que el modo de varias aplicaciones se ha optimizado para proporcionar una experiencia bloqueada.

Cuando se aplica la configuración de acceso asignada a varias aplicaciones en el dispositivo, ciertas directivas se aplican en todo el sistema y afectarán a otros usuarios del dispositivo.

Directiva de grupo

Las siguientes directivas locales afectan a todos los usuarios que no son administradores del sistema, independientemente de si el usuario está configurado como un usuario de acceso asignado o no. Esta lista incluye usuarios locales, usuarios de dominio y usuarios de Azure Active Directory.

Configuración Valor
Quitar acceso a los menús contextuales de la barra de tareas Activado
Borrar historial de documentos abiertos recientemente al salir Activado
Impedir que los usuarios personalicen su pantalla Inicio Activado
Impedir que los usuarios desinstalen aplicaciones desde Inicio Activado
Quitar del menú Inicio la lista Todos los programas Activado
Quitar el menú Ejecutar del menú Inicio Activado
Deshabilitar los globos de notificaciones del sistema como notificación del sistema Activado
No permitir el anclaje de elementos a listas de accesos directos Activado
No permitir el anclado de programas a la barra de tareas Activado
No mostrar elementos, ni realizar el seguimiento de los mismos, en las listas de accesos directos desde ubicaciones remotas Activado
Quitar notificaciones y centro de actividades Activado
Bloquear todas las configuraciones de la barra de tareas Activado
Bloquear la barra de tareas Activado
Impedir que los usuarios agreguen o quiten las barras de herramientas Activado
Impedir que los usuarios cambien el tamaño de la barra de tareas Activado
Quitar del menú Inicio la lista de programas de uso frecuente Activado
Quitar "Map Network Drive" y "Disconnect Network Drive" Activado
Quitar el icono de seguridad y mantenimiento Activado
Desactivar todos los globos de notificaciones Activado
Desactivar los globos de notificaciones de anuncios de características Activado
Desactivar notificaciones del sistema Activado
Quitar el Administrador de tareas Activado
Quitar la opción de cambiar la contraseña en la interfaz de usuario de opciones de seguridad Activado
Quitar la opción de cierre de sesión en la interfaz de usuario de opciones de seguridad Activado
Quitar del menú Inicio la lista Todos los programas Activado - Quitar y deshabilitar la configuración
Impedir el acceso a unidades desde Mi PC Activado Restringir todos los controladores

Nota

Cuando está activado Impedir el acceso a unidades desde Mi PC, los usuarios pueden explorar la estructura de directorios en el Explorador de archivos, pero no pueden abrir las carpetas y tener acceso al contenido. Tampoco pueden usar el cuadro de diálogo Ejecutar o el cuadro de diálogo Asignar unidad de red para ver los directorios de estas unidades. Los iconos que representan las unidades especificadas siguen apareciendo en Explorador de archivos, pero si los usuarios hacen doble clic en los iconos, aparece un mensaje que explica que una configuración impide la acción. Esta opción no impide que los usuarios utilicen programas para acceder a unidades locales y de red. No impide que los usuarios utilicen el complemento Administración de discos para ver y cambiar las características de la unidad.

Directiva de MDM

Algunas de las directivas MDM basadas en el proveedor de servicios de configuración de directivas (CSP) afectan a todos los usuarios del sistema.

Configuración Valor Todo el sistema
Experiencia/AllowCortana 0 - No permitido
Start/AllowPinnedFolderDocuments 0 - El acceso directo se oculta y se deshabilita la configuración de la aplicación Configuración
Start/AllowPinnedFolderDownloads 0 - El acceso directo se oculta y se deshabilita la configuración de la aplicación Configuración
Start/AllowPinnedFolderFileExplorer 0 - El acceso directo se oculta y se deshabilita la configuración de la aplicación Configuración
Start/AllowPinnedFolderHomeGroup 0 - El acceso directo se oculta y se deshabilita la configuración de la aplicación Configuración
Start/AllowPinnedFolderMusic 0 - El acceso directo se oculta y se deshabilita la configuración de la aplicación Configuración
Start/AllowPinnedFolderNetwork 0 - El acceso directo se oculta y se deshabilita la configuración de la aplicación Configuración
Start/AllowPinnedFolderPersonalFolder 0 - El acceso directo se oculta y se deshabilita la configuración de la aplicación Configuración
Start/AllowPinnedFolderPictures 0 - El acceso directo se oculta y se deshabilita la configuración de la aplicación Configuración
Start/AllowPinnedFolderSettings 0 - El acceso directo se oculta y se deshabilita la configuración de la aplicación Configuración
Start/AllowPinnedFolderVideos 0 - El acceso directo se oculta y se deshabilita la configuración de la aplicación Configuración
Start/DisableContextMenus 1- Los menús contextuales están ocultos para las aplicaciones de inicio No
Start/HidePeopleBar 1 - True (ocultar) No
Start/HideChangeAccountSettings 1 - True (ocultar)
WindowsInkWorkspace/AllowWindowsInkWorkspace 0 - El acceso al área de trabajo de entrada se deshabilita y se desactiva la característica
Start/StartLayout Depende de la configuración No
WindowsLogon/DontDisplayNetworkSelectionUI <Activado/>

Aprovisionamiento de archivos .lnk con el Diseñador de configuración de Windows

En primer lugar, cree el archivo de acceso directo de la aplicación de escritorio mediante la instalación de la aplicación en un dispositivo de prueba mediante la ubicación de instalación predeterminada. Haz clic con el botón secundario en la aplicación instalada y elige Enviar a>Escritorio (crear acceso directo). Cambiar el nombre del acceso directo a <appName>.lnk

A continuación, crea un archivo por lotes con dos comandos. Si la aplicación de escritorio ya está instalada en el dispositivo de destino, omite el primer comando para la instalación de MSI.

msiexec /I "<appName>.msi" /qn /norestart
copy <appName>.lnk "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\<appName>.lnk"

En el Diseñador de configuraciones de Windows, bajo ProvisioningCommands>DeviceContext:

  • En CommandFiles, cargue el archivo por lotes, el archivo .lnk y el archivo de instalación de la aplicación de escritorio.

    Importante

    Pegue la ruta de acceso completa del archivo .lnk en el campo CommandFiles . Si va a y selecciona el archivo .lnk, la ruta de acceso del archivo se cambiará a la ruta de acceso del destino de .lnk.

  • En Línea de comandos, escriba cmd /c *FileName*.bat.

Otros métodos

Los entornos que usan WMI pueden usar el proveedor wmi de puente de MDM para configurar una pantalla completa.