Irakurri ingelesez

Partekatu honen bidez:

Recomendaciones de acceso asignado

Este artículo contiene recomendaciones para dispositivos configurados con acceso asignado y iniciador de shell. La mayoría de las recomendaciones incluyen la configuración de directiva de grupo (GPO) y proveedor de servicios de configuración (CSP) para ayudarle a configurar los dispositivos de pantalla completa.

Cuenta de usuario de pantalla completa

En el caso de los dispositivos de pantalla completa ubicados en entornos orientados al público, configure como una cuenta de pantalla completa una cuenta de usuario con los privilegios mínimos, como una cuenta de usuario estándar local. El uso de un usuario de Active Directory o un usuario de Microsoft Entra podría permitir que un atacante obtenga acceso a recursos de dominio accesibles para cualquier cuenta de dominio. Cuando use cuentas de dominio con acceso asignado, tenga cuidado. Tenga en cuenta los recursos de dominio potencialmente expuestos mediante una cuenta de dominio.

Inicio de sesión automático

Considere la posibilidad de habilitar el inicio de sesión automático para el dispositivo de pantalla completa. Cuando se reinicia el dispositivo, desde una actualización o una interrupción de energía, puede configurar el dispositivo para que inicie sesión automáticamente con la cuenta de acceso asignado. Asegúrese de que la configuración de directiva aplicada al dispositivo no impide que el inicio de sesión automático funcione según lo esperado. Por ejemplo, la configuración de directiva PreferredAadTenantDomainName impide que el inicio de sesión automático funcione.

Puede configurar los archivos XML de acceso asignado y iniciador de shell con una cuenta para que inicien sesión automáticamente. Para obtener más información, consulte los artículos:

Como alternativa, puede editar el Registro para que una cuenta inicie sesión automáticamente:

Ruta de acceso Nombre Tipo Valor
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon AutoAdminLogon REG_DWORD 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultUserName Cadena Establezca el valor como la cuenta en la que desea iniciar sesión.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultPassword Cadena Establezca el valor como la contraseña de la cuenta.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultDomainName Cadena Establezca el valor para el dominio, solo para las cuentas de dominio. En el caso de las cuentas locales, no agregue esta clave.

Una vez configurado el inicio de sesión automático, reinicie el dispositivo. La cuenta iniciará sesión automáticamente.

Oharra

Si usa Inicio de sesión personalizado con HideAutoLogonUI habilitado, es posible que experimente una pantalla negra cuando expire la contraseña de la cuenta de usuario. Considere la posibilidad de establecer la contraseña para que nunca expire.

Windows Update

Configure los dispositivos de pantalla completa para que estén siempre actualizados, sin interrumpir la experiencia del usuario. Estas son algunas opciones de directiva que se deben tener en cuenta para configurar Windows Update para los dispositivos de pantalla completa:

Tipo Ruta de acceso Nombre/descripción
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ ActiveHoursEnd Valor entero que representa el final de las horas activas. Por ejemplo, 22 representa las 10 p.m.
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ ActiveHoursStart Valor entero que representa el inicio de las horas activas. Por ejemplo, 7 representa las 7 a. m.
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ AllowAutoUpdate Valor entero. Establecer en 3 : descarga automática y programación de la instalación
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ ScheduledInstallTime Valor entero. Especifique la hora para que el dispositivo instale las actualizaciones. Por ejemplo, 23 representa las 11 p.m.
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ UpdateNotificationLevel Valor entero. Establézcalo 2en : desactive todas las notificaciones, incluidas las advertencias de reinicio.
GPO Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update\Administrar la experiencia del usuario final Mostrar opciones para notificaciones de > actualización Establezca el valor en 2: desactivar todas las notificaciones, incluidas las advertencias de reinicio.
GPO Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update\Administrar la experiencia del usuario final\Configurar actualizaciones automáticas 4 - Descarga automática y programación de la instalación> especificar un tiempo de instalación que está fuera de las horas activas
GPO Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update\Administrar la experiencia del usuario final\Desactivar inicio automático para actualizaciones durante las horas activas Configurar las horas activas de inicio y finalización, durante las cuales el dispositivo de pantalla completa no se puede reiniciar debido a Windows Update

Configuración de energía

Es posible que quiera evitar que el dispositivo de pantalla completa entre en suspensión o impedir que los usuarios apaguen o reinicien el quiosco. Estas son algunas opciones a tener en cuenta:

Tipo Ruta de acceso Nombre/descripción
CSP ./Device/Vendor/MSFT/Policy/Config/ADMX_StartMenu/ HidePowerOptions Cuerda. Establecer en <Enabled/>
CSP ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/
Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn		 Valor entero. Establecer en 0
CSP ./Device/Vendor/MSFT/Policy/Config/Power/ DisplayOffTimeoutPluggedIn Cuerda. Establecer en <Enabled/><Data ID="EnterVideoACPowerDownTimeOut" value="0"/>
CSP ./Device/Vendor/MSFT/Policy/Config/Power/ SelectPowerButtonActionPluggedIn Entero. Establecer en 0
CSP ./Device/Vendor/MSFT/Policy/Config/Power/ SelectSleepButtonActionPluggedIn Entero. Establecer en 0
CSP ./Device/Vendor/MSFT/Policy/Config/Power/ StandbyTimeoutPluggedIn Cuerda. Establecer en <Enabled/><Data ID="EnterACStandbyTimeOut" value="0"/>
GPO Configuración del equipo\Plantillas administrativas\Menú Inicio y barra de tareas\Quitar e impedir el acceso a los comandos Apagar, Reiniciar, Suspender e Hibernar Habilitar
GPO Configuración del equipo\Plantillas administrativas\Sistema\Administración de energía\Configuración de botón\Seleccionar la acción de botón De encendido Seleccionar la acción: No realizar ninguna acción
GPO Configuración del equipo\Plantillas administrativas\Sistema\Administración de energía\Configuración de botones\Seleccionar la acción de botón De suspensión Seleccionar la acción: No realizar ninguna acción
GPO Configuración del equipo\Plantillas administrativas\Sistema\Administración de energía\Especificar el tiempo de espera de suspensión del sistema Establezca el valor en 0 segundos.
GPO Configuración del equipo\Plantillas administrativas\Sistema\Administración de energía\Configuración de vídeo y visualización\Desactivar la pantalla Establezca el valor en 0 segundos.
GPO Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Apagado: permitir que el sistema se apague sin tener que iniciar sesión Deshabilitado
GPO Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Apagar el sistema Quite los usuarios o grupos de esta directiva. Para evitar que esta directiva afecte a un miembro del grupo Administradores, asegúrese de mantener el grupo Administradores.

Oharra

También puede deshabilitar el botón de encendido en la pantalla de opciones de seguridad mediante una característica denominada Inicio de sesión personalizado. Para obtener más información sobre cómo quitar el botón de encendido o deshabilitar el botón de encendido físico, vea Inicio de sesión personalizado.

Métodos abreviados de teclado

Los siguientes métodos abreviados de teclado no se bloquean para ninguna cuenta de usuario configurada con una experiencia de usuario restringida:

  • Alt + F4
  • Alt + Pestaña
  • Alt + Turno + Pestaña
  • Ctrl + Alt + Borrar

Puede usar filtro de teclado para bloquear las combinaciones de teclas. La configuración del filtro de teclado se aplica a otras cuentas estándar.

Accesos directos de accesibilidad

El acceso asignado no cambia la configuración de accesibilidad. Use Filtro de teclado para bloquear las siguientes combinaciones de teclas que abren las características de accesibilidad:

Combinación de teclas Comportamiento bloqueado
Alt + izquierdoDesplazamiento a la + izquierdaPantalla de impresión Cuadro de diálogo Abrir contraste alto
Alt + izquierdoDesplazamiento a la + izquierdaBloqueo num Cuadro de diálogo Abrir teclas del mouse
GANAR + U Abra el panel de accesibilidad de la aplicación Configuración.

Oharra

Si filtro de teclado está activado, algunas combinaciones de teclas se bloquean automáticamente sin tener que bloquearlas explícitamente. Para obtener más información, vea Filtro de teclado.

También puede deshabilitar las características de accesibilidad y otras opciones en la pantalla de bloqueo con Inicio de sesión personalizado. Por ejemplo, para quitar la opción Accesibilidad, use la siguiente clave del Registro:

Ruta de acceso Nombre Tipo Valor
HKLM\Software\Microsoft\Windows Embedded\EmbeddedLogon\BrandingNeutral BrandingNeutral REG_DWORD 8

Accesos directos de Microsoft Edge

Para deshabilitar determinados accesos directos predeterminados de Microsoft Edge, puede usar la directiva ConfigureKeyboardShortcuts .

Elección de una aplicación para una experiencia de pantalla completa

Para crear una experiencia de pantalla completa con Acceso asignado, puedes elegir aplicaciones para UWP o Microsoft Edge. Sin embargo, es posible que algunas aplicaciones no proporcionen una buena experiencia de usuario cuando se usan como pantalla completa.

Las siguientes directrices le ayudarán a elegir una aplicación de Windows adecuada para una experiencia de pantalla completa:

  • Las aplicaciones de Windows deben aprovisionarse o instalarse para la cuenta de acceso asignado antes de que se puedan seleccionar como la aplicación De acceso asignado. Aprenda a aprovisionar e instalar aplicaciones
  • A veces, las actualizaciones de aplicaciones para UWP pueden cambiar el identificador de modelo de usuario de la aplicación (AUMID) de la aplicación. En este escenario, debe actualizar la configuración de Acceso asignado para ejecutar la aplicación actualizada, ya que Acceso asignado usa el AUMID para determinar la aplicación que se va a iniciar.
  • La aplicación debe poder ejecutarse encima de la pantalla de bloqueo. Si la aplicación no se puede ejecutar por encima de la pantalla de bloqueo, no se puede usar como una aplicación de pantalla completa.
  • Algunas aplicaciones pueden iniciar otras aplicaciones. El acceso asignado en modo de pantalla completa impide que las aplicaciones de Windows inicien otras aplicaciones. Evite seleccionar aplicaciones de Windows diseñadas para iniciar otras aplicaciones como parte de su funcionalidad principal.
  • Microsoft Edge incluye compatibilidad con el modo de pantalla completa. Para obtener más información, consulte Modo de pantalla completa de Microsoft Edge.
  • No seleccione aplicaciones de Windows que puedan exponer información que no quiera mostrar en la pantalla completa, ya que el quiosco multimedia suele significar acceso anónimo y se localiza en una configuración pública. Por ejemplo, una aplicación que tiene un selector de archivos permite al usuario obtener acceso a archivos y carpetas en el sistema del usuario, evitar seleccionar estos tipos de aplicaciones si proporcionan acceso a datos innecesarios.
  • Algunas aplicaciones pueden requerir más configuraciones antes de que se puedan usar correctamente en Acceso asignado. Por ejemplo, Microsoft OneNote requiere que configure una cuenta Microsoft para la cuenta de usuario de Acceso asignado antes de que se abra OneNote.
  • El perfil de quiosco está diseñado para dispositivos de pantalla completa orientados al público. Use una cuenta local no administradora. Si el dispositivo está conectado a la red de la organización, el uso de un dominio o una cuenta de Microsoft Entra podría poner en peligro la información confidencial.

Al planear la implementación de una pantalla completa o una experiencia de usuario restringida, tenga en cuenta las siguientes recomendaciones:

  • Evalúe todas las aplicaciones que los usuarios deben usar. Si las aplicaciones requieren autenticación de usuario, no use una cuenta de usuario local o genérica. En su lugar, tenga como destino el grupo de usuarios dentro del archivo de configuración de acceso asignado.
  • Un quiosco de varias aplicaciones es adecuado para dispositivos compartidos por varias personas. Al configurar una pantalla completa de varias aplicaciones, determinadas opciones de directiva que afectan a todos los usuarios no administradores del dispositivo. Para obtener una lista de estas directivas, consulte Configuración de directivas de acceso asignado.

Desarrollar tu aplicación de pantalla completa

Acceso asignado usa el marco De bloqueo. Cuando un usuario de Acceso asignado inicia sesión, la aplicación de pantalla completa seleccionada se inicia encima de la pantalla de bloqueo. La aplicación de pantalla completa se ejecuta como una aplicación de pantalla de bloqueo anterior . Para obtener más información, consulte la guía de procedimientos recomendados para desarrollar una aplicación de pantalla completa para el acceso asignado.

Detener errores y opciones de recuperación

Cuando se produce un error de detención, Windows muestra una pantalla azul con un código de error de detención. Puede reemplazar la pantalla estándar por una pantalla en blanco para errores del sistema operativo. Para obtener más información, consulte Configuración de opciones de recuperación y errores del sistema.

Notificaciones de pantalla de bloqueo

Considere la posibilidad de quitar notificaciones de la pantalla de bloqueo para evitar que los usuarios vean notificaciones cuando el dispositivo está bloqueado. Estas son algunas opciones a tener en cuenta:

Tipo Ruta de acceso Nombre/descripción
CSP ./Device/Vendor/MSFT/Policy/Config/AboveLock/ AllowToasts Entero. Establecer en 0
GPO Configuración del equipo\Plantillas administrativas\Sistema\Inicio de sesión\Desactivar notificaciones de aplicación en la pantalla de bloqueo Habilitado

Solución de problemas y registros

Al probar el acceso asignado, puede ser útil habilitar el registro para ayudarle a solucionar problemas. Los registros pueden ayudarle a identificar problemas de configuración y tiempo de ejecución. Puede habilitar el siguiente registro: Registros de aplicaciones y servicios>Microsoft>Windows>AssignedAccess>Operational.

Las siguientes claves del Registro contienen las configuraciones de acceso asignado:

  • HKLM\Software\Microsoft\Windows\AssignedAccessConfiguration
  • HKLM\Software\Microsoft\Windows\AssignedAccessCsp

La siguiente clave del Registro contiene la configuración de cada usuario con una directiva de acceso asignado:

  • HKCU\SOFTWARE\Microsoft\Windows\AssignedAccessConfiguration

Para obtener más información sobre la solución de problemas de pantalla completa, consulte Solución de problemas del modo de pantalla completa.

Pasos siguientes

Obtenga información sobre cómo crear un archivo XML para configurar el acceso asignado:

Creación de un archivo de configuración de acceso asignado