Consigli per l'accesso assegnato
Questo articolo contiene raccomandazioni per i dispositivi configurati con Accesso assegnato e Avvio shell. La maggior parte delle raccomandazioni include sia le impostazioni di Criteri di gruppo (GPO) che del provider di servizi di configurazione (CSP) per configurare i dispositivi in modalità tutto schermo.
Account utente tutto schermo
Per i dispositivi in modalità tutto schermo che si trovano in ambienti pubblici, configurare come account chiosco multimediale un account utente con i privilegi minimi, ad esempio un account utente locale standard. L'uso di un utente di Active Directory o di un utente di Microsoft Entra potrebbe consentire a un utente malintenzionato di ottenere l'accesso alle risorse di dominio accessibili a qualsiasi account di dominio. Quando si usano account di dominio con accesso assegnato, procedere con cautela. Considerare le risorse di dominio potenzialmente esposte usando un account di dominio.
Accesso automatico
Valutare la possibilità di abilitare l'accesso automatico per il dispositivo tutto schermo. Al riavvio del dispositivo, da un aggiornamento o da un'interruzione dell'alimentazione, è possibile configurare il dispositivo per l'accesso con l'account di accesso assegnato automaticamente. Assicurarsi che le impostazioni dei criteri applicate al dispositivo non impediscano il funzionamento previsto dell'accesso automatico. Ad esempio, le impostazioni dei criteri PreferredAadTenantDomainName impediscono il funzionamento dell'accesso automatico.
È possibile configurare i file XML di Accesso assegnato e Avvio shell con un account per l'accesso automatico. Per altre informazioni, vedere gli articoli:
- Creare un file XML di configurazione di Accesso assegnato
- Creare un file di configurazione di Shell Launcher
In alternativa, è possibile modificare il Registro di sistema per consentire l'accesso automatico a un account:
| Percorso | Nome | Tipo | Value |
|---|---|---|---|
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
AutoAdminLogon |
REG_DWORD | 1 |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultUserName |
Stringa | Impostare il valore come account a cui si vuole accedere. |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultPassword |
Stringa | Impostare il valore come password per l'account. |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultDomainName |
Stringa | Impostare il valore per il dominio, solo per gli account di dominio. Per gli account locali, non aggiungere questa chiave. |
Dopo aver configurato l'accesso automatico, riavviare il dispositivo. L'account eseguirà automaticamente l'accesso.
Nota
Se si usa l'accesso personalizzato con HideAutoLogonUI abilitato, potrebbe verificarsi una schermata nera quando la password dell'account utente scade. Valutare la possibilità di impostare la password in modo che non scada mai.
Windows Update
Configurare i dispositivi in modalità tutto schermo in modo che siano sempre aggiornati, senza compromettere l'esperienza utente. Ecco alcune impostazioni dei criteri da considerare per configurare Windows Update per i dispositivi in modalità tutto schermo:
| Tipo | Percorso | Nome/Descrizione |
|---|---|---|
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ActiveHoursEnd |
Valore intero che rappresenta la fine degli orari di attività. Ad esempio, 22 rappresenta le 22:00 |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ActiveHoursStart |
Valore intero che rappresenta l'inizio delle ore attive. Ad esempio, 7 rappresenta le 7:00 |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
AllowAutoUpdate |
Valore intero.
3 Impostare su - Scaricare automaticamente e pianificare l'installazione |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ScheduledInstallTime |
Valore intero. Specificare l'ora in cui il dispositivo installa gli aggiornamenti. Ad esempio, 23 rappresenta le 23:00 |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
UpdateNotificationLevel |
Valore intero.
2Impostare su : disattiva tutte le notifiche, inclusi gli avvisi di riavvio |
| GPO | Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Update\Gestisci esperienza utente finale | Opzioni di visualizzazione per le notifiche > di aggiornamento Impostare il valore su 2 - Disattiva tutte le notifiche, inclusi gli avvisi di riavvio |
| GPO | Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Update\Gestisci esperienza utente finale\Configura aggiornamenti automatici | 4 - Scaricare automaticamente e pianificare l'installazione> specificare un'ora di installazione al di fuori degli orari di attività |
| GPO | Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Update\Gestisci esperienza utente finale\Disattiva avvio automatico per gli aggiornamenti durante l'orario di attività | Configurare l'orario di attività di inizio e fine, durante il quale il dispositivo tutto schermo non può essere riavviato a causa di Windows Update |
Impostazioni risparmio energia
È possibile impedire che il dispositivo in modalità tutto schermo venga sospeso o impedire agli utenti di arrestare o riavviare il chiosco multimediale. Ecco alcune opzioni da considerare:
| Tipo | Percorso | Nome/Descrizione |
|---|---|---|
| CSP |
./Device/Vendor/MSFT/Policy/Config/ADMX_StartMenu/
HidePowerOptions |
Corda. Impostare su <Enabled/> |
| CSP | ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn |
Valore intero. Impostare su 0 |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
DisplayOffTimeoutPluggedIn |
Corda. Impostare su <Enabled/><Data ID="EnterVideoACPowerDownTimeOut" value="0"/> |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
SelectPowerButtonActionPluggedIn |
Numero intero. Impostare su 0 |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
SelectSleepButtonActionPluggedIn |
Numero intero. Impostare su 0 |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
StandbyTimeoutPluggedIn |
Corda. Impostare su <Enabled/><Data ID="EnterACStandbyTimeOut" value="0"/> |
| GPO | Configurazione computer\Modelli amministrativi\Menu Start e barra delle applicazioni\Rimuovi e impedisci l'accesso ai comandi Arresta, Riavvia, Sospensione e Ibernazione | Abilita |
| GPO | Configurazione computer\Modelli amministrativi\Sistema\Risparmio energia\Impostazioni pulsante\Selezionare l'azione del pulsante di alimentazione | Selezionare l'azione: Non eseguire alcuna azione |
| GPO | Configurazione computer\Modelli amministrativi\Sistema\Risparmio energia\Impostazioni pulsante\Selezionare l'azione del pulsante Sospensione | Selezionare l'azione: Non eseguire alcuna azione |
| GPO | Configurazione computer\Modelli amministrativi\Sistema\Risparmio energia\Specificare il timeout di sospensione del sistema | Impostare il valore su 0 secondi. |
| GPO | Configurazione computer\Modelli amministrativi\Sistema\Risparmio energia\Impostazioni video e visualizzazione\Disattiva visualizzazione | Impostare il valore su 0 secondi. |
| GPO | Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza\Arresto: consenti l'arresto del sistema senza dover accedere | Disabilitato |
| GPO | Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente\Arresta il sistema | Rimuovere gli utenti o i gruppi da questo criterio. Per evitare che questo criterio influisca su un membro del gruppo Administrators, assicurarsi di mantenere il gruppo Administrators. |
Nota
È anche possibile disabilitare il pulsante di alimentazione dalla schermata delle opzioni di sicurezza usando una funzionalità denominata Accesso personalizzato. Per altre informazioni sulla rimozione del pulsante di alimentazione o sulla disabilitazione del pulsante di alimentazione fisico, vedere Accesso personalizzato.
Tasti di scelta rapida
I tasti di scelta rapida seguenti non vengono bloccati per qualsiasi account utente configurato con un'esperienza utente con restrizioni:
- Alt + F4
- Alt + Scheda
- Alt + Spostare + Scheda
- Ctrl + Alt + Cancellare
È possibile usare Filtro tastiera per bloccare le combinazioni di tasti. Le impostazioni del filtro da tastiera si applicano ad altri account standard.
Tasti di scelta rapida per l'accessibilità
L'accesso assegnato non modifica le impostazioni di accessibilità. Usare Filtro tastiera per bloccare le combinazioni di tasti seguenti che aprono le funzionalità di accessibilità:
| Combinazione di tasti | Comportamento bloccato |
|---|---|
| Alt + a sinistraSpostamento a + sinistraSchermata di stampa | Finestra di dialogo Apri contrasto elevato |
| Alt + a sinistraSpostamento a + sinistraBloc num | Finestra di dialogo Apri tasti del mouse |
| VINCERE + U | Aprire il pannello Impostazioni di accessibilità dell'app |
Nota
Se Filtro tastiera è attivato, alcune combinazioni di tasti vengono bloccate automaticamente senza che sia necessario bloccarle in modo esplicito. Per altre informazioni, vedere Filtro da tastiera.
È anche possibile disabilitare le funzionalità di accessibilità e altre opzioni nella schermata di blocco con Accesso personalizzato. Ad esempio, per rimuovere l'opzione Accessibilità, usare la chiave del Registro di sistema seguente:
| Percorso | Nome | Tipo | Value |
|---|---|---|---|
HKLM\Software\Microsoft\Windows Embedded\EmbeddedLogon\BrandingNeutral |
BrandingNeutral |
REG_DWORD | 8 |
Collegamenti a Microsoft Edge
Per disabilitare alcuni collegamenti predefiniti di Microsoft Edge, è possibile usare il criterio ConfigureKeyboardShortcuts .
Scegliere un'app per un'esperienza in modalità tutto schermo
Per creare un'esperienza tutto schermo con Accesso assegnato, è possibile scegliere app UWP o Microsoft Edge. Tuttavia, alcune applicazioni potrebbero non offrire un'esperienza utente ottimale quando vengono usate come chiosco multimediale.
Le linee guida seguenti consentono di scegliere un'app di Windows appropriata per un'esperienza in modalità tutto schermo:
- È necessario effettuare il provisioning o l'installazione delle app di Windows per l'account di accesso assegnato prima di poter essere selezionate come app di accesso assegnato. Informazioni su come effettuare il provisioning e l'installazione di app
- Gli aggiornamenti delle app UWP possono talvolta modificare l'ID del modello utente dell'applicazione (AUMID) dell'app. In questo scenario è necessario aggiornare le impostazioni di accesso assegnato per eseguire l'app aggiornata, perché l'accesso assegnato usa AUMID per determinare l'avvio dell'app
- L'app deve essere in grado di essere eseguita sopra la schermata di blocco. Se l'app non può essere eseguita sopra la schermata di blocco, non può essere usata come app in modalità tutto schermo
- Alcune app possono avviare altre app. L'accesso assegnato in modalità tutto schermo impedisce alle app di Windows di avviare altre app. Evitare di selezionare app di Windows progettate per avviare altre app come parte delle funzionalità di base
- Microsoft Edge include il supporto per la modalità tutto schermo. Per altre informazioni, vedere Modalità tutto schermo di Microsoft Edge
- Non selezionare app di Windows che potrebbero esporre informazioni che non vuoi visualizzare nel tuo chiosco multimediale, poiché chiosco multimediale in genere significa accesso anonimo e individua in un'impostazione pubblica. Ad esempio, un'app che dispone di una selezione file consente all'utente di accedere a file e cartelle nel sistema dell'utente, evitare di selezionare questi tipi di app se forniscono accesso ai dati non necessario
- Alcune app potrebbero richiedere più configurazioni prima di poter essere usate in modo appropriato in Accesso assegnato. Ad esempio, Microsoft OneNote richiede di configurare un account Microsoft per l'account utente Accesso assegnato prima dell'apertura di OneNote
- Il profilo del chiosco multimediale è progettato per i dispositivi con chiosco multimediale pubblico. Usare un account locale non amministratore. Se il dispositivo è connesso alla rete dell'organizzazione, l'uso di un dominio o di un account Microsoft Entra potrebbe compromettere le informazioni riservate
Quando si pianifica la distribuzione di un chiosco multimediale o di un'esperienza utente con restrizioni, prendere in considerazione i consigli seguenti:
- Valutare tutte le applicazioni che gli utenti devono usare. Se le applicazioni richiedono l'autenticazione utente, non usare un account utente locale o generico. Impostare invece come destinazione il gruppo di utenti all'interno del file di configurazione di Accesso assegnato
- Un chiosco multimediale multi-app è appropriato per i dispositivi condivisi da più persone. Quando si configura un chiosco multimediale multi-app, alcune impostazioni dei criteri che interessano tutti gli utenti non amministratori nel dispositivo. Per un elenco di questi criteri, vedere Impostazioni dei criteri di accesso assegnati
Sviluppa l'app per la modalità tutto schermo
L'accesso assegnato usa il framework di blocco. Quando un utente di Accesso assegnato accede, l'app tutto schermo selezionata viene avviata sopra la schermata di blocco. L'app tutto schermo è in esecuzione come app della schermata di blocco precedente . Per altre informazioni, vedere le indicazioni sulle procedure consigliate per lo sviluppo di un'app in modalità tutto schermo per l'accesso assegnato.
Errori di arresto e opzioni di ripristino
Quando si verifica un errore di arresto, Windows visualizza una schermata blu con un codice di errore di arresto. È possibile sostituire la schermata standard con una schermata vuota per gli errori del sistema operativo. Per altre informazioni, vedere Configurare gli errori di sistema e le opzioni di ripristino.
Notifiche della schermata di blocco
Provare a rimuovere le notifiche dalla schermata di blocco per impedire agli utenti di visualizzare le notifiche quando il dispositivo è bloccato. Ecco alcune opzioni da considerare:
| Tipo | Percorso | Nome/Descrizione |
|---|---|---|
| CSP |
./Device/Vendor/MSFT/Policy/Config/AboveLock/
AllowToasts |
Numero intero. Impostare su 0 |
| GPO | Configurazione computer\Modelli amministrativi\Sistema\Accesso\Disattiva notifiche dell'app nella schermata di blocco | Abilitato |
Risoluzione dei problemi e log
Quando si testa l'accesso assegnato, può essere utile abilitare la registrazione per risolvere i problemi. I log consentono di identificare i problemi di configurazione e runtime. È possibile abilitare il log seguente:Registri> applicazioni e servizi Microsoft >Windows>AssignedAccess>Operational.
Le chiavi del Registro di sistema seguenti contengono le configurazioni di Accesso assegnato:
HKLM\Software\Microsoft\Windows\AssignedAccessConfigurationHKLM\Software\Microsoft\Windows\AssignedAccessCsp
La chiave del Registro di sistema seguente contiene la configurazione per ogni utente con un criterio di accesso assegnato:
HKCU\SOFTWARE\Microsoft\Windows\AssignedAccessConfiguration
Per altre informazioni sulla risoluzione dei problemi relativi al chiosco multimediale, vedere Risolvere i problemi relativi alla modalità tutto schermo.
Passaggi successivi
Informazioni su come creare un file XML per configurare l'accesso assegnato: