Impostazioni dei criteri di accesso assegnati
Quando la configurazione accesso assegnato viene applicata a un dispositivo, vengono applicate determinate impostazioni dei criteri e regole di AppLocker, che influiscono sugli utenti che accedono al dispositivo. Le impostazioni dei criteri usano una combinazione di impostazioni del provider di servizi di configurazione (CSP) e criteri di gruppo (GPO).
Questo articolo di riferimento elenca le impostazioni dei criteri e le regole di AppLocker applicate da Accesso assegnato.
Nota
Non è consigliabile configurare le impostazioni dei criteri applicate dall'accesso assegnato a valori diversi usando altri canali. L'accesso assegnato è ottimizzato per offrire un'esperienza di blocco.
Impostazioni dei criteri del dispositivo
Le impostazioni dei criteri seguenti vengono applicate a livello di dispositivo quando si distribuisce un'esperienza utente con restrizioni. Qualsiasi utente che accede al dispositivo è soggetto alle impostazioni dei criteri, inclusi gli account amministratore:
| Tipo | Percorso | Nome/Descrizione |
|---|---|---|
| CSP | ./Vendor/MSFT/Policy/Config/Experience/AllowCortana |
Disabilitare Cortana |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDocuments |
Disabilitare l'icona Avvia documenti |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDownloads |
Disabilitare l'icona Avvia download |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderFileExplorer |
Disabilitare l'icona Start file explorer |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderHomeGroup |
Disabilitare l'icona Start home group |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderMusic |
Disabilitare l'icona Avvia musica |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderNetwork |
Disabilitare l'icona Avvia rete |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPersonalFolder |
Disabilitare l'icona Avvia cartella personale |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPictures |
Disabilita icona Start pictures (Disattiva immagini iniziali) |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderSettings |
Icona Disabilita impostazioni di avvio |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderVideos |
Disabilitare l'icona Avvia video |
| CSP | ./Vendor/MSFT/Policy/Config/Start/HideChangeAccountSettings |
Nascondi modifica impostazioni account dalla visualizzazione nel riquadro utente |
| CSP | ./Vendor/MSFT/Policy/Config/Update/SetAutoRestartNotificationDisable |
Nasconde tutte le notifiche di aggiornamento |
| CSP | ./Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel |
Disabilita le notifiche di riavvio automatico per gli aggiornamenti |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsInkWorkspace/AllowWindowsInkWorkspace |
L'accesso all'area di lavoro input penna è disabilitato |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI |
Nascondere l'interfaccia utente delle reti nella schermata di accesso e nell'interfaccia utente delle "opzioni di sicurezza" |
Impostazioni dei criteri utente
Le impostazioni dei criteri seguenti vengono applicate a qualsiasi account non amministratore quando si distribuisce un'esperienza utente con restrizioni:
| Tipo | Percorso | Nome/Descrizione |
|---|---|---|
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/DisableContextMenus |
Disabilitare il menu di scelta rapida per le app del menu Start |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HidePeopleBar |
Nascondi Persone barra delle applicazioni dalla visualizzazione sulla barra delle applicazioni |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentlyAddedApps |
Nascondere la visualizzazione delle app aggiunte di recente nel menu Start |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentJumplists |
Nascondere la visualizzazione delle jumplist recenti nel menu Start o nella barra delle applicazioni |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Cancella la cronologia dei documenti aperti recentemente in uscita |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Disabilita la visualizzazione delle notifiche in fumetti come avvisi popup |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Non consentire l'aggiunta di elementi alle Jump List |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Non consentire l'aggiunta di programmi alla barra delle applicazioni |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Non visualizzare o rilevare gli elementi nelle Jump List da posizioni remote |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Nascondere e disabilitare tutti gli elementi sul desktop |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Nascondere il pulsante Visualizzazione attività |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Blocca tutte le impostazioni della barra delle applicazioni |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Blocca la barra delle applicazioni |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Impedisci agli utenti di aggiungere o rimuovere barre degli strumenti |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Impedisci agli utenti di personalizzare la schermata Start |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Impedire agli utenti di spostare la barra delle applicazioni in un'altra posizione del dock dello schermo |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Impedire agli utenti di riorganizzare le barre degli strumenti |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Impedisci agli utenti di ridimensionare la barra delle applicazioni |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Impedisci agli utenti di disinstallare applicazioni dal menu Start |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Rimuovi accesso ai menu di scelta rapida per la barra delle applicazioni |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Rimuovi l'elenco Tutti i programmi dal menu Start |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Rimuovi centro di controllo |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Rimuovi l'elenco dei programmi più utilizzati dal menu Start |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Rimuovere notifiche e Centro notifiche |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Rimuovi impostazioni rapide |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Rimuovi il menu Esegui dal menu Start |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Rimuovi l'icona di Sicurezza e manutenzione |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Disattiva tutti i fumetti notifica |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni | Disattiva fumetti notifica di annuncio funzionalità |
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni\Notifiche | Disattiva notifiche di tipo avviso popup |
| GPO | Configurazione utente\Modelli amministrativi\Sistema\Opzioni CTRL+ALT+CANC | Rimuovi modifica password |
| GPO | Configurazione utente\Modelli amministrativi\Sistema\Opzioni CTRL+ALT+CANC | Rimuovi disconnessione |
| GPO | Configurazione utente\Modelli amministrativi\Sistema\Opzioni CTRL+ALT+CANC | Rimuovi Gestione attività |
| GPO | Configurazione utente\Modelli amministrativi\Componenti di Windows\Esplora file | Rimuovere l'unità di rete map e disconnettere l'unità di rete |
| GPO | Configurazione utente\Modelli amministrativi\Componenti di Windows\Esplora file | Rimuovi il menu di scelta rapida predefinito di Esplora file |
Le impostazioni dei criteri seguenti vengono applicate all'account chiosco multimediale quando si configura un'esperienza in modalità tutto schermo con Microsoft Edge:
| Tipo | Percorso | Nome/Descrizione |
|---|---|---|
| GPO | Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni\Notifiche | Eseguire solo applicazioni Windows specificate >msedge.exe |
| GPO | Configurazione utente\Modelli amministrativi\Sistema | Disattiva notifiche di tipo avviso popup |
| GPO | Configurazione utente\Modelli amministrativi\Componenti di Windows\Gestione allegati | Livello di rischio predefinito per i file allegati > Rischio elevato |
| GPO | Configurazione utente\Modelli amministrativi\Componenti di Windows\Gestione allegati | Elenco di inclusione per i tipi di file bassi >.pdf;.epub |
| GPO | Configurazione utente\Modelli amministrativi\Componenti di Windows\Esplora file | Rimuovi il menu di scelta rapida predefinito di Esplora file |
Regole di AppLocker
Quando si distribuisce un'esperienza utente con restrizioni di accesso assegnato, vengono generate regole di AppLocker per consentire le app elencate nella configurazione. Di seguito sono riportate le regole predefinite di AppLocker per l'accesso assegnato:
regole dell'app piattaforma UWP (Universal Windows Platform) (UWP)
- La regola predefinita consiste nel consentire a tutti gli utenti di avviare le app in pacchetto firmate
- L'elenco di rifiuto dell'app in pacchetto viene generato in fase di esecuzione quando l'utente di Accesso assegnato accede:
- In base alle app installate disponibili per l'account utente, l'accesso assegnato genera l'elenco di rifiuto. L'elenco esclude le app predefinite incluse nella posta in arrivo consentite, che sono fondamentali per il funzionamento del sistema, quindi esclude i pacchetti consentiti definiti nella configurazione accesso assegnato
- Se nello stesso pacchetto sono presenti più app, tutte le app vengono escluse
L'elenco di rifiuto viene usato per impedire all'utente di accedere alle app, attualmente disponibili per l'utente ma non nell'elenco consentito
Nota
Non è possibile gestire le regole di AppLocker generate dall'esperienza utente con restrizioni negli snap-in MMC. Evitare di creare regole di AppLocker in conflitto con le regole di AppLocker generate dall'accesso assegnato.
L'accesso assegnato non impedisce all'organizzazione o agli utenti di installare app UWP. Quando viene installata una nuova app UWP durante una sessione di accesso assegnato, l'app non è nell'elenco di rifiuto. Quando l'utente si disconnette e accede di nuovo, l'app installata viene inclusa nell'elenco di rifiuto. Per le app distribuite centralmente che si vuole consentire, ad esempio le app line-of-biness, aggiornare la configurazione accesso assegnato e includere le app nell'elenco consenti app.
Regole dell'app desktop
- La regola predefinita consiste nel consentire a tutti gli utenti di avviare i programmi desktop firmati con il certificato Microsoft per l'avvio e il funzionamento del sistema. La regola consente inoltre al gruppo di utenti amministratori di avviare tutti i programmi desktop.
- È disponibile un elenco di rifiuto predefinito dell'app desktop della posta in arrivo per l'account utente accesso assegnato, aggiornato in base all'elenco di autorizzazioni dell'app desktop definito nella configurazione accesso assegnato
- Le app desktop consentite definite dall'organizzazione vengono aggiunte nell'elenco di app consentite di AppLocker
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per