Criar um arquivo XML de configuração de acesso atribuído
Artigo
Para configurar o Acesso Atribuído, você deve criar e aplicar um arquivo XML de configuração aos seus dispositivos. O arquivo de configuração deve estar em conformidade com um esquema, conforme definido em XSD (Definição de Esquema XML de Acesso Atribuído).
Este artigo descreve como configurar um arquivo de configuração do Acesso Atribuído, incluindo exemplos práticos.
Vamos começar examinando a estrutura básica do arquivo XML. Um arquivo de configuração de acesso atribuído contém:
Um ou vários profiles. Cada profile um define um conjunto de aplicativos que podem ser executados
Um ou vários configs. Cada config um associa uma conta de usuário ou um grupo a um profile
Aqui está um exemplo básico de um arquivo de configuração do Acesso Atribuído, com um perfil e uma configuração:
<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config">
<Profiles>
<Profile Id="{GUID}">
<!-- Add configuration here as needed -->
</Profile>
</Profiles>
<Configs>
<Config>
<!-- Add configuration here as needed -->
</Config>
</Configs>
</AssignedAccessConfiguration>
Controle de versão
O XML de configuração de acesso atribuído é versão. A versão é definida no elemento raiz XML e é usada para determinar qual esquema usar para validar o arquivo XML. A versão também é usada para determinar quais recursos estão disponíveis para a configuração. Aqui está uma tabela das versões, aliases usados nos exemplos de documentação e namespaces:
Para autorizar uma configuração compatível XML que inclui elementos e atributos específicos da versão, inclua sempre o namespace dos esquemas de complemento e decore os atributos e elementos de acordo com o alias do namespace. Por exemplo, para configurar o StartPins recurso que foi adicionado no Windows 11, versão 22H2, use o exemplo abaixo. Observe o alias v5 associado ao http://schemas.microsoft.com/AssignedAccess/2022/config namespace para a versão 22H2 e o alias está marcado em StartPins embutido.
<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
xmlns:v5="http://schemas.microsoft.com/AssignedAccess/2022/config">
<Profiles>
<Profile Id="{GUID}">
<!-- Add configuration here as needed -->
<v5:StartPins>
<!-- Add StartPins configuration here -->
</v5:StartPins>
</Profile>
</Profiles>
<Configs>
<Config>
<!-- Add configuration here as needed -->
</Config>
</Configs>
</AssignedAccessConfiguration>
Um arquivo de configuração pode conter um ou mais perfis. Cada perfil é identificado por um identificador Profile Id exclusivo e, opcionalmente, por um Name. Por exemplo:
<Profiles>
<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
<!-- Add configuration here as needed -->
</Profile>
</Profiles>
Dica
O Profile Id deve ser exclusivo no arquivo XML. Você pode gerar um GUID com o cmdlet New-Guiddo PowerShell .
Um perfil pode ser um dos dois tipos:
KioskModeApp: é usado para configurar uma experiência de quiosque. Os usuários atribuídos a esse perfil não acessam a área de trabalho, mas apenas o aplicativo Plataforma Universal do Windows (UWP) ou o Microsoft Edge em execução na tela inteira acima da tela bloquear
AllAppList é usado para configurar uma experiência restrita do usuário. Os usuários atribuídos a esse perfil acessam a área de trabalho com os aplicativos específicos no menu Iniciar
Importante
Você não pode definir ambos KioskModeApp e ShellLauncher ao mesmo tempo no dispositivo
Um arquivo de configuração pode conter apenas um KioskModeApp perfil, mas pode conter vários AllAppList perfis.
KioskModeApp
As propriedades de um KioskModeApp perfil são:
Propriedade
Descrição
Detalhes
AppUserModelId
A ID do Modelo de Usuário de Aplicativo (AUMID) do aplicativo UWP.
O caminho completo para um executável de aplicativo de área de trabalho.
Esse é o caminho para o aplicativo de área de trabalho usado no modo de quiosque. O caminho pode conter variáveis de ambiente do sistema na forma de %variableName%.
v4:ClassicAppArguments
Os argumentos a serem passados para o aplicativo de área de trabalho.
Essa propriedade é opcional.
Por padrão, você pode usar a sequênciaDELALT+da CTRL+ para sair do modo de quiosque. Você pode definir um BreakoutSequence elemento para alterar a sequência padrão. O Key atributo é uma cadeia de caracteres que representa a combinação de chaves.
Exemplo de dois perfis, um aplicativo de área de trabalho e um aplicativo UWP:
Você só pode atribuir um KioskModeApp perfil aos usuários, não a grupos.
AllAppList
De acordo com a finalidade do dispositivo de quiosque, defina a lista de aplicativos que podem ser executados. Essa lista pode conter os aplicativos UWP e os aplicativos da área de trabalho. Quando a configuração do quiosque de mult-app é aplicada a um dispositivo, as regras do AppLocker são geradas para permitir os aplicativos listados na configuração.
Observação
Se um aplicativo tiver uma dependência em outro aplicativo, ambos deverão ser incluídos na lista de aplicativos permitidos.
AllAppList No nó, defina uma lista de aplicativos permitidos para execução. Cada App elemento tem as seguintes propriedades:
Propriedade
Descrição
Detalhes
AppUserModelId
A ID do Modelo de Usuário de Aplicativo (AUMID) do aplicativo UWP.
O caminho completo para um executável de aplicativo de área de trabalho.
Esse é o caminho para o aplicativo de área de trabalho usado no modo de quiosque. O caminho pode conter variáveis de ambiente do sistema na forma de %variableName%.
rs5:AutoLaunch
Um atributo booliano para indicar se deve iniciar o aplicativo (desktop ou aplicativo UWP) automaticamente quando o usuário entrar.
Essa propriedade é opcional. Somente um aplicativo pode fazer o lançamento automático.
rs5:AutoLaunchArguments
Os argumentos a serem passados para o aplicativo configurado com AutoLaunch.
AutoLaunchArguments são passados para os aplicativos como está e o aplicativo precisa lidar com os argumentos explicitamente. Essa propriedade é opcional.
Em uma experiência restrita do usuário (AllAppList), a navegação em pastas é bloqueada por padrão. Você pode permitir explicitamente o acesso a pastas conhecidas, incluindo o FileExplorerNamespaceRestrictions nó.
Você pode especificar o acesso do usuário à pasta Downloads, unidades removíveis ou nenhuma restrição. Downloads e Unidades Removíveis podem ser permitidos ao mesmo tempo.
<Profiles>
<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
<AllAppsList>
<AllowedApps>
<!-- Add configuration here as needed -->
</AllowedApps>
</AllAppsList>
<rs5:FileExplorerNamespaceRestrictions>
<!-- Add configuration here as needed -->
</rs5:FileExplorerNamespaceRestrictions>
<!-- Add configuration here as needed -->
</Profile>
</Profiles>
Para conceder acesso a Explorador de Arquivos em uma experiência restrita do usuário, adicione Explorer.exe à lista de aplicativos permitidos e fixe um atalho no menu Iniciar.
Iniciar personalizações de menu
Para um perfil de experiência restrita do usuário (AllAppList), você deve definir o layout Iniciar. O layout Iniciar contém uma lista de aplicativos fixados no menu Iniciar. Você pode optar por fixar todos os aplicativos permitidos no menu Iniciar ou em um subconjunto. A maneira mais fácil de criar um layout inicial personalizado é configurar o menu Iniciar em um dispositivo de teste e exportar o layout.
Para saber como personalizar e exportar uma configuração de menu Iniciar, consulte Personalizar o menu Iniciar.
Com a configuração do menu Iniciar exportado, use o StartLayout elemento e adicione o conteúdo do arquivo XML. Por exemplo:
<StartLayout>
<![CDATA[
<!-- Add your exported Start menu XML configuration file here -->
]]>
</StartLayout>
Com a configuração do menu Iniciar exportado, use o v5:StartPins elemento e adicione o conteúdo do arquivo JSON exportado. Por exemplo:
<v5:StartPins>
<![CDATA[
<!-- Add your exported Start menu JSON configuration file here -->
]]>
</v5:StartPins>
Exemplo com alguns aplicativos fixados:
<v5:StartPins>
</v5:StartPins>
Observação
Se um aplicativo não estiver instalado para o usuário, mas estiver incluído no XML do layout Iniciar, o aplicativo não será mostrado na tela Iniciar.
Personalizações da barra de tarefas
Você não pode fixar aplicativos na barra de tarefas em uma experiência restrita do usuário. Não há suporte para configurar um layout da barra de tarefas usando a <CustomTaskbarLayoutCollection> marca em um XML de modificação de layout, como parte da configuração de Acesso Atribuído.
A única personalização da barra de tarefas disponível é a opção para mostrar ou ocultar, usando o ShowTaskbar atributo booliano.
O exemplo a seguir expõe a barra de tarefas:
<Taskbar ShowTaskbar="true"/>
O exemplo a seguir oculta a barra de tarefas:
<Taskbar ShowTaskbar="false"/>
Observação
Isso é diferente da opção Ocultar automaticamente a barra de tarefas no modo tablet, que mostra a barra de tarefas quando você desliza o dedo para cima ou move o ponteiro do mouse para baixo até a parte inferior da tela. A configuração ShowTaskbar como false oculta a barra de tarefas permanentemente.
Você pode personalizar a barra de tarefas criando um layout personalizado e adicionando-o ao arquivo XML. Para saber como personalizar e exportar a configuração da barra de tarefas, consulte Personalizar a barra de tarefas.
Observação
Em Windows 11, o ShowTaskbar atributo não é op. Configure-o com um valor de true.
Com a configuração da barra de tarefas exportada, use o v5:TaskbarLayout elemento e adicione o conteúdo do arquivo XML. Por exemplo:
<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
<!-- Add your exported Taskbar XML configuration file here -->
]]>
</v5:TaskbarLayout>
Aqui está um exemplo de uma barra de tarefas personalizada com alguns aplicativos fixados:
Em Configs, defina uma ou mais contas de usuário ou grupos e sua associação com um perfil.
Quando a conta de usuário entra, o perfil de Acesso Atribuído associado é imposto junto com as configurações de política que fazem parte da experiência restrita do usuário.
Você pode atribuir:
Uma conta de usuário padrão, que pode ser local, domínio ou Microsoft Entra ID
Uma conta de grupo, que pode ser local, Active Directory (domínio) ou Microsoft Entra ID
Limitações:
Configurações que especificam contas de grupo não podem usar um perfil de quiosque, apenas um perfil de experiência restrita do usuário
Aplique a experiência restrita do usuário somente aos usuários padrão. Não há suporte para associar um usuário administrador a um perfil de Acesso Atribuído
No Microsoft Entra dispositivos ingressados no domínio e ingressados no domínio, as contas de usuário locais não são exibidas na tela de entrada por padrão. Para exibir as contas locais na tela de entrada, habilite a configuração da política:
GPO:Modelos administrativosde configuração> do computadorLogon>do sistema>Enumeram usuários locais em computadores ingressados> no domínio
Com <AutoLogonAccount>o , o Acesso Atribuído cria e gerencia uma conta de usuário para entrar automaticamente após a reinicialização de um dispositivo. A conta é um usuário padrão local.
O exemplo a seguir mostra como especificar uma conta para entrar automaticamente e o nome de exibição opcional da conta na tela de entrada:
Quando as restrições de senha do Exchange Active Sync (EAS) estão ativas no dispositivo, o recurso de autologon não funciona. Esse comportamento está relacionado ao design. Para obter mais informações, consulte Como ativar o logon automático no Windows.
Perfil global
Com GlobalProfile, você pode definir um perfil de Acesso Atribuído que é aplicado a cada conta que não é administradora que entra.
GlobalProfile é útil em cenários como trabalhadores de linha de frente ou dispositivos de estudante, em que você deseja garantir que cada usuário tenha uma experiência consistente.
Você pode combinar um perfil global com outros perfis. Se você atribuir a um usuário um perfil não global, o perfil global não será aplicado a esse usuário.
Contas de usuário
Contas individuais são especificadas usando <Account>.
Importante
Antes de aplicar a configuração de Acesso Atribuído, verifique se a conta de usuário especificada está disponível no dispositivo, caso contrário, ela falhará.
Para contas de domínio e Microsoft Entra, desde que o dispositivo seja ingressado no Active Directory ou Microsoft Entra ingressado, a conta pode ser descoberta na floresta de domínio ou locatário ao qual o dispositivo está ingressado. Para as contas locais, é necessário que a conta exista antes da configuração da conta para o acesso atribuído.
Usuário local
A conta local pode ser inserida como devicename\user, .\userou apenas user.
Microsoft Entra contas devem ser especificadas com o formato: AzureAD\{UPN}.
AzureADdeve ser fornecido como está e, em seguida, seguir com o UPN (nome da entidade de usuário) Microsoft Entra.
As contas de grupo são especificadas usando <UserGroup>. Não há suporte para grupos aninhados. Por exemplo, se o Usuário A for membro do Grupo A, o Grupo A for membro do Grupo B e o Grupo B for usado no <Config/>, o Usuário A não terá a experiência de quiosque.
Grupo local
Especifique o tipo de grupo como LocalGroup e adicione o nome do Name grupo no atributo.
Há suporte para grupos de segurança e distribuição. Especifique o tipo de grupo como ActiveDirectoryGroup. Use o nome de domínio como prefixo no atributo name.
Use a ID do objeto do grupo Microsoft Entra. Você pode encontrar a ID do objeto na página de visão geral do grupo entrando no centro de administração do Microsoft Entra e navegando paraGrupos de>Identidade>Todos os grupos. Especifique o tipo de grupo como AzureActiveDirectoryGroup. O dispositivo de quiosque deve ter conectividade com a Internet quando os usuários que pertencem à entrada do grupo.
Este roteiro de aprendizado explora os perfis de dispositivo do Intune, os benefícios dos perfis de usuário e como sincronizar dados de perfil em vários dispositivos.
Demonstrar os recursos do Microsoft Entra ID para modernizar as soluções de identidade, implementar soluções híbridas e implementar a governança de identidade.