Ler em inglês

Compartilhar via

Recomendações de Acesso Atribuído

Este artigo contém recomendações para dispositivos configurados com o Acesso Atribuído e o Iniciador de Shell. A maioria das recomendações inclui definições de política de grupo (GPO) e fornecedor de serviços de configuração (CSP) para o ajudar a configurar os seus dispositivos de quiosque.

Conta de utilizador do quiosque

Para dispositivos de quiosque localizados em ambientes destinados ao público, configure como uma conta de quiosque uma conta de utilizador com menos privilégios, como uma conta de utilizador local e padrão. A utilização de um utilizador do Active Directory ou Microsoft Entra utilizador poderá permitir que um atacante obtenha acesso a recursos de domínio acessíveis a quaisquer contas de domínio. Ao utilizar contas de domínio com acesso atribuído, proceda com cuidado. Considere os recursos de domínio potencialmente expostos com uma conta de domínio.

Entrada automática

Considere ativar o início de sessão automático para o seu dispositivo de quiosque. Quando o dispositivo é reiniciado, a partir de uma atualização ou falha de energia, pode configurar o dispositivo para iniciar sessão com a conta de Acesso Atribuído automaticamente. Certifique-se de que as definições de política aplicadas ao dispositivo não impedem que o início de sessão automático funcione conforme esperado. Por exemplo, as definições de política PreferredAadTenantDomainName impedem o início de sessão automático de funcionar.

Pode configurar os ficheiros XML do Acesso Atribuído e do Iniciador de Shell com uma conta para iniciar sessão automaticamente. Para obter mais informações, veja os artigos:

Em alternativa, pode editar o Registo para que uma conta inicie sessão automaticamente:

Caminho Nome Tipo Valor
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon AutoAdminLogon REG_DWORD 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultUserName String Defina o valor como a conta na qual pretende iniciar sessão.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultPassword String Defina o valor como a palavra-passe da conta.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultDomainName String Defina o valor para o domínio, apenas para contas de domínio. Para contas locais, não adicione esta chave.

Assim que o início de sessão automático estiver configurado, reinicie o dispositivo. A conta iniciará sessão automaticamente.

Observação

Se estiver a utilizar o Início de Sessão Personalizado com ativado, poderá deparar-se com HideAutoLogonUI um ecrã preto quando a palavra-passe da conta de utilizador expirar. Considere definir a palavra-passe para nunca expirar.

Windows Update

Configure os seus dispositivos de quiosque para que estejam sempre atualizados, sem perturbar a experiência do utilizador. Seguem-se algumas definições de política a considerar, para configurar Windows Update para os seus dispositivos de quiosque:

Tipo Caminho Nome/Descrição
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ ActiveHoursEnd Valor inteiro que representa o fim das horas de atividade. Por exemplo, 22 representa 22:00
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ ActiveHoursStart Valor inteiro que representa o início das horas de atividade. Por exemplo, 7 representa 7AM
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ AllowAutoUpdate Valor inteiro. Definir como 3 - Transferir e agendar automaticamente a instalação
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ ScheduledInstallTime Valor inteiro. Especifique o tempo para o dispositivo instalar atualizações. Por exemplo, 23 representa 23:00
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ UpdateNotificationLevel Valor inteiro. Definido como 2: desative todas as notificações, incluindo avisos de reinício
GPO Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Gerir experiência de utilizador final Opções de apresentação para notificações > de atualização Defina o valor como 2 – Desative todas as notificações, incluindo avisos de reinício
GPO Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Gerir experiência de utilizador final\Configurar a Atualizações Automática 4 - Transferir e agendar automaticamente a instalação> especificar uma hora de instalação fora das horas de atividade
GPO Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Gerir experiência de utilizador final\Desativar autorestart para atualizações durante as horas de atividade Configure as horas de atividade de início e de fim, durante as quais o dispositivo de quiosque não pode ser reiniciado devido a Windows Update

Definições de energia

Poderá querer impedir que o dispositivo de quiosque entre em modo de suspensão ou impedir que os utilizadores encerrem ou reiniciem o quiosque. Seguem-se algumas opções a considerar:

Tipo Caminho Nome/Descrição
CSP ./Device/Vendor/MSFT/Policy/Config/ADMX_StartMenu/ OcultarPowerOptions Cadeia. Definir como <Enabled/>
CSP ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/
Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn		 Valor inteiro. Definir como 0
CSP ./Device/Vendor/MSFT/Policy/Config/Power/ DisplayOffTimeoutPluggedIn Cadeia. Definir como <Enabled/><Data ID="EnterVideoACPowerDownTimeOut" value="0"/>
CSP ./Device/Vendor/MSFT/Policy/Config/Power/ SelectPowerButtonActionPluggedIn Número inteiro. Definir como 0
CSP ./Device/Vendor/MSFT/Policy/Config/Power/ SelectSleepButtonActionPluggedIn Número inteiro. Definir como 0
CSP ./Device/Vendor/MSFT/Policy/Config/Power/ StandbyTimeoutPluggedIn Cadeia. Definir como <Enabled/><Data ID="EnterACStandbyTimeOut" value="0"/>
GPO Configuração do Computador\Modelos Administrativos\Menu Iniciar e Barra de Tarefas\Remover e impedir o acesso aos comandos Encerrar, Reiniciar, Suspender e Hibernar Enable
GPO Configuração do Computador\Modelos Administrativos\Sistema\Gestão de Energia\Definições do Botão\Selecionar a ação do botão Ligar/desligar Selecione a ação: Não efetuar nenhuma ação
GPO Configuração do Computador\Modelos Administrativos\Sistema\Gestão de Energia\Definições do Botão\Selecionar a ação do botão Suspender Selecione a ação: Não efetuar nenhuma ação
GPO Configuração do Computador\Modelos Administrativos\Sistema\Gestão de Energia\Especificar o tempo limite de suspensão do sistema Defina o valor como 0 segundos.
GPO Configuração do Computador\Modelos Administrativos\Sistema\Gestão de Energia\Definições de Vídeo e Visualização\Desativar o ecrã Defina o valor como 0 segundos.
GPO Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas Locais\Opções de Segurança\Encerramento: Permitir que o sistema seja encerrado sem ter de iniciar sessão Desabilitado
GPO Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas Locais\Atribuição de Direitos de Utilizador\Encerrar o sistema Remova os utilizadores ou grupos desta política. Para impedir que esta política afete um membro do grupo Administradores, certifique-se de que mantém o grupo Administradores.

Observação

Também pode desativar o botão para ligar/desligar a partir do ecrã de opções de segurança através de uma funcionalidade chamada Início de Sessão Personalizado. Para obter mais informações sobre como remover o botão para ligar/desligar ou desativar o botão para ligar/desligar físico, consulte Início de Sessão Personalizado.

Atalhos de teclado

Os seguintes atalhos de teclado não são bloqueados para nenhuma conta de utilizador configurada com uma experiência de utilizador restrita:

  • Alt + F4
  • Alt + Separador
  • Alt + Shift + Separador
  • Ctrl + Alt + Eliminar

Pode utilizar o Filtro de Teclado para bloquear as combinações de teclas. As definições de Filtro de Teclado aplicam-se a outras contas padrão.

Atalhos de acessibilidade

O acesso atribuído não altera as definições de acessibilidade. Utilize o Filtro de Teclado para bloquear as seguintes combinações de teclas que abrem funcionalidades de acessibilidade:

Combinação de teclas Comportamento bloqueado
Alt + esquerdoShift + esquerdoPrint Screen Caixa de diálogo Abrir Alto Contraste
Alt + esquerdoShift + esquerdoNum Lock Caixa de diálogo Abrir Teclas do Rato
WIN + U Abrir o painel de acessibilidade da aplicação Definições

Observação

Se o Filtro de Teclado estiver ativado, algumas combinações de teclas são bloqueadas automaticamente sem ter de as bloquear explicitamente. Para obter mais informações, consulte Filtro de Teclado.

Também pode desativar as funcionalidades de acessibilidade e outras opções no ecrã de bloqueio com Início de Sessão Personalizado. Por exemplo, para remover a opção Acessibilidade, utilize a seguinte chave de registo:

Caminho Nome Tipo Valor
HKLM\Software\Microsoft\Windows Embedded\EmbeddedLogon\BrandingNeutral BrandingNeutral REG_DWORD 8

Atalhos do Microsoft Edge

Para desativar determinados atalhos predefinidos do Microsoft Edge, pode utilizar a política ConfigureKeyboardShortcuts .

Escolher uma aplicação para uma experiência de quiosque

Para criar uma experiência de quiosque com o Acesso Atribuído, pode escolher aplicações UWP ou Microsoft Edge. No entanto, algumas aplicações podem não fornecer uma boa experiência de utilizador quando utilizadas como quiosque.

As seguintes diretrizes ajudam-no a escolher uma aplicação do Windows adequada para uma experiência de quiosque:

  • As aplicações do Windows têm de ser aprovisionadas ou instaladas para a conta de Acesso Atribuído antes de poderem ser selecionadas como a aplicação Acesso Atribuído. Saiba como aprovisionar e instalar aplicações
  • Por vezes, as atualizações da aplicação UWP podem alterar o ID do Modelo de Utilizador da Aplicação (AUMID) da aplicação. Neste cenário, tem de atualizar as definições de Acesso Atribuído para executar a aplicação atualizada, uma vez que o Acesso Atribuído utiliza o AUMID para determinar a aplicação a iniciar
  • A aplicação tem de ser capaz de ser executada acima do ecrã de bloqueio. Se a aplicação não puder ser executada acima do ecrã de bloqueio, não pode ser utilizada como uma aplicação de quiosque
  • Algumas aplicações podem iniciar outras aplicações. O Acesso Atribuído no modo de quiosque impede que as aplicações do Windows iniciem outras aplicações. Evite selecionar aplicações do Windows concebidas para iniciar outras aplicações como parte da funcionalidade principal
  • O Microsoft Edge inclui suporte para o modo de quiosque. Para saber mais, consulte Modo de quiosque do Microsoft Edge
  • Não selecione aplicações do Windows que possam expor informações que não pretende mostrar no seu quiosque, uma vez que o quiosque normalmente significa acesso anónimo e localizações numa definição pública. Por exemplo, uma aplicação que tenha um seletor de ficheiros permite que o utilizador obtenha acesso a ficheiros e pastas no sistema do utilizador, evite selecionar estes tipos de aplicações se fornecer acesso a dados desnecessários
  • Algumas aplicações podem necessitar de mais configurações antes de poderem ser utilizadas adequadamente no Acesso Atribuído. Por exemplo, o Microsoft OneNote requer que configure uma conta Microsoft para a conta de utilizador acesso atribuído antes de o OneNote abrir
  • O perfil de quiosque foi concebido para dispositivos de quiosque destinados ao público. Utilize uma conta local não administrativa. Se o dispositivo estiver ligado à rede da sua organização, utilizar um domínio ou Microsoft Entra conta pode comprometer informações confidenciais

Ao planear implementar um quiosque ou uma experiência de utilizador restrita, considere as seguintes recomendações:

  • Avalie todas as aplicações que os utilizadores devem utilizar. Se as aplicações exigirem autenticação de utilizador, não utilize uma conta de utilizador local ou genérica. Em vez disso, direcione o grupo de utilizadores no ficheiro de configuração Acesso Atribuído
  • Um quiosque com várias aplicações é adequado para dispositivos partilhados por várias pessoas. Quando configura um quiosque de várias aplicações, determinadas definições de política afetam todos os utilizadores não administrativos no dispositivo. Para obter uma lista destas políticas, veja Definições de política de Acesso Atribuído

Desenvolver seu aplicativo de quiosque

O Acesso Atribuído utiliza a Arquitetura de bloqueio. Quando um utilizador do Acesso Atribuído inicia sessão, a aplicação de quiosque selecionada é iniciada acima do ecrã de bloqueio. A aplicação de quiosque está em execução como uma aplicação de ecrã de bloqueio acima . Para saber mais, veja as melhores práticas de orientação para desenvolver uma aplicação de quiosque para acesso atribuído.

Parar erros e opções de recuperação

Quando ocorre um erro fatal, o Windows apresenta um ecrã azul com um código de erro fatal. Pode substituir o ecrã padrão por um ecrã em branco para erros do SO. Para obter mais informações, veja Configurar as opções de recuperação e falha do sistema.

Notificações do ecrã de bloqueio

Considere remover notificações do ecrã de bloqueio para impedir que os utilizadores vejam notificações quando o dispositivo está bloqueado. Seguem-se algumas opções a considerar:

Tipo Caminho Nome/Descrição
CSP ./Device/Vendor/MSFT/Policy/Config/AboveLock/ AllowToasts Número inteiro. Definir como 0
GPO Configuração do Computador\Modelos Administrativos\Sistema\Início de Sessão\Desativar notificações de aplicações no ecrã de bloqueio Habilitada

Resolução de problemas e registos

Ao testar o Acesso Atribuído, pode ser útil ativar o registo para o ajudar a resolver problemas. Os registos podem ajudá-lo a identificar problemas de configuração e runtime. Pode ativar o seguinte registo: Registos de Aplicações e Serviços>Microsoft>Windows>AssignedAccess>Operacional.

As seguintes chaves de registo contêm as configurações de Acesso Atribuído:

  • HKLM\Software\Microsoft\Windows\AssignedAccessConfiguration
  • HKLM\Software\Microsoft\Windows\AssignedAccessCsp

A seguinte chave de registo contém a configuração para cada utilizador com uma política de Acesso Atribuído:

  • HKCU\SOFTWARE\Microsoft\Windows\AssignedAccessConfiguration

Para obter mais informações sobre a resolução de problemas de quiosque, veja Resolver problemas do modo de quiosque.

Próximas etapas

Saiba como criar um ficheiro XML para configurar o Acesso Atribuído:

Criar um ficheiro de configuração de Acesso Atribuído