O que é acesso atribuído?

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

O Acesso Atribuído é um recurso do Windows que você pode usar para configurar um dispositivo como um quiosque ou com uma experiência restrita do usuário.

Quando você configura uma experiência de quiosque, um único aplicativo Plataforma Universal do Windows (UWP) ou o Microsoft Edge é executado em tela inteira, acima da tela de bloqueio. Os usuários só podem usar esse aplicativo. Se o aplicativo de quiosque estiver fechado, ele será reiniciado automaticamente. Exemplos práticos incluem:

• Navegação pública
• Sinalização digital interativa

Quando você configura uma experiência restrita do usuário, os usuários só podem executar uma lista definida de aplicativos, com um menu Iniciar personalizado e barra de tarefas. Diferentes configurações de política e regras do AppLocker são impostas, criando uma experiência bloqueada. Os usuários podem acessar uma área de trabalho familiar do Windows, limitando seu acesso, reduzindo distrações e potencial para usos inadvertidos. Ideal para dispositivos compartilhados, você pode criar configurações diferentes para usuários diferentes. Exemplos práticos incluem:

• Dispositivos de trabalho de linha de frente
• Dispositivos estudantis
• Dispositivos de laboratório

Observação

Quando você configura uma experiência restrita do usuário, diferentes configurações de política são aplicadas ao dispositivo. Algumas configurações de política se aplicam apenas a usuários padrão e outras a contas de administrador também. Para obter mais informações, confira Configurações de política de acesso atribuído.

Requisitos

Aqui estão os requisitos para acesso atribuído:

• Para usar uma experiência de quiosque, o UAC (controle de conta de usuário) deve estar habilitado
• Para usar uma experiência de quiosque, você deve entrar no console. A experiência do quiosque não tem suporte em uma conexão de área de trabalho remota

Edição do Windows e requisitos de licenciamento

A tabela a seguir lista as edições do Windows que dão suporte ao Acesso Atribuído:

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
Sim	Sim	Sim	Sim

Os direitos de licença de acesso atribuídos são concedidos pelas seguintes licenças:

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
Sim	Sim	Sim	Sim	Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

Configurar uma experiência de quiosque

Há várias opções para configurar uma experiência de quiosque. Se você precisar configurar um único dispositivo com uma conta local, poderá usar:

• PowerShell: você pode usar o cmdlet do Set-AssignedAccess PowerShell para configurar uma experiência de quiosque usando uma conta padrão local
• Configurações: use essa opção quando precisar de um método simples para configurar um único dispositivo com uma conta de usuário padrão local

Para personalizações avançadas, você pode usar o CSP de Acesso Atribuído para configurar a experiência do quiosque. O CSP permite configurar o aplicativo de quiosque, a conta de usuário e o comportamento do aplicativo de quiosque. Ao usar o CSP, você deve criar um arquivo de configuração XML que especifica o aplicativo de quiosque e a conta de usuário. O arquivo XML é aplicado ao dispositivo usando uma das seguintes opções:

• Uma solução de MDM (Gerenciamento de Dispositivos móvel), como Microsoft Intune
• Pacotes de provisionamento
• PowerShell, com o provedor WMI da Ponte MDM

Para saber como configurar o arquivo XML do Inicializador do Shell, consulte Criar um arquivo de configuração de Acesso Atribuído.

As instruções a seguir fornecem detalhes de como configurar seus dispositivos. Selecione a opção que melhor atende às suas necessidades.

Intune/CSP

Você pode configurar dispositivos usando uma política personalizada com o CSP AssignedAccess.

• Configuração:./Vendor/MSFT/AssignedAccess/Configuration
• Valor: conteúdo do arquivo de configuração XML

Atribua a política a um grupo que contém como membros os dispositivos que você deseja configurar.

PPKG

Use as seguintes configurações para criar um pacote de provisionamento:

• Caminho:AssignedAccess/AssignedAccessSettings
• Valor: Insira a conta e o aplicativo que você deseja usar para acesso atribuído, usando o AUMID do aplicativo. Exemplo:
  • {"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}

Aplique o pacote de provisionamento aos dispositivos que você deseja configurar.

Windows PowerShell

Para configurar um dispositivo usando Windows PowerShell:

1. Entrar como administrador

2. Criar a conta de usuário do Acesso Atribuído

3. Entrar como a conta de usuário do Acesso Atribuído

4. Instalar o aplicativo UWP necessário

5. Sair como a conta de usuário do Acesso Atribuído

6. Entre como administrador e de um prompt do PowerShell elevado use um dos seguintes comandos:

   #Configure Assigned Access by AppUserModelID and user name
   Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
   
   #Configure Assigned Access by AppUserModelID and user SID
   Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
   
   #Configure Assigned Access by app name and user name
   Set-AssignedAccess -AppName <CustomApp> -UserName <username>
   
   #Configure Assigned Access by app name and user SID**:
   Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
   
   

Observação

Para configurar o Acesso Atribuído usando -AppName, a conta de usuário inserida para Acesso Atribuído deve ter entrado pelo menos uma vez.

Para saber mais:

• Localizar a ID do Modelo de usuário de aplicativo de um app instalado
• Set-AssignedAccess

Para remover o acesso atribuído, usando o PowerShell, execute o seguinte cmdlet:

Clear-AssignedAccess

Para personalizações avançadas que usam o arquivo de configuração XML, você pode usar scripts do PowerShell por meio do Provedor WMI da Ponte MDM.

Importante

Para todas as configurações do dispositivo, o cliente da Ponte WMI deve ser executado como conta SYSTEM (LocalSystem).

Para testar o script do PowerShell, você pode:

1. Baixar a ferramenta psexec
2. Abra um prompt de comando elevado e execute: psexec.exe -i -s powershell.exe
3. Executar o script na sessão do PowerShell

$shellLauncherConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Shell Launcher configuration"

Para obter mais informações, consulte Usar scripts do PowerShell com o Provedor de Ponte WMI.

Configurações

Aqui estão as etapas para configurar um quiosque usando o aplicativo Configurações:

1. Abra o aplicativo Configurações para exibir e configurar um dispositivo como um quiosque. Vá para Contas de Configurações > Outros Usuários >ou use o seguinte atalho:

   Outros usuários

2. Em Configurar um quiosque, selecione Introdução

3. Na caixa de diálogo Criar uma conta , insira o nome da conta e selecione Avançar

   Observação

   Se já houver contas de usuário padrão locais, a caixa de diálogo Criar uma conta oferecerá a opção de Escolher uma conta existente

4. Escolha o aplicativo a ser executado quando a conta do quiosque entrar. Somente os aplicativos que podem ser executados acima da tela de bloqueio estão disponíveis na lista de aplicativos para escolher. Se você selecionar o Microsoft Edge como o aplicativo de quiosque, você configurará as seguintes opções:

   • Se o Microsoft Edge deve exibir a tela inteira do seu site (sinal digital) ou com alguns controles de navegador disponíveis (navegador público)
   • Qual URL deve ser aberta quando as contas de quiosque entrarem
   • Quando o Microsoft Edge deve ser reiniciado após um período de inatividade (se você selecionar para executar como um navegador público)

5. Selecione Fechar

Quando o dispositivo não é ingressado em um domínio ou Microsoft Entra ID do Active Directory, a entrada automática da conta de quiosque é configurada automaticamente:

• Se você quiser que a conta do quiosque entre automaticamente e o aplicativo de quiosque seja iniciado quando o dispositivo for reiniciado, você não precisará fazer nada
• Se você não quiser que a conta de quiosque entre automaticamente quando o dispositivo for reiniciado, altere a configuração padrão antes de configurar o dispositivo como um quiosque. Entre com a conta que você deseja usar como a conta do quiosque. Abra opções> de entradacontas>de configurações. Defina a configuração Usar minhas informações de entrada para concluir automaticamente a configuração do meu dispositivo após uma atualização ou a configuração de reinicialização para Desativar. Depois de alterar a configuração, você pode aplicar a configuração do quiosque ao dispositivo

Dica

Para obter exemplos práticos, consulte o Início Rápido: Configurar um quiosque com Acesso Atribuído.

Configurar uma experiência restrita do usuário

Para configurar uma experiência restrita do usuário com Acesso Atribuído, você deve criar um arquivo de configuração XML com as configurações da experiência desejada. O arquivo XML é aplicado ao dispositivo por meio do CSP de Acesso Atribuído, usando uma das seguintes opções:

• Uma solução de MDM (Gerenciamento de Dispositivos móvel), como Microsoft Intune
• Pacotes de provisionamento
• PowerShell, com o provedor WMI da Ponte MDM

Para saber como configurar o arquivo XML de Acesso Atribuído, consulte Criar um arquivo de configuração de acesso atribuído.

As instruções a seguir fornecem detalhes de como configurar seus dispositivos. Selecione a opção que melhor atende às suas necessidades.

Intune/CSP

Você pode configurar dispositivos usando uma política personalizada com o CSP AssignedAccess.

• Configuração:./Vendor/MSFT/AssignedAccess/ShellLauncher
• Valor: conteúdo do arquivo de configuração XML

Atribua a política a um grupo que contém como membros os dispositivos que você deseja configurar.

PPKG

Use as seguintes configurações para criar um pacote de provisionamento:

• Caminho:AssignedAccess/MultiAppAssignedAccessSettings
• Valor: conteúdo do arquivo de configuração XML

Aplique o pacote de provisionamento aos dispositivos que você deseja configurar.

Windows PowerShell

Configure seus dispositivos usando scripts do PowerShell por meio do Provedor WMI da Ponte MDM.

Importante

Para todas as configurações do dispositivo, o cliente da Ponte WMI deve ser executado como conta SYSTEM (LocalSystem).

Para testar o script do PowerShell, você pode:

1. Baixar a ferramenta psexec
2. Abra um prompt de comando elevado e execute: psexec.exe -i -s powershell.exe
3. Executar o script na sessão do PowerShell

$assignedAccessConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Assigned Access configuration"

Para obter mais informações, consulte Usar scripts do PowerShell com o Provedor de Ponte WMI.

Configurações

Essa opção não está disponível usando Configurações.

Dica

Para obter exemplos práticos, confira o Início Rápido: configurar uma experiência restrita do usuário com acesso atribuído

Experiência do usuário

Para validar o quiosque ou a experiência restrita do usuário, entre com a conta de usuário especificada no arquivo de configuração.

A configuração de Acesso Atribuído entra em vigor na próxima vez que o usuário alvo entrar. Se essa conta de usuário estiver inserida quando você aplicar a configuração, entre e entre novamente para validar a experiência.

Observação

A partir de Windows 11, uma experiência restrita do usuário dá suporte ao uso de vários monitores.

Teclado sensível ao toque do automático

O teclado sensível ao toque é disparado automaticamente quando há uma entrada necessária e nenhum teclado físico é anexado em dispositivos habilitados para toque. Você não precisa configurar nenhuma outra configuração para impor esse comportamento.

Dica

O teclado sensível ao toque é disparado somente ao tocar em uma caixa de texto. Os cliques do mouse não disparam o teclado sensível ao toque. Se você estiver testando esse recurso, use um dispositivo físico em vez de uma VM (máquina virtual), pois o teclado sensível ao toque não é disparado em VMs.

Sair do acesso atribuído

Por padrão, para sair da experiência do quiosque, pressione Ctrl + Alt + Del. O aplicativo de quiosque sai automaticamente. Se você entrar novamente como a conta acesso atribuído ou aguardar o tempo limite da tela de entrada, o aplicativo de quiosque será relançado. O tempo limite padrão é de 30 segundos, mas você pode alterar o tempo limite com a chave do registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

Para alterar o tempo padrão para que o Acesso Atribuído seja retomado, adicione IdleTimeOut (DWORD) e insira os dados de valor como milissegundos no hexadecimal.

Observação

IdleTimeOut não se aplica ao modo de quiosque do Microsoft Edge.

A Sequência de Fuga do Ctrl + Alt + Del é o padrão, mas essa sequência pode ser configurada para ser uma sequência diferente de chaves. A sequência de fuga usa os modificadores de formato + chaves. Uma sequência de breakout de exemplo é CTRL + ALT + A, onde CTRL + ALT são os modificadores e A é o valor chave. Para saber mais, confira Criar um arquivo XML de configuração de acesso atribuído.

Atalhos de teclado

Os seguintes atalhos de teclado são bloqueados para as contas de usuário com Acesso Atribuído:

Atalho de teclado	Ação
Ctrl + Shift + Esc	Abrir Gerenciador de Tarefas
GANHAR + , (vírgula)	Espiar temporariamente a área de trabalho
GANHAR + Um	Abrir a Central de Ações
GANHAR + Alt + D	Exibir e ocultar a data e a hora na área de trabalho
GANHAR + Ctrl + F	Localizar objetos de computador no Active Directory
GANHAR + D	Exibir e ocultar a área de trabalho
GANHAR + E	Abrir o Explorador de Arquivos
GANHAR + F	Abrir o Hub de Feedback
GANHAR + G	Abrir a barra Jogo quando um jogo é aberto
GANHAR + Eu	Abrir Configurações
GANHAR + J	Defina o foco como uma dica do Windows quando um estiver disponível
GANHAR + O	Bloquear orientação do dispositivo
GANHAR + Q	Abrir pesquisa
GANHAR + R	Abrir a caixa de diálogo Executar
GANHAR + S	Abrir pesquisa
GANHAR + Shift + C	Abrir a Cortana no modo de escuta
GANHAR + X	Abrir o menu Link Rápido
LaunchApp1	Abra o aplicativo atribuído a essa chave
LaunchApp2	Abra o aplicativo atribuído a essa chave. Em muitos teclados da Microsoft, o aplicativo é Calculadora
LaunchMail	Abrir o cliente de email padrão

Remover acesso atribuído

Excluir a experiência restrita do usuário remove as configurações de política associadas aos usuários, mas não pode reverter todas as configurações. Por exemplo, a configuração do menu Iniciar é mantida.

Próximas etapas

Examine as recomendações antes de implantar o Acesso Atribuído:

Recomendações de acesso atribuídas