Recomendações de Acesso Atribuído
Este artigo contém recomendações para dispositivos configurados com o Acesso Atribuído e o Iniciador de Shell. A maioria das recomendações inclui definições de política de grupo (GPO) e fornecedor de serviços de configuração (CSP) para o ajudar a configurar os seus dispositivos de quiosque.
Conta de utilizador do quiosque
Para dispositivos de quiosque localizados em ambientes destinados ao público, configure como uma conta de quiosque uma conta de utilizador com menos privilégios, como uma conta de utilizador local e padrão. Utilizar um utilizador do Active Directory ou um utilizador do Microsoft Entra pode permitir que um atacante obtenha acesso a recursos de domínio acessíveis a quaisquer contas de domínio. Ao utilizar contas de domínio com acesso atribuído, proceda com cuidado. Considere os recursos de domínio potencialmente expostos com uma conta de domínio.
Entrada automática
Considere ativar o início de sessão automático para o seu dispositivo de quiosque. Quando o dispositivo é reiniciado, a partir de uma atualização ou falha de energia, pode configurar o dispositivo para iniciar sessão com a conta de Acesso Atribuído automaticamente. Certifique-se de que as definições de política aplicadas ao dispositivo não impedem que o início de sessão automático funcione conforme esperado. Por exemplo, as definições de política PreferredAadTenantDomainName impedem o início de sessão automático de funcionar.
Pode configurar os ficheiros XML do Acesso Atribuído e do Iniciador de Shell com uma conta para iniciar sessão automaticamente. Para obter mais informações, veja os artigos:
- Criar um ficheiro XML de configuração de Acesso Atribuído
- Criar um ficheiro de configuração do Shell Launcher
Em alternativa, pode editar o Registo para que uma conta inicie sessão automaticamente:
| Caminho | Nome | Tipo | Valor |
|---|---|---|---|
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
AutoAdminLogon |
REG_DWORD | 1 |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultUserName |
String | Defina o valor como a conta na qual pretende iniciar sessão. |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultPassword |
String | Defina o valor como a palavra-passe da conta. |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultDomainName |
String | Defina o valor para o domínio, apenas para contas de domínio. Para contas locais, não adicione esta chave. |
Assim que o início de sessão automático estiver configurado, reinicie o dispositivo. A conta iniciará sessão automaticamente.
Observação
Se estiver a utilizar o Início de Sessão Personalizado com ativado, poderá deparar-se com HideAutoLogonUI um ecrã preto quando a palavra-passe da conta de utilizador expirar. Considere definir a palavra-passe para nunca expirar.
Windows Update
Configure os seus dispositivos de quiosque para que estejam sempre atualizados, sem perturbar a experiência do utilizador. Seguem-se algumas definições de política a considerar para configurar o Windows Update para os seus dispositivos de quiosque:
| Tipo | Caminho | Nome/Descrição |
|---|---|---|
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/ActiveHoursEnd |
Valor inteiro que representa o fim das horas de atividade. Por exemplo, 22 representa 22:00 |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/ActiveHoursStart |
Valor inteiro que representa o início das horas de atividade. Por exemplo, 7 representa 7AM |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/AllowAutoUpdate |
Valor inteiro. Definir como 3 - Transferir e agendar automaticamente a instalação |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/ScheduledInstallTime |
Valor inteiro. Especifique o tempo para o dispositivo instalar atualizações. Por exemplo, 23 representa 23:00 |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel |
Valor inteiro. Definido como 2: desative todas as notificações, incluindo avisos de reinício |
| GPO | Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Gerir experiência de utilizador final | Opções de apresentação para notificações > de atualização Defina o valor como 2 – Desative todas as notificações, incluindo avisos de reinício |
| GPO | Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Gerir experiência de utilizador final\Configurar Atualizações Automáticas | 4 - Transferir e agendar automaticamente a instalação> especificar uma hora de instalação fora das horas de atividade |
| GPO | Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Gerir experiência de utilizador final\Desativar autorestart para atualizações durante as horas de atividade | Configurar as horas de atividade de início e de fim, durante as quais o dispositivo de quiosque não pode ser reiniciado devido ao Windows Update |
Definições de energia
Poderá querer impedir que o dispositivo de quiosque entre em modo de suspensão ou impedir que os utilizadores encerrem ou reiniciem o quiosque. Seguem-se algumas opções a considerar:
| Tipo | Caminho | Nome/Descrição |
|---|---|---|
| CSP | ./Device/Vendor/MSFT/Policy/Config/ADMX_StartMenu/OcultarPowerOptions |
Cadeia. Definir como <Enabled/> |
| CSP | ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn |
Valor inteiro. Definir como 0 |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Power/DisplayOffTimeoutPluggedIn |
Cadeia. Definir como <Enabled/><Data ID="EnterVideoACPowerDownTimeOut" value="0"/> |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Power/SelectPowerButtonActionPluggedIn |
Número inteiro. Definir como 0 |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Power/SelectSleepButtonActionPluggedIn |
Número inteiro. Definir como 0 |
| CSP | ./Device/Vendor/MSFT/Policy/Config/Power/StandbyTimeoutPluggedIn |
Cadeia. Definir como <Enabled/><Data ID="EnterACStandbyTimeOut" value="0"/> |
| GPO | Configuração do Computador\Modelos Administrativos\Menu Iniciar e Barra de Tarefas\Remover e impedir o acesso aos comandos Encerrar, Reiniciar, Suspender e Hibernar | Enable |
| GPO | Configuração do Computador\Modelos Administrativos\Sistema\Gestão de Energia\Definições do Botão\Selecionar a ação do botão Ligar/desligar | Selecione a ação: Não efetuar nenhuma ação |
| GPO | Configuração do Computador\Modelos Administrativos\Sistema\Gestão de Energia\Definições do Botão\Selecionar a ação do botão Suspender | Selecione a ação: Não efetuar nenhuma ação |
| GPO | Configuração do Computador\Modelos Administrativos\Sistema\Gestão de Energia\Especificar o tempo limite de suspensão do sistema | Defina o valor como 0 segundos. |
| GPO | Configuração do Computador\Modelos Administrativos\Sistema\Gestão de Energia\Definições de Vídeo e Visualização\Desativar o ecrã | Defina o valor como 0 segundos. |
| GPO | Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas Locais\Opções de Segurança\Encerramento: Permitir que o sistema seja encerrado sem ter de iniciar sessão | Desabilitado |
| GPO | Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas Locais\Atribuição de Direitos de Utilizador\Encerrar o sistema | Remova os utilizadores ou grupos desta política. Para impedir que esta política afete um membro do grupo Administradores, certifique-se de que mantém o grupo Administradores. |
Observação
Também pode desativar o botão para ligar/desligar a partir do ecrã de opções de segurança através de uma funcionalidade chamada Início de Sessão Personalizado. Para obter mais informações sobre como remover o botão para ligar/desligar ou desativar o botão para ligar/desligar físico, consulte Início de Sessão Personalizado.
Atalhos de teclado
Os seguintes atalhos de teclado não são bloqueados para nenhuma conta de utilizador configurada com uma experiência de utilizador restrita:
- Alt + F4
- Alt + Separador
- Alt + Shift + Separador
- Ctrl + Alt + Eliminar
Pode utilizar o Filtro de Teclado para bloquear as combinações de teclas. As definições de Filtro de Teclado aplicam-se a outras contas padrão.
Atalhos de acessibilidade
O acesso atribuído não altera as definições de acessibilidade. Utilize o Filtro de Teclado para bloquear as seguintes combinações de teclas que abrem funcionalidades de acessibilidade:
| Combinação de teclas | Comportamento bloqueado |
|---|---|
| Alt + esquerdoShift + esquerdoPrint Screen | Caixa de diálogo Abrir Alto Contraste |
| Alt + esquerdoShift + esquerdoNum Lock | Caixa de diálogo Abrir Teclas do Rato |
| WIN + U | Abrir o painel de acessibilidade da aplicação Definições |
Observação
Se o Filtro de Teclado estiver ativado, algumas combinações de teclas são bloqueadas automaticamente sem ter de as bloquear explicitamente. Para obter mais informações, consulte Filtro de Teclado.
Também pode desativar as funcionalidades de acessibilidade e outras opções no ecrã de bloqueio com Início de Sessão Personalizado. Por exemplo, para remover a opção Acessibilidade, utilize a seguinte chave de registo:
| Caminho | Nome | Tipo | Valor |
|---|---|---|---|
HKLM\Software\Microsoft\Windows Embedded\EmbeddedLogon\BrandingNeutral |
BrandingNeutral |
REG_DWORD | 8 |
Atalhos do Microsoft Edge
Para desativar determinados atalhos predefinidos do Microsoft Edge, pode utilizar a política ConfigureKeyboardShortcuts .
Escolher uma aplicação para uma experiência de quiosque
Para criar uma experiência de quiosque com o Acesso Atribuído, pode escolher aplicações UWP ou Microsoft Edge. No entanto, algumas aplicações podem não fornecer uma boa experiência de utilizador quando utilizadas como quiosque.
As seguintes diretrizes ajudam-no a escolher uma aplicação do Windows adequada para uma experiência de quiosque:
- As aplicações do Windows têm de ser aprovisionadas ou instaladas para a conta de Acesso Atribuído antes de poderem ser selecionadas como a aplicação Acesso Atribuído. Saiba como aprovisionar e instalar aplicações
- Por vezes, as atualizações da aplicação UWP podem alterar o ID do Modelo de Utilizador da Aplicação (AUMID) da aplicação. Neste cenário, tem de atualizar as definições de Acesso Atribuído para executar a aplicação atualizada, uma vez que o Acesso Atribuído utiliza o AUMID para determinar a aplicação a iniciar
- A aplicação tem de ser capaz de ser executada acima do ecrã de bloqueio. Se a aplicação não puder ser executada acima do ecrã de bloqueio, não pode ser utilizada como uma aplicação de quiosque
- Algumas aplicações podem iniciar outras aplicações. O Acesso Atribuído no modo de quiosque impede que as aplicações do Windows iniciem outras aplicações. Evite selecionar aplicações do Windows concebidas para iniciar outras aplicações como parte da funcionalidade principal
- O Microsoft Edge inclui suporte para o modo de quiosque. Para saber mais, consulte Modo de quiosque do Microsoft Edge
- Não selecione aplicações do Windows que possam expor informações que não pretende mostrar no seu quiosque, uma vez que o quiosque normalmente significa acesso anónimo e localizações numa definição pública. Por exemplo, uma aplicação que tenha um seletor de ficheiros permite que o utilizador obtenha acesso a ficheiros e pastas no sistema do utilizador, evite selecionar estes tipos de aplicações se fornecer acesso a dados desnecessários
- Algumas aplicações podem necessitar de mais configurações antes de poderem ser utilizadas adequadamente no Acesso Atribuído. Por exemplo, o Microsoft OneNote requer que configure uma conta Microsoft para a conta de utilizador acesso atribuído antes de o OneNote abrir
- O perfil de quiosque foi concebido para dispositivos de quiosque destinados ao público. Utilize uma conta local não administrativa. Se o dispositivo estiver ligado à rede da sua organização, a utilização de um domínio ou conta microsoft Entra poderá comprometer informações confidenciais
Ao planear implementar um quiosque ou uma experiência de utilizador restrita, considere as seguintes recomendações:
- Avalie todas as aplicações que os utilizadores devem utilizar. Se as aplicações exigirem autenticação de utilizador, não utilize uma conta de utilizador local ou genérica. Em vez disso, direcione o grupo de utilizadores no ficheiro de configuração Acesso Atribuído
- Um quiosque com várias aplicações é adequado para dispositivos partilhados por várias pessoas. Quando configura um quiosque de várias aplicações, determinadas definições de política afetam todos os utilizadores não administrativos no dispositivo. Para obter uma lista destas políticas, veja Definições de política de Acesso Atribuído
Desenvolver seu aplicativo de quiosque
O Acesso Atribuído utiliza a Arquitetura de bloqueio. Quando um utilizador do Acesso Atribuído inicia sessão, a aplicação de quiosque selecionada é iniciada acima do ecrã de bloqueio. A aplicação de quiosque está em execução como uma aplicação de ecrã de bloqueio acima . Para saber mais, veja as melhores práticas de orientação para desenvolver uma aplicação de quiosque para acesso atribuído.
Parar erros e opções de recuperação
Quando ocorre um erro fatal, o Windows apresenta um ecrã azul com um código de erro fatal. Pode substituir o ecrã padrão por um ecrã em branco para erros do SO. Para obter mais informações, veja Configurar as opções de recuperação e falha do sistema.
Notificações do ecrã de bloqueio
Considere remover notificações do ecrã de bloqueio para impedir que os utilizadores vejam notificações quando o dispositivo está bloqueado. Seguem-se algumas opções a considerar:
| Tipo | Caminho | Nome/Descrição |
|---|---|---|
| CSP | ./Device/Vendor/MSFT/Policy/Config/AboveLock/AllowToasts |
Número inteiro. Definir como 0 |
| GPO | Configuração do Computador\Modelos Administrativos\Sistema\Início de Sessão\Desativar notificações de aplicações no ecrã de bloqueio | Habilitado |
Resolução de problemas e registos
Ao testar o Acesso Atribuído, pode ser útil ativar o registo para o ajudar a resolver problemas. Os registos podem ajudá-lo a identificar problemas de configuração e runtime. Pode ativar o seguinte registo: Registos de Aplicações e Serviços>Microsoft>Windows>AssignedAccess>Operacional.
As seguintes chaves de registo contêm as configurações de Acesso Atribuído:
HKLM\Software\Microsoft\Windows\AssignedAccessConfigurationHKLM\Software\Microsoft\Windows\AssignedAccessCsp
A seguinte chave de registo contém a configuração para cada utilizador com uma política de Acesso Atribuído:
HKCU\SOFTWARE\Microsoft\Windows\AssignedAccessConfiguration
Para obter mais informações sobre a resolução de problemas de quiosque, veja Resolver problemas do modo de quiosque.
Próximas etapas
Saiba como criar um ficheiro XML para configurar o Acesso Atribuído:
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários