Partager via


Recommandations relatives à l’accès affecté

Cet article contient des recommandations pour les appareils configurés avec l’accès affecté et le lanceur d’interpréteur de commandes. La plupart des recommandations incluent les paramètres de stratégie de groupe (GPO) et de fournisseur de services de configuration (CSP) pour vous aider à configurer vos appareils kiosque.

Compte d’utilisateur kiosque

Pour les appareils kiosque situés dans des environnements publics, configurez en tant que compte kiosque un compte d’utilisateur avec le moins de privilèges, tel qu’un compte d’utilisateur standard local. L’utilisation d’un utilisateur Active Directory ou d’un utilisateur Microsoft Entra peut permettre à un attaquant d’accéder aux ressources de domaine accessibles à tous les comptes de domaine. Lorsque vous utilisez des comptes de domaine avec un accès attribué, procédez avec prudence. Considérez les ressources de domaine potentiellement exposées à l’aide d’un compte de domaine.

Connexion automatique

Envisagez d’activer la connexion automatique pour votre appareil kiosque. Lorsque l’appareil redémarre, après une mise à jour ou une panne de courant, vous pouvez configurer l’appareil pour qu’il se connecte automatiquement avec le compte Accès affecté. Assurez-vous que les paramètres de stratégie appliqués à l’appareil n’empêchent pas la connexion automatique de fonctionner comme prévu. Par exemple, les paramètres de stratégie PreferredAadTenantDomainName empêchent la connexion automatique de fonctionner.

Vous pouvez configurer les fichiers XML Accès affecté et Lanceur d’interpréteur de commandes avec un compte pour vous connecter automatiquement. Pour plus d’informations, consultez les articles :

Vous pouvez également modifier le Registre pour qu’un compte se connecte automatiquement :

Chemin d'accès Nom Type Valeur
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon AutoAdminLogon REG_DWORD 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultUserName Chaîne Définissez la valeur comme compte que vous souhaitez vous connecter.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultPassword Chaîne Définissez la valeur comme mot de passe pour le compte.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultDomainName Chaîne Définissez la valeur du domaine, uniquement pour les comptes de domaine. Pour les comptes locaux, n’ajoutez pas cette clé.

Une fois la connexion automatique configurée, redémarrez l’appareil. Le compte se connecte automatiquement.

Remarque

Si vous utilisez ouverture de session personnalisée avec HideAutoLogonUI activé, vous risquez de voir un écran noir lorsque le mot de passe du compte d’utilisateur expire. Envisagez de définir le mot de passe pour qu’il n’expire jamais.

Windows Update

Configurez vos appareils kiosque pour qu’ils soient toujours à jour, sans perturber l’expérience utilisateur. Voici quelques paramètres de stratégie à prendre en compte pour configurer Windows Update pour vos appareils kiosque :

Type Chemin d'accès Nom/Description
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ ActiveHoursEnd Valeur entière qui représente la fin des heures d’activité. Par exemple, 22 représente 22h
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ ActiveHoursStart Valeur entière qui représente le début des heures d’activité. Par exemple, 7 représente 7AM
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ AllowAutoUpdate Valeur entière. Définir sur 3 - Téléchargement automatique et planification de l’installation
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ ScheduledInstallTime Valeur entière. Spécifiez l’heure d’installation des mises à jour par l’appareil. Par exemple, 23 représente 11PM
CSP ./Device/Vendor/MSFT/Policy/Config/Update/ UpdateNotificationLevel Valeur entière. Définir sur 2: désactiver toutes les notifications, y compris les avertissements de redémarrage
GPO Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update\Gérer l’expérience utilisateur final Options d’affichage des notifications > de mise à jour Définir la valeur sur 2 - Désactiver toutes les notifications, y compris les avertissements de redémarrage
GPO Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update\Gérer l’expérience utilisateur final\Configurer les mises à jour automatiques 4 - Téléchargement automatique et planification de l’installation> spécifier une heure d’installation en dehors des heures d’activité
GPO Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update\Gérer l’expérience utilisateur final\Désactiver le redémarrage automatique pour les mises à jour pendant les heures d’activité Configurer les heures d’activité de début et de fin, pendant lesquelles l’appareil kiosque ne peut pas redémarrer en raison de Windows Update

Paramètres d’alimentation

Vous souhaiterez peut-être empêcher l’appareil kiosque d’être mis en veille, ou empêcher les utilisateurs d’arrêter ou de redémarrer le kiosque. Voici quelques options à prendre en compte :

Type Chemin d'accès Nom/Description
CSP ./Device/Vendor/MSFT/Policy/Config/ADMX_StartMenu/ HidePowerOptions Corde. Se mettre à <Enabled/>
CSP ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/
Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
Valeur entière. Se mettre à 0
CSP ./Device/Vendor/MSFT/Policy/Config/Power/ DisplayOffTimeoutPluggedIn Corde. Se mettre à <Enabled/><Data ID="EnterVideoACPowerDownTimeOut" value="0"/>
CSP ./Device/Vendor/MSFT/Policy/Config/Power/ SelectPowerButtonActionPluggedIn Entier. Se mettre à 0
CSP ./Device/Vendor/MSFT/Policy/Config/Power/ SélectionnezSleepButtonActionPluggedIn Entier. Se mettre à 0
CSP ./Device/Vendor/MSFT/Policy/Config/Power/ StandbyTimeoutPluggedIn Corde. Se mettre à <Enabled/><Data ID="EnterACStandbyTimeOut" value="0"/>
GPO Configuration ordinateur\Modèles d’administration\Menu Démarrer et barre des tâches\Supprimer et empêcher l’accès aux commandes Arrêter, Redémarrer, Mettre en veille et Mettre en veille prolongée Enable
GPO Configuration ordinateur\Modèles d’administration\Système\Gestion de l’alimentation\Paramètres du bouton\Sélectionner l’action bouton d’alimentation Sélectionnez l’action : N’effectuer aucune action
GPO Configuration ordinateur\Modèles d’administration\Système\Gestion de l’alimentation\Paramètres des boutons\Sélectionnez l’action de bouton Mise en veille Sélectionnez l’action : N’effectuer aucune action
GPO Configuration ordinateur\Modèles d’administration\Système\Gestion de l’alimentation\Spécifier le délai d’attente de mise en veille du système Définissez la valeur sur 0 seconde.
GPO Configuration ordinateur\Modèles d’administration\Système\Gestion de l’alimentation\Paramètres vidéo et d’affichage\Désactiver l’affichage Définissez la valeur sur 0 seconde.
GPO Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Arrêt : autoriser l’arrêt du système sans avoir à se connecter Désactivé
GPO Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Arrêter le système Supprimez les utilisateurs ou les groupes de cette stratégie. Pour empêcher cette stratégie d’affecter un membre du groupe Administrateurs, veillez à conserver le groupe Administrateurs.

Remarque

Vous pouvez également désactiver le bouton d’alimentation à partir de l’écran des options de sécurité à l’aide d’une fonctionnalité appelée Ouverture de session personnalisée. Pour plus d’informations sur la suppression du bouton d’alimentation ou la désactivation du bouton d’alimentation physique, consultez Ouverture de session personnalisée.

Raccourcis clavier

Les raccourcis clavier suivants ne sont pas bloqués pour les comptes d’utilisateur configurés avec une expérience utilisateur restreinte :

  • Alt + F4
  • Alt + Onglet
  • Alt + Période de travail + Onglet
  • Ctrl + Alt + Supprimer

Vous pouvez utiliser le filtre clavier pour bloquer les combinaisons de touches. Les paramètres de filtre du clavier s’appliquent à d’autres comptes standard.

Raccourcis d’accessibilité

L’accès affecté ne modifie pas les paramètres d’accessibilité. Utilisez le filtre clavier pour bloquer les combinaisons de touches suivantes qui ouvrent des fonctionnalités d’accessibilité :

Combinaison de touches Comportement bloqué
Alt + gaucheMaj + gaucheÉcran d’impression Ouvrir la boîte de dialogue Contraste élevé
Alt + gaucheMaj + gaucheVerrou num Ouvrir la boîte de dialogue Touches de souris
GAGNER + U Ouvrir le panneau d’accessibilité de l’application Paramètres

Remarque

Si le filtre clavier est activé, certaines combinaisons de touches sont bloquées automatiquement sans que vous ayez à les bloquer explicitement. Pour plus d’informations, consultez Filtre clavier.

Vous pouvez également désactiver les fonctionnalités d’accessibilité et d’autres options sur l’écran de verrouillage avec l’ouverture de session personnalisée. Par exemple, pour supprimer l’option Accessibilité, utilisez la clé de Registre suivante :

Chemin d'accès Nom Type Valeur
HKLM\Software\Microsoft\Windows Embedded\EmbeddedLogon\BrandingNeutral BrandingNeutral REG_DWORD 8

Raccourcis Microsoft Edge

Pour désactiver certains raccourcis par défaut de Microsoft Edge, vous pouvez utiliser la stratégie ConfigureKeyboardShortcuts .

Choisir une application pour une expérience kiosque

Pour créer une expérience kiosque avec l’accès affecté, vous pouvez choisir des applications UWP ou Microsoft Edge. Toutefois, certaines applications peuvent ne pas fournir une bonne expérience utilisateur lorsqu’elles sont utilisées en tant que kiosque.

Les instructions suivantes vous aident à choisir une application Windows appropriée pour une expérience kiosque :

  • Les applications Windows doivent être configurées ou installées pour le compte d’accès affecté avant de pouvoir être sélectionnées en tant qu’application Accès affecté. Découvrir comment provisionner et installer des applications
  • Les mises à jour des applications UWP peuvent parfois modifier l’ID de modèle utilisateur de l’application (AUMID) de l’application. Dans ce scénario, vous devez mettre à jour les paramètres d’accès affecté pour exécuter l’application mise à jour, car l’accès affecté utilise l’AUMID pour déterminer l’application à lancer
  • L’application doit être en mesure de s’exécuter au-dessus de l’écran de verrouillage. Si l’application ne peut pas s’exécuter au-dessus de l’écran de verrouillage, elle ne peut pas être utilisée comme application kiosque
  • Certaines applications peuvent lancer d’autres applications. L’accès affecté en mode plein écran empêche les applications Windows de lancer d’autres applications. Évitez de sélectionner des applications Windows conçues pour lancer d’autres applications dans le cadre de leurs fonctionnalités de base
  • Microsoft Edge inclut la prise en charge du mode plein écran. Pour plus d’informations, consultez Mode plein écran Microsoft Edge
  • Ne sélectionnez pas les applications Windows susceptibles d’exposer des informations que vous ne souhaitez pas afficher dans votre kiosque, car kiosque signifie généralement un accès anonyme et localise dans un paramètre public. Par exemple, une application qui dispose d’un sélecteur de fichiers permet à l’utilisateur d’accéder aux fichiers et dossiers sur le système de l’utilisateur. Évitez de sélectionner ces types d’applications si elles fournissent un accès inutile aux données
  • Certaines applications peuvent nécessiter davantage de configurations avant de pouvoir être utilisées de manière appropriée dans l’accès affecté. Par exemple, Microsoft OneNote vous oblige à configurer un compte Microsoft pour le compte d’utilisateur Accès affecté avant l’ouverture de OneNote
  • Le profil kiosque est conçu pour les appareils kiosque publics. Utilisez un compte local non administrateur. Si l’appareil est connecté au réseau de votre organisation, l’utilisation d’un domaine ou d’un compte Microsoft Entra peut compromettre les informations confidentielles

Lorsque vous envisagez de déployer un kiosque ou une expérience utilisateur restreinte, tenez compte des recommandations suivantes :

  • Évaluez toutes les applications que les utilisateurs doivent utiliser. Si les applications nécessitent une authentification utilisateur, n’utilisez pas de compte d’utilisateur local ou générique. Ciblez plutôt le groupe d’utilisateurs dans le fichier de configuration Accès affecté
  • Un kiosque multi-applications est approprié pour les appareils partagés par plusieurs personnes. Lorsque vous configurez un kiosque multi-application, certains paramètres de stratégie qui affectent tous les utilisateurs non administrateurs sur l’appareil. Pour obtenir la liste de ces stratégies, consultez Paramètres de stratégie d’accès attribué

Développez l’application kiosque

L’accès affecté utilise l’infrastructure Lock. Lorsqu’un utilisateur de l’accès affecté se connecte, l’application kiosque sélectionnée est lancée au-dessus de l’écran de verrouillage. L’application kiosque s’exécute en tant qu’application d’écran de verrouillage ci-dessus . Pour plus d’informations, consultez conseils sur les meilleures pratiques pour le développement d’une application kiosque pour l’accès affecté.

Arrêter les erreurs et options de récupération

Lorsqu’une erreur d’arrêt se produit, Windows affiche un écran bleu avec un code d’erreur d’arrêt. Vous pouvez remplacer l’écran standard par un écran vide pour les erreurs de système d’exploitation. Pour plus d’informations, consultez Configurer les options de défaillance et de récupération du système.

Notifications de l’écran de verrouillage

Envisagez de supprimer les notifications de l’écran de verrouillage pour empêcher les utilisateurs de voir les notifications lorsque l’appareil est verrouillé. Voici quelques options à prendre en compte :

Type Chemin d'accès Nom/Description
CSP ./Device/Vendor/MSFT/Policy/Config/AboveLock/ AllowToasts Entier. Se mettre à 0
GPO Configuration ordinateur\Modèles d’administration\Système\Ouverture de session\Désactiver les notifications d’application sur l’écran de verrouillage Activé

Résolution des problèmes et journaux

Lors du test de l’accès affecté, il peut être utile d’activer la journalisation pour vous aider à résoudre les problèmes. Les journaux peuvent vous aider à identifier les problèmes de configuration et d’exécution. Vous pouvez activer le journal suivant : Journaux des applications et des> servicesMicrosoft>Windows>AssignedAccess>Operational.

Les clés de Registre suivantes contiennent les configurations d’accès affecté :

  • HKLM\Software\Microsoft\Windows\AssignedAccessConfiguration
  • HKLM\Software\Microsoft\Windows\AssignedAccessCsp

La clé de Registre suivante contient la configuration pour chaque utilisateur avec une stratégie d’accès affecté :

  • HKCU\SOFTWARE\Microsoft\Windows\AssignedAccessConfiguration

Pour plus d’informations sur la résolution des problèmes de kiosque, consultez Résoudre les problèmes liés au mode plein écran.

Étapes suivantes

Découvrez comment créer un fichier XML pour configurer l’accès affecté :

Créer un fichier de configuration d’accès affecté