Partilhar via

Criar um ficheiro XML de configuração de Acesso Atribuído

  • Artigo

Para configurar o Acesso Atribuído, tem de criar e aplicar um ficheiro XML de configuração aos seus dispositivos. O ficheiro de configuração tem de estar em conformidade com um esquema, conforme definido em Definição de Esquema XML (XSD) de Acesso Atribuído.

Este artigo descreve como configurar um ficheiro de configuração de Acesso Atribuído, incluindo exemplos práticos.

Vamos começar examinando a estrutura básica do arquivo XML. Um ficheiro de configuração de Acesso Atribuído contém:

  • Um ou vários profiles. Cada profile um define um conjunto de aplicações que têm permissão para executar
  • Um ou vários configs. Cada config um associa uma conta de utilizador ou um grupo a um profile

Eis um exemplo básico de um ficheiro de configuração do Acesso Atribuído, com um perfil e uma configuração:

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config">
    <Profiles>
        <Profile Id="{GUID}">
            <!-- Add configuration here as needed -->
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <!-- Add configuration here as needed -->
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Controle de versão

O XML de configuração de Acesso Atribuído tem o controlo de versão. A versão é definida no elemento raiz XML e é utilizada para determinar que esquema utilizar para validar o ficheiro XML. A versão também é utilizada para determinar que funcionalidades estão disponíveis para a configuração. Eis uma tabela das versões, aliases utilizados nos exemplos de documentação e espaços de nomes:

Versão Alias Namespace
Windows 11, versão 22H2 v5 http://schemas.microsoft.com/AssignedAccess/2022/config
Windows 11, versão 21H2 v4 http://schemas.microsoft.com/AssignedAccess/2021/config
Windows 10 v5 http://schemas.microsoft.com/AssignedAccess/202010/config
Windows 10 v3 http://schemas.microsoft.com/AssignedAccess/2020/config
Windows 10 rs5 http://schemas.microsoft.com/AssignedAccess/201810/config
Windows 10 padrão http://schemas.microsoft.com/AssignedAccess/2017/config

Para autorizar um XML de configuração compatível que inclua elementos e atributos específicos da versão, inclua sempre o espaço de nomes dos esquemas do suplemento e decore os atributos e elementos em conformidade com o alias do espaço de nomes. Por exemplo, para configurar a StartPins funcionalidade que foi adicionada no Windows 11, versão 22H2, utilize o exemplo abaixo. Tenha em atenção o alias v5 associado ao http://schemas.microsoft.com/AssignedAccess/2022/config espaço de nomes da versão 22H2 e o alias está etiquetado StartPins inline.

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v5="http://schemas.microsoft.com/AssignedAccess/2022/config">
    <Profiles>
        <Profile Id="{GUID}">
            <!-- Add configuration here as needed -->
            <v5:StartPins>
              <!-- Add StartPins configuration here -->
            </v5:StartPins>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <!-- Add configuration here as needed -->
        </Config>
    </Configs>
</AssignedAccessConfiguration>

Aqui, pode encontrar as definições de esquema XML de Acesso Atribuído: Definição de Esquema XML de Acesso Atribuído (XSD).

Perfis

Um ficheiro de configuração pode conter um ou mais perfis. Cada perfil é identificado por um identificador Profile Id exclusivo e, opcionalmente, um Name. Por exemplo:

<Profiles>
  <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
    <!-- Add configuration here as needed -->
  </Profile>
</Profiles>

Dica

O Profile Id tem de ser exclusivo no ficheiro XML. Pode gerar um GUID com o cmdlet New-Guiddo PowerShell .

Um perfil pode ser um de dois tipos:

  • KioskModeApp: é utilizado para configurar uma experiência de quiosque. Os utilizadores atribuídos a este perfil executam uma aplicação Plataforma Universal do Windows (UWP) ou o Microsoft Edge em execução em ecrã inteiro
  • AllAppList é utilizado para configurar uma experiência de utilizador restrita. Os utilizadores atribuídos a este perfil acedem ao ambiente de trabalho com as aplicações específicas no menu Iniciar

Importante

  • Não pode definir tanto como KioskModeAppShellLauncher ao mesmo tempo no dispositivo
  • Um ficheiro de configuração pode conter apenas um KioskModeApp perfil, mas pode conter vários AllAppList perfis.

KioskModeApp

As propriedades de um KioskModeApp perfil são:

Propriedade Descrição Detalhes
AppUserModelId O ID do Modelo de Utilizador da Aplicação (AUMID) da aplicação UWP. Saiba como Localizar o ID do Modelo de Utilizador da Aplicação de uma aplicação instalada.
v4:ClassicAppPath O caminho completo para um executável de aplicação de ambiente de trabalho. Este é o caminho para a aplicação de ambiente de trabalho utilizada no modo de quiosque. O caminho pode conter variáveis de ambiente de sistema sob a forma de %variableName%.
v4:ClassicAppArguments Os argumentos a transmitir para a aplicação de ambiente de trabalho. Esta propriedade é opcional.

Por predefinição, pode utilizar a sequência CTRL+ALT+DEL para sair do modo de quiosque. Pode definir um BreakoutSequence elemento para alterar a sequência predefinida. O Key atributo é uma cadeia que representa a combinação de teclas.

Exemplo de dois perfis, uma aplicação de ambiente de trabalho e uma aplicação UWP:

<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
  <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
  <v4:BreakoutSequence Key="Ctrl+A"/>
</Profile>
<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F79}">
  <KioskModeApp AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
</Profile>

Observação

Só pode atribuir um KioskModeApp perfil a utilizadores e não a grupos.

AllAppList

De acordo com a finalidade do dispositivo de quiosque, defina a lista de aplicativos que podem ser executados. Essa lista pode conter os aplicativos UWP e os aplicativos da área de trabalho. Quando a configuração do quiosque mult-app é aplicada a um dispositivo, são geradas regras do AppLocker para permitir as aplicações listadas na configuração.

Observação

Se uma aplicação tiver uma dependência noutra aplicação, ambas têm de ser incluídas na lista de aplicações permitidas.

AllAppList No nó, defina uma lista de aplicações permitidas para execução. Cada App elemento tem as seguintes propriedades:

Propriedade Descrição Detalhes
AppUserModelId O ID do Modelo de Utilizador da Aplicação (AUMID) da aplicação UWP. Saiba como Localizar o ID do Modelo de Utilizador da Aplicação de uma aplicação instalada.
DesktopAppPath O caminho completo para um executável de aplicação de ambiente de trabalho. Este é o caminho para a aplicação de ambiente de trabalho utilizada no modo de quiosque. O caminho pode conter variáveis de ambiente de sistema sob a forma de %variableName%.
rs5:AutoLaunch Um atributo Booleano para indicar se pretende iniciar a aplicação (seja no ambiente de trabalho ou na aplicação UWP) automaticamente quando o utilizador inicia sessão. Esta propriedade é opcional. Apenas uma aplicação pode iniciar automaticamente.
rs5:AutoLaunchArguments Os argumentos a serem transmitidos para a aplicação que está configurada com AutoLaunch. Os AutoLaunchArguments são transmitidos para as aplicações tal como estão e a aplicação tem de processar explicitamente os argumentos. Esta propriedade é opcional.

Exemplo:

<AllAppsList>
  <AllowedApps>
    <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
    <App DesktopAppPath="C:\Windows\system32\cmd.exe" />
    <App DesktopAppPath="%windir%\explorer.exe" />
    <App DesktopAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" />
    <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="%windir%\setuperr.log" />
  </AllowedApps>
</AllAppsList>

restrições de Explorador de Arquivos

Numa experiência de utilizador restrita (AllAppList), a navegação em pastas está bloqueada por predefinição. Pode permitir explicitamente o acesso a pastas conhecidas ao incluir o FileExplorerNamespaceRestrictions nó.

Pode especificar o acesso do utilizador à pasta Transferências, Unidades amovíveis ou sem restrições. As transferências e as Unidades Amovíveis podem ser permitidas ao mesmo tempo.

<Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
        <AllAppsList>
            <AllowedApps>
                <!-- Add configuration here as needed -->
            </AllowedApps>
        </AllAppsList>
        <rs5:FileExplorerNamespaceRestrictions>
            <!-- Add configuration here as needed -->
        </rs5:FileExplorerNamespaceRestrictions>
        <!-- Add configuration here as needed -->
    </Profile>
</Profiles>

Eis alguns exemplos práticos.

Bloquear tudo

Não utilize o nó ou deixe-o vazio.

<rs5:FileExplorerNamespaceRestrictions>
</rs5:FileExplorerNamespaceRestrictions>

Permitir apenas transferências

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
</rs5:FileExplorerNamespaceRestrictions>

Permitir apenas unidades amovíveis

<rs5:FileExplorerNamespaceRestrictions>
    <v3:AllowRemovableDrives />
</rs5:FileExplorerNamespaceRestrictions>

Permitir transferências e unidades amovíveis

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
    <v3:AllowRemovableDrives/>
</rs5:FileExplorerNamespaceRestrictions>

Sem restrições, todas as localizações são permitidas

<rs5:FileExplorerNamespaceRestrictions>
    <v3:NoRestriction />
</rs5:FileExplorerNamespaceRestrictions>

Dica

Para conceder acesso a Explorador de Arquivos numa experiência de utilizador restrita, adicione Explorer.exe à lista de aplicações permitidas e afixe um atalho no menu Iniciar.

Personalizações do menu Iniciar

Para um perfil de experiência de utilizador restrito (AllAppList), tem de definir o esquema Iniciar. O esquema Iniciar contém uma lista de aplicações que estão afixadas no menu Iniciar. Pode optar por afixar todas as aplicações permitidas no menu Iniciar ou num subconjunto. A forma mais fácil de criar um esquema Iniciar personalizado é configurar o menu Iniciar num dispositivo de teste e, em seguida, exportar o esquema.

Para saber como personalizar e exportar uma configuração do menu Iniciar, consulte Personalizar o menu Iniciar.

Com a configuração do menu Iniciar exportada, utilize o StartLayout elemento e adicione o conteúdo do ficheiro XML. Por exemplo:

<StartLayout>
  <![CDATA[
    <!-- Add your exported Start menu XML configuration file here -->
  ]]>
</StartLayout>

Exemplo com algumas aplicações afixadas:

<StartLayout>
  <![CDATA[
    <LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
    xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1"
    xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
      <LayoutOptions StartTileGroupCellWidth="6" />
      <DefaultLayoutOverride>
        <StartLayoutCollection>
          <defaultlayout:StartLayout GroupCellWidth="6">
            <start:Group Name="Group1">
              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.  ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.  ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
            </start:Group>
            <start:Group Name="Group2">
              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0"   DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start   Menu\Programs\Accessories\Paint.lnk" />
              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0"   DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.  lnk" />
            </start:Group>
          </defaultlayout:StartLayout>
        </StartLayoutCollection>
      </DefaultLayoutOverride>
    </LayoutModificationTemplate>
  ]]>
</StartLayout>

Com a configuração do menu Iniciar exportada, utilize o v5:StartPins elemento e adicione o conteúdo do ficheiro JSON exportado. Por exemplo:

<v5:StartPins>
  <![CDATA[
      <!-- Add your exported Start menu JSON configuration file here -->
  ]]>
</v5:StartPins>

Exemplo com algumas aplicações afixadas:

<v5:StartPins>

</v5:StartPins>

Observação

Se uma aplicação não estiver instalada para o utilizador, mas estiver incluída no XML de esquema Iniciar, a aplicação não é apresentada no ecrã Início.

Personalizações da barra de tarefas

Não pode afixar aplicações na barra de tarefas numa experiência de utilizador restrita. Não é suportado para configurar um esquema da Barra de Tarefas com a <CustomTaskbarLayoutCollection> etiqueta num XML de modificação de esquema, como parte da configuração acesso atribuído.

A única personalização da Barra de Tarefas disponível é a opção para mostrá-la ou ocultá-la com o ShowTaskbar atributo booleano.

O exemplo seguinte expõe a barra de tarefas:

<Taskbar ShowTaskbar="true"/>

O exemplo a seguir oculta a barra de tarefas:

<Taskbar ShowTaskbar="false"/>

Observação

Isso é diferente da opção Ocultar automaticamente a barra de tarefas no modo tablet, que mostra a barra de tarefas quando você desliza o dedo para cima ou move o ponteiro do mouse para baixo até a parte inferior da tela. Definir ShowTaskbar como false oculta permanentemente a barra de tarefas.

Pode personalizar a Barra de Tarefas ao criar um esquema personalizado e adicioná-lo ao ficheiro XML. Para saber como personalizar e exportar a configuração da Barra de Tarefas, veja Personalizar a Barra de Tarefas.

Observação

No Windows 11, o ShowTaskbar atributo não é op. Configure-o com um valor de true.

Com a configuração da Barra de Tarefas exportada, utilize o v5:TaskbarLayout elemento e adicione o conteúdo do ficheiro XML. Por exemplo:

<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
  <!-- Add your exported Taskbar XML configuration file here -->
  ]]>
</v5:TaskbarLayout>

Eis um exemplo de uma Barra de Tarefas personalizada com algumas aplicações afixadas:

<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
  <?xml version="1.0" encoding="utf-8"?>
  <LayoutModificationTemplate
      xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification"
      xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
      xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout"
      xmlns:taskbar="http://schemas.microsoft.com/Start/2014/TaskbarLayout"
      Version="1">
  <CustomTaskbarLayoutCollection>
    <defaultlayout:TaskbarLayout>
    <taskbar:TaskbarPinList>
        <taskbar:DesktopApp DesktopApplicationID="Microsoft.Windows.Explorer" />
        <taskbar:DesktopApp DesktopApplicationID="windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel" />
        <taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk"/>
    </taskbar:TaskbarPinList>
    </defaultlayout:TaskbarLayout>
  </CustomTaskbarLayoutCollection>
  </LayoutModificationTemplate>
  ]]>
</v5:TaskbarLayout>

Configurações

Em Configs, defina uma ou mais contas de utilizador, ou grupos, e a associação com um perfil.

Quando a conta de utilizador inicia sessão, o perfil de Acesso Atribuído associado é imposto juntamente com as definições de política que fazem parte da experiência de utilizador restrita.

Pode atribuir:

  • Uma conta de utilizador padrão, que pode ser local, domínio ou Microsoft Entra ID
  • Uma conta de grupo, que pode ser local, o Active Directory (domínio) ou Microsoft Entra ID

Limitações:

  • As configurações que especificam contas de grupo não podem utilizar um perfil de quiosque, apenas um perfil de experiência de utilizador restrito
  • Aplicar a experiência de utilizador restrita apenas aos utilizadores padrão. Não é suportado associar um utilizador administrador a um perfil de Acesso Atribuído
  • Não aplique o perfil a utilizadores ou grupos visados por políticas de acesso condicional que exijam interação do utilizador. Por exemplo, autenticação multifator (MFA) ou Termos de Utilização (TOU). Para obter mais informações, consulte Os utilizadores não podem iniciar sessão no Windows se for atribuído um perfil de quiosque de várias aplicações

Observação

No Microsoft Entra dispositivos associados e associados a um domínio, as contas de utilizador locais não são apresentadas no ecrã de início de sessão por predefinição. Para apresentar as contas locais no ecrã de início de sessão, ative a definição de política:

  • GPO: Configuração> do ComputadorModelos Administrativos> Início de Sessãodo Sistema>>Enumerar utilizadores locais em computadores associados a um domínio
  • CSP: ./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers

Conta de Caixa Automática

Com <AutoLogonAccount>o , o Acesso Atribuído cria e gere uma conta de utilizador para iniciar sessão automaticamente após o reinício de um dispositivo. A conta é um utilizador padrão local.

O exemplo seguinte mostra como especificar uma conta para iniciar sessão automaticamente e o nome a apresentar opcional da conta no ecrã de início de sessão:

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Microsoft Learn example"/>
    <DefaultProfile Id="{GUID}"/>
  </Config>
</Configs>

Importante

Quando as restrições de palavras-passe do Exchange Active Sync (EAS) estão ativas no dispositivo, a funcionalidade de início de sessão automático não funciona. Esse comportamento está relacionado ao design. Para obter mais informações, consulte Como ativar o início de sessão automático no Windows.

Perfil global

Com GlobalProfileo , pode definir um perfil de Acesso Atribuído que é aplicado a todas as contas que não são administradores que iniciam sessão. GlobalProfile é útil em cenários como trabalhadores de primeira linha ou dispositivos de estudantes, onde quer garantir que todos os utilizadores têm uma experiência consistente.

<Configs>
  <v3:GlobalProfile Id="{GUID}"/>
</Configs>

Observação

Pode combinar um perfil global com outros perfis. Se atribuir um perfil não global a um utilizador, o perfil global não será aplicado a esse utilizador.

Contas de usuário

As contas individuais são especificadas com <Account>.

Importante

Antes de aplicar a configuração acesso atribuído, certifique-se de que a conta de utilizador especificada está disponível no dispositivo, caso contrário, falha.

Para contas de domínio e Microsoft Entra, desde que o dispositivo esteja associado ao Active Directory ou Microsoft Entra associado, a conta pode ser detetada na floresta de domínio ou inquilino ao qual o dispositivo está associado. Para as contas locais, é necessário que a conta exista antes da configuração da conta para o acesso atribuído.

Utilizador local

A conta local pode ser introduzida como devicename\user, .\userou apenas user.

<Config>
  <Account>user</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Utilizador do Active Directory

As contas de domínio têm de ser introduzidas com o formato domain\samAccountName.

<Config>
  <Account>contoso\user</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Microsoft Entra utilizador

Microsoft Entra contas têm de ser especificadas com o formato : AzureAD\{UPN}. AzureADtem de ser fornecido tal como está e, em seguida, seguir com o Microsoft Entra nome principal de utilizador (UPN).

<Config>
  <Account>AzureAD\user@contoso.onmicrosoft.com</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Contas de grupo

As contas de grupo são especificadas com <UserGroup>. Os grupos aninhados não são suportados. Por exemplo, se o Utilizador A for membro do Grupo A, o Grupo A é membro do Grupo B e o Grupo B é utilizado no <Config/>, o Utilizador A não tem a experiência de quiosque.

Grupo local

Especifique o tipo de grupo como LocalGroup e adicione o nome do grupo no Name atributo .

<Config>
  <UserGroup Type="LocalGroup" Name="groupname" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Grupo do Active Directory

Os grupos de segurança e distribuição são suportados. Especifique o tipo de grupo como ActiveDirectoryGroup. Utilize o nome de domínio como prefixo no atributo name.

<Config>
  <UserGroup Type="ActiveDirectoryGroup" Name="contoso\groupname" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Microsoft Entra grupo

Utilize o ID de objeto do grupo Microsoft Entra. Pode encontrar o ID do objeto na página de descrição geral do grupo ao iniciar sessão no centro de administração do Microsoft Entra e navegar paraGrupos> de Identidade>Todos os grupos. Especifique o tipo de grupo como AzureActiveDirectoryGroup. O dispositivo de quiosque tem de ter conectividade à Internet quando os utilizadores que pertencem ao início de sessão do grupo.

<Config>
  <UserGroup Type="AzureActiveDirectoryGroup" Name="Group_GUID" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Próximas etapas

Veja alguns exemplos práticos de configurações XML de Acesso Atribuído:

Exemplos de Acesso Atribuído