Рекомендации по назначенному доступу
В этой статье содержатся рекомендации для устройств, настроенных с помощью назначенного доступа и средства запуска оболочки. Большинство рекомендаций включают параметры групповой политики (GPO) и поставщика служб конфигурации (CSP), которые помогут вам настроить устройства киоска.
Учетная запись пользователя киоска
Для устройств киосков, расположенных в общедоступных средах, настройте в качестве учетной записи киоска учетную запись пользователя с наименьшими привилегиями, например локальную учетную запись стандартного пользователя. Использование пользователя Active Directory или пользователя Microsoft Entra может позволить злоумышленнику получить доступ к ресурсам домена, доступным для любых учетных записей домена. При использовании учетных записей домена с назначенным доступом будьте внимательны. Рассмотрите ресурсы домена, потенциально предоставляемые с помощью учетной записи домена.
Автоматический вход
Рассмотрите возможность включения автоматического входа для устройства киоска. При перезапуске устройства после обновления или отключения питания можно настроить автоматический вход с помощью учетной записи назначенного доступа. Убедитесь, что параметры политики, примененные к устройству, не запрещают автоматический вход в систему должным образом. Например, параметры политики PreferredAadTenantDomainName запрещают автоматический вход.
Вы можете настроить XML-файлы назначенного доступа и средства запуска оболочки с помощью учетной записи для автоматического входа. Дополнительные сведения см. в статьях:
- Создание XML-файла конфигурации назначенного доступа
- Создание файла конфигурации средства запуска оболочки
Кроме того, вы можете изменить реестр, чтобы учетная запись выполнялось автоматически:
| Путь | Имя | Тип | Значение |
|---|---|---|---|
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
AutoAdminLogon |
REG_DWORD | 1 |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultUserName |
Строка | Задайте значение в качестве учетной записи, в которую вы хотите войти. |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultPassword |
Строка | Задайте значение в качестве пароля для учетной записи. |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultDomainName |
Строка | Задайте значение для домена, только для учетных записей домена. Для локальных учетных записей не добавляйте этот ключ. |
После настройки автоматического входа перезагрузите устройство. Учетная запись войдет в систему автоматически.
Примечание.
Если вы используете пользовательский вход с HideAutoLogonUI включенным, по истечении срока действия пароля учетной записи пользователя может появиться черный экран. Рассмотрите возможность установки пароля так, чтобы срок действия не истекал.
Центр обновления Windows
Настройте устройства киоска так, чтобы они всегда обновлялись, не нарушая взаимодействие с пользователем. Ниже приведены некоторые параметры политики, которые следует учитывать при настройке Центра обновления Windows для устройств киосков:
| Тип | Путь | Имя и описание |
|---|---|---|
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ActiveHoursEnd |
Целочисленное значение, представляющее конец активных часов. Например, 22 представляет 22:00 |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ActiveHoursStart |
Целочисленное значение, представляющее начало активных часов. Например, 7 представляет 7AM |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
AllowAutoUpdate |
Целочисленное значение. Задайте значение 3 — автоматическое скачивание и планирование установки |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ScheduledInstallTime |
Целочисленное значение. Укажите время установки обновлений на устройстве. Например, 23 представляет 23:00 |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
UpdateNotificationLevel |
Целочисленное значение. Задайте значение 2: отключите все уведомления, включая предупреждения о перезапуске |
| Объект групповой политики | Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обновления Windows\Управление взаимодействием с конечным пользователем | Параметры отображения уведомлений об обновлении > Установите значение 2. Отключите все уведомления, включая предупреждения о перезапуске. |
| Объект групповой политики | Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обновления Windows\Управление взаимодействием с конечным пользователем\Настройка автоматических обновлений | 4. Автоматическое скачивание и планирование установки> укажите время установки за пределами активных часов |
| Объект групповой политики | Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обновления Windows\Управление взаимодействием с конечным пользователем\Отключить автозапуск для обновлений в активные часы | Настройка времени начала и окончания активности, в течение которого устройство киоска не может перезапуститься из-за Центра обновления Windows |
Параметры питания
Может потребоваться запретить переход устройства киоска в спящий режим или запретить пользователям завершить работу или перезапустить киоск. Ниже приведены некоторые варианты.
| Тип | Путь | Имя и описание |
|---|---|---|
| CSP |
./Device/Vendor/MSFT/Policy/Config/ADMX_StartMenu/
СкрытьPowerOptions |
Струна. Задайте значение <Enabled/> |
| CSP | ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn |
Целочисленное значение. Задайте значение 0 |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
DisplayOffTimeoutPluggedIn |
Струна. Задайте значение <Enabled/><Data ID="EnterVideoACPowerDownTimeOut" value="0"/> |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
SelectPowerButtonActionPluggedIn |
Целое число. Задайте значение 0 |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
SelectSleepButtonActionPluggedIn |
Целое число. Задайте значение 0 |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
StandbyTimeoutPluggedIn |
Струна. Задайте значение <Enabled/><Data ID="EnterACStandbyTimeOut" value="0"/> |
| Объект групповой политики | Конфигурация компьютера\Административные шаблоны\Меню "Пуск" и панель задач\Удалить и запретить доступ к командам "Завершение работы", "Перезагрузка", "Спящий режим" и "Гибернация" | Включить |
| Объект групповой политики | Конфигурация компьютера\Административные шаблоны\Система\Управление питанием\Параметры кнопки\Выберите действие "Кнопка питания" | Выберите действие: не выполнять никаких действий |
| Объект групповой политики | Конфигурация компьютера\Административные шаблоны\System\Power Management\Button Settings\Select the sleep button button action | Выберите действие: не выполнять никаких действий |
| Объект групповой политики | Конфигурация компьютера\Административные шаблоны\System\Power Management\Укажите время ожидания системы в спящем режиме | Задайте значение 0 секунд. |
| Объект групповой политики | Конфигурация компьютера\Административные шаблоны\System\Power Management\Video and Display Settings\Off the display | Задайте значение 0 секунд. |
| Объект групповой политики | Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Завершение работы: разрешить завершение работы системы без необходимости входа в систему | Отключено |
| Объект групповой политики | Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Завершение работы системы | Удалите пользователей или группы из этой политики. Чтобы предотвратить влияние этой политики на члена группы администраторов, обязательно сохраните группу Администраторы. |
Примечание.
Вы также можете отключить кнопку питания на экране параметров безопасности с помощью функции пользовательского входа. Дополнительные сведения об удалении кнопки питания или отключении физической кнопки питания см. в разделе Пользовательский вход.
Сочетания клавиш
Следующие сочетания клавиш не блокируются для любой учетной записи пользователя, настроенной с ограниченным взаимодействием с пользователем:
- Alt + F4
- Alt + Вешалка
- Alt + Сдвиг + Вешалка
- CTRL + Alt + Удалить
Для блокировки сочетаний клавиш можно использовать фильтр клавиатуры . Параметры фильтра клавиатуры применяются к другим стандартным учетным записям.
Сочетания клавиш для специальных возможностей
Назначенный доступ не изменяет параметры специальных возможностей. Используйте фильтр клавиатуры , чтобы заблокировать следующие сочетания клавиш, которые открывают специальные возможности:
| Сочетание клавиш | Заблокированное поведение |
|---|---|
| Alt + слеваShift влево + Экран печати | Диалоговое окно "Открыть высокую контрастность" |
| Alt + слеваShift влево + Num Lock | Диалоговое окно "Открыть клавиши мыши" |
| ПОБЕЖДАТЬ + U | Откройте панель специальных возможностей приложения "Параметры" |
Примечание.
Если фильтр клавиатуры включен, некоторые сочетания клавиш блокируются автоматически без необходимости явного блокирования. Дополнительные сведения см. в разделе Фильтр клавиатуры.
Вы также можете отключить специальные возможности и другие параметры на экране блокировки с помощью пользовательского входа. Например, чтобы удалить параметр Специальные возможности, используйте следующий раздел реестра:
| Путь | Имя | Тип | Значение |
|---|---|---|---|
HKLM\Software\Microsoft\Windows Embedded\EmbeddedLogon\BrandingNeutral |
BrandingNeutral |
REG_DWORD | 8 |
Сочетания клавиш Microsoft Edge
Чтобы отключить определенные сочетания клавиш Microsoft Edge по умолчанию, можно использовать политику ConfigureKeyboardShortcuts .
Выбор приложения для работы с киоском
Чтобы создать интерфейс киоска с назначенным доступом, можно выбрать приложения UWP или Microsoft Edge. Однако некоторые приложения могут не обеспечить хороший пользовательский интерфейс при использовании в качестве киоска.
Следующие рекомендации помогут вам выбрать подходящее приложение для Windows для работы с киоском.
- Приложения Windows должны быть подготовлены или установлены для учетной записи назначенного доступа, прежде чем их можно будет выбрать в качестве приложения назначаемого доступа. Узнайте, как подготавливать и устанавливать приложения
- Обновления приложений UWP иногда могут изменять идентификатор модели пользователя приложения (AUMID) приложения. В этом сценарии необходимо обновить параметры назначенного доступа для выполнения обновленного приложения, так как назначенный доступ использует AUMID для определения запуска приложения.
- Приложение должно работать над экраном блокировки. Если приложение не может запуститься над экраном блокировки, его нельзя использовать в качестве приложения киоска.
- Некоторые приложения могут запускать другие. Назначенный доступ в режиме киоска не позволяет приложениям Windows запускать другие приложения. Избегайте выбора приложений Для Windows, предназначенных для запуска других приложений в рамках их основных функций
- Microsoft Edge поддерживает режим киоска. Дополнительные сведения см. в разделе Режим киоска Microsoft Edge.
- Не выбирайте приложения для Windows, которые могут предоставлять информацию, которую вы не хотите показывать в киоске, так как киоск обычно означает анонимный доступ и расположение в общедоступном параметре. Например, приложение, которое имеет средство выбора файлов, позволяет пользователю получить доступ к файлам и папкам в системе пользователя, избегая выбора таких типов приложений, если они предоставляют ненужный доступ к данным.
- Некоторым приложениям может потребоваться больше конфигураций, прежде чем их можно будет использовать надлежащим образом в назначаемом доступе. Например, перед открытием OneNote в Microsoft OneNote необходимо настроить учетную запись Майкрософт для учетной записи пользователя с назначенным доступом.
- Профиль киоска предназначен для общедоступных устройств киоска. Используйте локальную учетную запись, не относясь к администратору. Если устройство подключено к сети организации, использование домена или учетной записи Microsoft Entra может скомпрометировать конфиденциальную информацию.
При планировании развертывания киоска или ограниченного взаимодействия с пользователем учитывайте следующие рекомендации.
- Оцените все приложения, которые должны использовать пользователи. Если приложениям требуется проверка подлинности пользователей, не используйте локальную или универсальную учетную запись пользователя. Вместо этого нацелимся на группу пользователей в файле конфигурации назначенного доступа.
- Киоск с несколькими приложениями подходит для устройств, совместно используемых несколькими пользователями. При настройке киоска с несколькими приложениями определенные параметры политики, влияющие на всех пользователей, не являющихся администраторами на устройстве. Список этих политик см. в разделе Параметры политики назначенного доступа.
Разработка приложения для терминала
Назначенный доступ использует платформу блокировки. Когда пользователь назначенного доступа входит в систему, выбранное приложение киоска запускается над экраном блокировки. Приложение киоска работает как приложение на экране блокировки выше . Дополнительные сведения см. в руководстве по разработке приложения киоска для назначенного доступа.
Стоп-ошибки и параметры восстановления
При возникновении стоп-ошибки Windows отображает синий экран с кодом стоп-ошибки. Стандартный экран можно заменить пустым экраном для ошибок ОС. Дополнительные сведения см. в разделе Настройка параметров сбоя системы и восстановления.
Уведомления на экране блокировки
Рассмотрите возможность удаления уведомлений с экрана блокировки, чтобы пользователи не видели уведомления, когда устройство заблокировано. Ниже приведены некоторые варианты.
| Тип | Путь | Имя и описание |
|---|---|---|
| CSP |
./Device/Vendor/MSFT/Policy/Config/AboveLock/
AllowToasts |
Целое число. Задайте значение 0 |
| Объект групповой политики | Конфигурация компьютера\Административные шаблоны\System\Logon\Отключить уведомления приложений на экране блокировки | Enabled |
Устранение неполадок и журналы
При тестировании назначенного доступа может быть полезно включить ведение журнала для устранения неполадок. Журналы помогают выявлять проблемы с конфигурацией и средой выполнения. Можно включить следующий журнал: Журналы> приложений и службMicrosoft>Windows>AssignedAccess>Operational.
Следующие разделы реестра содержат конфигурации назначенного доступа:
HKLM\Software\Microsoft\Windows\AssignedAccessConfigurationHKLM\Software\Microsoft\Windows\AssignedAccessCsp
Следующий раздел реестра содержит конфигурацию для каждого пользователя с политикой назначенного доступа:
HKCU\SOFTWARE\Microsoft\Windows\AssignedAccessConfiguration
Дополнительные сведения об устранении неполадок с киоском см. в статье Устранение неполадок в режиме киоска.
Дальнейшие действия
Узнайте, как создать XML-файл для настройки назначенного доступа: