Ler em inglês

Compartilhar via


Configurar um quiosque no Windows 10 Pro, Enterprise ou Education

Um dispositivo de uso único é fácil de configurar no Windows 10 para edições de área de trabalho (Pro, Enterprise e Education). Para um dispositivo de quiosque executar um Aplicativo Universal do Windows, use o recurso acesso atribuído. Para um dispositivo de quiosque (Windows 10 Enterprise ou Education) executar um aplicativo Clássico do Windows, use o Iniciador de Shell para definir uma interface do usuário personalizada como o shell. Para retornar o dispositivo ao shell normal, consulte Sair do acesso atribuído.

Observação  

Um Aplicativo Universal do Windows foi criado com base na UWP (Plataforma Universal do Windows), que foi introduzida no Windows 8 como o Tempo de Execução do Windows. Um aplicativo Clássico do Windows usa a CWP (Plataforma Clássica do Windows) (por exemplo, COM, Win32, WPF, WinForms, etc.) e normalmente é iniciado usando um arquivo .EXE ou .DLL.

 

Outras configurações que devem ser bloqueadas

Para uma experiência de quiosque mais segura, recomendamos que você faça as seguintes alterações de configuração no dispositivo:

  • Coloque o dispositivo em modo Tablet.

    Caso queira que os usuários possam usar o teclado virtual (na tela), vá para Configurações > Sistema > Modo Tablet e escolha Ativado.

  • Ocultar o recurso Facilidade de acesso na tela de logon.

    Vá para Painel de Controle > Facilidade de Acesso > Central de Facilidade de Acesso e desative todas as ferramentas de acessibilidade.

  • Desabilitar o botão de energia de hardware.

    Vá até Opções de Energia > Escolher a função do botão de energia, altere a configuração para Nada a fazer e Salvar alterações.

  • Remover o botão Liga/Desliga da tela de entrada

    Vá até Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais >Opções de Segurança > Desligamento: permitir que o sistema seja encerrado sem a necessidade de fazer logon e selecione Desativado.

  • Desabilitar a câmera.

    Vá para Configurações > Privacidade > Câmera e desative Permitir que aplicativos usem minha câmera.

  • Desativar notificações de aplicativo na tela de bloqueio.

    Vá para Editor de Política de Grupo > Configuração do Computador > Modelos Administrativos\Sistema\Logon\Desligar as notificações de aplicativos na tela de bloqueio.

  • Desabilitar mídia removível.

    Vá até Editor de Política de Grupo > Configuração do Computador > Modelos Administrativos\Sistema\Instalação de Dispositivo\Restrições de Instalação de Dispositivos. Examine as configurações de politica disponíveis em Restrições de Instalação de Dispositivos para saber as configurações aplicáveis à sua situação.

    Observação  

    Para evitar que essa política afete um membro do grupo Administradores, em Restrições de Instalação de Dispositivos, habilite Permitir que os administradores substituam as políticas de Restrição de Instalação de Dispositivos.

     

Método de acesso atribuído para Aplicativos Universais do Windows

Com o acesso atribuído, o Windows 10 executa o aplicativo Universal do Windows designado acima da tela de bloqueio, para que a conta de acesso atribuído não tenha acesso a qualquer outra funcionalidade no dispositivo. Você tem estas opções para configurar o acesso atribuído:

  • Usar as Configurações no computador - Windows 10 Pro, Enterprise e Education

  • Aplicar uma política de gerenciamento de dispositivo móvel (MDM) - Windows 10 Enterprise e Education

  • Criar um pacote de provisionamento usando o ICD (Designer de Configuração e Imagens do Windows) - Windows 10 Enterprise e Education

  • Executar um script do PowerShell - Windows 10 Pro, Enterprise e Education

Requisitos

  • Uma conta de usuário local ou de domínio.

    A conta de usuário deve ser conectada pelo menos uma vez antes de configurar o acesso atribuído, ou nenhum aplicativo estará disponível para essa conta. Para configurar o acesso atribuído usando MDM, você precisa da conta de usuário (domínio\conta).

  • Um aplicativo Universal do Windows instalado para a conta e é um aplicativo acima da tela de bloqueio. Para obter detalhes sobre a criação de um aplicativo de tela de bloqueio acima, consulte Aplicativos de quiosque para acesso atribuído: práticas recomendadas.

    O aplicativo pode ser o próprio aplicativo da empresa que você disponibilizou na Loja de aplicativos. Para configurar o acesso atribuído usando o MDM ou o PowerShell, você também precisa da AUMID (ID do Modelo do Usuário do Aplicativo) para o aplicativo. Saiba como obter a AUMID.

    O Aplicativo Universal do Windows deve conseguir lidar com vários modos de exibição e não pode iniciar outros aplicativos ou caixas de diálogo.

Observação  

O acesso atribuído não funciona em um dispositivo conectado a mais de um monitor.

 

Configurar o acesso atribuído nas configurações do computador

  1. Vá para Iniciar > Configurações > Contas > Outros usuários.

  2. Escolha Configurar um acesso atribuído.

  3. Escolha uma conta.

  4. Escolha um aplicativo. Somente aplicativos que possam ser executados acima da tela de bloqueio serão exibidos.

  5. Feche Configurações – suas opções são salvas automaticamente e serão aplicadas na próxima vez que a conta de usuário for conectada.

Para remover o acesso atribuído, na etapa 3, escolha Don't use assigned access.

Configurar o acesso atribuído no MDM

O Acesso Atribuído tem uma configuração, KioskModeApp. Na configuração KioskModeApp, insira o nome da conta de usuário e a AUMID para o aplicativo ser executado no modo de quiosque.

Saiba como obter a AUMID.

Veja a referência técnica para o provedor de serviços de configuração de Acesso Atribuído.

Configurar o acesso atribuído usando-se o Designer de Configuração e Imagens do Windows (ICD)

Use a ferramenta Windows ICD incluída no ADK (Kit de Avaliação e Implantação do Windows) para Windows 10 para criar um pacote de provisionamento que configura um dispositivo como um quiosque. Instale o ADK.

Mt219051.wedge(pt-br,VS.85).gifCriar um pacote de provisionamento para um dispositivo de quiosque

  1. Abra o Windows ICD (por padrão, %windir%\Arquivo de Programas (x86)\Kits do Windows\10\Kit de Avaliação e Implantação\Designer de Configuração e Imagens\x86\ICD.exe).

  2. Escolha Novo pacote de provisionamento.

  3. Dê um nome ao projeto e clique em Avançar.

  4. Escolha Comum a todas as edições de área de trabalho do Windows e clique em Avançar.

  5. Em Novo projeto, clique em Concluir. O espaço de trabalho para seu pacote é aberto.

  6. Expanda Configurações de tempo de execução > AssignedAccess e clique em AssignedAccessSettings.

  7. Insira uma cadeia de caracteres para especificar a conta de usuário e o aplicativo (por AUMID). Por exemplo:

    "Account":"contoso\\kiosk","AUMID":"8f82d991-f842-44c3-9a95-521b58fc2084"

  8. No menu Arquivo, selecione Salvar.

  9. No menu Exportar, selecione Pacote de provisionamento.

  10. Altere Proprietário para Administrador de TI, que definirá a precedência desse pacote de provisionamento como mais alta do que os pacotes de provisionamento aplicados a este dispositivo de outras origens, e selecione Avançar.

  11. Opcional. Na janela Segurança do pacote de provisionamento, você pode optar por criptografar o pacote e habilitar a assinatura do pacote.

    • Habilitar a criptografia de pacote - Se você selecionar essa opção, uma senha gerada automaticamente será mostrada na tela.

    • Habilitar a assinatura de pacote - Se você selecionar essa opção, deverá selecionar um certificado válido para assinar o pacote. Você pode especificar o certificado clicando em Selecionar e escolhendo o certificado que deseja usar para assinar o pacote.

  12. Clique em Avançar para especificar o local de saída do pacote de provisionamento quando ele estiver compilado. Por padrão, o Windows ICD usa a pasta do projeto como o local de saída.

    Como alternativa, clique em Procurar para alterar o local de saída padrão.

  13. Clique em Avançar.

  14. Clique em Compilar para começar a criar o pacote. O pacote de provisionamento não leva muito tempo para compilar. As informações do projeto são exibidas na página de compilação, e a barra de progresso indica o status da compilação.

    Se precisar cancelar a compilação, clique em Cancelar. Isso cancela o atual processo de compilaçãol, fecha o assistente e leva você de volta à Página de Personalizações.

  15. Se sua compilação falhar, será exibida uma mensagem de erro que inclui um link para a pasta do projeto. Você pode examinar os logs para determinar o que causou o erro. Depois de corrigir o problema, tente compilar o pacote novamente.

    Se a compilação for bem-sucedida, o nome do pacote de provisionamento, o diretório de saída e o diretório do projeto serão mostrados.

    • Se você fizer essa opção, poderá compilar novamente o pacote de provisionamento e escolher um caminho diferente para o pacote de saída. Para fazer isso, clique em Voltar para alterar o nome e o caminho do pacote de saída e, em seguida, clique em Avançar para iniciar outra compilação.

    • Caso você tenha terminado, clique em Concluir para fechar o assistente e voltar para a Customizations Page.

Mt219051.wedge(pt-br,VS.85).gifAplicar o pacote do provisionamento

  1. Selecione o pacote de provisionamento que deseja aplicar, clique duas vezes no arquivo e autorize os privilégios de administrador.

  2. Autorize a instalação do pacote.

    Depois que você permitir que o pacote seja instalado, as configurações serão aplicadas ao dispositivo.

Saiba como aplicar um pacote de provisionamento em modo de auditoria ou OOBE.

Configurar o acesso atribuído usando o Windows PowerShell

Você pode usar qualquer um dos cmdlets do PowerShell a seguir para configurar o acesso atribuído em vários dispositivos. Para abrir o PowerShell no Windows 10, procure o PowerShell e encontre Windows PowerShell Desktop app nos resultados.

Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>

Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>

Set-AssignedAccess -AppName <CustomApp> -UserName <username>

Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>

Saiba como obter a AUMID.

Saiba como obter o SID.

Configurar o logon automático

Quando seu dispositivo de quiosque é reiniciado, depois de uma atualização ou queda de energia, você pode fazer logon na conta de acesso atribuído manualmente ou configurar o dispositivo para fazer logon na conta de acesso atribuído automaticamente.

Edite o Registro para fazer o logon automático da conta.

  1. Abra o Editor do Registro (regedit.exe).

    Observação  

    Se você não estiver familiarizado com o Editor do Registro, saiba como modificar o Registro do Windows.

     

  2. Vá até

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

  3. Defina os valores para as chaves a seguir.

    • AutoAdminLogon: defina o valor como 1.

    • DefaultUserName: defina o valor como a conta em que você deseja fazer logon.

    • DefaultPassword: defina o valor como a senha da conta.

      Observação  

      Se DefaultUserName e DefaultPassword não existirem, adicione-os como Novo > Valor da Cadeia de Caracteres.

       

    • DefaultDomainName: defina o valor de domínio, somente para contas de domínio. Para contas locais, não adicione essa chave.

  4. Feche o Editor do Registro. Na próxima vez que o computador for reiniciado, a conta será conectada automaticamente.

Sair do acesso atribuído

Para sair de uma conta de acesso atribuído, pressione Ctrl + Alt + Del e faça logon usando outra conta. Quando você pressionar Ctrl + Alt + Del para sair do acesso atribuído, o aplicativo de quiosque sairá automaticamente. Se você fizer logon novamente como a conta de acesso atribuído ou aguardar o tempo limite da tela de logon, o aplicativo de quiosque será reiniciado.

Se você pressionar Ctrl + Alt + Del e não entrar em outra conta, após um tempo determinado, o acesso atribuído será retomado. O tempo padrão é 30 segundos, mas você pode alterá-lo na seguinte chave do Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

Para alterar o tempo padrão para o acesso atribuído ser retomado, adicione IdleTimeOut (DWORD) e insira os dados de valor como milissegundos em hexadecimal.

Iniciador de Shell para aplicativos Clássicos do Windows

Usando o Iniciador de Shell, você pode configurar um dispositivo de quiosque que executa um aplicativo Clássico do Windows como a interface do usuário. O aplicativo que você especificar substitui o shell padrão (explorer.exe) que geralmente é executado quando um usuário faz logon.

Requisitos

  • Uma conta de usuário local ou de domínio.

  • Um aplicativo Clássico do Windows instalado para essa conta. O aplicativo pode ser seu próprio aplicativo da empresa ou um aplicativo comum como o Internet Explorer.

Consulte a referência técnica do componente de iniciador de shell.

Configurar o Iniciador de Shell

Para definir um aplicativo Clássico do Windows como o shell, ative o recurso Iniciador de Shell e defina seu shell personalizado como o padrão usando o PowerShell.

Mt219051.wedge(pt-br,VS.85).gifPara ativar o Iniciador de Shell nos recursos do Windows

  1. Vá para o Painel de Controle > Programas e Recursos > Ativar ou desativar recursos do Windows.
  2. Selecione Iniciador de Shell Inserido e OK.

Como alternativa, você pode ativar o Iniciador de Shell usando a ferramenta Gerenciamento e Manutenção de Imagens de Implantação (DISM.exe).

Mt219051.wedge(pt-br,VS.85).gifPara ativar o Iniciador de Shell usando o DISM

  1. Abra um prompt de comando como administrador.

  2. Insira o comando a seguir.

    Dism /online /Enable-Feature /FeatureName:Client-EmbeddedShellLauncher
    

Mt219051.wedge(pt-br,VS.85).gifPara definir o shell personalizado

  • Modifique o script do PowerShell a seguir conforme apropriado e execute o script no dispositivo de quiosque.

    $COMPUTER = "localhost"
    $NAMESPACE = "root\standardcimv2\embedded"
    
    # Create a handle to the class instance so we can call the static methods.
    $ShellLauncherClass = [wmiclass]"\\$COMPUTER\${NAMESPACE}:WESL_UserSetting"
    
    
    # This well-known security identifier (SID) corresponds to the BUILTIN\Administrators group.
    
    $Admins_SID = "S-1-5-32-544"
    
    # Create a function to retrieve the SID for a user account on a machine.
    
    function Get-UsernameSID($AccountName) {
    
        $NTUserObject = New-Object System.Security.Principal.NTAccount($AccountName)
        $NTUserSID = $NTUserObject.Translate([System.Security.Principal.SecurityIdentifier])
    
        return $NTUserSID.Value
    
    }
    
    # Get the SID for a user account named \"Cashier\". Rename \"Cashier\" to an existing account on your system to test this script.
    
    $Cashier_SID = Get-UsernameSID("Cashier")
    
    # Define actions to take when the shell program exits.
    
    $restart_shell = 0
    $restart_device = 1
    $shutdown_device = 2
    
    # Examples
    
    # Set the command prompt as the default shell, and restart the device if it's closed.
    
    $ShellLauncherClass.SetDefaultShell("cmd.exe", $restart_device)
    
    # Display the default shell to verify that it was added correctly.
    
    $DefaultShellObject = $ShellLauncherClass.GetDefaultShell()
    
    "`nDefault Shell is set to " + $DefaultShellObject.Shell + " and the default action is set to " + $DefaultShellObject.defaultaction
    
    # Set Internet Explorer as the shell for \"Cashier\", and restart the machine if it's closed.
    
    $ShellLauncherClass.SetCustomShell($Cashier_SID, "c:\program files\internet explorer\iexplore.exe www.microsoft.com", ($null), ($null), $restart_shell)
    
    # Set Explorer as the shell for administrators.
    
    $ShellLauncherClass.SetCustomShell($Admins_SID, "explorer.exe")
    
    # View all the custom shells defined.
    
    "`nCurrent settings for custom shells:"
    Get-WmiObject -namespace $NAMESPACE -computer $COMPUTER -class WESL_UserSetting | Select Sid, Shell, DefaultAction
    
    # Enable Shell Launcher
    
    $ShellLauncherClass.SetEnabled($TRUE)
    
    "`nEnabled is set to " + $DefaultShellObject.IsEnabled()
    
    # Remove the new custom shells.
    
    $ShellLauncherClass.RemoveCustomShell($Admins_SID)
    
    $ShellLauncherClass.RemoveCustomShell($Cashier_SID)
    

Tópicos relacionados

Configurar um dispositivo para uso por qualquer pessoa

Configurar um quiosque para Windows 10 para edição móvel

Gerenciar e atualizar o Windows 10