Configurar um quiosque no Windows 10 Pro, Enterprise ou Education
Um dispositivo de uso único é fácil de configurar no Windows 10 para edições de área de trabalho (Pro, Enterprise e Education). Para um dispositivo de quiosque executar um Aplicativo Universal do Windows, use o recurso acesso atribuído. Para um dispositivo de quiosque (Windows 10 Enterprise ou Education) executar um aplicativo Clássico do Windows, use o Iniciador de Shell para definir uma interface do usuário personalizada como o shell. Para retornar o dispositivo ao shell normal, consulte Sair do acesso atribuído.
Observação
Um Aplicativo Universal do Windows foi criado com base na UWP (Plataforma Universal do Windows), que foi introduzida no Windows 8 como o Tempo de Execução do Windows. Um aplicativo Clássico do Windows usa a CWP (Plataforma Clássica do Windows) (por exemplo, COM, Win32, WPF, WinForms, etc.) e normalmente é iniciado usando um arquivo .EXE ou .DLL.
Para uma experiência de quiosque mais segura, recomendamos que você faça as seguintes alterações de configuração no dispositivo:
Coloque o dispositivo em modo Tablet.
Caso queira que os usuários possam usar o teclado virtual (na tela), vá para Configurações > Sistema > Modo Tablet e escolha Ativado.
Ocultar o recurso Facilidade de acesso na tela de logon.
Vá para Painel de Controle > Facilidade de Acesso > Central de Facilidade de Acesso e desative todas as ferramentas de acessibilidade.
Desabilitar o botão de energia de hardware.
Vá até Opções de Energia > Escolher a função do botão de energia, altere a configuração para Nada a fazer e Salvar alterações.
Remover o botão Liga/Desliga da tela de entrada
Vá até Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais >Opções de Segurança > Desligamento: permitir que o sistema seja encerrado sem a necessidade de fazer logon e selecione Desativado.
Desabilitar a câmera.
Vá para Configurações > Privacidade > Câmera e desative Permitir que aplicativos usem minha câmera.
Desativar notificações de aplicativo na tela de bloqueio.
Vá para Editor de Política de Grupo > Configuração do Computador > Modelos Administrativos\Sistema\Logon\Desligar as notificações de aplicativos na tela de bloqueio.
Desabilitar mídia removível.
Vá até Editor de Política de Grupo > Configuração do Computador > Modelos Administrativos\Sistema\Instalação de Dispositivo\Restrições de Instalação de Dispositivos. Examine as configurações de politica disponíveis em Restrições de Instalação de Dispositivos para saber as configurações aplicáveis à sua situação.
Observação
Para evitar que essa política afete um membro do grupo Administradores, em Restrições de Instalação de Dispositivos, habilite Permitir que os administradores substituam as políticas de Restrição de Instalação de Dispositivos.
Com o acesso atribuído, o Windows 10 executa o aplicativo Universal do Windows designado acima da tela de bloqueio, para que a conta de acesso atribuído não tenha acesso a qualquer outra funcionalidade no dispositivo. Você tem estas opções para configurar o acesso atribuído:
Usar as Configurações no computador - Windows 10 Pro, Enterprise e Education
Aplicar uma política de gerenciamento de dispositivo móvel (MDM) - Windows 10 Enterprise e Education
Criar um pacote de provisionamento usando o ICD (Designer de Configuração e Imagens do Windows) - Windows 10 Enterprise e Education
Executar um script do PowerShell - Windows 10 Pro, Enterprise e Education
Uma conta de usuário local ou de domínio.
A conta de usuário deve ser conectada pelo menos uma vez antes de configurar o acesso atribuído, ou nenhum aplicativo estará disponível para essa conta. Para configurar o acesso atribuído usando MDM, você precisa da conta de usuário (domínio\conta).
Um aplicativo Universal do Windows instalado para a conta e é um aplicativo acima da tela de bloqueio. Para obter detalhes sobre a criação de um aplicativo de tela de bloqueio acima, consulte Aplicativos de quiosque para acesso atribuído: práticas recomendadas.
O aplicativo pode ser o próprio aplicativo da empresa que você disponibilizou na Loja de aplicativos. Para configurar o acesso atribuído usando o MDM ou o PowerShell, você também precisa da AUMID (ID do Modelo do Usuário do Aplicativo) para o aplicativo. Saiba como obter a AUMID.
O Aplicativo Universal do Windows deve conseguir lidar com vários modos de exibição e não pode iniciar outros aplicativos ou caixas de diálogo.
Observação
O acesso atribuído não funciona em um dispositivo conectado a mais de um monitor.
Vá para Iniciar > Configurações > Contas > Outros usuários.
Escolha Configurar um acesso atribuído.
Escolha uma conta.
Escolha um aplicativo. Somente aplicativos que possam ser executados acima da tela de bloqueio serão exibidos.
Feche Configurações – suas opções são salvas automaticamente e serão aplicadas na próxima vez que a conta de usuário for conectada.
Para remover o acesso atribuído, na etapa 3, escolha Don't use assigned access.
O Acesso Atribuído tem uma configuração, KioskModeApp. Na configuração KioskModeApp, insira o nome da conta de usuário e a AUMID para o aplicativo ser executado no modo de quiosque.
Veja a referência técnica para o provedor de serviços de configuração de Acesso Atribuído.
Use a ferramenta Windows ICD incluída no ADK (Kit de Avaliação e Implantação do Windows) para Windows 10 para criar um pacote de provisionamento que configura um dispositivo como um quiosque. Instale o ADK.
Criar um pacote de provisionamento para um dispositivo de quiosque
Abra o Windows ICD (por padrão, %windir%\Arquivo de Programas (x86)\Kits do Windows\10\Kit de Avaliação e Implantação\Designer de Configuração e Imagens\x86\ICD.exe).
Escolha Novo pacote de provisionamento.
Dê um nome ao projeto e clique em Avançar.
Escolha Comum a todas as edições de área de trabalho do Windows e clique em Avançar.
Em Novo projeto, clique em Concluir. O espaço de trabalho para seu pacote é aberto.
Expanda Configurações de tempo de execução > AssignedAccess e clique em AssignedAccessSettings.
Insira uma cadeia de caracteres para especificar a conta de usuário e o aplicativo (por AUMID). Por exemplo:
"Account":"contoso\\kiosk","AUMID":"8f82d991-f842-44c3-9a95-521b58fc2084"
No menu Arquivo, selecione Salvar.
No menu Exportar, selecione Pacote de provisionamento.
Altere Proprietário para Administrador de TI, que definirá a precedência desse pacote de provisionamento como mais alta do que os pacotes de provisionamento aplicados a este dispositivo de outras origens, e selecione Avançar.
Opcional. Na janela Segurança do pacote de provisionamento, você pode optar por criptografar o pacote e habilitar a assinatura do pacote.
Habilitar a criptografia de pacote - Se você selecionar essa opção, uma senha gerada automaticamente será mostrada na tela.
Habilitar a assinatura de pacote - Se você selecionar essa opção, deverá selecionar um certificado válido para assinar o pacote. Você pode especificar o certificado clicando em Selecionar e escolhendo o certificado que deseja usar para assinar o pacote.
Clique em Avançar para especificar o local de saída do pacote de provisionamento quando ele estiver compilado. Por padrão, o Windows ICD usa a pasta do projeto como o local de saída.
Como alternativa, clique em Procurar para alterar o local de saída padrão.
Clique em Avançar.
Clique em Compilar para começar a criar o pacote. O pacote de provisionamento não leva muito tempo para compilar. As informações do projeto são exibidas na página de compilação, e a barra de progresso indica o status da compilação.
Se precisar cancelar a compilação, clique em Cancelar. Isso cancela o atual processo de compilaçãol, fecha o assistente e leva você de volta à Página de Personalizações.
Se sua compilação falhar, será exibida uma mensagem de erro que inclui um link para a pasta do projeto. Você pode examinar os logs para determinar o que causou o erro. Depois de corrigir o problema, tente compilar o pacote novamente.
Se a compilação for bem-sucedida, o nome do pacote de provisionamento, o diretório de saída e o diretório do projeto serão mostrados.
Se você fizer essa opção, poderá compilar novamente o pacote de provisionamento e escolher um caminho diferente para o pacote de saída. Para fazer isso, clique em Voltar para alterar o nome e o caminho do pacote de saída e, em seguida, clique em Avançar para iniciar outra compilação.
Caso você tenha terminado, clique em Concluir para fechar o assistente e voltar para a Customizations Page.
Aplicar o pacote do provisionamento
Selecione o pacote de provisionamento que deseja aplicar, clique duas vezes no arquivo e autorize os privilégios de administrador.
Autorize a instalação do pacote.
Depois que você permitir que o pacote seja instalado, as configurações serão aplicadas ao dispositivo.
Saiba como aplicar um pacote de provisionamento em modo de auditoria ou OOBE.
Você pode usar qualquer um dos cmdlets do PowerShell a seguir para configurar o acesso atribuído em vários dispositivos. Para abrir o PowerShell no Windows 10, procure o PowerShell e encontre Windows PowerShell Desktop app nos resultados.
Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
Set-AssignedAccess -AppName <CustomApp> -UserName <username>
Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
Quando seu dispositivo de quiosque é reiniciado, depois de uma atualização ou queda de energia, você pode fazer logon na conta de acesso atribuído manualmente ou configurar o dispositivo para fazer logon na conta de acesso atribuído automaticamente.
Edite o Registro para fazer o logon automático da conta.
Abra o Editor do Registro (regedit.exe).
Observação
Se você não estiver familiarizado com o Editor do Registro, saiba como modificar o Registro do Windows.
Vá até
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Defina os valores para as chaves a seguir.
AutoAdminLogon: defina o valor como 1.
DefaultUserName: defina o valor como a conta em que você deseja fazer logon.
DefaultPassword: defina o valor como a senha da conta.
Observação
Se DefaultUserName e DefaultPassword não existirem, adicione-os como Novo > Valor da Cadeia de Caracteres.
DefaultDomainName: defina o valor de domínio, somente para contas de domínio. Para contas locais, não adicione essa chave.
Feche o Editor do Registro. Na próxima vez que o computador for reiniciado, a conta será conectada automaticamente.
Para sair de uma conta de acesso atribuído, pressione Ctrl + Alt + Del e faça logon usando outra conta. Quando você pressionar Ctrl + Alt + Del para sair do acesso atribuído, o aplicativo de quiosque sairá automaticamente. Se você fizer logon novamente como a conta de acesso atribuído ou aguardar o tempo limite da tela de logon, o aplicativo de quiosque será reiniciado.
Se você pressionar Ctrl + Alt + Del e não entrar em outra conta, após um tempo determinado, o acesso atribuído será retomado. O tempo padrão é 30 segundos, mas você pode alterá-lo na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
Para alterar o tempo padrão para o acesso atribuído ser retomado, adicione IdleTimeOut (DWORD) e insira os dados de valor como milissegundos em hexadecimal.
Usando o Iniciador de Shell, você pode configurar um dispositivo de quiosque que executa um aplicativo Clássico do Windows como a interface do usuário. O aplicativo que você especificar substitui o shell padrão (explorer.exe) que geralmente é executado quando um usuário faz logon.
Uma conta de usuário local ou de domínio.
Um aplicativo Clássico do Windows instalado para essa conta. O aplicativo pode ser seu próprio aplicativo da empresa ou um aplicativo comum como o Internet Explorer.
Consulte a referência técnica do componente de iniciador de shell.
Para definir um aplicativo Clássico do Windows como o shell, ative o recurso Iniciador de Shell e defina seu shell personalizado como o padrão usando o PowerShell.
Para ativar o Iniciador de Shell nos recursos do Windows
- Vá para o Painel de Controle > Programas e Recursos > Ativar ou desativar recursos do Windows.
- Selecione Iniciador de Shell Inserido e OK.
Como alternativa, você pode ativar o Iniciador de Shell usando a ferramenta Gerenciamento e Manutenção de Imagens de Implantação (DISM.exe).
Para ativar o Iniciador de Shell usando o DISM
Abra um prompt de comando como administrador.
Insira o comando a seguir.
Dism /online /Enable-Feature /FeatureName:Client-EmbeddedShellLauncher
Para definir o shell personalizado
Modifique o script do PowerShell a seguir conforme apropriado e execute o script no dispositivo de quiosque.
$COMPUTER = "localhost" $NAMESPACE = "root\standardcimv2\embedded" # Create a handle to the class instance so we can call the static methods. $ShellLauncherClass = [wmiclass]"\\$COMPUTER\${NAMESPACE}:WESL_UserSetting" # This well-known security identifier (SID) corresponds to the BUILTIN\Administrators group. $Admins_SID = "S-1-5-32-544" # Create a function to retrieve the SID for a user account on a machine. function Get-UsernameSID($AccountName) { $NTUserObject = New-Object System.Security.Principal.NTAccount($AccountName) $NTUserSID = $NTUserObject.Translate([System.Security.Principal.SecurityIdentifier]) return $NTUserSID.Value } # Get the SID for a user account named \"Cashier\". Rename \"Cashier\" to an existing account on your system to test this script. $Cashier_SID = Get-UsernameSID("Cashier") # Define actions to take when the shell program exits. $restart_shell = 0 $restart_device = 1 $shutdown_device = 2 # Examples # Set the command prompt as the default shell, and restart the device if it's closed. $ShellLauncherClass.SetDefaultShell("cmd.exe", $restart_device) # Display the default shell to verify that it was added correctly. $DefaultShellObject = $ShellLauncherClass.GetDefaultShell() "`nDefault Shell is set to " + $DefaultShellObject.Shell + " and the default action is set to " + $DefaultShellObject.defaultaction # Set Internet Explorer as the shell for \"Cashier\", and restart the machine if it's closed. $ShellLauncherClass.SetCustomShell($Cashier_SID, "c:\program files\internet explorer\iexplore.exe www.microsoft.com", ($null), ($null), $restart_shell) # Set Explorer as the shell for administrators. $ShellLauncherClass.SetCustomShell($Admins_SID, "explorer.exe") # View all the custom shells defined. "`nCurrent settings for custom shells:" Get-WmiObject -namespace $NAMESPACE -computer $COMPUTER -class WESL_UserSetting | Select Sid, Shell, DefaultAction # Enable Shell Launcher $ShellLauncherClass.SetEnabled($TRUE) "`nEnabled is set to " + $DefaultShellObject.IsEnabled() # Remove the new custom shells. $ShellLauncherClass.RemoveCustomShell($Admins_SID) $ShellLauncherClass.RemoveCustomShell($Cashier_SID)
Configurar um dispositivo para uso por qualquer pessoa