Definições de política de Acesso Atribuído
Quando a configuração de Acesso Atribuído é aplicada num dispositivo, são impostas determinadas definições de política e regras do AppLocker, o que afeta o acesso dos utilizadores ao dispositivo. As definições de política utilizam uma combinação de definições do fornecedor de serviços de configuração (CSP) e da política de grupo (GPO).
Este artigo de referência lista as definições de política e as regras do AppLocker aplicadas pelo Acesso Atribuído.
Observação
Não é recomendado configurar as definições de política impostas pelo Acesso Atribuído a diferentes valores através de outros canais. O Acesso Atribuído está otimizado para proporcionar uma experiência de bloqueio.
Definições de política do dispositivo
As seguintes definições de política são aplicadas ao nível do dispositivo quando implementa uma experiência de utilizador restrita. Qualquer utilizador que aceda ao dispositivo está sujeito às definições de política, incluindo as contas de administrador:
| Tipo | Caminho | Nome/Descrição |
|---|---|---|
| CSP | ./Vendor/MSFT/Policy/Config/Experience/AllowCortana |
Desativar a Cortana |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDocuments |
Ícone Desativar Iniciar documentos |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDownloads |
Ícone Desativar Iniciar transferências |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderFileExplorer |
Ícone Desativar Iniciar explorador de ficheiros |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderHomeGroup |
Ícone Desativar Iniciar grupo doméstico |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderMusic |
Ícone Desativar Iniciar música |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderNetwork |
Ícone Desativar Iniciar rede |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPersonalFolder |
Ícone Desativar Iniciar pasta pessoal |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPictures |
Ícone Desativar Iniciar imagens |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderSettings |
Ícone Desativar Definições de início |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderVideos |
Ícone Desativar Iniciar vídeos |
| CSP | ./Vendor/MSFT/Policy/Config/Start/HideChangeAccountSettings |
Ocultar a opção Alterar definições da conta de aparecer no mosaico do utilizador |
| CSP | ./Vendor/MSFT/Policy/Config/Update/SetAutoRestartNotificationDisable |
Oculta todas as notificações de atualização |
| CSP | ./Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel |
Desativa notificações de reinício automático para atualizações |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsInkWorkspace/AllowWindowsInkWorkspace |
O acesso à área de trabalho a tinta digital está desativado |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI |
Ocultar iU de redes no ecrã de início de sessão, bem como na IU das "opções de segurança" |
Definições de política de utilizador
As seguintes definições de política são aplicadas a qualquer conta não administrativa quando implementa uma experiência de utilizador restrita:
| Tipo | Caminho | Nome/Descrição |
|---|---|---|
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/DisableContextMenus |
Desativar Menu de Contexto para aplicações de menu Iniciar |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HidePeopleBar |
Ocultar barra de Pessoas de aparecer na barra de tarefas |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentlyAddedApps |
Ocultar aplicações adicionadas recentemente de aparecer no menu Iniciar |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentJumplists |
Ocultar listas de atalhos recentes de aparecer no menu Iniciar/barra de tarefas |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Limpar o histórico de documentos abertos recentemente ao sair |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Desabilitar a exibição de notificações do sistema |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Não permitir a fixação de itens nas Listas de Atalhos |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Não permitir a fixação de programas na Barra de Tarefas |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Não exibir nem controlar itens nas Listas de Atalhos a partir de locais remotos |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Ocultar e desativar todos os itens no ambiente de trabalho |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Ocultar o botão Vista de Tarefas |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Bloquear todas as configurações da barra de tarefas |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Bloquear a Barra de Tarefas |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Impedir que os usuários adicionem ou removam barras de ferramentas |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Impedir que os usuários personalizem a tela inicial |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Impedir que os utilizadores moam a barra de tarefas para outra localização de ancoragem de ecrã |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Impedir os utilizadores de reorganizar barras de ferramentas |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Impedir que os usuários redimensionem a barra de tarefas |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Impedir que os usuários desinstalem aplicativos da tela inicial |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover o acesso aos menus de contexto para a barra de tarefas |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover a lista Todos os Programas do menu Iniciar |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover Centro de Controlo |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover a lista de programas frequentes do menu Iniciar |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover Notificação e Centro de Ação |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover Definições Rápidas |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover o comando Executar do menu Iniciar |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover o ícone de Segurança e Manutenção |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Desativar todas as notificações de balão |
| GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Desativar as notificações de balão de anúncio do recurso |
| GPO | Configuração do Utilizador\Modelos Administrativos\Menu Iniciar e Barra de Tarefas\Notificações | Desativar as notificações do sistema |
| GPO | Configuração do usuário\Modelos Administrativos\Sistema\Opções Ctrl+Alt+Del | Remover Alterar Palavra-passe |
| GPO | Configuração do usuário\Modelos Administrativos\Sistema\Opções Ctrl+Alt+Del | Remover Fim de Sessão |
| GPO | Configuração do usuário\Modelos Administrativos\Sistema\Opções Ctrl+Alt+Del | Remover o Gerenciador de Tarefas |
| GPO | Configuração do Utilizador\Modelos Administrativos\Componentes do Windows\Explorador de Arquivos | Remover Unidade de rede de mapa e Desligar Unidade de Rede |
| GPO | Configuração do Utilizador\Modelos Administrativos\Componentes do Windows\Explorador de Arquivos | Remover o menu de contexto predefinido do Explorador de Arquivos |
As seguintes definições de política são aplicadas à conta de quiosque quando configura uma experiência de quiosque com o Microsoft Edge:
| Tipo | Caminho | Nome/Descrição |
|---|---|---|
| GPO | Configuração do Utilizador\Modelos Administrativos\Menu Iniciar e Barra de Tarefas\Notificações | Executar apenas aplicações do Windows especificadas >msedge.exe |
| GPO | Configuração do Utilizador\Modelos Administrativos\Sistema | Desativar as notificações do sistema |
| GPO | Configuração do Utilizador\Modelos Administrativos\Componentes do Windows\Gestor de Anexos | Nível de risco predefinido para anexos de ficheiros > De alto risco |
| GPO | Configuração do Utilizador\Modelos Administrativos\Componentes do Windows\Gestor de Anexos | Lista de inclusão para tipos de ficheiros baixos >.pdf;.epub |
| GPO | Configuração do Utilizador\Modelos Administrativos\Componentes do Windows\Explorador de Arquivos | Remover o menu de contexto predefinido do Explorador de Arquivos |
Regras do AppLocker
Quando implementa uma experiência de utilizador restrita de Acesso Atribuído, são geradas regras do AppLocker para permitir as aplicações listadas na configuração. Eis as regras predefinidas do AppLocker de Acesso Atribuído:
regras da aplicação Plataforma Universal do Windows (UWP)
- A regra predefinida é permitir que todos os utilizadores iniciem as aplicações em pacote assinadas
- A lista de negação de aplicações em pacote é gerada no runtime quando o utilizador do Acesso Atribuído inicia sessão:
- Com base nas aplicações instaladas disponíveis para a conta de utilizador, o Acesso Atribuído gera a lista de negações. A lista exclui as aplicações em pacote de caixa de entrada permitidas predefinidas, que são essenciais para o sistema funcionar e, em seguida, exclui os pacotes permitidos definidos na configuração acesso atribuído
- Se existirem várias aplicações no mesmo pacote, todas as aplicações serão excluídas
A lista de negações é utilizada para impedir que o utilizador aceda às aplicações, que estão atualmente disponíveis para o utilizador, mas não na lista de permissões
Observação
Não pode gerir as regras do AppLocker geradas pela experiência de utilizador restrita nos snap-ins da MMC. Evite criar regras do AppLocker que entrem em conflito com as regras do AppLocker geradas pelo Acesso Atribuído.
O acesso atribuído não impede que a organização ou os utilizadores instalem aplicações UWP. Quando uma nova aplicação UWP é instalada durante uma sessão de Acesso Atribuído, a aplicação não está na lista de negação. Quando o utilizador termina sessão e inicia sessão novamente, a aplicação instalada é incluída na lista de negação. Para aplicações implementadas centralmente que pretende permitir, como aplicações de linha de biness, atualize a configuração do Acesso Atribuído e inclua as aplicações na lista de permissões de aplicações.
Regras da aplicação de ambiente de trabalho
- A regra predefinida é permitir que todos os utilizadores iniciem os programas de ambiente de trabalho assinados com o Certificado microsoft para o sistema arrancar e funcionar. A regra também permite que o grupo de usuários administradores iniciem todos os programas da área de trabalho.
- Existe uma lista de negação de aplicações de ambiente de trabalho da caixa de entrada predefinida para a conta de utilizador acesso atribuído, que é atualizada com base na lista de permissões da aplicação de ambiente de trabalho que definiu na configuração acesso atribuído
- As aplicações de ambiente de trabalho permitidas definidas pela empresa são adicionadas na lista de permissões do AppLocker
Atalhos de teclado
Os seguintes atalhos de teclado estão bloqueados para as contas de utilizador com Acesso Atribuído:
| Atalho de teclado | Ação |
|---|---|
| Ctrl + Shift + Esc | Abrir o Gestor de Tarefas |
| WIN + , (vírgula) | Espiar temporariamente a área de trabalho |
| WIN + Um | Abrir a Central de Ações |
| WIN + Alt + D | Exibir e ocultar a data e a hora na área de trabalho |
| WIN + Ctrl + F | Localizar objetos de computador no Active Directory |
| WIN + D | Exibir e ocultar a área de trabalho |
| WIN + E | Abrir o Explorador de Arquivos |
| WIN + F | Abrir o Hub de Feedback |
| WIN + G | Abrir a barra Jogo quando um jogo é aberto |
| WIN + Eu | Abrir Configurações |
| WIN + J | Definir o foco para uma sugestão do Windows quando estiver disponível |
| WIN + O | Bloquear orientação do dispositivo |
| WIN + Q | Abrir pesquisa |
| WIN + R | Abrir a caixa de diálogo Executar |
| WIN + S | Abrir pesquisa |
| WIN + Shift + C | Abrir a Cortana no modo de escuta |
| WIN + X | Abrir o menu Link Rápido |
| LaunchApp1 | Abrir a aplicação atribuída a esta chave |
| LaunchApp2 | Abra a aplicação atribuída a esta chave. Em muitos teclados Microsoft, a aplicação é Calculadora |
| LaunchMail | Abrir o cliente de correio predefinido |
Para obter informações sobre como personalizar atalhos de teclado, veja Recomendações de Acesso Atribuído.