Microsoft Edge (Chromium) für Unternehmen im Test: GPO-Support, IE Mode, Offline-Installer

Microsoft meldet weitere Fort­schritte des Chromium-basierten Edge, die den Browser tauglich für Unter­nehmen machen sollen. Dazu gehören die Konfi­guration über Gruppen­richtlinien oder die Kompa­tibilität mit alten Web-Anwendungen. Die Multi-Plattform-Strategie bringt aber auch Nach­teile für Windows-Admins.

Nach der Ankündigung, die eigene Rendering-Engine aufzu­geben und Chromium künftig als Basis für Edge zu nehmen, war grundsätzlich klar, welche Aufgaben für Microsoft zu erledigen sind. Dazu zählt neben der Anpassung der Benutzer­oberfläche vor allem die Integration mit Windows und den eigenen Cloud-Services.

Anbindung an Cloud-Services erst am Anfang

Bei Letzteren geht es einerseits darum, die Google-Dienste durch ihre Microsoft-Äquivalente zu ersetzen. Das betrifft etwa die Ein­richtung von Bing als Standard­such­maschine, die Synchro­nisierung der Benutzer­profile über Azure statt über die Google Cloud oder der Einsatz von SmartScreen anstelle von Google Safe Browsing.

In einem weiteren Schritt möchte Microsoft solche Services integrieren, die besonders Unternehmen ansprechen. Beispiele dafür sind die Anmeldung an Azure Active Directory mit Unterstützung für Conditional Access oder die Einbindung des DRM-Dienstes Information Protection, um User beispiels­weise daran zu hindern, bestimmte Seiten auszu­drucken oder zu kopieren.

Geplant ist zudem ein Enterprise-Tab, der beim Öffnen automatisch Inhalte aus einem Intranet, häufig benötigte Web-Anwendungen oder Dokumente aus Office 365 anzeigt.

Die Integration der meisten dieser Dienste ist erst im Gange und wird nach und nach in den nächsten Releases verfügbar sein. Ähnliches gilt für Nutzung des Security-Features Application Guard unter Windows 10, das den Browser in einer abgeschotteten VM ausführt, um ein Infizieren des Systems mit Malware zu verhindern.

Dagegen erklärte Microsoft die aktuelle Preview aufgrund ihrer Management-Features bereits als Ready for Business. Im Vordergrund stehen dabei die nun verfügbaren admini­strativen Vorlagen, so dass Unter­nehmen den Browser über GPOs verwalten können. Die dort enthaltenen Einstellungen sollen künftig auch als CSPs für das Mobile Device Management angeboten werden.

ADMX aus dem Chromium-Bestand

Man mag sich vielleicht darüber wundern, dass Microsoft für den Chromium-basierten Browser auf Anhieb mehr als 180 GPO-Einstellungen bereitstellen konnte, während es für den Vorgänger nach mehreren Updates nur für knapp 50 reichte.

Allerdings zeigt ein Vergleich mit den Gruppen­richtlinien für Chrome, dass Microsoft den GPO-Support für Edge nicht selbst entwickelt hat. Die ADMX-Vorlage stammt im Wesentlichen von Chromium und Microsoft hat nur einige Einstellungen hinzugefügt bzw. geändert.

Microsoft wollte oder durfte allerdings jene Einstellungen nicht ganz entfernen, die auf Google-Dienste zugeschnitten sind. So finden sich im Template solche zu Google SafeSearch, Youtube und Cast.

Übernommen wurde auch die für Gruppen­richtlinien untypische Logik, mit einem Teil der Einstellungen nur Vorgabewerte zu setzen, die vom Benutzer geändert werden können. Die Konfiguration durch GPOs ist normaler­weise verbindlich, für modifizierbare Standardwerte sind die Group Policy Preferences zuständig.

Bei diesem Design von Google handelt es offenbar um einen Tribut an einen Multi-Plattform-Browser, der mit ähnlichen Einstellungen unter allen Betriebs­systemen verwaltet werden soll.

Um angesichts der vielen Einstellungen nicht den Überblick zu verlieren, welche von ihnen über Gruppen­richtlinien konfiguriert wurden, bietet Edge eine detaillierte Aufstellung, die sich über die URL

edge://policy

abrufen lässt.

Auch dabei handelt es sich um keine Erfindung von Microsoft, vielmehr besitzen alle Chromium-basierten Browser dieses Feature (bei Chrome gibt man dafür chrome://policy ein). Außerdem enthält das ZIP-Achiv mit den ADMX-Vorlagen wie bei Chrome eine Dokumentation im HTML-Format, die Datei heißt microsoftedge_policy_list.html.

Deployment über Offline-Installer

Als ein weiteres Business-Feature bewirbt Microsoft die Verfügbarkeit eines Offline-Installers. Private Anwender erhalten standardmäßig ein Setup-Programm, das die benötigten Binaries aus dem Internet nachlädt. Das MSI-Paket enthält hingegen alle für den Browser benötigten Dateien. Es erlaubt auch eine unbeaufsichtigte Installation über Gruppen­richtlinien, SCCM oder ähnliche Tools.

Wie man daraus unschwer entnehmen kann, handelt es sich beim neuen Edge um eine Win32-Anwendung und um keine UWP-App mehr. Die Imple­mentierung als App erwies sich als kapitale Fehl­entscheidung, die verantwortlich dafür war, dass es Edge auf älteren Versionen von Windows sowie auf Windows 10 LTSC nicht gab. Entsprechend gering blieb bisher der Marktanteil von Edge.

Man kann davon ausgehen, dass der Chromium-basierte Browser zukünftig zum Lieferumfang des Betriebs­systems gehören wird. Wer noch mit älteren Versionen des OS arbeitet, kann Edge selbst nach­installieren, Previews für Windows 7 und 8.x gibt es bereits. Darüber hinaus bietet Microsoft den Browser auch für macOS an, unter Android läuft Edge ohnehin schon auf Chromium.

Installation in das Benutzerprofil

Von Chromium übernimmt Edge auch die von Admins wenig geschätzte Eigenart, den Browser in das Profil des Benutzers zu installieren, wenn diesem die administrativen Rechte fehlen. Damit können User den Standard-Browser des Unter­nehmens umgehen.

Installiert man Edge jedoch als Administrator unterhalb des Verzeichnisses %ProgramFiles%, dann löscht das Setup die privaten Installationen auf diesem Rechner.

Update: Die erste offizielle Version 79 für den produktiven Einsatz lässt sich nicht mehr ohne administrative Rechte installieren.

Updates über WSUS

Aufgrund der Ausrichtung von Edge auf mehrere Plattformen verwendet Microsoft einen einheitlichen Mechanismus für Updates, wie er auch schon von Chrome oder Firefox her bekannt ist.

Wenn Admins nicht einen weiteren Auto-Updater im Netz haben wollen, der sich die Bits für jeden einzelnen Rechner separat abholt, dann können sie diesen über ein GPO abschalten. Für das Management der Updates stellt Microsoft eine eigene ADMX-Vorlage zur Verfügung.

Allerdings obliegt es dann den Unter­nehmen, den Browser aktuell zu halten, indem sie jeweils neueste MSI verteilen. Wichtig ist das vor allem, wenn Sicherheits­lücken geschlossen werden müssen. Im Vergleich zum Internet Explorer bedeutet das aber einen Rückschritt, weil dieser automatisch über Windows Update bzw. WSUS aktualisiert wird.

Update: Beginnend mit der Stable Version 79 von Edge liefert Microsoft sowohl Feature- als auch Sicherheits-Updates für den Chromium-Browser über WSUS aus (siehe dazu: Microsoft Edge (über WSUS) installieren und mit GPOs verwalten).

Umschalten zwischen Sprachen

Die Entkopplung von Windows zeigt sich auch bei einem anderen Feature. Der Chromium-basierte Edge erlaubt es, die Bediener­führung zwischen diversen Sprachen umzuschalten. Normalerweise sollte eine Windows-Anwendung automatisch die regionalen Einstellungen des Betriebs­systems über­nehmen.

Bei einem Browser kann dieses Umschalten zwischen Anzeigesprachen zu unerwünschten Nebenwirkungen führen, weil sich damit auch der Wert für ACCEPT_LANGUAGE im HTTP-Header ändert. Viele Websites präsentieren dann ihre Inhalte automatisch in der dort angegebenen Landessprache.

IE Enterprise Mode

Als weiteres Feature für Unternehmen in der aktuellen Preview nennt Microsoft den Internet Explorer Mode, bisher bekannt als IE Enterprise Mode. Sein Zweck besteht darin, Web-Seiten auf den IE umzuleiten, wenn sie sich in einem modernen Browser nicht ordentlich darstellen lassen.

Zu diesem Zweck erstellt man eine Site-Liste im XML-Format und lädt diese über ein GPO. Die dort gespeicherten URLs werden künftig automatisch vom Internet Explorer geöffnet. Der Vorgang ist für den Benutzer transparent, die Seite öffnet einfach in einem eigenen Tab (siehe dazu: Funktionsweise und Konfiguration des IE 11 Enterprise Mode).

Fazit

Mit der aktuellen Preview wird schon recht deutlich sichtbar, wohin Microsoft mit Edge steuert. Chromium liefert dabei wesentlich mehr an Infrastruktur als nur die Rendering- und Javascript-Engine. Dazu zählen auch die ADMX-Vorlagen, die zahlreichen Erweiterungen für Google Chrome oder der Update-Mechanismus.

Aus diesem Grund wird es Microsoft nicht leicht fallen, sich mit Edge von anderen Chromium-basierten Browsern abzusetzen. Aber dafür werden alle den Umstieg auf Edge leicht meistern, die mit den GPO-Einstellungen von Google vertraut sind.

Das Auswechseln von Googles Cloud-Diensten gegen jene von Microsoft mag für jene ein Argument sein, die Googles aggressive Praxis der Daten­sammlung nicht mögen. Andere Services wie Information Protection dürften für einige professionelle Anwender interessant sein, werden aber über den Erfolg von Edge kaum entscheiden.

Für Windows-Admins ist die Umstellung auf einen Multi-Plattform-Browser kein Fortschritt. So müssen sie sich künftig selbst darum kümmern, dass die Benutzer eine aktuelle und gepatchte Version von Edge bekommen. Der Auto-Updater ist für Unternehmen keine verlässliche und gute Lösung.