Microsoft Edge (über WSUS) installieren und mit GPOs verwalten


    Tags: , ,

    Logo von Microsoft Edge ChromiumMicrosoft gab auf Basis von Chromium 79 die erste stabile Ver­sion seines neuen Browsers frei. Während private An­wender ihn über Windows Update er­halten, haben Unter­nehmen ver­schiedene Deployment-Optionen. Dem zen­tralen Management von Edge dienen zahl­reiche Einstellungen für die Gruppen­richtlinien.

    Nach dem Absturz des einst markt­beherrschenden Internet Explorer und dem Fehlschlag von Edge als UWP App unternimmt Microsoft nun den nächsten Anlauf im Browser-Markt. Im Vergleich zu den Vorgängern basiert der "New Edge" gleich bei mehreren Punkten auf einem anderen Konzept.

    So stammt die Rendering- und Javascript-Engine nicht mehr aus eigener Entwicklung, sondern aus Googles Open-Source-Projekt Chromium. Außerdem handelt es sich bei Edge jetzt nicht mehr um einen Browser ausschließlich für Windows, sondern er läuft auch auf macOS. Zudem existiert schon länger eine Version für iOS und Android, die ebenfalls auf Chromium basiert.

    Der Chromium-basierte Edge-Browser läuft auf mehreren Betriebssystemen.

    Dies ist eine gründliche Abkehr von der Position, auf der Microsoft beim Internet Explorer über Jahre beharrte. Ihr zufolge war der Browser (aus kartellrechtlichen Gründen) ein untrennbarer Bestandteil des Betriebs­systems. Der Preis dafür waren lange Update-Zyklen und schließlich der Verlust der Markt­führerschaft.

    Künftig im Lieferumfang von Windows

    Der neue Edge bleibt durch die Entkopplung von Windows aber keineswegs eine reine Download-Option wie Firefox oder zahlreiche andere Chromium-Browser (Opera, Vivaldi, etc.). Vielmehr möchte ihn Microsoft zum Standard-Browser seines Betriebs­systems machen.

    So wird Edge künftig auf den Installations­medien für Windows 10 enthalten und somit auf neuen PCs vorinstalliert sein. Außerdem beginnt Microsoft ab sofort damit, den Browser in Wellen über Windows Update an private Anwender auszuliefern.

    Anders als früher will der Hersteller seine dominierende Position bei Desktop-Betriebs­systemen aber nicht übermäßig strapazieren. So respektiert er vorhandene Einstellungen und verzichtet etwa darauf, Edge beim Update als Standard-Browser festzulegen oder Bing als präferierte Such­maschine einzutragen, wenn der Benutzer bisher eine andere konfiguriert hat.

    Deployment in Unternehmen

    Die automatische Installation des neuen Edge über Windows Update betrifft nur die Editionen Home und Pro, wogegen Enterprise, Workstation Pro und Education davon ausgenommen sind. Kleinere Unter­nehmen, die ihre Updates direkt über Microsoft beziehen und die Pro Edition einsetzen, können aber vorerst den Download von Edge mit Hilfe des Blocker Toolkits unterbinden.

    Dieses besteht aus einer ADMX-Vorlage für die Gruppen­richtlinien sowie einer Batch-Datei, um den erforderlichen Schlüssel in der Registry direkt zu setzen.

    Für zentral verwaltete Umgebungen bietet Microsoft zwei alternative Optionen für das Deployment an. Zum einen können Admins einen Standalone-Installer in Form eines MSI herunterladen und über die im Unter­nehmen eingesetzten Mecha­nismen wie SCCM oder Gruppen­richt­linien verteilen.

    Dagegen würde der normale Installer die benötigten Dateien für jeden einzelnen PC über das Internet anfordern. Wenn Mitarbeiter mit seiner Hilfe eigenmächtig Edge installieren möchten, dann benötigen sie admini­strative Privilegien. User-Level-Installationen wie bei Chrome oder Previews von Edge funktionieren bei der Stable Version nicht mehr.

    Der neue Edge lässt sich nicht mehr von Standardbenutzern in das User-Profil installieren.

    Der wahrscheinlich meistgenutzte Kanal zum Bezug von Edge-Updates für Unternehmen wird WSUS sein. Microsoft liefert über diesen Weg nicht nur Security-Fixes aus, sondern auch neue Releases. Geplant sind solche Feature-Updates in ähnlichen Intervallen wie bei Google oder Firefox, nämlich alle 6 Wochen.

    Microsoft Edge muss als eigenes Produkt in WSUS aktiviert werden.

    Um Updates für Microsoft Edge über WSUS zu erhalten, müssen Admins diesen als eigenes Produkt unter der Kategorie Windows abonnieren. Anschließend ruft der WSUS-Server alle Channels der Edge-Entwicklung ab und bezieht also auch Dev und Beta. Eine Einschränkung auf Stable ist aktuell nicht vorgesehen.

    Microsoft liefert auch Beta- und Entwicklerversionen von Edge über WSUS aus.

    Verwaltung über Gruppenrichtlinien

    Microsoft kann auch hier auf die Vorarbeit des Chromium-Projekts zurückgreifen. Die ADMX-Vorlagen, die man ebenfalls von der Website Edge for Business herunterladen kann, enthalten überwiegend die gleichen Einstellungen wie Google Chrome.

    Download der administrativen Vorlagen für Microsoft Edge

    Viele davon sind bedeutsam für die Browser-Sicherheit, etwa solche, mit denen Admins die Installation von Extensions regeln können. Edge unterstützt nämlich nicht nur jene aus Microsofts eigenem Store, sondern auch die Erweiterungen für Google Chrome. Und diese sind nicht unbedingt vertrauens­würdig.

    Microsoft liefert Erweiterungen für Edge über einen eigenen Store aus, obwohl auch alle Chrome-Extensions funktionieren.

    Um Administratoren bei einer sicheren Konfiguration von Edge zu unterstützen, stellt Microsoft wie schon für Windows und Office eine Security Baseline zur Verfügung. Sie enthält neben einer allge­meinen Übersicht auch alle empfohlenen Einstellungen für die Gruppen­richtlinien. Die Baseline ist Teil des Security Compliance Toolkit, erhältlich bei Microsoft Download.

    Empfohlene Einstellungen aus der Security Baseline für Microsoft Edge

    Zu den Edge-spezifischen Ergänzungen bei den Gruppenrichtlinien gehören zum einen solche, die Microsoft-eigene Dienste wie Smartscreen oder Bing betreffen. Zum anderen erlauben sie Admins, die Integration mit den älteren Microsoft-Browsern zu steuern.

    Kompatibilität mit IE und Edge I

    Wesentlich ist hier der Internet Explorer Mode, den es bereits für IE11 als Enterprise Mode gab, um bestimmte Anwendungen mit einer älteren Browser-Engine zu öffnen. Die Funktions­weise bleibt mit Edge unverändert.

    Zuerst aktiviert man diesen Kompatibilitäts­modus über die Einstellung Internet Explorer-Integration konfigurieren und lädt dann eine Liste mit URLs hoch, bei denen Edge den IE starten soll. Diese Site List muss in einem XML-Format erstellt werden, dabei hilft das Tool Enterprise Mode Site List Manager.

    Aktivieren des Internet Explorer Mode über die Gruppenrichtlinien

    Die Liste mit den URLs zu alten oder nicht kompatiblen Web-Anwendungen legt man auf einem Web-Server ab und trägt die betreffende URL anschließend in die Einstellung Enterprise Mode Site List konfigurieren ein.

    Site List mit URLs hinterlegen, die Edge im IE öffnet

    Das Verhältnis zum ursprünglichen Edge-Browser lässt sich nur über eine Einstellung steuern. Es geht dabei um die Möglichkeit, den Vorgänger überhaupt noch aufrufen zu können. Standard­mäßig ist dieser nach der Installation des neuen Edge nicht mehr erreichbar und alle entsprechenden Aufrufe werden auf die neue Version umgeleitet.

    Die Einstellung Funktion "Nebeneinander" für Microsoft Edge-Browser zulassen unter Computer => Richtlinien => Administrative Vorlagen => Microsoft Edge-Update => Anwendungen sorgt dafür, dass der alte Edge weiter verfügbar ist - allerdings nur unter der Voraussetzung, dass man sie vor dem Update auf den neuen Browser aktiviert.

    Möchte man den alten Edge beibehalten, dann muss man dies vor dem Update auf Edge Chromium über ein GPO sicherstellen.

    Viele Gründe dürfte es dafür aber nicht geben, nachdem zuletzt mit der epub-Unterstützung eines der wenigen exklusiven Merkmale von Edge entfernt wurde.

    Fazit

    Microsoft möchte sein zuletzt glückloses Agieren im Browser-Markt durch eine zügige Integration des Chromium-basierten Edge in sein Betriebssystem beenden. Private Anwender erhalten die Software über Windows-Update, während Unternehmen mehrere Deployment-Optionen haben.

    Für professionelle Anwender dürfte am neuen Edge nicht nur interessant sein, dass er sich über WSUS aktualisieren und mit GPOs verwalten lässt. Ein Argument zu seinen Gunsten besteht auch darin, dass er die führende HTML-Engine von Chromium enthält, aber keine Google-Dienste integriert. Dem übermäßigen Tracking beugt zudem eine relativ strenge Standard­einstellung vor.

    Außerdem lässt sich Edge Chromium sogar unter Server Core installieren, wo der Browser als lokale Konsole für das Windows Admin Center dienen kann.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    11 Kommentare

    Wie stellt man mit den Gruppenrichtlinien den Begrüßungsteil "Erste Schritte" ab?

    War in der dev bzw. beta noch möglich,
    soll aber ab Version 80 Stable (~Februar) wieder per GPO "abstellbar" sein.

    Dass man für den IE-Mode einen extra Webserver braucht, wo die URLs hinterlegt werden, finde ich sehr doof. Warum kann man die Adressen nicht einfach direkt in die GPO einfügen?

    Bild von Wolfgang Sommergut

    Diesem Beitrag auf Microsofts TechCommunity zufolge soll es auch möglich sein, die Liste auf einem File Share abzulegen und die URL in dieser Form anzugeben:

    file://server/share/url-list.xml

    Ich habe allerdings nicht ausprobiert, ob es funktioniert.

    Kann man unterbinden, dass per Default ein Edge-Icon am Desktop angelegt und an der Taskleiste angepinnt wird?

    Ist es wirklich ausreichend bei Windows 10 Pro per WSUS zu verteilen? In meinen Labs werden die Edge-"Updates" als "Not Applicable" angezeigt. Erst nach einem Deployment der Enterprise-MSI wird Edge über WSUS updated.

    Es reicht nicht aus, die Edge-Updates im WSUS zu genehmigen. Die erste Version muss per GPO oder dem Deployment-Tool Eurer Wahl auf die Clients gebracht werden. Erst danach erledigt der WSUS die Updates für Euch.

    Ich habe seit kurzem das Problem, dass das WSUS-Update bei der Installation das MSI-File von Edge verlangt. Leider bringt er immer die Fehlermeldung, dass das MSI-File nicht valid ist.
    Kennt jemand das Problem auch noch?

    Sehe ich das richtig, dass der WSUS auf Windows Server 2012 keine Edge Updates liefern kann? Auf meinem Server ist der in der Liste der 'Produkte und Klassifizierungen' nicht aufgeführt :(

    Doch, ich habe noch ein paar 2008R2 WSUS am Laufen, auch da kann man sie aktivieren. Steht in der Kategorie 'Windows', direkt unter 'Microsoft Defender Antivirus' und heißt 'Microsoft Edge'.
    Seit meinem Post vom 01.07.2020 hat sich auch was getan, es kann auch die Grundinstallation mit WSUS verteilt werden. Nennt sich
    "The new Microsoft Edge for Windows 10 Version xxxx...

    Vielen Dank für die Antwort.
    Ich glaube ich hatte Tomaten auf den Augen, jetzt habe ich ihn gefunden!