Tags: Web-Browser, Software-Distribution, Gruppenrichtlinien
Microsoft gab auf Basis von Chromium 79 die erste stabile Version seines neuen Browsers frei. Während private Anwender ihn über Windows Update erhalten, haben Unternehmen verschiedene Deployment-Optionen. Dem zentralen Management von Edge dienen zahlreiche Einstellungen für die Gruppenrichtlinien.
Nach dem Absturz des einst marktbeherrschenden Internet Explorer und dem Fehlschlag von Edge als UWP App unternimmt Microsoft nun den nächsten Anlauf im Browser-Markt. Im Vergleich zu den Vorgängern basiert der "New Edge" gleich bei mehreren Punkten auf einem anderen Konzept.
So stammt die Rendering- und Javascript-Engine nicht mehr aus eigener Entwicklung, sondern aus Googles Open-Source-Projekt Chromium. Außerdem handelt es sich bei Edge jetzt nicht mehr um einen Browser ausschließlich für Windows, sondern er läuft auch auf macOS. Zudem existiert schon länger eine Version für iOS und Android, die ebenfalls auf Chromium basiert.
Dies ist eine gründliche Abkehr von der Position, auf der Microsoft beim Internet Explorer über Jahre beharrte. Ihr zufolge war der Browser (aus kartellrechtlichen Gründen) ein untrennbarer Bestandteil des Betriebssystems. Der Preis dafür waren lange Update-Zyklen und schließlich der Verlust der Marktführerschaft.
Künftig im Lieferumfang von Windows
Der neue Edge bleibt durch die Entkopplung von Windows aber keineswegs eine reine Download-Option wie Firefox oder zahlreiche andere Chromium-Browser (Opera, Vivaldi, etc.). Vielmehr möchte ihn Microsoft zum Standard-Browser seines Betriebssystems machen.
So wird Edge künftig auf den Installationsmedien für Windows 10 enthalten und somit auf neuen PCs vorinstalliert sein. Außerdem beginnt Microsoft ab sofort damit, den Browser in Wellen über Windows Update an private Anwender auszuliefern.
Anders als früher will der Hersteller seine dominierende Position bei Desktop-Betriebssystemen aber nicht übermäßig strapazieren. So respektiert er vorhandene Einstellungen und verzichtet etwa darauf, Edge beim Update als Standard-Browser festzulegen oder Bing als präferierte Suchmaschine einzutragen, wenn der Benutzer bisher eine andere konfiguriert hat.
Deployment in Unternehmen
Die automatische Installation des neuen Edge über Windows Update betrifft nur die Editionen Home und Pro, wogegen Enterprise, Workstation Pro und Education davon ausgenommen sind. Kleinere Unternehmen, die ihre Updates direkt über Microsoft beziehen und die Pro Edition einsetzen, können aber vorerst den Download von Edge mit Hilfe des Blocker Toolkits unterbinden.
Dieses besteht aus einer ADMX-Vorlage für die Gruppenrichtlinien sowie einer Batch-Datei, um den erforderlichen Schlüssel in der Registry direkt zu setzen.
Für zentral verwaltete Umgebungen bietet Microsoft zwei alternative Optionen für das Deployment an. Zum einen können Admins einen Standalone-Installer in Form eines MSI herunterladen und über die im Unternehmen eingesetzten Mechanismen wie SCCM oder Gruppenrichtlinien verteilen.
Dagegen würde der normale Installer die benötigten Dateien für jeden einzelnen PC über das Internet anfordern. Wenn Mitarbeiter mit seiner Hilfe eigenmächtig Edge installieren möchten, dann benötigen sie administrative Privilegien. User-Level-Installationen wie bei Chrome oder Previews von Edge funktionieren bei der Stable Version nicht mehr.
Der wahrscheinlich meistgenutzte Kanal zum Bezug von Edge-Updates für Unternehmen wird WSUS sein. Microsoft liefert über diesen Weg nicht nur Security-Fixes aus, sondern auch neue Releases. Geplant sind solche Feature-Updates in ähnlichen Intervallen wie bei Google oder Firefox, nämlich alle 6 Wochen.
Um Updates für Microsoft Edge über WSUS zu erhalten, müssen Admins diesen als eigenes Produkt unter der Kategorie Windows abonnieren. Anschließend ruft der WSUS-Server alle Channels der Edge-Entwicklung ab und bezieht also auch Dev und Beta. Eine Einschränkung auf Stable ist aktuell nicht vorgesehen.
Verwaltung über Gruppenrichtlinien
Microsoft kann auch hier auf die Vorarbeit des Chromium-Projekts zurückgreifen. Die ADMX-Vorlagen, die man ebenfalls von der Website Edge for Business herunterladen kann, enthalten überwiegend die gleichen Einstellungen wie Google Chrome.
Viele davon sind bedeutsam für die Browser-Sicherheit, etwa solche, mit denen Admins die Installation von Extensions regeln können. Edge unterstützt nämlich nicht nur jene aus Microsofts eigenem Store, sondern auch die Erweiterungen für Google Chrome. Und diese sind nicht unbedingt vertrauenswürdig.
Um Administratoren bei einer sicheren Konfiguration von Edge zu unterstützen, stellt Microsoft wie schon für Windows und Office eine Security Baseline zur Verfügung. Sie enthält neben einer allgemeinen Übersicht auch alle empfohlenen Einstellungen für die Gruppenrichtlinien. Die Baseline ist Teil des Security Compliance Toolkit, erhältlich bei Microsoft Download.
Zu den Edge-spezifischen Ergänzungen bei den Gruppenrichtlinien gehören zum einen solche, die Microsoft-eigene Dienste wie Smartscreen oder Bing betreffen. Zum anderen erlauben sie Admins, die Integration mit den älteren Microsoft-Browsern zu steuern.
Kompatibilität mit IE und Edge I
Wesentlich ist hier der Internet Explorer Mode, den es bereits für IE11 als Enterprise Mode gab, um bestimmte Anwendungen mit einer älteren Browser-Engine zu öffnen. Die Funktionsweise bleibt mit Edge unverändert.
Zuerst aktiviert man diesen Kompatibilitätsmodus über die Einstellung Internet Explorer-Integration konfigurieren und lädt dann eine Liste mit URLs hoch, bei denen Edge den IE starten soll. Diese Site List muss in einem XML-Format erstellt werden, dabei hilft das Tool Enterprise Mode Site List Manager.
Die Liste mit den URLs zu alten oder nicht kompatiblen Web-Anwendungen legt man auf einem Web-Server ab und trägt die betreffende URL anschließend in die Einstellung Enterprise Mode Site List konfigurieren ein.
Das Verhältnis zum ursprünglichen Edge-Browser lässt sich nur über eine Einstellung steuern. Es geht dabei um die Möglichkeit, den Vorgänger überhaupt noch aufrufen zu können. Standardmäßig ist dieser nach der Installation des neuen Edge nicht mehr erreichbar und alle entsprechenden Aufrufe werden auf die neue Version umgeleitet.
Die Einstellung Funktion "Nebeneinander" für Microsoft Edge-Browser zulassen unter Computer => Richtlinien => Administrative Vorlagen => Microsoft Edge-Update => Anwendungen sorgt dafür, dass der alte Edge weiter verfügbar ist - allerdings nur unter der Voraussetzung, dass man sie vor dem Update auf den neuen Browser aktiviert.
Viele Gründe dürfte es dafür aber nicht geben, nachdem zuletzt mit der epub-Unterstützung eines der wenigen exklusiven Merkmale von Edge entfernt wurde.
Fazit
Microsoft möchte sein zuletzt glückloses Agieren im Browser-Markt durch eine zügige Integration des Chromium-basierten Edge in sein Betriebssystem beenden. Private Anwender erhalten die Software über Windows-Update, während Unternehmen mehrere Deployment-Optionen haben.
Für professionelle Anwender dürfte am neuen Edge nicht nur interessant sein, dass er sich über WSUS aktualisieren und mit GPOs verwalten lässt. Ein Argument zu seinen Gunsten besteht auch darin, dass er die führende HTML-Engine von Chromium enthält, aber keine Google-Dienste integriert. Dem übermäßigen Tracking beugt zudem eine relativ strenge Standardeinstellung vor.
Außerdem lässt sich Edge Chromium sogar unter Server Core installieren, wo der Browser als lokale Konsole für das Windows Admin Center dienen kann.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Microsoft Edge Chromium kommt ab Januar via Windows Update
- Firefox als MSI verteilen und mit GPO administrieren
- Passwort-Manager in Chrome, Edge und Firefox über Gruppenrichtlinien konfigurieren
- Willkommen-Seite in Chrome, Edge und Firefox mit Gruppenrichtlinien blockieren
- Web-Browser als Standardprogramm für E-Mails (mailto-Handler) konfigurieren
Weitere Links
11 Kommentare
Wie stellt man mit den Gruppenrichtlinien den Begrüßungsteil "Erste Schritte" ab?
War in der dev bzw. beta noch möglich,
soll aber ab Version 80 Stable (~Februar) wieder per GPO "abstellbar" sein.
Dass man für den IE-Mode einen extra Webserver braucht, wo die URLs hinterlegt werden, finde ich sehr doof. Warum kann man die Adressen nicht einfach direkt in die GPO einfügen?
Diesem Beitrag auf Microsofts TechCommunity zufolge soll es auch möglich sein, die Liste auf einem File Share abzulegen und die URL in dieser Form anzugeben:
file://server/share/url-list.xml
Ich habe allerdings nicht ausprobiert, ob es funktioniert.
Kann man unterbinden, dass per Default ein Edge-Icon am Desktop angelegt und an der Taskleiste angepinnt wird?
Ist es wirklich ausreichend bei Windows 10 Pro per WSUS zu verteilen? In meinen Labs werden die Edge-"Updates" als "Not Applicable" angezeigt. Erst nach einem Deployment der Enterprise-MSI wird Edge über WSUS updated.
Es reicht nicht aus, die Edge-Updates im WSUS zu genehmigen. Die erste Version muss per GPO oder dem Deployment-Tool Eurer Wahl auf die Clients gebracht werden. Erst danach erledigt der WSUS die Updates für Euch.
Ich habe seit kurzem das Problem, dass das WSUS-Update bei der Installation das MSI-File von Edge verlangt. Leider bringt er immer die Fehlermeldung, dass das MSI-File nicht valid ist.
Kennt jemand das Problem auch noch?
Sehe ich das richtig, dass der WSUS auf Windows Server 2012 keine Edge Updates liefern kann? Auf meinem Server ist der in der Liste der 'Produkte und Klassifizierungen' nicht aufgeführt :(
Doch, ich habe noch ein paar 2008R2 WSUS am Laufen, auch da kann man sie aktivieren. Steht in der Kategorie 'Windows', direkt unter 'Microsoft Defender Antivirus' und heißt 'Microsoft Edge'.
Seit meinem Post vom 01.07.2020 hat sich auch was getan, es kann auch die Grundinstallation mit WSUS verteilt werden. Nennt sich
"The new Microsoft Edge for Windows 10 Version xxxx...
Vielen Dank für die Antwort.
Ich glaube ich hatte Tomaten auf den Augen, jetzt habe ich ihn gefunden!