Umstieg von IE auf Microsoft Edge: GPOs, Baseline, Updates, Kompatibilität

Man könnte in dieser Situation Edge vorerst stilllegen, indem man die Gruppen­richtlinie Zugriff auf eine Liste von URLs blockieren aktiviert und dort als Wert das Wildcard '*' einträgt.

Am 15. Juni 2022 läuft aber der Support für den IE aus, so dass man spä­tes­tens dann auf einen modernen Browser umstellen muss. Nachdem Edge schon an Bord von Windows ist, auf dem Defacto-Standard Chromium basiert und einige Migrations­hilfen für IE-optimierte Seiten bietet, dürften sich viele Firmen für diesen Browser entscheiden.

Edge mit Gruppenrichtlinien verwalten

Dreh- und Angelpunkt für ein zentrales Management sind auch bei Edge die Gruppen­richtlinien. Die meisten Einstellungen stammen aus dem Chromium-Projekt und sind identisch mit jenen, die Google für Chrome  bereitstellt. Hinzu kommt eine Reihe von Microsoft-eigenen Optionen.

Obzwar Edge ein Bestandteil des Betriebs­systems ist, enthält Windows 10 nicht die administrativen Vorlagen für den Browser. Die mitgelieferte MicrosoftEdge.admx dient noch der Konfiguration des ursprünglichen, nicht auf Chromium basierenden Edge.

Admins müssen die Templates für Microsoft Edge daher von der Website des Herstellers herunterladen. Nachdem der Browser einem anderen Update-Zyklus folgt als das Betriebs­system, muss man darauf achten, dass man stets die passenden ADMX für den jeweiligen Channel verwendet.

Das regelmäßige Update der Vorlagen fällt natürlich einfacher, wenn man dafür einen Central Store nutzt. Dann erspart man sich das Aktualisieren der Templates auf allen Admin-PCs.

Sicherheitskonfiguration vorgeben

Web-Browser sind neben Mail-Clients bekanntlich die Haupteinfallstore für Schadprogramme und erfordern daher eine entsprechende Aufmerk­samkeit. Allerdings verliert man bei der Vielzahl an sicherheits­relevanten Einstellungen leicht den Überblick.

Aus diesem Grund stellt Microsoft eine empfohlene Konfiguration in Form einer Security Baseline zur Verfügung. Sie ist im Security Compliance Toolkit enthalten und kann von dort importiert werden.

Wie bei den GPO-Vorlagen gibt es eine separate Baseline für Edge und das Betriebs­system, so dass man die Sicherheits­einstellungen abhängig von den Browser-Updates aktualisieren muss.

Edge aktualisieren

Im Browser-Markt sind extrem kurze Update-Intervalle gang und gäbe. Für Microsoft Edge erscheint im Stable-Kanal alle sechs Wochen ein neues Release. Der Hersteller gewährt Support für die aktuelle und die zwei zuvor erschienen Versionen, so dass der Lebenszyklus insgesamt nur 18 Wochen beträgt. Danach erhält man keine Security-Updates mehr.

Ab der Version 94 ändert sich dieser Rhythmus, weil Microsoft das Stable-Release um ein Extended Stable ergänzt. Stable erhält dann nur mehr vier Wochen Support für jedes der drei letzten Updates, so dass sich der Support-Zeitraum nur mehr auf 12 Wochen beläuft.

Microsoft unterstützt Extended Stable pro Release dagegen über acht Wochen, aber dafür nur mehr die zwei zuletzt erschienen Updates. Insgesamt beträgt der maximale Zeitraum für den Support einer Version dann hier 16 Wochen.

Aus diesem Grund müssen Admins darauf achten, die Clients rechtzeitig mit einer unterstützten Version zu versorgen. Anders als die Browser der Konkurrenz kommen neue Releases von Edge über Windows Update.

Nachdem viele Unternehmen die Updates zentral über WSUS verteilen, können sie auch neue Edge-Versionen auf diesem Weg bereitstellen. Auch hier ist der Browser als eigenes Produkt unterhalb von Windows gelistet, so dass man dieses erst abonnieren muss.

Daraufhin erhält man aber Updates für alle Channels, also auch für Dev oder Beta. Wichtig für Admins ist natürlich, dass sie hier nicht den Überblick verlieren und die erforderlichen Updates rechtzeitig genehmigen.

Kompatibilität mit IE11

Ein wesentliches Argument für Unternehmen, die bisher noch den Internet Explorer als Standard-Browser eingesetzt haben, bietet Edge mit seinen Funktionen für die IE-Kompatibilität. Oft finden sich dort noch interne Seiten und Anwendungen und Anwendungen, die auf den IE zugeschnitten sind.

Die IE-Engine lässt sich auf verschiedene Arten aus Edge nutzen, entweder durch relativ pauschale Umleitungen für interne URLs oder durch eine Site-Liste im Enterprise Mode. Die Möglichkeit, den IE für bestimmte Adressen extern zu starten, wird aber nach dem Support-Ende nicht mehr verfügbar sein.

Internet Explorer ausrangieren

Wenn man die Umstellung vom IE auf Edge erfolgreich gemeistert hat, dann ist es sinnvoll, den Alt-Browser offiziell stillzulegen. Nach den Support-Ende Mitte 2022 wird Microsoft diese Aufgabe ohnehin erledigen.

Da der IE weder hinsichtlich aktueller Web-Standards noch in puncto Sicherheit nicht mehr auf der Höhe der Zeit ist, besteht nach der Migration auf Edge kein Grund, ihn für die User weiter zugänglich zu machen.

Microsoft sieht für das Abschalten des Internet Explorer eine neue Gruppen­richt­linie vor. Sie heißt Internet Explorer als eigenständigen Browser deaktivieren. Mit ihr kann man Benutzer zusätzlich darüber informieren, dass der Browser gesperrt ist, wahlweise nur einmal oder bei jedem Aufruf.

Zusammenfassung

Anwender müssen aufgrund des angekündigten Support-Endes für IE11 auf einen alternativen Browser ausweichen, sofern sie das nicht ohnehin schon getan haben. In beiden Fällen bietet sich der Einsatz von Edge an, weil er als Bestandteil des Betriebs­systems kommt und mit der Chromium-Engine einen Industrie­standard nutzt.

Dennoch bleibt Edge eine eigene Anwendung, die in vielerlei Hinsicht vom OS abgekoppelt ist und daher eine getrennte Wartung erfordert. Das betrifft sowohl die administrativen Vorlagen für die Gruppenrichtlinien als auch die Security Baseline, die Support-Intervalle und die Updates.