Umstieg von IE auf Microsoft Edge: GPOs, Baseline, Updates, Kompatibilität


    Tags: , ,

    Logo von Microsoft Edge ChromiumSeit 20H2 gehört der Chromium-basierte Edge zum Liefer­umfang von Windows 10. Der IE ist weiter­hin an Bord, dessen Support endet aber im Juni 2022. Will man ihn durch einen zen­tral ver­walteten Edge ersetzen, dann stehen Auf­gaben wie die Konfi­guration von GPOs und Updates sowie die Um­leitung von URLs an.

    Eine Stärke des Internet Explorer war stets, dass er sich durch Gruppen­richt­linien fein­maschig zentral verwalten ließ. Mit Edge kommt nun automatisch ein weiterer Browser auf jedem Rechner hinzu. Im Auslieferungs­zustand gewährt er den Benutzern uneingeschränkte Freiheiten. Das betrifft etwa die heikle Installation von Erweiterungen oder generell die Konfiguration von Sicherheits­einstellungen.

    Man könnte in dieser Situation Edge vorerst stilllegen, indem man die Gruppen­richtlinie Zugriff auf eine Liste von URLs blockieren aktiviert und dort als Wert das Wildcard '*' einträgt.

    Durch Blockieren aller URLs lässt sich Edge via GPO deaktivieren.

    Am 15. Juni 2022 läuft aber der Support für den IE aus, so dass man spä­tes­tens dann auf einen modernen Browser umstellen muss. Nachdem Edge schon an Bord von Windows ist, auf dem Defacto-Standard Chromium basiert und einige Migrations­hilfen für IE-optimierte Seiten bietet, dürften sich viele Firmen für diesen Browser entscheiden.

    Edge mit Gruppenrichtlinien verwalten

    Dreh- und Angelpunkt für ein zentrales Management sind auch bei Edge die Gruppen­richtlinien. Die meisten Einstellungen stammen aus dem Chromium-Projekt und sind identisch mit jenen, die Google für Chrome  bereitstellt. Hinzu kommt eine Reihe von Microsoft-eigenen Optionen.

    Obzwar Edge ein Bestandteil des Betriebs­systems ist, enthält Windows 10 nicht die administrativen Vorlagen für den Browser. Die mitgelieferte MicrosoftEdge.admx dient noch der Konfiguration des ursprünglichen, nicht auf Chromium basierenden Edge.

    Admins müssen die Templates für Microsoft Edge daher von der Website des Herstellers herunterladen. Nachdem der Browser einem anderen Update-Zyklus folgt als das Betriebs­system, muss man darauf achten, dass man stets die passenden ADMX für den jeweiligen Channel verwendet.

    Download der administrativen Vorlagen für Microsoft Edge

    Das regelmäßige Update der Vorlagen fällt natürlich einfacher, wenn man dafür einen Central Store nutzt. Dann erspart man sich das Aktualisieren der Templates auf allen Admin-PCs.

    Sicherheitskonfiguration vorgeben

    Web-Browser sind neben Mail-Clients bekanntlich die Haupteinfallstore für Schadprogramme und erfordern daher eine entsprechende Aufmerk­samkeit. Allerdings verliert man bei der Vielzahl an sicherheits­relevanten Einstellungen leicht den Überblick.

    Aus diesem Grund stellt Microsoft eine empfohlene Konfiguration in Form einer Security Baseline zur Verfügung. Sie ist im Security Compliance Toolkit enthalten und kann von dort importiert werden.

    Wie bei den GPO-Vorlagen gibt es eine separate Baseline für Edge und das Betriebs­system, so dass man die Sicherheits­einstellungen abhängig von den Browser-Updates aktualisieren muss.

    Edge aktualisieren

    Im Browser-Markt sind extrem kurze Update-Intervalle gang und gäbe. Für Microsoft Edge erscheint im Stable-Kanal alle sechs Wochen ein neues Release. Der Hersteller gewährt Support für die aktuelle und die zwei zuvor erschienen Versionen, so dass der Lebenszyklus insgesamt nur 18 Wochen beträgt. Danach erhält man keine Security-Updates mehr.

    Ab der Version 94 ändert sich dieser Rhythmus, weil Microsoft das Stable-Release um ein Extended Stable ergänzt. Stable erhält dann nur mehr vier Wochen Support für jedes der drei letzten Updates, so dass sich der Support-Zeitraum nur mehr auf 12 Wochen beläuft.

    Microsoft unterstützt Extended Stable pro Release dagegen über acht Wochen, aber dafür nur mehr die zwei zuletzt erschienen Updates. Insgesamt beträgt der maximale Zeitraum für den Support einer Version dann hier 16 Wochen.

    Aus diesem Grund müssen Admins darauf achten, die Clients rechtzeitig mit einer unterstützten Version zu versorgen. Anders als die Browser der Konkurrenz kommen neue Releases von Edge über Windows Update.

    Nachdem viele Unternehmen die Updates zentral über WSUS verteilen, können sie auch neue Edge-Versionen auf diesem Weg bereitstellen. Auch hier ist der Browser als eigenes Produkt unterhalb von Windows gelistet, so dass man dieses erst abonnieren muss.

    Microsoft Edge muss in WSUS als eigenes Produkt abonniert werden

    Daraufhin erhält man aber Updates für alle Channels, also auch für Dev oder Beta. Wichtig für Admins ist natürlich, dass sie hier nicht den Überblick verlieren und die erforderlichen Updates rechtzeitig genehmigen.

    Aktiviert man in WSUS die Updates für Edge, dann erhält man diese für alle Channels.

    Kompatibilität mit IE11

    Ein wesentliches Argument für Unternehmen, die bisher noch den Internet Explorer als Standard-Browser eingesetzt haben, bietet Edge mit seinen Funktionen für die IE-Kompatibilität. Oft finden sich dort noch interne Seiten und Anwendungen und Anwendungen, die auf den IE zugeschnitten sind.

    Die IE-Engine lässt sich auf verschiedene Arten aus Edge nutzen, entweder durch relativ pauschale Umleitungen für interne URLs oder durch eine Site-Liste im Enterprise Mode. Die Möglichkeit, den IE für bestimmte Adressen extern zu starten, wird aber nach dem Support-Ende nicht mehr verfügbar sein.

    Internet Explorer ausrangieren

    Wenn man die Umstellung vom IE auf Edge erfolgreich gemeistert hat, dann ist es sinnvoll, den Alt-Browser offiziell stillzulegen. Nach den Support-Ende Mitte 2022 wird Microsoft diese Aufgabe ohnehin erledigen.

    Da der IE weder hinsichtlich aktueller Web-Standards noch in puncto Sicherheit nicht mehr auf der Höhe der Zeit ist, besteht nach der Migration auf Edge kein Grund, ihn für die User weiter zugänglich zu machen.

    Gruppenrichtlinie zum Sperren von Internet Explorer

    Microsoft sieht für das Abschalten des Internet Explorer eine neue Gruppen­richt­linie vor. Sie heißt Internet Explorer als eigenständigen Browser deaktivieren. Mit ihr kann man Benutzer zusätzlich darüber informieren, dass der Browser gesperrt ist, wahlweise nur einmal oder bei jedem Aufruf.

    Per GPO kann man Benutzer über die Sperre des IE informieren

    Zusammenfassung

    Anwender müssen aufgrund des angekündigten Support-Endes für IE11 auf einen alternativen Browser ausweichen, sofern sie das nicht ohnehin schon getan haben. In beiden Fällen bietet sich der Einsatz von Edge an, weil er als Bestandteil des Betriebs­systems kommt und mit der Chromium-Engine einen Industrie­standard nutzt.

    Dennoch bleibt Edge eine eigene Anwendung, die in vielerlei Hinsicht vom OS abgekoppelt ist und daher eine getrennte Wartung erfordert. Das betrifft sowohl die administrativen Vorlagen für die Gruppenrichtlinien als auch die Security Baseline, die Support-Intervalle und die Updates.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links

    2 Kommentare

    Ich verteile Edge bereits seit vielen Monaten bei uns im Haus auf allen Rechnern, damals auch auf Windows 7 PCs, bevor diese abgekündigt waren. Die ADMX-Files werden stetig aktualisiert und bieten seit jeher schon viele Konfigurationsmöglichkeiten für Edge, genug auf alle Fälle, um ihn zufriedenstellend im Haus nutzen zu können.
    Im Artikel fehlt mir etwas der Bezug, was mit dem IE/Enterprise-Mode passiert, wenn IE deaktiviert ist, funktioniert das weiterhin noch, oder bricht man damit diese Funktion?

    Zum Thema Update der Browser: ich update eigentlich auch alle Anwendungen im Haus händisch per Softwareverteilung/Wsus. Bei Firefox und Edge bin ich davon aber schon seit Ewigkeiten abgekommen, es bietet kaum Vorteile und die kurzen Intervalle der Browser machen einem da viel unnötige Arbeit. Zudem muss man sagen, arbeitet die Browser-interne Update-Engine (beider Hersteller) sehr, sehr gut und hat bislang nie Probleme gemacht und nervt den User auch nicht mit händischen Downloads oder Installationen oder UAC-Meldungen, sondern arbeitet super unauffällig im Hintergrund. Wer das also nicht in hochkritischen Arbeitsumgebungen unterwegs ist, dem kann ich sagen: lasst die Browser ihre Updates selber machen (mag eine Hand voll Ausnahmen geben, aber 90% der IT-Landschaften dürften damit besser und sicherer fahren).

    VG, Toby

    Bild von Wolfgang Sommergut

    Hallo Toby, mehr zum Enterprise Mode kommt demnächst in einem eigenen Beitrag. Das Deaktivieren des IE führt nur dazu, dass er nicht mehr als eigene Anwendung ausgeführt werden kann. Die IE-Engine ist innerhalb von Anwendungen weiterhin verfügbar.