Mit Edge v116 (als neue Stable Version ausgerollt ab 21.08.2023) hat Microsoft ein neues Feature namens „Edge for Business“ eingeführt. Die Dokumentation findet sich hier, etwas mehr Details und FAQs hierzu in diesem Microsoft TechCommunity-Blog-Post.
Diese Änderung führt für Administratoren die Edge mittels Policies konfigurieren teils leider zu erheblichen Einschränkungen und Problemen. Die Edge Policies werden nun Großteils nämlich ignoriert:
Was bedeutet „Großteils Ignoriert“? => Wenn das Edge-Profil mit einem „persönlichen Microsoft Account“ (MSA) angemeldet und synchronisiert wird, dann ignoriert Edge ab Version 116 sehr viele gesetzte Policies, die vollständige Auflistung findet sich hier. Microsoft nennt dies „Policy filters for the Enterprise personal browser“.
Hier die Liste aller ignorierten Policies (Klicken um diese aufzuklappen)
AddressBarMicrosoftSearchInBingProviderEnabled
AdsSettingForIntrusiveAdsSites
AdsTransparencyEnabled
AllowDeletingBrowserHistory
AllowGamesMenu
AllowSurfGame
AllowTrackingForUrls
AllowedDomainsForApps
AlternateErrorPagesEnabled
AlwaysOpenPdfExternally
AutofillAddressEnabled
AutofillCreditCardEnabled
AutofillMembershipsEnabled
AutomaticDownloadsAllowedForUrls
AutoplayAllowed
AutoplayAllowlist
BlockExternalExtensions
BrowserNetworkTimeQueriesEnabled
ClipboardAllowedForUrls
CollectionsServicesAndExportsBlockList
ComposeInlineEnabled
ConfigureDoNotTrack
ConfigureFriendlyURLFormat
ConfigureKeyboardShortcuts
ConfigureOnlineTextToSpeech
ConfigureShare
ControlDefaultStateOfAllowExtensionFromOtherStoresSettingEnabled
CryptoWalletEnabled
CustomHelpLink
DefaultAutomaticDownloadsSetting
DefaultImagesSetting
DefaultInsecureContentSetting
DefaultJavaScriptJitSetting
DefaultJavaScriptSetting
DefaultNotificationsSetting
DefaultPopupsSetting
DefaultPrinterSelection
DefaultSearchProviderContextMenuAccessAllowed
DefaultSearchProviderEnabled
DefaultSearchProviderEncodings
DefaultSearchProviderImageURL
DefaultSearchProviderImageURLPostParams
DefaultSearchProviderKeyword
DefaultSearchProviderName
DefaultSearchProviderSearchURL
DefaultSearchProviderSuggestURL
DefinePreferredLanguages
DelayNavigationsForInitialSiteListDownload
DeveloperToolsAvailability
Disable3DAPIs
DiscoverPageContextEnabled
DoNotSilentlyBlockProtocolsFromOrigins
DoubleClickCloseTabEnabled
DownloadDirectory
DownloadRestrictions
EdgeAssetDeliveryServiceEnabled
EdgeCollectionsEnabled
EdgeEDropEnabled
EdgeEnhanceImagesEnabled
EdgeFollowEnabled
EdgeShoppingAssistantEnabled
EdgeWalletCheckoutEnabled
EdgeWorkspacesEnabled
EditFavoritesEnabled
EnableMediaRouter
EnterpriseHardwarePlatformAPIEnabled
EnterpriseModeSiteListManagerAllowed
EventPathEnabled
ExtensionAllowedTypes
ExtensionInstallAllowlist
ExtensionInstallBlocklist
ExtensionSettings
ExternalProtocolDialogShowAlwaysOpenCheckbox
FavoritesBarEnabled
FetchKeepaliveDurationSecondsOnShutdown
ForceEphemeralProfiles
ForceMajorVersionToMinorPositionInUserAgent
ForceSync
ForceSyncTypes
ForceYouTubeRestrict
FullscreenAllowed
GloballyScopeHTTPAuthCacheEnabled
HomepageIsNewTabPage
HomepageLocation
HubsSidebarEnabled
ImagesAllowedForUrls
ImagesBlockedForUrls
ImmersiveReaderGrammarToolsEnabled
ImmersiveReaderPictureDictionaryEnabled
ImportAutofillFormData
ImportBrowserSettings
ImportCookies
ImportExtensions
ImportFavorites
ImportHistory
ImportHomepage
ImportOnEachLaunch
ImportOpenTabs
ImportPaymentInfo
ImportSavedPasswords
ImportSearchEngine
ImportShortcuts
ImportStartupPageSettings
InsecureContentAllowedForUrls
InsecureContentBlockedForUrls
InsecureFormsWarningsEnabled
InternetExplorerIntegrationAlwaysUseOSCapture
InternetExplorerIntegrationAlwaysWaitForUnload
InternetExplorerIntegrationCloudNeutralSitesReporting
InternetExplorerIntegrationCloudSiteList
InternetExplorerIntegrationCloudUserSitesReporting
InternetExplorerIntegrationComplexNavDataTypes
InternetExplorerIntegrationEnhancedHangDetection
InternetExplorerIntegrationLevel
InternetExplorerIntegrationLocalFileAllowed
InternetExplorerIntegrationLocalFileExtensionAllowList
InternetExplorerIntegrationLocalFileShowContextMenu
InternetExplorerIntegrationLocalMhtFileAllowed
InternetExplorerIntegrationReloadInIEModeAllowed
InternetExplorerIntegrationSiteList
InternetExplorerIntegrationSiteListRefreshInterval
InternetExplorerIntegrationSiteRedirect
InternetExplorerIntegrationWindowOpenHeightAdjustment
InternetExplorerIntegrationWindowOpenWidthAdjustment
InternetExplorerModeClearDataOnExitEnabled
InternetExplorerModeEnableSavePageAs
InternetExplorerModeTabInEdgeModeAllowed
InternetExplorerModeToolbarButtonEnabled
InternetExplorerZoomDisplay
JavaScriptAllowedForUrls
JavaScriptBlockedForUrls
JavaScriptJitAllowedForSites
JavaScriptJitBlockedForSites
LegacySameSiteCookieBehaviorEnabledForDomainList
LinkedAccountEnabled
LiveCaptionsAllowed
LocalBrowserDataShareEnabled
LocalProvidersEnabled
ManagedConfigurationPerOrigin
ManagedFavorites
ManagedSearchEngines
MicrosoftEdgeInsiderPromotionEnabled
MicrosoftEditorProofingEnabled
MicrosoftEditorSynonymsEnabled
MicrosoftOfficeMenuEnabled
MouseGestureEnabled
NativeMessagingAllowlist
NativeMessagingBlocklist
NativeMessagingUserLevelHosts
NavigationDelayForInitialSiteListDownloadTimeout
NetworkPredictionOptions
NewPDFReaderEnabled
NewTabPageAllowedBackgroundTypes
NewTabPageAppLauncherEnabled
NewTabPageContentEnabled
NewTabPageHideDefaultTopSites
NewTabPageLocation
NewTabPageManagedQuickLinks
NewTabPagePrerenderEnabled
NewTabPageQuickLinksEnabled
NewTabPageSearchBox
NotificationsAllowedForUrls
NotificationsBlockedForUrls
OriginAgentClusterDefaultEnabled
PDFSecureMode
PDFXFAEnabled
PasswordGeneratorEnabled
PasswordManagerBlocklist
PasswordManagerEnabled
PasswordManagerRestrictLengthEnabled
PasswordMonitorAllowed
PasswordProtectionChangePasswordURL
PasswordProtectionLoginURLs
PasswordProtectionWarningTrigger
PasswordRevealEnabled
PaymentMethodQueryEnabled
PerformanceDetectorEnabled
PinBrowserEssentialsToolbarButton
PopupsAllowedForUrls
PopupsBlockedForUrls
PrimaryPasswordSetting
PrintPdfAsImageDefault
PrintPostScriptMode
PrintPreviewStickySettings
PrintPreviewUseSystemDefaultPrinter
PrintRasterizationMode
PrintRasterizePdfDpi
PrintStickySettings
PrinterTypeDenyList
PrintingAllowedBackgroundGraphicsModes
PrintingBackgroundGraphicsDefault
PrintingEnabled
PrintingPaperSizeDefault
PrintingWebpageLayout
PromptForDownloadLocation
PromptOnMultipleMatchingCertificates
ProxyBypassList
ProxyMode
ProxyPacUrl
ProxyServer
QuickSearchShowMiniMenu
QuickViewOfficeFilesEnabled
ReadAloudEnabled
RegisteredProtocolHandlers
RelatedMatchesCloudServiceEnabled
ResolveNavigationErrorsUseWebService
RestoreOnStartup
RestoreOnStartupURLs
RestoreOnStartupUserURLsEnabled
RestorePdfView
SSLErrorOverrideAllowed
SSLErrorOverrideAllowedForOrigins
SameOriginTabCaptureAllowedByOrigins
ScreenCaptureAllowed
ScreenCaptureAllowedByOrigins
ScrollToTextFragmentEnabled
SearchFiltersEnabled
SearchForImageEnabled
SearchInSidebarEnabled
SearchSuggestEnabled
SecurityKeyPermitAttestation
SendIntranetToInternetExplorer
SensorsAllowedForUrls
SensorsBlockedForUrls
SerialAskForUrls
SerialBlockedForUrls
ShowAcrobatSubscriptionButton
ShowCastIconInToolbar
ShowDownloadsToolbarButton
ShowHomeButton
ShowMicrosoftRewards
ShowOfficeShortcutInFavoritesBar
ShowPDFDefaultRecommendationsEnabled
ShowRecommendationsEnabled
SignedHTTPExchangeEnabled
SleepingTabsBlockedForUrls
SleepingTabsEnabled
SleepingTabsTimeout
SmartActionsBlockList
SpeechRecognitionEnabled
SpellcheckEnabled
SpellcheckLanguage
SpellcheckLanguageBlocklist
SyncDisabled
TabCaptureAllowedByOrigins
TabServicesEnabled
TextPredictionEnabled
TrackingPrevention
TranslateEnabled
URLAllowlist
URLBlocklist
UnthrottledNestedTimeoutEnabled
UserAgentReduction
VerticalTabsAllowed
VideoCaptureAllowed
VideoCaptureAllowedUrls
VisualSearchEnabled
WalletDonationEnabled
WebAppInstallForceList
WebHidAskForUrls
WebHidBlockedForUrls
WebRtcLocalIpsAllowedUrls
WebRtcLocalhostIpHandling
WebRtcUdpPortRange
WebSQLAccess
WebSelectEnabled
WorkspacesNavigationSettings
Was kann man dagegen tun?
Der Benutzer muss die Synchronisation seines Edge Browser Profils mit seinem persönlichen Microsoft Account beenden, hierzu auf das „Zahnrad“ klicken:
Nach dem Abmelden von der Profil-Synchronisierung funktionieren die Policies wieder wie erwartet:
Ist dieses Verhalten ein Bug / Fehler?
Ob es sich hierbei um einen Fehler handelt ist mit Stand 22.08.2023 nicht ganz klar. Die Dokumentation, die dieses Verhalten beschreibt, bezieht sich eigentlich auf „Edge for Business“, als ein Szenario wo der Anwender ein Business-Profil und ein (optionales) persönliches Profil nutzen kann. Das Entfernen der Policies bezieht sich dann auf das persönliche Profil. Warum Edge – obwohl gar kein Business-Profil existiert – dennoch sich so verhält, als wäre der Browser im „Edge for Business“ Modus, und vom einzigen vorhandenen Profil mit MSA-Synchronisierung die Policies „stripped“ ist vermutlich für sehr viele Administratoren KEIN erwünschtes Verhalten.
Ich habe Microsoft im Tech-Community-Forum über dieses Problem informiert.
=> Microsoft dürfte (siehe Ergänzung unten) schließlich einlenken und die Änderung entschärfen!
Was kann ich als Administrator dagegen tun? -> RestrictSigninToPattern
Vorerst kann man vermutlich nur die Anmeldung zur Synchronisation des Profils mittels persönlichem Microsoft Account generell unterbinden. Dies funktioniert mittels der Policy RestrictSigninToPattern. Wer kein Microsoft Azure AD bzw. Microsoft Entra ID Login benutzt kann hier auch einfach eine „ungültige“ Pattern die sämtliche Logins ausschließt eingeben. Der entsprechende Registry-Key lautet HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge
-> RestrictSigninToPattern
(Typ: Reg-SZ) mit Wert z.B.: „.*@no-signin-allowed
„
Ausblick -> Behebung in neueren Edge-Versionen? JA!
Es sieht so aus, als ob Microsoft nun einlenkt und die Thematik entschärft.
Die Policies funktionieren nun bei Nutzung eines einzelnen Microsoft Profils (MSA) für den Sync wieder, und zwar ab folgenden Edge-Versionen:
Stand per 24.08.2023 wie folgt:
- Edge Dev Version 117.0.2045.7
- Edge Canary Version 118.0.2057.0
Seitens Microsoft behoben / gelöst ab 26.08.2023 mit:
- Edge Stable Version 116.0.1938.62
On my system, Edge policies survive logging out and then logging back in to restart MSA synchronization. I don’t know how long this work-around will be available.
Yes, logging out MSA and reLogin (but not ReStart Edge!) currently works. Hopefully this gets changed / fixed soon.
Leider nicht behoben mit Edge Stable Version 116.0.1938.62
ManagedSearchEngines greift weiterhin nicht im privaten Profil.
Habe Policy ManagedSearchEngines soeben erfolgreich mit Edge Stable Version 116.0.1938.62 und einem angemeldeten und synchronisierten MSA Profil getestet, funktioniert. Kann die Beobachtung somit NICHT bestätigen.
ja, es geht, wenn man sich einmal von der Synchronisierung ab- und dann wieder angemeldet hat.
Edge Stable Version 116.0.1938.81: Policy ManagedSearchEngines wird erneut nicht berücksichtigt!
Habe soeben Edge 116.0.1938.81 (Offizielles Build) (64-Bit) auf Win10 22H2 mit aktuellem Patchstand erfolgreich mit gesetzter Policy ManagedSearchEngines getestet, wird akzeptiert. Die Policy ManagedSearchEngines ist außerdem gar keine „Sensitive Policy“, wenn dies nicht funktioniert muss das also definitiv eine andere Ursache haben und hat nichts mit dem Fake-MDM-Provider zu tun.
Setze mal meine Provider, dann wirst du sehen, dass diese nach einem Browser-Neustart nicht vorhanden sind bei einem Non-Enterprise-Konto.
https://paste.ee/p/UIrCA
Getestet, funktioniert bei mir. Scheint in edge://policy mit „OK“ auf. Mein genutztes Edge-Konto ist ein persönlicher Microsoft Account (MSA). Wenn die Policy ignoriert werden würde, dann würde sie übrigens explizit als „Ignoriert“ ausgewiesen werden – ein „scheint nicht auf“ muss daher eine andere Ursache haben.
Okay, danke für den Test. Aber was soll es sonst sein?
Vor 116 klappte die Policy problemlos. Dann ab 116.0.x kaputt, ab 116.0.1938.62 wieder okay (aber man musste sich einmal vom Sync ab- und anmelden) und nun ab 116.0.1938.81 wieder kaputt. Zumindest bei mir. Sync ab- und anmelden hab ich schon versucht.
Kann es vielleicht sein, dass Edge 116.0.x bei mir durcheinander kommt, weil ich habe in einer Instanz zwei MS-Konten angemeldet! Das erste Profil ist mein privater MS-Account und das 2. Profil ist mein Office 365 Firmenaccount. Beim Firmenaccount klappt ManagedSearchEngine in jeder Version immer. Die Probleme treten nur beim privaten Account auf.
Ich verwende auch seit nem Jahr immer die selbe Policy ManagedSearchEngine, es gab keine Änderung.
Dass ich den Microsoft Edge for Business auf für mein privates Profil nutze sollte aber egal sein, oder?
Wird eines deiner Profile mit dem Briefcase-Symbol gekennzeichnet? Dann läuft Edge mit diesem im Edge for Business Modus und die anderen Profile als privat.
Ignorierte Policies scheinen aber stets unter edge://policy als „Ignoriert“ auf. Wenn die Policy hingegen gar nicht aufschreint ist die Syntax falsch.
Also es sieht wie folgt aus:
Naja, das ist dann aber das klassische „Edge for Business“ Szenario, und kein reines Microsoft Account (MSA) Szenario. Insofern würde ich sagen: Das verhält sich nun bei Dir so, wie von Microsoft eben designed und dokumentiert. Schau mal im TechCommunity Forum hier, dort haben zahlreiche Admins schon den Wunsch geäußert, dass Edge for Business per Policies deaktivierbar sein sollte – würde vorschlagen Du gibst dort auch Deinen Wunsch bekannt.
ok danke für die Klarstellung.
thanks,it is cool. I test it on my win 10 pro. It works. However it seems not working on my another device running win 11 pro for workstation 23h2, even i configured the update policy in local group policy, but it does not applied to edge, in policy page of edge, there is no policies shown… not sure if i have to download edge for business version
If the policy doesn’t show up at all in edge://policy/ then you misplaced the Policy-Values in the wrong registry key. It at least has to show up. If there would be a problem with MSA it would be shown and marked as „ignored“, but at least it would show up.
What a helpful article! Thanks! 🙂 I’m using it for Chrome and Edge
Today I just discovered a strange thing. I have W10 Pro 22H2. The recommended version is not working on the Chrome side, but the mandatory works. What is the difference? It’s very strange. For Edge instead, it is working. Looks like the mandatory version works perfectly for Chrome on all editions like Edge, but the reccomended is not working for a lot of editions. Can you help me, please?
https://pastebin.com/raw/EiuEXZJc
This is what I’m testing. Thank you so much 🙂