Microsoft Edge Policies werden ignoriert wenn mit persönlichem Microsoft Account angemeldet

Posted by Gunnar Haslinger 21. August 2023 in Edge

Mit Edge v116 (als neue Stable Version ausgerollt ab 21.08.2023) hat Microsoft ein neues Feature namens “Edge for Business” eingeführt. Die Dokumentation findet sich hier, etwas mehr Details und FAQs hierzu in diesem Microsoft TechCommunity-Blog-Post.

Diese Änderung führt für Administratoren die Edge mittels Policies konfigurieren teils leider zu erheblichen Einschränkungen und Problemen. Die Edge Policies werden nun Großteils nämlich ignoriert:

Was bedeutet “Großteils Ignoriert”? => Wenn das Edge-Profil mit einem “persönlichen Microsoft Account” (MSA) angemeldet und synchronisiert wird, dann ignoriert Edge ab Version 116 sehr viele gesetzte Policies, die vollständige Auflistung findet sich hier. Microsoft nennt dies “Policy filters for the Enterprise personal browser”.

Hier die Liste aller ignorierten Policies (Klicken um diese aufzuklappen)

AddressBarMicrosoftSearchInBingProviderEnabled AdsSettingForIntrusiveAdsSites AdsTransparencyEnabled AllowDeletingBrowserHistory AllowGamesMenu AllowSurfGame AllowTrackingForUrls AllowedDomainsForApps AlternateErrorPagesEnabled AlwaysOpenPdfExternally AutofillAddressEnabled AutofillCreditCardEnabled AutofillMembershipsEnabled AutomaticDownloadsAllowedForUrls AutoplayAllowed AutoplayAllowlist BlockExternalExtensions BrowserNetworkTimeQueriesEnabled ClipboardAllowedForUrls CollectionsServicesAndExportsBlockList ComposeInlineEnabled ConfigureDoNotTrack ConfigureFriendlyURLFormat ConfigureKeyboardShortcuts ConfigureOnlineTextToSpeech ConfigureShare ControlDefaultStateOfAllowExtensionFromOtherStoresSettingEnabled CryptoWalletEnabled CustomHelpLink DefaultAutomaticDownloadsSetting DefaultImagesSetting DefaultInsecureContentSetting DefaultJavaScriptJitSetting DefaultJavaScriptSetting DefaultNotificationsSetting DefaultPopupsSetting DefaultPrinterSelection DefaultSearchProviderContextMenuAccessAllowed DefaultSearchProviderEnabled DefaultSearchProviderEncodings DefaultSearchProviderImageURL DefaultSearchProviderImageURLPostParams DefaultSearchProviderKeyword DefaultSearchProviderName DefaultSearchProviderSearchURL DefaultSearchProviderSuggestURL DefinePreferredLanguages DelayNavigationsForInitialSiteListDownload DeveloperToolsAvailability Disable3DAPIs DiscoverPageContextEnabled DoNotSilentlyBlockProtocolsFromOrigins DoubleClickCloseTabEnabled DownloadDirectory DownloadRestrictions EdgeAssetDeliveryServiceEnabled EdgeCollectionsEnabled EdgeEDropEnabled EdgeEnhanceImagesEnabled EdgeFollowEnabled EdgeShoppingAssistantEnabled EdgeWalletCheckoutEnabled EdgeWorkspacesEnabled EditFavoritesEnabled EnableMediaRouter EnterpriseHardwarePlatformAPIEnabled EnterpriseModeSiteListManagerAllowed EventPathEnabled ExtensionAllowedTypes ExtensionInstallAllowlist ExtensionInstallBlocklist ExtensionSettings ExternalProtocolDialogShowAlwaysOpenCheckbox FavoritesBarEnabled FetchKeepaliveDurationSecondsOnShutdown ForceEphemeralProfiles ForceMajorVersionToMinorPositionInUserAgent ForceSync ForceSyncTypes ForceYouTubeRestrict FullscreenAllowed GloballyScopeHTTPAuthCacheEnabled HomepageIsNewTabPage HomepageLocation HubsSidebarEnabled ImagesAllowedForUrls ImagesBlockedForUrls ImmersiveReaderGrammarToolsEnabled ImmersiveReaderPictureDictionaryEnabled ImportAutofillFormData ImportBrowserSettings ImportCookies ImportExtensions ImportFavorites ImportHistory ImportHomepage ImportOnEachLaunch ImportOpenTabs ImportPaymentInfo ImportSavedPasswords ImportSearchEngine ImportShortcuts ImportStartupPageSettings InsecureContentAllowedForUrls InsecureContentBlockedForUrls InsecureFormsWarningsEnabled InternetExplorerIntegrationAlwaysUseOSCapture InternetExplorerIntegrationAlwaysWaitForUnload InternetExplorerIntegrationCloudNeutralSitesReporting InternetExplorerIntegrationCloudSiteList InternetExplorerIntegrationCloudUserSitesReporting InternetExplorerIntegrationComplexNavDataTypes InternetExplorerIntegrationEnhancedHangDetection InternetExplorerIntegrationLevel InternetExplorerIntegrationLocalFileAllowed InternetExplorerIntegrationLocalFileExtensionAllowList InternetExplorerIntegrationLocalFileShowContextMenu InternetExplorerIntegrationLocalMhtFileAllowed InternetExplorerIntegrationReloadInIEModeAllowed InternetExplorerIntegrationSiteList InternetExplorerIntegrationSiteListRefreshInterval InternetExplorerIntegrationSiteRedirect InternetExplorerIntegrationWindowOpenHeightAdjustment InternetExplorerIntegrationWindowOpenWidthAdjustment InternetExplorerModeClearDataOnExitEnabled InternetExplorerModeEnableSavePageAs InternetExplorerModeTabInEdgeModeAllowed InternetExplorerModeToolbarButtonEnabled InternetExplorerZoomDisplay JavaScriptAllowedForUrls JavaScriptBlockedForUrls JavaScriptJitAllowedForSites JavaScriptJitBlockedForSites LegacySameSiteCookieBehaviorEnabledForDomainList LinkedAccountEnabled LiveCaptionsAllowed LocalBrowserDataShareEnabled LocalProvidersEnabled ManagedConfigurationPerOrigin ManagedFavorites ManagedSearchEngines MicrosoftEdgeInsiderPromotionEnabled MicrosoftEditorProofingEnabled MicrosoftEditorSynonymsEnabled MicrosoftOfficeMenuEnabled MouseGestureEnabled NativeMessagingAllowlist NativeMessagingBlocklist NativeMessagingUserLevelHosts NavigationDelayForInitialSiteListDownloadTimeout NetworkPredictionOptions NewPDFReaderEnabled NewTabPageAllowedBackgroundTypes NewTabPageAppLauncherEnabled NewTabPageContentEnabled NewTabPageHideDefaultTopSites NewTabPageLocation NewTabPageManagedQuickLinks NewTabPagePrerenderEnabled NewTabPageQuickLinksEnabled NewTabPageSearchBox NotificationsAllowedForUrls NotificationsBlockedForUrls OriginAgentClusterDefaultEnabled PDFSecureMode PDFXFAEnabled PasswordGeneratorEnabled PasswordManagerBlocklist PasswordManagerEnabled PasswordManagerRestrictLengthEnabled PasswordMonitorAllowed PasswordProtectionChangePasswordURL PasswordProtectionLoginURLs PasswordProtectionWarningTrigger PasswordRevealEnabled PaymentMethodQueryEnabled PerformanceDetectorEnabled PinBrowserEssentialsToolbarButton PopupsAllowedForUrls PopupsBlockedForUrls PrimaryPasswordSetting PrintPdfAsImageDefault PrintPostScriptMode PrintPreviewStickySettings PrintPreviewUseSystemDefaultPrinter PrintRasterizationMode PrintRasterizePdfDpi PrintStickySettings PrinterTypeDenyList PrintingAllowedBackgroundGraphicsModes PrintingBackgroundGraphicsDefault PrintingEnabled PrintingPaperSizeDefault PrintingWebpageLayout PromptForDownloadLocation PromptOnMultipleMatchingCertificates ProxyBypassList ProxyMode ProxyPacUrl ProxyServer QuickSearchShowMiniMenu QuickViewOfficeFilesEnabled ReadAloudEnabled RegisteredProtocolHandlers RelatedMatchesCloudServiceEnabled ResolveNavigationErrorsUseWebService RestoreOnStartup RestoreOnStartupURLs RestoreOnStartupUserURLsEnabled RestorePdfView SSLErrorOverrideAllowed SSLErrorOverrideAllowedForOrigins SameOriginTabCaptureAllowedByOrigins ScreenCaptureAllowed ScreenCaptureAllowedByOrigins ScrollToTextFragmentEnabled SearchFiltersEnabled SearchForImageEnabled SearchInSidebarEnabled SearchSuggestEnabled SecurityKeyPermitAttestation SendIntranetToInternetExplorer SensorsAllowedForUrls SensorsBlockedForUrls SerialAskForUrls SerialBlockedForUrls ShowAcrobatSubscriptionButton ShowCastIconInToolbar ShowDownloadsToolbarButton ShowHomeButton ShowMicrosoftRewards ShowOfficeShortcutInFavoritesBar ShowPDFDefaultRecommendationsEnabled ShowRecommendationsEnabled SignedHTTPExchangeEnabled SleepingTabsBlockedForUrls SleepingTabsEnabled SleepingTabsTimeout SmartActionsBlockList SpeechRecognitionEnabled SpellcheckEnabled SpellcheckLanguage SpellcheckLanguageBlocklist SyncDisabled TabCaptureAllowedByOrigins TabServicesEnabled TextPredictionEnabled TrackingPrevention TranslateEnabled URLAllowlist URLBlocklist UnthrottledNestedTimeoutEnabled UserAgentReduction VerticalTabsAllowed VideoCaptureAllowed VideoCaptureAllowedUrls VisualSearchEnabled WalletDonationEnabled WebAppInstallForceList WebHidAskForUrls WebHidBlockedForUrls WebRtcLocalIpsAllowedUrls WebRtcLocalhostIpHandling WebRtcUdpPortRange WebSQLAccess WebSelectEnabled WorkspacesNavigationSettings

Was kann man dagegen tun?

Der Benutzer muss die Synchronisation seines Edge Browser Profils mit seinem persönlichen Microsoft Account beenden, hierzu auf das “Zahnrad” klicken:

Nach dem Abmelden von der Profil-Synchronisierung funktionieren die Policies wieder wie erwartet:

Ist dieses Verhalten ein Bug / Fehler?

Ob es sich hierbei um einen Fehler handelt ist mit Stand 22.08.2023 nicht ganz klar. Die Dokumentation, die dieses Verhalten beschreibt, bezieht sich eigentlich auf “Edge for Business”, als ein Szenario wo der Anwender ein Business-Profil und ein (optionales) persönliches Profil nutzen kann. Das Entfernen der Policies bezieht sich dann auf das persönliche Profil. Warum Edge – obwohl gar kein Business-Profil existiert – dennoch sich so verhält, als wäre der Browser im “Edge for Business” Modus, und vom einzigen vorhandenen Profil mit MSA-Synchronisierung die Policies “stripped” ist vermutlich für sehr viele Administratoren KEIN erwünschtes Verhalten.

Ich habe Microsoft im Tech-Community-Forum über dieses Problem informiert.

=> Microsoft dürfte (siehe Ergänzung unten) schließlich einlenken und die Änderung entschärfen!

Was kann ich als Administrator dagegen tun? -> RestrictSigninToPattern

Vorerst kann man vermutlich nur die Anmeldung zur Synchronisation des Profils mittels persönlichem Microsoft Account generell unterbinden. Dies funktioniert mittels der Policy RestrictSigninToPattern. Wer kein Microsoft Azure AD bzw. Microsoft Entra ID Login benutzt kann hier auch einfach eine “ungültige” Pattern die sämtliche Logins ausschließt eingeben. Der entsprechende Registry-Key lautet HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge -> RestrictSigninToPattern (Typ: Reg-SZ) mit Wert z.B.: “.*@no-signin-allowed“

Ausblick -> Behebung in neueren Edge-Versionen? JA!

Es sieht so aus, als ob Microsoft nun einlenkt und die Thematik entschärft.

Die Policies funktionieren nun bei Nutzung eines einzelnen Microsoft Profils (MSA) für den Sync wieder, und zwar ab folgenden Edge-Versionen:

Stand per 24.08.2023 wie folgt:

Edge Dev Version 117.0.2045.7
Edge Canary Version 118.0.2057.0

Seitens Microsoft behoben / gelöst ab 26.08.2023 mit:

Edge Stable Version 116.0.1938.62

16 Comments

Pingback: Edge Policies for non-Domain-joined Devices – Successfully apply HomepageLocation, DefaultSearchProvider, … – Gunnar Haslinger
Samuel S Tai sagt:

24. August 2023 um 08:39 Uhr

On my system, Edge policies survive logging out and then logging back in to restart MSA synchronization. I don’t know how long this work-around will be available.

Antworten
1. Gunnar Haslinger sagt:
  
  24. August 2023 um 08:51 Uhr
  
  Yes, logging out MSA and reLogin (but not ReStart Edge!) currently works. Hopefully this gets changed / fixed soon.
  
  Antworten
Rainman sagt:

30. August 2023 um 16:41 Uhr

Leider nicht behoben mit Edge Stable Version 116.0.1938.62

ManagedSearchEngines greift weiterhin nicht im privaten Profil.

Antworten
1. Gunnar Haslinger sagt:
  
  30. August 2023 um 17:53 Uhr
  
  Habe Policy ManagedSearchEngines soeben erfolgreich mit Edge Stable Version 116.0.1938.62 und einem angemeldeten und synchronisierten MSA Profil getestet, funktioniert. Kann die Beobachtung somit NICHT bestätigen.
  
  Antworten
Rainman sagt:

30. August 2023 um 18:10 Uhr

ja, es geht, wenn man sich einmal von der Synchronisierung ab- und dann wieder angemeldet hat.

Antworten
Rainman sagt:

15. September 2023 um 16:49 Uhr

Edge Stable Version 116.0.1938.81: Policy ManagedSearchEngines wird erneut nicht berücksichtigt!

Antworten
1. Gunnar Haslinger sagt:
  
  15. September 2023 um 17:28 Uhr
  
  Habe soeben Edge 116.0.1938.81 (Offizielles Build) (64-Bit) auf Win10 22H2 mit aktuellem Patchstand erfolgreich mit gesetzter Policy ManagedSearchEngines getestet, wird akzeptiert. Die Policy ManagedSearchEngines ist außerdem gar keine “Sensitive Policy”, wenn dies nicht funktioniert muss das also definitiv eine andere Ursache haben und hat nichts mit dem Fake-MDM-Provider zu tun.
  
  Antworten
Rainman sagt:

15. September 2023 um 18:28 Uhr

Setze mal meine Provider, dann wirst du sehen, dass diese nach einem Browser-Neustart nicht vorhanden sind bei einem Non-Enterprise-Konto.

https://paste.ee/p/UIrCA

Antworten
1. Gunnar Haslinger sagt:
  
  15. September 2023 um 18:42 Uhr
  
  Getestet, funktioniert bei mir. Scheint in edge://policy mit “OK” auf. Mein genutztes Edge-Konto ist ein persönlicher Microsoft Account (MSA). Wenn die Policy ignoriert werden würde, dann würde sie übrigens explizit als “Ignoriert” ausgewiesen werden – ein “scheint nicht auf” muss daher eine andere Ursache haben.
  
  Antworten
  1. Rainman sagt:
    
    16. September 2023 um 02:01 Uhr
    
    Okay, danke für den Test. Aber was soll es sonst sein?
    
    Vor 116 klappte die Policy problemlos. Dann ab 116.0.x kaputt, ab 116.0.1938.62 wieder okay (aber man musste sich einmal vom Sync ab- und anmelden) und nun ab 116.0.1938.81 wieder kaputt. Zumindest bei mir. Sync ab- und anmelden hab ich schon versucht.
    
    Kann es vielleicht sein, dass Edge 116.0.x bei mir durcheinander kommt, weil ich habe in einer Instanz zwei MS-Konten angemeldet! Das erste Profil ist mein privater MS-Account und das 2. Profil ist mein Office 365 Firmenaccount. Beim Firmenaccount klappt ManagedSearchEngine in jeder Version immer. Die Probleme treten nur beim privaten Account auf.
    
    Ich verwende auch seit nem Jahr immer die selbe Policy ManagedSearchEngine, es gab keine Änderung.
    
    Antworten
Rainman sagt:

17. September 2023 um 18:24 Uhr

Dass ich den Microsoft Edge for Business auf für mein privates Profil nutze sollte aber egal sein, oder?

Antworten
1. Gunnar Haslinger sagt:
  
  17. September 2023 um 19:11 Uhr
  
  Wird eines deiner Profile mit dem Briefcase-Symbol gekennzeichnet? Dann läuft Edge mit diesem im Edge for Business Modus und die anderen Profile als privat.
  
  Ignorierte Policies scheinen aber stets unter edge://policy als “Ignoriert” auf. Wenn die Policy hingegen gar nicht aufschreint ist die Syntax falsch.
  
  Antworten
Rainman sagt:

18. September 2023 um 16:45 Uhr

Also es sieht wie folgt aus:

b) Privater Account:
ManagedSearchEngines
Quelle: Plattform
Gilt für: Aktueller Benutzer
Ebene: Erforderlich
Status: Fehler, Ignoriert

a) Firmenaccount (Briefcase-Symbol):
ManagedSearchEngines
Quelle: Plattform
Gilt für: Aktueller Benutzer
Ebene: Erforderlich
Status: OK

Antworten
1. Gunnar Haslinger sagt:
  
  18. September 2023 um 18:18 Uhr
  
  Naja, das ist dann aber das klassische “Edge for Business” Szenario, und kein reines Microsoft Account (MSA) Szenario. Insofern würde ich sagen: Das verhält sich nun bei Dir so, wie von Microsoft eben designed und dokumentiert. Schau mal im TechCommunity Forum hier, dort haben zahlreiche Admins schon den Wunsch geäußert, dass Edge for Business per Policies deaktivierbar sein sollte – würde vorschlagen Du gibst dort auch Deinen Wunsch bekannt.
  
  Antworten
Rainman sagt:

19. September 2023 um 09:52 Uhr

ok danke für die Klarstellung.

Antworten

Gunnar Haslinger

My shared public notes: Blog about IT, Security, etc …

Microsoft Edge Policies werden ignoriert wenn mit persönlichem Microsoft Account angemeldet

Was kann man dagegen tun?

Ist dieses Verhalten ein Bug / Fehler?

Was kann ich als Administrator dagegen tun? -> RestrictSigninToPattern

Ausblick -> Behebung in neueren Edge-Versionen? JA!

16 Comments

Schreibe einen Kommentar Antworten abbrechen

Was kann man dagegen tun?

Ist dieses Verhalten ein Bug / Fehler?

Was kann ich als Administrator dagegen tun? -> RestrictSigninToPattern

Ausblick -> Behebung in neueren Edge-Versionen? JA!

You May Also Like

Windows UserChoice Protection Driver UCPD / UCPD.sys / UCPDMgr.exe

WinGet – Windows Package Manager

16 Comments

Schreibe einen Kommentar Antworten abbrechen