Microsoft Edge Chromium – Internet Explorer-Integration, Beta-Kanal, AAD single sign-on – Update 15.09.19
Einleitung
Vor mehr als 6 Wochen habe ich zuletzt über dieses Thema geschrieben, und während die meisten wahrscheinlich im Urlaub die Sonne genossen haben (mich eingeschlossen), haben die Entwickler bei Microsoft einige neue Funktionen in den neuen Edge Browser eingebaut, welcher auf dem Chromium open source-Projekt basiert. Die offizielle Roadmap findet sich weiter unten, doch es gibt einige spezifische Funktionen, auf die ich heute weiter eingehen möchte.
Als erstes möchte ich darauf hinweisen, dass ein neuer Kanal (Beta) für den Edge (Chromium) zur Verfügung steht.
Als zweites ist die Unterstützung für single sign-on mit Azure Active Directory Konten zu betrachten, die in allen 3 Kanälen angeboten wird.
Als drittes, die Integration von Internet Explorer in Edge. Zwar handelt es sich nicht um eine neue Funktion an sich, dennoch möchte ich es heute genauer beleuchten, da es aus meiner Sicht den größten Mehrwert für Enterprise-Kunden bietet, und mir auch noch kein umfassender Artikel zu diesem Thema bekannt geworden ist. Konkret soll es darum gehen, automatisch zwischen Edge (Chromium) und Internet Explorer zu wechseln, wobei beides in einem eigenen Tab in Edge angezeigt wird.
Beta-Kanal
Seit dem 20. August ist der dritte und letzte Kanal für die Vorschau von Edge (Chromium) zum Download verfügbar (hier die offizielle Ankündigung).
Mit einer Kadenz von 6 Wochen für neue Features handelt es sich um den stabilsten Updatekanal des neuen Browsers, jedoch auch den langsamsten, der als letztes neue Funktionen erhält. Sicherheitsupdates und Bugfixes können jedoch auch häufiger verteilt werden.
Dies ist der letzte Test-Kanal – ein gutes Zeichen, denn dies bedeutet nicht nur dass Microsoft den Browser jetzt von einer größeren Masse testen lassen will (Dev und Canary waren eher für Entwickler und Systemadministratoren gedacht), sondern auch, dass sich die Software ihrem offiziellen Releasetermin nähert, den Microsoft noch nicht genauer spezifiert hat.
Ferner handelt es sich auch um die einzige Version des Browsers, die aktuell die Synchronisation von Daten über AAD-Accounts zulässt, doch mehr dazu später.
Wie der Dev-Kanal, wird auch der Beta Kanal ordnungsgemäß im Programmverzeichnis installiert, sofern die Installation mit administrativen Berechtigungen durchgeführt wird. Da der Canary auf diesen Luxus verzichtet, kann er als weniger sicher betrachtet werden, da man ohne Adminrechte den Browser manipulieren oder austauschen kann.
Die Gruppenrichtlinien von Microsoft Edge (Chromium) gelten immer für alle Kanäle. Wenn Sie also Gruppenrichtlinien für Edge Dev verteilen, so werden diese auch sofort auf Edge Beta angewendet, sollten Sie diesen installieren. Die einzige Ausnahme sind die Richtlinien für den Updater – hier gibt es einzelne Policies für jeden Kanal.
Stabilität ist eine für Software unverzichtbare Eigenschaft, insbesondere wenn es Browser geht. Daher ist Beta der am besten geeignete Kanal für eine größere Evaluierung im Enterprise.
Der Dev-Kanal hat sich in meinem Test jedoch ebenfalls als äußerst stabil erwiesen, und ich würde ihn für Entwickler und andere professionelle Anwender auch weiterhin empfehlen, wenn es darum geht, die Entwicklung etwas genauer zu verfolgen und auch häufiger neue Funktionen testen zu können.
Single sign-on mit Azure Active Directory-Konten
Schon von Anfang an konnten Edge-Insider sich im neuen Edge (Chromium) mit ihren Microsoft-Accounts anmelden, um Einstellungen und Browserdaten zwischen Geräten zu synchronisieren. Seit Ende August ist diese Option nun auch für Firmenkunden verfügbar, die sich mit einem Azure Active Directory Account anmelden, der durch ihre Organisation oder Schule bereitgestellt wird. Somit wird eine weitere Alternative für Anwender von Chromium-basierten Browsern geschaffen, die nicht Google heißt und Synchronisation und Single sign-on für Microsoft-Dienste wie z.B. Azure oder Office365 zur Verfügung stellt. Für den Anwender stellt sich dies als nahtlos dar, er wird automatisch im Browser angemeldet, wenn ein dienstliches Konto mit dem Gerät verknüpft ist, und Single sign-on wird für alle unterstützten Seiten aktiviert.
Anschließend können Seiten wie outlook.office.com aufgerufen werden und der User wird automatisch angemeldet.
Was die Synchronisierung betrifft, so gibt es aktuell noch ein paar Einschränkungen. Zunächst ist die Synchronisierung mit einem AAD-Konto nur für Azure Active Directory Premium Konto möglich (Quelle). Ferner ist die Funktion auch nur im aktuellen Beta-Kanal verfügbar, in den anderen Kanälen (Dev (78.0.249.1 / Canary 78.0.262.0) läuft diese scheinbar nicht. Zuletzt lassen sich auch noch nicht alle Arten von Daten synchronisieren – der Browserverlauf, geöffnete Tabs und Erweiterungen werden noch nicht synchronisiert. Hier gilt das gleiche wie bei der Synchronisierung mit einem Microsoft-Account: Nur Favoriten, Einstellungen, Passwörter und Adress- bzw. Telefonnummerneinträge werden zwischen Geräten synchronisiert.
Internet Explorer-Integration
In meinem vorigen Blogartikel habe ich dargelegt, warum der IE Mode aus meiner Sicht das für Firmenkunden nützlichste neue Feature von Edge (Chromium) darstellen könnte, und auch eine deutliche Verbesserung gegenüber der bisherigen Implementierung für Edge (UWP) bringen könnte.
Nach einigen Tests kann ich sagen, dass diese Erwartung erfüllt wird, und möchte demonstrieren, wie Sie davon profitieren können.
Sobald Edge (Chromium) korrekt konfiguriert wurde, lassen sich Webseiten, die Internet Explorer benötigen einfach in einem neuen Tab in Edge (Chromium) öffnen, dafür muss der IE selbst nicht extra gestartet und mit mehreren Fenstern hantiert werden. Die Benutzererfahrung ist deutlich schneller und nahtloser als zuvor, als Endanwender nimmt man den Wechsel zu IE für vereinzelte Seiten kaum wahr.
Dadurch erledigt sich auch das Dilemma, dass IE für einige Seiten zwingend benötigt wird, man für generelle Aufgaben im Internet aber dringend einen modernen und sicheren Browser benötigt. Durch die Lösung kann man einfach alle Seiten in Edge anzeigen und automatisch zwischen IE und Chromium Engine wechseln.
Zu Demonstrationszwecken habe ich mich für einen der typischsten Anwendungsfälle für Internet Explorer entschieden: Silverlight. Anhand der Seite demos.telerik.com lässt sich Silverlight in IE11 gut demonstrieren. Wie erwartet funktioniert die Seite zunächst nur in Internet Explorer korrekt. Hier die Darstellung im Vergleich zwischen IE11 und Edge (Chromium) Beta:
1. IE mode
Zunächst müssen wir dafür sorgen, dass Edge den IE mode verwenden kann, und können die Seite in diesem Modus testen. IE mode ist ab Edge (Chromium) version 77 verfügbar.
IE mode wird nicht nur für Windows 10 ab 1709 bis 1903, sondern auch für Windows 7, 8/7.1, Windows Server 2019 sowie 2008R2 und 2012R2 unterstützt. Was frühere Windows 10 Versionen oder Windows Server 2016 betrifft, so ist die Funktionalität laut Microsoft noch nicht verfügbar, dies soll sich jedoch zukünftig noch ändern, da alle Plattformen, auf denen IE11 läuft, das Feature unterstützen sollen.
Die Tests wurden auf einem Windows 10 1809 sowie 1903-System mit den neuesten Cumulative Updates (CU) durchgeführt. Falls der IE Mode bei Ihnen nicht funktioniert, sollten Sie prüfen, ob sie das neueste Kumulative Update (CU) installiert haben.
Über die Gruppenrichtlinie “Internet Explorer-Integration konfigurieren” und “Internet Explorer-Modus” lässt sich die Funktion zunächst aktivieren.
Von nun an wird der Browser die Gruppenrichtlinie von Internet Explorer für die Enterprise Mode Site List überprüfen. Dort können Webseiten eingetragen werden, die normalerweise in IE geöffnet werden sollen. Diese werden nun im Edge IE Mode angezeigt. Alternativ kann die Richtlinie “Send all Intranet Sites to Internet Explorer” aktiviert werden, sodass alle Seiten, die vom System als Intranet erkannt werden, automatisch im IE mode geöffnet werden.
Es gibt noch eine dritte Option, die jedoch nicht offiziell unterstützt ist und jederzeit durch einen Patch wieder entfernt werden könnte. Dadurch lässt sich der Internet Explorer Modus für einzelne Seiten manuell aktivieren. Fügt man
--ie-mode-test
zu den Startparametern der Verknüpfung hinzu findet sich eine neue Option (sowie eine Warnmeldung) in Edge Canary, Dev oder Beta:
Es scheint wahrscheinlich, dass Microsoft diese Option aus der finalen Version des Browsers entfernen wird, sodass nur Unternehmensanwender und Administratoren mittels der Enterprise Mode Site List den IE Mode nutzen können werden (source). Es ist zwar praktisch, jegliche Webseite bei Bedarf im IE Mode öffnen zu können. Dies stellt jedoch auch ein Sicherheitsrisiko dar, vor dem Privatanwender bewahrt werden sollen, schließlich würde damit das System für alle Exploits und Schwachstellen angreifbar, die Internet Explorer 11 betreffen. Aus sicherheitstechnischen Aspekten ist es zu bevorzugen, den IE Mode nur für einige wenige zuvor konfigurierte Seiten zu erlauben. Mit diesem Trick ist es jedoch momentan noch möglich, den IE Mode ausgiebig zu testen.
Nach erledigter Konfiguration öffnen wir erneut die Demoseite. Nun kann Edge (Chromium) den IE Mode verwenden, um die Webseite anzuzeigen. Dabei wird der Internet Explorer-Tab im Edge-Fenster angezeigt. Erkennbar wird dieser Modus durch das kleine blaue IE-Logo in der Adressleiste. Natürlich sind auch die meisten neuen Funktionen von Edge, sowie Browsererweiterungen in diesem Fenster nicht wirksam, da die Funktionalität IE11 entspricht.
Somit haben wir geprüft, dass die Seite ordnungsgemäß im IE Mode funktioniert. Wir fügen diese der Enterprise Mode Site List hinzu, damit dieser Wechsel in Zukunft automatisch geschieht.
2. Die Enterprise Mode Site List mit Edge (Chromium) verwenden
Diese Funktionalität war ursprünglich dafür bestimmt, die verschiedenen Dokumentenmodi von Internet Explorer per Gruppenrichtlinie festzulegen. Später wurde die Unterstützung für den Microsoft Edge Browser hinzugefügt, sodass Anwender automatisch zwischen dem alten Edge (UWP) und IE wechseln konnten. Da Edge eine “Modern App” (UWP-Anwendung) und IE eine Win32-Applikation ist, waren hierfür immer zwei separate Browserfenster nötig, da die Basis der beiden Browser verschieden ist. Dies konnte zu geringer Akzeptanz und Verwirrung beim Anwender führen, da dieser immer die Fenster zwei verschiedener Browser geöffnet haben musste, die auch unterschiedlich zu bedienen waren.
Beim neuen Edge (Chromium) handelt es sich jedoch um eine Win32-Applikation. Somit war es den Entwicklern möglich, die IE-Fenster in Edge-Tabs zu integrieren.
Falls Sie noch nicht mit der Enterprise Mode Site List vertraut sind, empfehle ich die Lektüre von diesem Artikel von meinem Kollegen Jan, und natürlich die offizielle Dokumentation des Features.
Einfach ist die Erstellung und Verwaltung der Site List mit dem Enterprise Mode Site List Manager. Dadurch werden URLs automatisch überprüft und er erleichtert die Organisation der Webseiten durch Notizen und Versionsnummern. Jegliche Webseiten die in IE Mode geöffnet werden sollen, sind hierbei auf “IE11” zu setzen.
Nach dem Export als XML-Datei sollte die Site List an einen Ort kopieren können, der all ihren Nutzern zugänglich ist. Im Unternehmen bietet sich eine Netzwerkfreigabe an, beim einfachen Test kann man aber auch die lokale Maschine verwenden. Hier sehen Sie das Ergebnis aus unserem Beispiel oben:
<site-list version="5">
<created-by> <tool>EMIESiteListManager</tool> <version>10.0.14357.1004</version> <date-created>09/02/2019 13:00:56</date-created> </created-by> <site url="www.sepago.de"> <compat-mode>Default</compat-mode> <open-in>IE11</open-in> </site> <site url="demos.telerik.com/silverlight"> <compat-mode>Default</compat-mode> <open-in>IE11</open-in> </site></site-list>
Da wir den IE-Mode bereits aktiviert haben, müssen wir Edge (Chromium) nur noch mitteilen, an welchem Ort die Site List gespeichert wurde. Hierbei verwendet der Browser die Gruppenrichtlinie von Internet Explorer, die dies definiert, daher muss diese konfiguriert werden.*
Nachdem gpupdate (oder der automatische Gruppenrichtlinienabruf) durchgeführt wurde, ist ein wenig Geduld gefragt. Microsoft gibt an, dass Edge erst nach 65 Sekunden die Enterprise Mode Site List verarbeitet hat. Leider haben wir die Erfahrung gemacht, dass das in den meisten Fällen tatsächlich so lange dauert.
Von nun können jegliche Webseiten, die in der sitelist.xml angegeben wurden, automatisch in IE Mode aufgerufen werden. Bei Bedarf schließt das sogar die Startseite des Browser mit ein.
Alle anderen Webseiten werden natürlich wie gewohnt in Edge (Chromium) angezeigt.
*Update: Neue Richtlinie für die sitelist.xml
Wenige Wochen nach dem verfassen dieses Artikels hat Microsoft einige neue Gruppenrichtlinien für Edge (Chromium) veröffentlicht. Darunter befindet sich unter anderem die Option, separate Site Lists für IE/Edge (UWP) und den neuen Edge (Chromium) zu verwenden.
Zusätzlich zur bestehenden Richtlinie im Internet Explorer-Zweig findet sich nun eine identisch verwendbare Gruppenrichtlinie “Configure the Enterprise Mode Site List” unter den Gruppenrichtlinien für Edge (Chromium). Dies ist nützlich für Entwickler oder Unternehmen, die lediglich den neuen IE Mode testen wollen, ohne die bestehende IE und Edge Site List anpassen zu müssen.