Microsoft Edge per WSUS patchen

Kurz notiert: Damit der Microsoft Edge per WSUS gepatched wird sollte folgende Policy aus der „msedgeupdate.admx“ gesetzt werden:

Damit werden die Edge Chromium eigenen Update Routinen deaktiviert und die Updates lediglich vom WSUS bezogen und je nach Konfiguration zeitnah nach der Genehmigung bzw. im vorgesehenen Patch-Fenster installiert. Wer die häufig erscheinenden MS Edge Updates nicht reihenweise händisch am WSUS freigeben möchte und mit einer automatischen Genehmigung arbeitet, der könnte die o.g. Policy auch folgendermaßen einrichten:

In dieser Konfiguration würden ebenfalls die Edge eigenen Update Routinen nach Updates suchen und diese entsprechend automatisiert (am WSUS vorbei) installieren. Praktischerweise reported der Client seinen Status dann dennoch an den WSUS, sodass früher oder später auch ein grüner Haken am Client ist. Ob das Update hier vom WSUS oder von Microsoft direkt ausgeliefert wird, ist im Grunde reine Glücksache wer das Update zuerst „meldet“ und welche Update-Routine (WSUS oder Edge) zuerst angefragt wird.

7 Kommentare

  1. Erst mal DANKE für den Blog-Eintrag!

    Ich habe die o.g. GPO gesetzt, am Ende führt das zu einem Registry-Eintrag am Client unter HKLM\Software\Policies\Microsoft\EdgeUpdate.

    Updates werden wie hier beschrieben am WSUS angezeigt und nach Genehmigung durch den Client heruntergeladen.

    Leider funktioniert im Anschluss die Installation des Updates am Client nicht. Das klappt erst, wenn ich den o.g. Reg.-Key lösche (musste ich auch schon machen, um die Edge-Enterprise-MSI überhaupt erstmalig installieren zu können).

    Das ist m.E. ein „die Katze beißt sich in den Schwanz“-Problem, denn wenn ich den Key (dauerhaft) lösche, holt der Edge sich seine Updates direkt von MS, was ich bei ~250 PCs im LAN nicht möchte.

    Gibt es dazu evtl. eine Idee oder gar eine Lösung?

    1. Moin,

      bitte. 🙂 An welcher Stelle (Windows Update Client oder Edge interner Updater) versuchst du das Update zu installieren?
      Wenn die Policy auf „Updates disabled“ konfiguriert ist, kann das Update nur noch per WSUS und WU Client kommen. Der WU Client sollte dir (und dem WSUS) dann aber auch einen Fehler melden. „Notfalls“ auch mal in den Logs gucken: Get-WindowsUpdateLog

      Viele Grüße
      Jan

  2. Die Policy steht auf „Update disabled“, daher kommt das Update über den WSUS. Bei dem Versuch des WU-Clients, das vom WSUS heruntergeladene Update zu installieren, läuft das Ganze dann aber in einen Fehler (jetzt an mehreren APCs getestet; Fehler aus dem Ereignisprotokoll s. unten).

    Identisches Fehlerbild hatte ich auch schon, als ich die Edge-Chromium-Enterprise-MSI auf dem Client erstmalig installieren wollte. Auch das funktionierte nur, nachdem ich „HKLM\Software\Policies\Microsoft\EdgeUpdate“ gelöscht hatte.
    Und genau so verhält es sich jetzt eben auch mit dem Update.

    *******************************************************************

    Product: Microsoft Edge — Error 1722. There is a problem with this Windows Installer package. A program run as part of the setup did not finish as expected. Contact your support personnel or package vendor. Action DoInstall, location: C:\Windows\Installer\MSI96A1.tmp, command: /silent /install „appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft Edge&needsAdmin=True&usagestats=0&ap=stable-arch_x64“ /installsource enterprisemsi /appargs „appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&installerdata=%7B%22distribution%22%3A%7B%22msi%22%3Atrue%2C%22system_level%22%3Atrue%2C%22verbose_logging%22%3Atrue%2C%22msi_product_id%22%3A%22B0A973DA-20EB-3CC8-AA49-9A27C459B7D3%22%2C%22allow_downgrade%22%3Afalse%2C%22do_not_create_desktop_shortcut%22%3Afalse%2C%22do_not_create_taskbar_shortcut%22%3Afalse%7D%7D“

    1. Hi,

      wenn das mit identischem Fehler auch bei einer Neuinstallation passiert, würde ich mal versuchen per „msiexec“ das Edge MSI (msiexec.exe /i ) zu installieren und im Log suchen. Wenn sich da nichts brauchbares findet:

      1. blanken Testclient schnappen
      2. in eine eigene, neue OU packen
      3. GPO Vererbung deaktivieren
      4. neues GPO erstellen, nur die Edge Update Policy konfigurieren und verlinken
      5. Testen / ggfs. wieder per „msiexec“ und Logging

      Gruß
      Jan

      1. Fehler gefunden:
        Ich hatte – peinlicherweise – unter

        „Computerkonfiguration\Richtlinien\Administrative Vorlagen\ Microsoft Edge-Update\Anwendungen“

        den Punkt

        „Standardeinstellung für Installation zulassen“

        auf „Deaktiviert“ stehen….

        Zu meiner Entschuldigung kann ich anführen, dass ich irgendwo gelesen hatte, das so setzen zu müssen, um den Edge-Self-Updater abzuschalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.