Kurz notiert: Damit der Microsoft Edge per WSUS gepatched wird sollte folgende Policy aus der „msedgeupdate.admx“ gesetzt werden:
- Computer Configuration\Administrative Templates\Microsoft Edge Update\Applications\Update policy override default (https://gpsearch.azurewebsites.net/#15095)
- Updates disabled
Damit werden die Edge Chromium eigenen Update Routinen deaktiviert und die Updates lediglich vom WSUS bezogen und je nach Konfiguration zeitnah nach der Genehmigung bzw. im vorgesehenen Patch-Fenster installiert. Wer die häufig erscheinenden MS Edge Updates nicht reihenweise händisch am WSUS freigeben möchte und mit einer automatischen Genehmigung arbeitet, der könnte die o.g. Policy auch folgendermaßen einrichten:
- Computer Configuration\Administrative Templates\Microsoft Edge Update\Applications\Update policy override default (https://gpsearch.azurewebsites.net/#15095)
- Automatic silent updates only
In dieser Konfiguration würden ebenfalls die Edge eigenen Update Routinen nach Updates suchen und diese entsprechend automatisiert (am WSUS vorbei) installieren. Praktischerweise reported der Client seinen Status dann dennoch an den WSUS, sodass früher oder später auch ein grüner Haken am Client ist. Ob das Update hier vom WSUS oder von Microsoft direkt ausgeliefert wird, ist im Grunde reine Glücksache wer das Update zuerst „meldet“ und welche Update-Routine (WSUS oder Edge) zuerst angefragt wird.
Erst mal DANKE für den Blog-Eintrag!
Ich habe die o.g. GPO gesetzt, am Ende führt das zu einem Registry-Eintrag am Client unter HKLM\Software\Policies\Microsoft\EdgeUpdate.
Updates werden wie hier beschrieben am WSUS angezeigt und nach Genehmigung durch den Client heruntergeladen.
Leider funktioniert im Anschluss die Installation des Updates am Client nicht. Das klappt erst, wenn ich den o.g. Reg.-Key lösche (musste ich auch schon machen, um die Edge-Enterprise-MSI überhaupt erstmalig installieren zu können).
Das ist m.E. ein „die Katze beißt sich in den Schwanz“-Problem, denn wenn ich den Key (dauerhaft) lösche, holt der Edge sich seine Updates direkt von MS, was ich bei ~250 PCs im LAN nicht möchte.
Gibt es dazu evtl. eine Idee oder gar eine Lösung?
Moin,
bitte. 🙂 An welcher Stelle (Windows Update Client oder Edge interner Updater) versuchst du das Update zu installieren?
Wenn die Policy auf „Updates disabled“ konfiguriert ist, kann das Update nur noch per WSUS und WU Client kommen. Der WU Client sollte dir (und dem WSUS) dann aber auch einen Fehler melden. „Notfalls“ auch mal in den Logs gucken: Get-WindowsUpdateLog
Viele Grüße
Jan
Die Policy steht auf „Update disabled“, daher kommt das Update über den WSUS. Bei dem Versuch des WU-Clients, das vom WSUS heruntergeladene Update zu installieren, läuft das Ganze dann aber in einen Fehler (jetzt an mehreren APCs getestet; Fehler aus dem Ereignisprotokoll s. unten).
Identisches Fehlerbild hatte ich auch schon, als ich die Edge-Chromium-Enterprise-MSI auf dem Client erstmalig installieren wollte. Auch das funktionierte nur, nachdem ich „HKLM\Software\Policies\Microsoft\EdgeUpdate“ gelöscht hatte.
Und genau so verhält es sich jetzt eben auch mit dem Update.
*******************************************************************
Product: Microsoft Edge — Error 1722. There is a problem with this Windows Installer package. A program run as part of the setup did not finish as expected. Contact your support personnel or package vendor. Action DoInstall, location: C:\Windows\Installer\MSI96A1.tmp, command: /silent /install „appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft Edge&needsAdmin=True&usagestats=0&ap=stable-arch_x64“ /installsource enterprisemsi /appargs „appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&installerdata=%7B%22distribution%22%3A%7B%22msi%22%3Atrue%2C%22system_level%22%3Atrue%2C%22verbose_logging%22%3Atrue%2C%22msi_product_id%22%3A%22B0A973DA-20EB-3CC8-AA49-9A27C459B7D3%22%2C%22allow_downgrade%22%3Afalse%2C%22do_not_create_desktop_shortcut%22%3Afalse%2C%22do_not_create_taskbar_shortcut%22%3Afalse%7D%7D“
Hi,
wenn das mit identischem Fehler auch bei einer Neuinstallation passiert, würde ich mal versuchen per „msiexec“ das Edge MSI (msiexec.exe /i) zu installieren und im Log suchen. Wenn sich da nichts brauchbares findet:
Gruß
Jan
Fehler gefunden:
Ich hatte – peinlicherweise – unter
„Computerkonfiguration\Richtlinien\Administrative Vorlagen\ Microsoft Edge-Update\Anwendungen“
den Punkt
„Standardeinstellung für Installation zulassen“
auf „Deaktiviert“ stehen….
Zu meiner Entschuldigung kann ich anführen, dass ich irgendwo gelesen hatte, das so setzen zu müssen, um den Edge-Self-Updater abzuschalten.
Hehe, danke für die Rückmeldung! Kenne solche „Probleme“ selber ganz gut. 😀
Hallo,
gibt es auch eine Möglichkeit, dass der Edge mit seiner internen Update Routine den WSUS befragt und nicht zwingend ins Internet muss?
Quasi so wie es der Defender kann/macht,.
Oder kann der Edge echt nur entweder oder?
Gruß IceBeer
Hi IceBeer,
AFAIK geht nur entweder oder. Was würdest du für ein Szenario mit der internen Routine und WSUS erschlagen wollen?
Gruß
Jan