Verwenden von Gruppenrichtlinien zur Verwaltung von Microsoft Edge Erweiterungen

In diesem Artikel werden die Optionen und Schritte zum Verwalten von Erweiterungen mithilfe von Gruppenrichtlinien beschrieben. Bei diesen Optionen wird davon ausgegangen, dass Sie microsoft Edge bereits für Ihre Benutzer verwaltet haben. Wenn Sie Microsoft Edge noch nicht so eingerichtet haben, dass es für Ihre Benutzer verwaltet wird, folgen Sie dem folgenden Link, um dies jetzt zu tun.

• Verwalten von Microsoft Edge-Erweiterungen im Unternehmen

Hinweis

Der Microsoft Edge-Verwaltungsdienst, ein dediziertes und vereinfachtes Verwaltungstool im Microsoft 365 Admin Center, wird jetzt eingeführt. Mehr dazu.

Blockieren von Erweiterungen basierend auf ihren Berechtigungen

Mithilfe der ExtensionSettings-Richtlinie können Sie steuern, welche Erweiterungen Ihre Benutzer basierend auf Berechtigungen installieren können. Wenn eine installierte Erweiterung eine blockierte Berechtigung benötigt, wird sie einfach nicht ausgeführt. Die Erweiterung wird nicht entfernt, nur deaktiviert.

Hinweis

Die Einstellung für blockierte Berechtigungen kann nur innerhalb der Erweiterungseinstellungsrichtlinie festgelegt werden.

Nutzen Sie die folgenden Schritte als Anleitung, um eine Erweiterung zu blockieren.

1. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor, wechseln Sie zu Administrative Vorlagen > Microsoft Edge-Erweiterungen>, und wählen Sie dann Einstellungen für die Erweiterungsverwaltung konfigurieren aus.

2. Aktivieren Sie die Richtlinie, und geben Sie dann die Berechtigungen ein, die sie zulassen oder blockieren möchten, indem Sie eine JSON-Zeichenfolge verwenden, die komprimiert wird. Der nächste Screenshot zeigt, wie Sie eine Erweiterung blockieren, die die Berechtigung „usb“ verwendet.

   

Das folgende Beispiel zeigt den JSON-Code, um alle Erweiterungen zu blockieren, die die Berechtigung „usb“ und der komprimierten Zeichenfolge verwenden müssen.

JSON-Beispiel

{ 
     "*": { 
          "blocked_permissions": ["usb"] 
     } 
} 

{"*":{"blocked_permissions":["usb"]}} 

Hinweis

Um alle Erweiterungen zu blockieren, die die Berechtigung verwenden, geben Sie als Erweiterungs-ID ein Sternchen an, wie im vorherigen Beispiel gezeigt. Wenn Sie eine Erweiterungs-ID angeben, gilt die Richtlinie nur für diese Erweiterung. Sie können mehrere Erweiterungen blockieren, diese müssen aber als separate Einträge angegeben werden.

Verhindern, dass Webseiten durch Erweiterungen geändert werden

Diese Einstellung verhindert, dass Erweiterungen Daten von sensiblen Websites und Domänen lesen und ändern. Das Blockieren unerwünschter Aktionen erfolgt durch Blockieren von Aktionen wie Skripteinschleusung in Ihre Websites, Lesen der Cookies oder ausführen von Webanforderungsänderungen. Diese Einstellung hindert Ihre Benutzer nicht daran, Erweiterungen zu installieren oder zu entfernen, sie verhindert nur, dass Erweiterungen die angegebenen Websites ändern.

Hinweis

Die Einstellung für zulässige/blockierte Hosts kann nur innerhalb der Erweiterungseinstellungsrichtlinie festgelegt werden.

Sie können die folgenden Einstellungen in der ExtensionSettings-Richtlinie konfigurieren, um Änderungen von Websites oder Domänen zu verhindern (oder zuzulassen):

• Runtime_blocked_hosts. Mit dieser Einstellung wird verhindert, dass Erweiterungen Änderungen vornehmen oder Daten aus den Websites lesen, die Sie angeben.

• Runtime_allowed_hosts. Mit dieser Einstellung können Erweiterungen Änderungen vornehmen oder Daten aus den Websites lesen, die Sie angeben. Das folgende Format wird verwendet, um Ihre Websites in der JSON-Zeichenfolge in der Richtlinie anzugeben:

  [http|https|ftp|*]://[subdomain|*].[hostname|*].[eTLD|*] [http|https|ftp|*],
  

  Hinweis

  [hostname|*], and [eTLD|*] -Abschnitte sind erforderlich, der Abschnitt ist jedoch [subdomain|*] optional.

Die folgende Tabelle zeigt Beispiele für gültige Hostmuster und Vergleichsmuster.

Gültige Hostmuster	Treffer	Stimmt nicht überein
*://*.example.*	http://example.com https://test.example.co.uk	https://example.microsoft.com http://example.microsoft.co.uk
http://example.*	http://example.com http://example.ly	https://example.com http://test.example.com
http://example.com	http://example.com	https://example.com http://test.example.co.uk
*://*	Alle URLs

Nutzen Sie die folgenden Schritte als Anleitung, um den Zugriff von Erweiterungen auf eine Website oder Domäne zu blockieren oder zuzulassen.

1. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor, wechseln Sie zu Administrative Vorlagen > Microsoft Edge-Erweiterungen>, und wählen Sie dann Einstellungen für die Erweiterungsverwaltung konfigurieren aus.
2. Aktivieren Sie die Richtlinie, und geben Sie dann die Berechtigungen ein, die sie zulassen oder blockieren möchten, indem die Berechtigungen in eine einzige JSON-Zeichenfolge komprimiert werden.

In den folgenden Beispielen wird gezeigt, wie Erweiterungen für einen Hostnamen und Erweiterungen in derselben Domäne blockiert werden.

JSON-Beispiel zum Blockieren des Hostnamens

Dieses Beispiel zeigt den JSON-Code und die komprimierte JSON-Zeichenfolge, mit der Sie verhindern, dass eine beliebige Erweiterung auf den www.microsoft.com-Hostnamen zugreift.

{ 
    "*":{ 
            "runtime_blocked_hosts":["www.microsoft.com"] 
    } 
} 

{"*":{"runtime_blocked_hosts":["www.microsoft.com"]}} 

Hinweis

Um für alle Erweiterungen den Zugriff auf eine Webseite zu verhindern, geben Sie als Erweiterungs-ID ein Sternchen an, wie im vorherigen Beispiel gezeigt. Wenn Sie eine Erweiterungs-ID anstelle eines Sternchens angeben, gilt die Richtlinie nur für diese Erweiterung. Sie können mehrere Erweiterungen blockieren, diese müssen aber als separate Einträge angegeben werden.

JSON-Beispiel zum Blockieren von Erweiterungen in derselben Domäne

Dieses Beispiel zeigt den JSON-Code und die komprimierte JSON-Zeichenfolge, mit der Sie verhindern, dass bestimmte Erweiterungen in derselben Domäne „importantwebsite“ ausgeführt werden.

{ 
    "aapbdbdomjkkjkaonfhkkikfgjllcleb": { 
        "runtime_blocked_hosts": ["*://*.importantwebsite"] 
    }, 
    "bfbmjmiodbnnpllbbbfblcplfjjepjdn": { 
        "runtime_blocked_hosts": ["*://*.importantwebsite"] 
    } 
} 

{"aapbdbdomjkkjkaonfhkkikfgjllcleb": {"runtime_blocked_hosts": ["*://,*.importantwebsite"]},"bfbmjmiodbnnpllbbbfblcplfjjepjdn": {"runtime_blocked_hosts": ["*://*.importantwebsite"]}} 

Zulassen oder Blockieren von Erweiterungen in Gruppenrichtlinien

Sie können die ExtensionInstallBlocklist- und ExtensionInstallAllowlist-Richtlinien verwenden, um zu steuern, welche Erweiterungen blockiert oder zugelassen werden. Nutzen Sie die folgenden Schritte als Anleitung, um alle Erweiterungen mit Ausnahme der Erweiterungen, die Sie blockieren möchten, zuzulassen.

1. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor, wechseln Sie zu Administrative Vorlagen > Microsoft Edge-Erweiterungen >> , und wählen Sie dann Steuern aus, welche Erweiterungen nicht installiert werden können.

2. Wählen Sie Aktiviert aus.

3. Klicken Sie auf Anzeigen.

4. Geben Sie die App-ID der Erweiterungen ein, die Sie blockieren möchten. Verwenden Sie beim Hinzufügen mehrerer App-IDs eine separate Zeile für jede ID.

5. Zum Blockieren aller Erweiterungen geben Sie * in die Richtlinie ein, um zu verhindern, dass Erweiterungen installiert werden. Sie können diesen Befehl mit der Richtlinie "Installation bestimmter Erweiterungen zulassen" verwenden, um nur die Installation bestimmter Erweiterungen zuzulassen. Der nächste Screenshot zeigt eine Erweiterung, die basierend auf der angegebenen App-ID blockiert wird.

   

   Tipp

   Wenn Sie die App-ID einer Erweiterung nicht finden können, sehen Sie sich die Erweiterung auf der Microsoft Edge-Add-Ons-Website an. Suchen Sie die spezifische Erweiterung, und Sie sehen die App-ID am Ende der URL in der Omnibox.

Hinweis

Sie können der Sperrliste eine Erweiterung hinzufügen, die bereits auf dem Computer eines Benutzers installiert ist. Dadurch wird die Erweiterung deaktiviert und verhindert, dass der Benutzer sie erneut aktiviert. Sie wird nicht deinstalliert, nur deaktiviert.

Erzwingen der Installation einer Erweiterung

Verwenden Sie die ExtensionInstallForcelist-Richtlinie, um zu steuern, welche Erweiterungen blockiert oder zugelassen werden. Nutzen Sie die folgenden Schritte als Anleitung, um die Installation einer Erweiterung zu erzwingen.

1. Wechseln Sie im Gruppenrichtlinie-Editor zu Administrative Vorlagen> Microsoft Edge-Erweiterungen >>, und wählen Sie dann Steuern aus, welche Erweiterungen im Hintergrund installiert werden.
2. Wählen Sie Aktiviert aus.
3. Klicken Sie auf Anzeigen.
4. Geben Sie die App-IDs der Erweiterungen ein, deren Installation Sie erzwingen möchten.

Die Erweiterung wird ohne Benutzerinteraktion automatisch installiert. Außerdem kann der Benutzer die Erweiterung nicht deinstallieren oder deaktivieren. Diese Einstellung überschreibt alle aktivierten Sperrlistenrichtlinien.

Hinweis

Verwenden Sie für im Chrome Web Store gehostete Erweiterungen eine Zeichenfolge wie z. B. pckdojakecnhhplcgfflhndiffaohfah;https://clients2.google.com/service/update2/crx. Verwenden Sie für selbstgehostete Erweiterungen das Muster extension_id;update_url, bei dem update_url auf den Speicherort der XML-Datei des Updatemanifests verweist. Beispiel: mfjlfjaknfckffgjgmdfeheeealceoak;https://file_location.azurewebsites.net/picture_of_the_day.xml.

Blockieren von Erweiterungen aus einem bestimmten Store oder von einer bestimmten Update-URL

Um Erweiterungen aus einem bestimmten Store oder von einer bestimmten URL zu blockieren, müssen Sie nur die update_url für den diesen Store mit der Richtlinie ExtensionSettings blockieren.

Nutzen Sie die folgenden Schritte als Anleitung, um Erweiterungen aus einem bestimmten Store oder von einer bestimmten URL zu blockieren.

1. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor, wechseln Sie zu Administrative Vorlagen > Microsoft Edge-Erweiterungen >> , und wählen Sie dann Einstellungen für die Erweiterungsverwaltung konfigurieren aus.
2. Aktivieren Sie die Richtlinie, und geben Sie dann die Berechtigungen ein, die sie zulassen oder blockieren möchten, indem sie in eine einzige JSON-Zeichenfolge komprimiert werden.

Das nächste Beispiel zeigt den JSON-Code und die komprimierte JSON-Zeichenfolge, die mithilfe der Update-URL (https://clients2.google.com/service/update2/crx) vom Chrome Web Store blockiert werden sollen.

JSON-Beispiel für das Blockieren der Update-URL

{ 
"update_url:https://clients2.google.com/service/update2/crx":{ 
                                                             " installation_mode":"blocked" 
                                                             } 
} 

{"update_url:https://clients2.google.com/service/update2/crx":{"installation_mode":"blocked"}} 

Hinweis

Sie können ExtensionInstallForceList und ExtensionInstallAllowList weiterhin verwenden, um die Installation bestimmter Erweiterungen zu erzwingen bzw. zu erlauben, auch wenn der Store mit dem JSON im vorherigen Beispiel blockiert wurde.

Weitere Informationen

• Verwalten von Microsoft Edge-Erweiterungen im Unternehmen
• Erstellen eines Webspeichers zum Hosten von Microsoft Edge-Erweiterungen
• Referenzhandbuch für die „ExtensionSettings“-Richtlinie
• Häufig gestellte Fragen (FAQ) zu Microsoft Edge-Erweiterungen
• Microsoft Edge Enterprise-Angebotsseite