Microsoft Edge Enterprise Microsoft Edge Enterprise

Tiefenreferenz für Bereitstellung, Richtlinien, IE Mode, Enterprise-Features, Erweiterungen, Sicherheit, WebView2, PWA, Mobile, Kiosk und den Edge Management Service. Deep reference for deployment, policies, IE mode, enterprise features, extensions, security, WebView2, PWAs, mobile, kiosk, and the Edge management service.

Stable Stable

Produktivkanal mit planbaren Updates Production channel with predictable updates

ESR ESR

Extended Stable für langsamere Zyklen Extended Stable for slower cadences

ADMX ADMX

Umfassende GPO-Steuerung Comprehensive GPO control

Intune Intune

Cloud-Policies und Mobile Management Cloud policies and mobile management

ℹ️ Edge Enterprise ist primär ein Policy- und Lifecycle-Produkt ℹ️ Edge Enterprise is primarily a policy and lifecycle product

Der Browser selbst ist nur die Oberfläche. Unternehmenswert entsteht durch saubere Update-Kanäle, reproduzierbare Richtlinien, sichere Erweiterungen, IE-Mode-Migration und verwaltete Profile. The browser itself is only the surface. Enterprise value comes from clean update channels, reproducible policies, secure extensions, IE mode migration, and managed profiles.

Deployment Deployment

MSI, EXE, Intune, SCCM, GPO MSI, EXE, Intune, SCCM, GPO

Richtlinien Policies

Startup, Content, Extensions, Proxy, Sidebar Startup, content, extensions, proxy, sidebar

IE Mode IE mode

Site List XML, Cloud Site List, X-UA-Compatible Site list XML, cloud site list, X-UA-Compatible

Enterprise Features Enterprise features

Managed Profiles, Sync, InPrivate, DLP Managed profiles, sync, InPrivate, DLP

Extensions Extensions

Allow, Block, Force-Install Allow, block, force-install

Sicherheit Security

SmartScreen, Password Monitor, ESM SmartScreen, password monitor, ESM

WebView2 & Mobile WebView2 and mobile

PWA, iOS, Android, MAM PWA, iOS, Android, MAM

Kiosk & Service Kiosk and service

Kiosk, EMS, CSP, Automation Kiosk, EMS, CSP, automation

Bereitstellung, Installationsmodelle und Update-Kanäle Deployment, installation models, and update channels

Edge Enterprise unterstützt klassische Softwareverteilung ebenso wie moderne cloudbasierte Verwaltung. Die wichtigste Architekturentscheidung ist meist nicht das Installationsformat, sondern wer Updates steuert und in welchem Ring getestet wird. Edge Enterprise supports classic software distribution as well as modern cloud-based management. The most important architectural decision is usually not the installer format, but who controls updates and in which ring they are tested.

Stable ist der Standard für Produktion, Extended Stable reduziert Change-Frequenz, Beta und Dev eignen sich für Vorabtests, und Canary bleibt ein reiner Experimentierkanal. Stable is the standard for production, Extended Stable reduces change frequency, Beta and Dev suit pre-production testing, and Canary remains an experimentation channel only.

Mechanismus Mechanism	Einsatz Typical use	Betriebliche Empfehlung Operational recommendation
MSI / Offline Installer MSI / offline installer	Klassische Softwareverteilung, VDI, streng kontrollierte Installationen. Classic software distribution, VDI, tightly controlled installations.	Gut für kontrollierte Rollouts; dennoch Update-Quelle und Ring separat planen. Good for controlled rollouts; still plan update source and rings separately.
EXE / Online Setup EXE / online setup	Schnelle Einzelbereitstellung oder Pilotgruppen. Quick one-off deployment or pilot groups.	Für Massenrollout meist weniger transparent als MSI oder MDM. For broad rollout, usually less transparent than MSI or MDM.
Microsoft Intune Microsoft Intune	Windows, iOS und Android mit Cloud Policy und App Management. Windows, iOS, and Android with cloud policy and app management.	Bevorzugt für moderne Geräteflotten und Hybridarbeit. Preferred for modern device fleets and hybrid work.
Configuration Manager / SCCM Configuration Manager / SCCM	Große, klassische Windows-Flotten mit bestehender Softwareverteilung. Large classic Windows fleets with existing software distribution.	Weiterhin relevant für kontrollierte Windows-Enterprise-Szenarien. Still relevant for controlled Windows enterprise scenarios.
GPO / ADMX GPO / ADMX	Domänengebundene Policy-Steuerung über ADMX Templates. Domain-joined policy control through ADMX templates.	Bleibt die tiefste und granularste Konfigurationsoption für Windows. Remains the deepest and most granular configuration option for Windows.
Stable, Beta, Dev, Canary, Extended Stable Stable, Beta, Dev, Canary, Extended Stable	Mehrstufiger Update-Ring für Produktion, Validierung und frühe Tests. Multi-stage update ring for production, validation, and early testing.	Mindestens Stable plus einen Vorproduktionsring etablieren. Establish at least Stable plus one pre-production ring.

Update-Ringe an Geschäftsrisiko statt an Gerätetypen ausrichten. Align update rings with business risk rather than device type alone.
Extended Stable für regulierte oder stark validierte Branchen gezielt einsetzen. Use Extended Stable deliberately for regulated or heavily validated industries.
Browser-Rollout immer mit Web-App-Regressionstests koppeln. Always pair browser rollout with web app regression testing.
Installations- und Updateverantwortung organisatorisch klar trennen. Separate installation and update ownership organizationally.

PowerShell


Start-Process msiexec.exe -Wait -ArgumentList @(
  '/i', 'MicrosoftEdgeEnterpriseX64.msi',
  '/qn',
  'DONOTCREATEDESKTOPSHORTCUT=true'
)

Wichtige Policy-Kategorien und typische Unternehmensrichtlinien Major policy categories and typical enterprise policies

Die Richtlinienlandschaft von Edge ist breit. Ein sinnvolles Betriebsmodell gruppiert Policies nach Risiko und Verantwortlichkeit: Startverhalten, Inhalt und Datenschutz, Erweiterungen, Such- und Netzwerkkonfiguration, Benutzerkomfort und gesperrte Oberflächen. The Edge policy landscape is broad. A sensible operating model groups policies by risk and ownership: startup behavior, content and privacy, extensions, search and network configuration, user convenience, and locked-down surfaces.

Nicht jede verfügbare Policy sollte genutzt werden. Ziel ist ein kuratiertes Baseline-Set mit wenigen, klar begründeten Abweichungen pro Persona oder Gerätetyp. Not every available policy should be used. The goal is a curated baseline set with only a few clearly justified deviations per persona or device type.

Kategorie Category	Beispiele Examples	Praxiswert Operational value
Startup & Homepage Startup and homepage	RestoreOnStartup, HomepageLocation, NewTabPageLocation. RestoreOnStartup, HomepageLocation, NewTabPageLocation.	Setzt Startseiten, Session-Wiederaufnahme und Portale konsistent um. Implements consistent start pages, session restore, and portal access.
Content Settings Content settings	Cookies, JavaScript, Pop-ups, Geolocation, Notifications. Cookies, JavaScript, pop-ups, geolocation, notifications.	Steuert Datenschutz, Kompatibilität und Nutzerunterbrechungen. Controls privacy, compatibility, and user interruptions.
Extensions Extensions	ExtensionInstallAllowlist, Blocklist, Forcelist, ExtensionSettings. ExtensionInstallAllowlist, Blocklist, Forcelist, ExtensionSettings.	Verhindert Schatten-Plugins und standardisiert freigegebene Add-ons. Prevents shadow plugins and standardizes approved add-ons.
Search Search	DefaultSearchProvider, Suggestions, address bar behavior. DefaultSearchProvider, suggestions, address bar behavior.	Wichtig für Wissensarbeiter, Compliance und interne Suchintegration. Important for knowledge workers, compliance, and internal search integration.
Proxy Proxy	ProxyMode, PAC, bypass lists, auth behavior. ProxyMode, PAC, bypass lists, auth behavior.	Kritisch für hybride Netze, ZTNA und Legacy-Proxys. Critical for hybrid networks, ZTNA, and legacy proxies.
Passwords Passwords	PasswordManagerEnabled, PasswordMonitorAllowed, autosignin. PasswordManagerEnabled, PasswordMonitorAllowed, autosignin.	Balanciert Komfort gegen Unternehmens- und Shared-Device-Risiko. Balances convenience against enterprise and shared-device risk.
SmartScreen SmartScreen	SmartScreenEnabled, PUA protection, Defender integration. SmartScreenEnabled, PUA protection, Defender integration.	Zentrale Schutzschicht gegen Phishing und bösartige Downloads. Core protection layer against phishing and malicious downloads.
Downloads Downloads	DownloadDirectory, prompt behavior, automatic downloads. DownloadDirectory, prompt behavior, automatic downloads.	Relevant für DLP, Dateikontrolle und Supportprozesse. Relevant for DLP, file control, and support processes.
Printing Printing	PrintingEnabled, print preview, system dialog, printers. PrintingEnabled, print preview, system dialog, printers.	Wichtig in Shared Environments, Kiosk und Compliance-Szenarien. Important in shared environments, kiosks, and compliance scenarios.
Kiosk Kiosk	Assigned access, fullscreen, idle reset, allowed URLs. Assigned access, fullscreen, idle reset, allowed URLs.	Ermöglicht streng geführte Einzweck- oder Self-Service-Geräte. Enables tightly guided single-purpose or self-service devices.
Developer Tools Developer tools	DeveloperToolsAvailability, DevTools restrictions. DeveloperToolsAvailability, DevTools restrictions.	Sinnvoll auf Shared Devices oder Produktionskiosken. Useful on shared devices or production kiosks.
Sidebar Sidebar	SidebarEnabled, Discover, app integrations, Copilot surfaces. SidebarEnabled, Discover, app integrations, Copilot surfaces.	Steuert neue UX-Elemente und reduziert ungewollte Feature-Rollouts. Controls new UX surfaces and reduces unplanned feature rollouts.

Eine dokumentierte Baseline mit Änderungsprozess verhindert Policy-Sprawl. A documented baseline with a change process prevents policy sprawl.
Policies nach Persona bündeln: Wissensarbeiter, Entwickler, Kiosk, Call Center. Bundle policies by persona: knowledge worker, developer, kiosk, call center.
GPO und Intune nicht gegeneinander arbeiten lassen; Ownership festlegen. Do not let GPO and Intune fight each other; assign ownership clearly.
Neue UI-Features wie Sidebar oder Copilot explizit bewerten statt implizit zu akzeptieren. Explicitly assess new UX features such as Sidebar or Copilot rather than accepting them implicitly.

JSON


{
  "RestoreOnStartup": 4,
  "RestoreOnStartupURLs": ["https://portal.contoso.com", "https://myapps.microsoft.com"],
  "HomepageLocation": "https://intranet.contoso.com",
  "DefaultSearchProviderEnabled": true,
  "PasswordManagerEnabled": false,
  "SidebarEnabled": false
}

IE Mode, Enterprise Site List und Legacy-Webapps IE mode, enterprise site list, and legacy web apps

IE Mode ist das wichtigste Migrationswerkzeug für Unternehmen mit Altanwendungen. Er erlaubt die schrittweise Modernisierung, ohne dass geschäftskritische Webseiten sofort neu geschrieben werden müssen. IE mode is the most important migration tool for enterprises with legacy applications. It enables gradual modernization without forcing an immediate rewrite of business-critical websites.

Das technische Herzstück ist die Enterprise Mode Site List. Sie definiert URLs, Rendering-Verhalten, Open-In-Regeln und Sitzungslogik, egal ob lokal, per GPO oder als Cloud Site List bereitgestellt. The technical heart is the Enterprise Mode Site List. It defines URLs, rendering behavior, open-in rules, and session logic whether delivered locally, by GPO, or through the cloud site list.

Bestandteil Component	Rolle Role	Praxisempfehlung Practice recommendation
Enterprise Mode Site List XML Enterprise Mode Site List XML	Definiert Webseiten, IE-Mode-Verhalten und Kompatibilitätsentscheidungen. Defines websites, IE mode behavior, and compatibility decisions.	Site List versionieren und mit Fachanwendungs-Ownern freigeben. Version the site list and approve it with application owners.
Enterprise Mode Site List Manager Enterprise Mode Site List Manager	GUI zur Verwaltung und Validierung der XML-Liste. GUI for authoring and validating the XML list.	Für kleine bis mittlere Listen praktisch; große Umgebungen brauchen Git und Review-Prozesse. Practical for small to medium lists; large environments need Git and review processes.
X-UA-Compatible X-UA-Compatible	Beeinflusst Emulation und Rendering älterer Seiten. Influences emulation and rendering of older pages.	Nur einsetzen, wenn die Anwendung es wirklich benötigt; Modernisierung nicht unnötig verzögern. Use only when the application truly requires it; do not delay modernization unnecessarily.
Cloud Site List Management Cloud site list management	Zentrale cloudbasierte Verteilung der Site List. Central cloud-based distribution of the site list.	Hilfreich für hybride und verteilte Flotten mit schnellerer Aktualisierung. Helpful for hybrid and distributed fleets with faster update cycles.
Neutral Sites Neutral sites	Steuern, wann Navigation im IE-Mode-Kontext bleibt oder zurückwechselt. Control when navigation stays in IE mode or switches back.	Neutral-Site-Regeln testen, sonst entstehen Schleifen oder Auth-Probleme. Test neutral site rules or loops and auth issues can occur.
Diagnose und F12-Ersatz Diagnostics and F12 replacement	Edge- und IE-Mode-Diagnosehilfen für Rendering- und Sitzungsprobleme. Edge and IE mode diagnostics for rendering and session issues.	Probleme immer mit echter Site List und Produktionsauth testen. Always test with the real site list and production-like auth.

IE Mode als Migrationsbrücke und nicht als Dauerzustand betrachten. Treat IE mode as a migration bridge, not a permanent destination.
Jede URL in der Site List mit fachlichem Owner und Sunset-Datum versehen. Give every URL in the site list a business owner and sunset date.
Renderingfehler, Dateidownloads und Single Sign-On getrennt testen. Test rendering issues, file downloads, and single sign-on separately.
Cloud Site List vereinfacht Betrieb, ersetzt aber keine saubere Governance. Cloud site list simplifies operations but does not replace sound governance.

XML


<site-list version="12">
  <site url="legacy.contoso.com">
    <compat-mode>IE11</compat-mode>
    <open-in>IE11</open-in>
    <allow-redirect>true</allow-redirect>
  </site>
  <site url="intranet.contoso.com/hr">
    <compat-mode>default</compat-mode>
    <open-in>MSEdge</open-in>
  </site>
</site-list>

Enterprise-Features: Managed Profiles, Sync, InPrivate, DLP und M365 Enterprise features: managed profiles, sync, InPrivate, DLP, and Microsoft 365

Browser-Management endet nicht bei der Policy. Profile, Synchronisierung und Datenschutzfunktionen bestimmen, ob Edge für Hybridarbeit, Shared Devices und Datenklassifizierung wirklich passt. Browser management does not end with policy. Profiles, sync, and privacy features determine whether Edge truly fits hybrid work, shared devices, and data classification.

Managed Profiles und M365-Integration sorgen dafür, dass Nutzer den richtigen Arbeitskontext schneller finden und Unternehmensdaten sauber vom privaten Kontext getrennt bleiben. Managed profiles and Microsoft 365 integration help users reach the correct work context faster and keep corporate data cleanly separated from private context.

Feature Feature	Nutzen Benefit	Einsatzhinweis Usage guidance
Managed Profiles Managed profiles	Ordnet Arbeitskonten und Sites dem passenden Profil zu. Maps work accounts and sites to the appropriate profile.	Wichtig für Multi-Tenant-, B2B- und Beratungsumgebungen. Important for multi-tenant, B2B, and consulting environments.
Sync Sync	Synchronisiert Favoriten, Passwörter, Einstellungen und Collections. Synchronizes favorites, passwords, settings, and collections.	Mit Compliance und Shared-Device-Anforderungen abgleichen. Align with compliance and shared-device requirements.
InPrivate InPrivate	Bietet kurzlebige Sitzungen ohne lokale Historie. Provides short-lived sessions without local history.	Nützlich für Kiosk, Shared Devices und temporäre Supportfälle. Useful for kiosks, shared devices, and temporary support cases.
DLP / MIP DLP / MIP	Durchsetzung von Klassifizierungen, Zwischenablage- und Dateikontrolle. Enforcement of classification, clipboard, and file control.	Mit Purview, Endpoint DLP und geschützten Browserpfaden kombinieren. Combine with Purview, Endpoint DLP, and protected browser paths.
M365 Integration Microsoft 365 integration	Verbessert App-Starts, Webauth und Kontinuität in Microsoft-Diensten. Improves app launch, web auth, and continuity across Microsoft services.	Besonders wertvoll für Frontline- und Wissensarbeiter in Microsoft-365-lastigen Umgebungen. Especially valuable for frontline and knowledge workers in Microsoft 365-heavy environments.
Profile Switching Profile switching	Wechselt bei Bedarf zwischen geschäftlichen Kontexten. Switches between business contexts when needed.	Hilft, Fehlzugriffe und falsche Cookiesitzungen zu reduzieren. Helps reduce accidental access and incorrect cookie sessions.

Profile Governance definieren, bevor mehrere Tenants oder Gastkonten skaliert werden. Define profile governance before scaling to multiple tenants or guest accounts.
Sync-Richtlinien an Datenklassifizierung und Gerätevertrauen koppeln. Tie sync policies to data classification and device trust.
InPrivate nicht nur aus Datenschutzsicht, sondern auch aus Support- und Prozesssicht bewerten. Assess InPrivate not only from a privacy angle, but also from support and process angles.
DLP-Regeln im Browser mit Download-, Copy/Paste- und Print-Szenarien testen. Test browser DLP rules across download, copy/paste, and print scenarios.

Extensions Management: Allow, Block, Force-Install und Review Extensions management: allow, block, force-install, and review

Erweiterungen sind einer der größten Produktivitätshebel und gleichzeitig eine relevante Risikoquelle. Deshalb sollten sie in Edge Enterprise wie Software behandelt werden: inventarisieren, prüfen, freigeben und laufend überwachen. Extensions are one of the biggest productivity levers and at the same time a relevant risk source. Therefore, treat them like software in Edge Enterprise: inventory, review, approve, and continuously monitor them.

Allow- und Blocklisten reichen für kleine Umgebungen. Größere Unternehmen sollten mit ExtensionSettings, Force-Install-Regeln und klaren Besitzmodellen arbeiten. Allow and block lists may suffice for small environments. Larger enterprises should use ExtensionSettings, force-install rules, and clear ownership models.

Steuerung Control	Zweck Purpose	Hinweis Guidance
Allowlist Allowlist	Erlaubt nur definierte Erweiterungen oder Ausnahmen. Allows only defined extensions or exceptions.	Gut für hochregulierte Bereiche und Shared Devices. Good for highly regulated areas and shared devices.
Blocklist Blocklist	Sperrt bekannte problematische oder unerwünschte Add-ons. Blocks known problematic or unwanted add-ons.	Mindestens für riskante Klassen wie Downloader, Wallets oder unsichere Proxys einsetzen. Use at minimum for risky classes such as downloaders, wallets, or unsafe proxies.
Force-Install Force-install	Stellt verpflichtende Tools wie Passwortmanager oder DLP bereit. Deploys mandatory tools such as password managers or DLP helpers.	Vor Rollout Funktions- und Performanceauswirkungen prüfen. Validate functional and performance impact before rollout.
ExtensionSettings ExtensionSettings	Granulare Vorgaben pro Erweiterung, Update-Quelle oder Hostzugriff. Granular directives per extension, update source, or host access.	Beste Option für reife Governance und differenzierte Steuerung. Best option for mature governance and differentiated control.
Store-Zulassung Store eligibility	Entscheidet, ob Benutzer frei aus dem Add-on-Store installieren dürfen. Determines whether users may install freely from the add-on store.	Nur mit Review-Prozess und Monitoring freigeben. Allow only with a review process and monitoring.
Inventarisierung Inventory	Zeigt, welche Erweiterungen produktiv genutzt werden. Shows which extensions are used in production.	Inventardaten regelmäßig mit Security und Workplace Engineering teilen. Share inventory data regularly with security and workplace engineering.

Jede Force-Install-Erweiterung braucht Owner, Supportmodell und Testplan. Every force-installed extension needs an owner, support model, and test plan.
Zugriff auf sensible Hosts und Daten in ExtensionSettings begrenzen. Restrict access to sensitive hosts and data in ExtensionSettings.
Browser-Erweiterungen in Schwachstellen- und Vendor-Review-Prozesse aufnehmen. Include browser extensions in vulnerability and vendor review processes.
Ungenutzte Freigaben regelmäßig bereinigen. Regularly remove unused approvals.

JSON


{
  "ExtensionInstallForcelist": [
    "odfafepnkmbhccpbejgmiehpchacaeak;https://edge.microsoft.com/extensionwebstorebase/v1/crx"
  ],
  "ExtensionInstallBlocklist": ["*"],
  "ExtensionInstallAllowlist": ["odfafepnkmbhccpbejgmiehpchacaeak"]
}

Sicherheit, WebView2, PWA und Mobile Management Security, WebView2, PWA, and mobile management

Edge bringt eigene Browserschutzfunktionen mit, die in Unternehmensdesigns mit Defender, Purview, Intune und Conditional Access zusammenspielen sollten. Edge ships with its own browser protection capabilities that should work together with Defender, Purview, Intune, and Conditional Access in enterprise designs.

Gleichzeitig ist Edge Laufzeit für WebView2-Anwendungen und Plattform für PWAs und mobile Unternehmensbrowser-Szenarien. Dadurch treffen Browser-, App- und Gerätesteuerung aufeinander. At the same time, Edge is the runtime for WebView2 applications and the platform for PWAs and mobile enterprise browser scenarios. That means browser, app, and device controls intersect.

Bereich Area	Nutzen Benefit	Betriebshinweis Operational note
SmartScreen SmartScreen	Warnt vor Phishing, Malware und schädlichen Downloads. Warns against phishing, malware, and harmful downloads.	Sollte im Regelfall aktiviert bleiben und mit Incident-Prozessen abgestimmt sein. Should usually remain enabled and align with incident processes.
Password Monitor Password monitor	Erkennt kompromittierte Passwörter und fordert Änderungen an. Detects compromised passwords and prompts for changes.	Nützlich, wenn Unternehmens- und persönliche Browsernutzung nicht strikt getrennt sind. Useful when business and personal browsing are not strictly separated.
Enhanced Security Mode Enhanced security mode	Reduziert Angriffsfläche für riskante Seiten und nicht vertrauenswürdige Inhalte. Reduces attack surface for risky sites and untrusted content.	Persona-basiert testen, weil manche Legacy-Webapps beeinträchtigt werden können. Test by persona because some legacy web apps may be affected.
WebView2 Runtime WebView2 runtime	Betreibt moderne Desktop-Apps mit Edge-Rendering-Engine. Runs modern desktop apps with the Edge rendering engine.	Runtime-Versionierung und App-Kompatibilität gemeinsam testen. Test runtime versioning together with application compatibility.
PWA Installationen PWA installations	Erlaubt Web-Apps mit eigenem Fenster, Icons und Offline-Verhalten. Enables web apps with their own window, icons, and offline behavior.	Für LOB-Webapps interessant, wenn kein voller Desktop-Client nötig ist. Interesting for line-of-business web apps when no full desktop client is needed.
iOS / Android Edge iOS / Android Edge	Sicherer mobiler Browser mit M365-Integration und Richtlinien. Secure mobile browser with Microsoft 365 integration and policies.	Mit Intune App Protection und App Configuration kombinieren. Combine with Intune App Protection and app configuration.
Intune MAM Intune MAM	Schützt Unternehmensdaten ohne vollständiges Gerätemanagement. Protects corporate data without full device management.	Wichtig für BYOD und externe Dienstleister. Important for BYOD and external contractors.
Downloads und Printing Downloads and printing	Steuert Dateifluss und Ausdruck in sensiblen Kontexten. Controls file flow and printing in sensitive contexts.	Mit DLP, Klassifizierung und Supportprozessen abstimmen. Align with DLP, classification, and support processes.

Sicherheitsbaseline im Browser mit Web-App-Kompatibilität balancieren. Balance browser security baseline with web app compatibility.
WebView2-Abhängigkeiten in App-Lifecycle-Dokumentation aufnehmen. Capture WebView2 dependencies in application lifecycle documentation.
PWA, Browser Favorites und Mobile Policies koordiniert bereitstellen. Deliver PWA, browser favorites, and mobile policies in a coordinated way.
Auf Mobilgeräten Datenfluss, Copy/Paste und Open-In-Regeln durchtesten. Test data flow, copy/paste, and open-in rules on mobile devices.

JSON


{
  "com.microsoft.intune.mam.managedbrowser.homepage": "https://myapps.microsoft.com",
  "com.microsoft.intune.mam.managedbrowser.allowedAccountsOnly": true,
  "com.microsoft.intune.mam.managedbrowser.bookmarks": "[{"name":"Portal","url":"https://portal.contoso.com"}]"
}

Kiosk Mode, Edge Management Service, Intune CSP und Automation Kiosk mode, Edge management service, Intune CSP, and automation

Kiosk-Bereitstellungen verlangen die stärkste Härtung: begrenzte Navigation, sichere Neustarts, kontrollierte Downloads, kurze Sessions und robuste Wiederherstellung nach Fehlern. Kiosk deployments demand the strongest hardening: limited navigation, safe restarts, controlled downloads, short sessions, and robust recovery after failures.

Der Edge Management Service ergänzt klassische Richtlinien um cloudbasiertes Reporting, Policy-Übersicht und browserzentrierte Verwaltung, besonders wenn kein volles On-Prem-Management mehr gewünscht ist. The Edge management service complements classic policy with cloud reporting, policy visibility, and browser-centric administration, especially when full on-premises management is no longer desired.

Baustein Building block	Rolle Role	Praxis Practice
Kiosk Single-App Mode Kiosk single-app mode	Zeigt genau eine Webanwendung oder einen kontrollierten Satz von URLs. Shows exactly one web application or a controlled set of URLs.	Ideal für Empfang, Self-Service und Produktionsstationen. Ideal for reception, self-service, and production stations.
Assigned Access / Multi-App Assigned access / multi-app	Kombiniert Edge mit wenigen weiteren freigegebenen Apps. Combines Edge with a few additional approved apps.	Für Szenarien mit Scanner, Teams oder PDF-Viewer sinnvoll. Useful for scenarios with scanners, Teams, or PDF viewers.
Reset- und Idle-Verhalten Reset and idle behavior	Leert Sitzungen, navigiert zurück oder startet neu. Clears sessions, navigates back, or restarts.	Wesentlich für Datenschutz und Betriebsstabilität. Essential for privacy and operational stability.
Edge Management Service Edge management service	Cloud-Sicht auf Browserinventar, Policies und Konformität. Cloud visibility into browser inventory, policies, and compliance.	Gut für hybride Unternehmen mit Intune- und M365-Fokus. Good for hybrid organizations with Intune and Microsoft 365 focus.
Intune Settings Catalog / CSP Intune settings catalog / CSP	Cloudbasierte Richtlinien für Windows und mobile Plattformen. Cloud-based policy for Windows and mobile platforms.	CSP-Namen dokumentieren, wenn Policies automatisiert oder auditiert werden. Document CSP names when policies are automated or audited.
PowerShell / Registry Automation PowerShell / registry automation	Hilft bei Spezialfällen, Audits oder Drift-Erkennung. Helps with edge cases, audits, or drift detection.	Nur als Ergänzung zu GPO/MDM nutzen, nicht als Primärsteuerung. Use only as a supplement to GPO/MDM, not as primary control.

Kioske wie Appliances behandeln: minimaler Scope, klarer Owner, automatisierte Recovery. Treat kiosks like appliances: minimal scope, clear owner, automated recovery.
EMS für Inventar und Sichtbarkeit nutzen, GPO/Intune für Durchsetzung. Use EMS for inventory and visibility, GPO/Intune for enforcement.
CSP-, GPO- und Registry-Namen dokumentieren, damit Audits nachvollziehbar bleiben. Document CSP, GPO, and registry names so audits remain explainable.
Browser-Kioske immer mit physischen und lokalen OS-Schutzmaßnahmen kombinieren. Always combine browser kiosks with physical and local OS protections.

PowerShell


$path = 'HKLM:\SOFTWARE\Policies\Microsoft\Edge'
New-Item -Path $path -Force | Out-Null
New-ItemProperty -Path $path -Name 'RestoreOnStartup' -Value 4 -PropertyType DWord -Force | Out-Null
New-ItemProperty -Path $path -Name 'RestoreOnStartupURLs' -Value @('https://kiosk.contoso.com') -PropertyType MultiString -Force | Out-Null

Text


msedge.exe --kiosk https://kiosk.contoso.com --edge-kiosk-type=fullscreen --no-first-run