Enterprise Policy Generator

Chris23tr

kann man den wert identity.sync.tokenserver.uri als Richtline festlegen?

Sören Hentzschel

Das ist aktuell nicht über eine Unternehmensrichtlinie möglich. Du könntest hier schreiben, dass du dir das auch wünschst:

Add policy setting for Custom Firefox Accounts server · Issue #342 · mozilla/policy-templates

Hi :) We're currently thinking about deploying our own Firefox Accounts server for our enterprise as described here:…

github.com

Sören Hentzschel

Es hat etwas länger gedauert, weil sich das als komplizierter herausgestellt hat und dann auch noch ein privates Projekt dazwischen kam. Aber die Fehler im Umgang mit der Handlers-Richtlinie beim Laden gespeicherter Konfigurationen sollten jetzt behoben sein. Falls jemand eine Beta-Version testen möchte, bevor ich diese bei Mozilla einreiche (was sowieso noch etwas dauern wird, weil es noch weitere Änderungen geben wird, daher lasst uns die Zeit dazwischen zum Testen nutzen), bitte eine Nachricht an mich.

/cc Chris23tr

Sören Hentzschel

Gibt es hier Nutzer vom Enterprise Policy Generator, die in den nächsten Wochen ein paar Vorabversionen testen wollen?

Ich arbeite seit Ende September (erste Überlegungen haben sogar schon im Juni begonnen) an einer kompletten Neuentwicklung des „Backends” (Architektur, Konfiguration, Generierung der Oberfläche sowie policies.json-Datei). Es geht nicht um neue Features, sondern im Prinzip darum, dass alles immer noch wie erwartet funktioniert. Die erste Vorabversion wird auch noch nicht so umfangreich sein, sondern erst ca. ein Drittel der Richtlinien unterstützen, die aktuell vom Enterprise Policy Generator 7.2.0 unterstützt werden. Es gibt auch noch keine Unterstützung für Speichern / Laden / Exportieren / Importieren. Bis zur Feature-Gleichheit wird es noch ein paar Wochen dauern. Bis dahin wäre noch der eine oder andere externe Test hilfreich, um sicherzugehen, dass ich bei einem derart großen Umbau nichts übersehe.

Alfredo534

Der Enterprise Policy Generator ist seit eh und jeh sehr interessant.

Mittlerweile scheint es den Enterprise Policy Generator 7.3 zu geben:
* Enterprise Policy Generator 7.3 für Firefox veröffentlicht

Laut einem X Beitrag scheint es auch schon eine (Vorab?) Version von der 8`er Version zu geben:
*

Externer Inhalt x.com

Inhalte von externen Seiten werden ohne deine Zustimmung nicht automatisch geladen und angezeigt.

Durch die Aktivierung der externen Inhalte erklärst du dich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

Wenn es die 8`er (Vorab?)Version bereits irgend wo geben sollte, würde ich durchaus diese mal testen und meinen unmaßgeblichen Senf dazu geben.

Chris23tr

Alfredo534 am besten eine PN an Sören Hentzschel schreiben

Alfredo534

Zitat von Chris23tr

Alfredo534 am besten eine PN an Sören Hentzschel schreiben

Danke. Die PN ist soeben raus.

Sören Hentzschel

Ich würde mich über ein spezielles Feedback zum Enterprise Policy Generator freuen, welches auch für die aktuelle Version gegeben werden kann und nicht erfordert, dass ihr irgendetwas intensiv testet. Dazu reicht es eigentlich schon, einfach mal über die unterstützten Funktionen zu lesen und sich eine Meinung zu bilden:

Die Richtlinien sind aktuell alle einer von mehreren Kategorien (zum Beispiel „Zugriff blockieren”, „Funktionen deaktivieren” usw.) zugeordnet. Diese Kategorien wurden halt irgendwann einmal so gewählt und im Laufe der Jahre kamen immer mehr Richtlinien dazu, ohne dass an den Kategorien jemals etwas angepasst worden ist.

Würdet ihr irgendeine Funktion an einer anderen Stelle platzieren? Ihr könnt auch eine ganz neue Kategorie nennen, die es aktuell noch gar nicht gibt, aber eurer Meinung nach passender für eine Richtlinie wäre. Ich bin sehr offen dafür, dass es in Zukunft mehr und/oder andere Kategorien gibt.

.DeJaVu

Ist diese Tage in meiner Beta gelandet, müsste ich unter Linux testen, da unter Windows alles über die Gruppenrichtlinien läuft. Ist ganz schön viel geworden.

Mir stellt sich da eine, vielleicht auch mehrere Fragen

Der Generator bietet die Option, bestimmte Chiffren abzuschalten, da steht zwar TLS vor, im about:config jedoch unter security.ssl. Welchen Einfluss haben Einstellungen zu TLS zu SSL/SSL3?

Als ich damals, 8 Jahre her, zwischenzeitlich Chromium genutzt habe, ist das mal hier aufgekommen, schwache oder unsichere Chiffren abzuschalten, so auch in Firefox. Damit hatte ich jedoch einige Problem, auch später bei neuerlichen Tests, etliche Server zu erreichen.

Wo ich grad noch stutze ist:

Standardanwendungen für das Öffnen von Dateien, Protokollen und MIME-Typen festlegen

Weil es unter Website-Einstellungen steht. Bei "Protokollen" kann ich das nachvollziehen, aber bei Dateiendungen, die auf ein Programm festgelegt werden, ist das doch eher eine Sache des OS? Ich kann unter Linux nicht die identische Einstellung wie Windows eintragen. Also alles eher Client-seitig für mich.

Sören Hentzschel

Zitat von .DeJaVu

Der Generator bietet die Option, bestimmte Chiffren abzuschalten, da steht zwar TLS vor, im about:config jedoch unter security.ssl. Welchen Einfluss haben Einstellungen zu TLS zu SSL/SSL3?

SSL und TLS sind das Gleiche. Das Protokoll wurde 1999 zu TLS umbenannt. SSL 3 wird von Firefox seit zwölf Jahren nicht mehr unterstützt. Die Optionen in about:config haben aus historischen Gründen noch „ssl” im Namen. Würde man die alle umbenennen, müsste man nicht nur den Code an zahlreichen Stellen ändern, man müsste auch Migrationen schreiben, damit beim Update keine Einstellungen verloren gehen.

Unternehmensrichtlinien sind der wesentlich neuere Mechanismus. Als die eingeführt wurden, gab es schon nur noch TLS. Entsprechend wurden dort alle Optionen von Anfang an mit „TLS” benannt. Es sind aber genau die gleichen Optionen.

Zitat von .DeJaVu

Wo ich grad noch stutze ist:
Standardanwendungen für das Öffnen von Dateien, Protokollen und MIME-Typen festlegen
Weil es unter Website-Einstellungen steht. Bei "Protokollen" kann ich das nachvollziehen, aber bei Dateiendungen, die auf ein Programm festgelegt werden, ist das doch eher eine Sache des OS?

Es geht um die Bereitstellung von Dateien auf Websites. Das macht es aus Sicht meiner Erweiterung zu einer Einstellung, die in Zusammenhang mit Websites steht. Die anderen Kategorien meiner Erweiterungen wären weniger passend. Zumal die gewünschte Aktion ja nicht immer ist, eine Datei automatisch mit der Standard-Anwendung des Betriebssystems zu öffnen. Das ist nur eine von mehreren Möglichkeiten.

.DeJaVu

Danke für die Erklärung. Ja, das mit der Kategorie hätte ich auch nicht sagen können, es wäre woanders deplatziert gewesen. Zu mehr bin ich noch nicht gekommen, aber ich habe einiges vorhin beim Überflug und kurzem Anklicken gesehen, was ich übernehmen wollen würde.

.DeJaVu

Das habe ich mir erstellen lassen, einiges zum Testen, anderes, weil ich es selbst so nutze.

JavaScript

{
  "policies": {
    "AutofillAddressEnabled": true,
    "DNSOverHTTPS": {
      "Enabled": false,
      "Fallback": true
    },
    "DisableBuiltinPDFViewer": true,
    "DisableDefaultBrowserAgent": true,
    "DisableFeedbackCommands": true,
    "DisableFirefoxStudies": true,
    "DisableProfileImport": true,
    "DisableProfileRefresh": true,
    "DisableSetDesktopBackground": true,
    "DisableTelemetry": true,
    "DontCheckDefaultBrowser": true,
    "EnableTrackingProtection": {
      "BaselineExceptions": true,
      "Category": "strict",
      "Cryptomining": true,
      "EmailTracking": true,
      "Fingerprinting": true,
      "SuspectedFingerprinting": true,
      "Value": true
    },
    "ExtensionUpdate": false,
    "FirefoxHome": {
      "Highlights": false,
      "Pocket": false,
      "Search": true,
      "SponsoredPocket": false,
      "SponsoredTopSites": false,
      "TopSites": false
    },
    "FirefoxSuggest": {
      "ImproveSuggest": false,
      "SponsoredSuggestions": false,
      "WebSuggestions": false
    },
    "GenerativeAI": {
      "Enabled": false,
      "LinkPreviews": false,
      "TabGroups": false
    },
    "HttpsOnlyMode": "enabled",
    "IPProtectionAvailable": false,
    "ManualAppUpdateOnly": true,
    "NetworkPrediction": false,
    "OfferToSaveLoginsDefault": true,
    "PictureInPicture": {
      "Enabled": false
    },
    "Preferences": {
      "browser.aboutConfig.showWarning": {
        "Status": "user",
        "Type": "boolean",
        "Value": false
      },
      "browser.compactmode.show": {
        "Status": "locked",
        "Type": "boolean",
        "Value": true
      },
      "browser.search.openintab": {
        "Status": "user",
        "Type": "boolean",
        "Value": true
      },
      "browser.search.update": {
        "Status": "user",
        "Type": "boolean",
        "Value": false
      },
      "browser.tabs.closeWindowWithLastTab": {
        "Status": "locked",
        "Type": "boolean",
        "Value": false
      },
      "browser.tabs.groups.enabled": {
        "Status": "user",
        "Type": "boolean",
        "Value": false
      },
      "browser.urlbar.maxRichResults": {
        "Status": "user",
        "Type": "number",
        "Value": 15
      },
      "browser.urlbar.suggest.trending": {
        "Status": "user",
        "Type": "boolean",
        "Value": false
      }
    },
    "PromptForDownloadLocation": true,
    "Proxy": {
      "AutoLogin": true,
      "Locked": true,
      "Mode": "none",
      "SOCKSVersion": 4,
      "UseHTTPProxyForAllProtocols": true,
      "UseProxyForDNS": false
    },
    "SearchBar": "separate",
    "SearchSuggestEnabled": false,
    "ShowHomeButton": false,
    "SkipTermsOfUse": true,
    "VisualSearchEnabled": false,
    "WindowsSSO": false
  }
}

Alles anzeigen

Firefox 149 Portable. Unter Windows werden die "preferences" nicht übernommen, zB

browser.compactmode.show

browser.tabs.closeWindowWithLastTab

Die anderen vermutlich auch nicht. trendingsearch auch nicht, das Häkchen ist gesetzt in den Einstellungen.

HTTPS-Modus only ist nicht aktiviert, SkipTermsOfUse - bei einem neuen Profil kommt dennoch ein Hinweisfenster, vielleicht denke ich an was anderes.

Was unter Windows nicht wirklich funktioniert hat, ergibt unter Linux gar nichts, ausser:

Die Datei liegt unter /etc/firefox/policies/ und wird auch erkannt, denn ohne gibt es keine "Fehler".

Linux ist Ubuntu 25.10 mit Firefox aus Snap (Standard).

Was mir fehlt wäre "DisablePocket": true,
In Firefox 140 esr gibt es den Pocket Button nicht mehr, allerdings, so meine ich, war der in einer Version aus 2025 noch vorhanden. Oder Firefox ist schlau und weiss, dass es Pocket nicht mehr gibt und zeigt den gar nicht mehr an. Ich denke, letzteres, weil Firefox 115 esr den definitiv auch nicht mehr anzeigt, und da gab es Pocket noch. Gut, dann braucht es auch keine Policy mehr dazu.

Wegen Linux, ich denke, die Fehlermeldung ist eindeutig. Die Frage ist nur, wie ich das ändern kann, wenn das denn ein zentraler Ort sein soll. Ich konnte bei Dolphin auch nur mit Adminrechten dort hin und das musste ich auch erst mal anleiern mit dolphin --sudo

Ich kann ohne adminrechte aber dort reinsehen, aber nichts öffnen. Es wird sogar genau so beschrieben mit jenem Ordner:

How to customize the firefox snap with enterprise policies

System administrators can customize many different aspects of Firefox on their organization’s computers using enterprise policies. This includes restricting…

discourse.ubuntu.com

Laut bugzilla-Ticket soll das gelöst sein, aber tut hier nicht. Tut auch in den anderen genannten Pfaden nicht.

Ok, ist ein Lese-Berechtigungsproblem.

Suchbegriff und Anfrage im duck.ai chat

ubuntu firefox "/etc/firefox/policies/" missing rights

Die Suche war unbefriedigend, aber im Chat gab es folgende Anweisung, das Problem scheint bekannt zu sein.

Verzeichnis erstellen: sudo mkdir -p /etc/firefox/policies
(ich hatte es mit Dolphin erstellt)

Set ownership and permissions (recommended)

Code

sudo chown root:root /etc/firefox/policies
sudo chmod 755 /etc/firefox/policies
sudo chown root:root /etc/firefox/policies/policies.json
sudo chmod 644 /etc/firefox/policies/policies.json

In Dolphin sieht das so aus.

Die Änderung muss für Sonstige auf Nur Anzeige möglich gestellt werden. Unter "Erweiterte..." findet man die Matrix zu chmod, das ist wie bei FTP früher, sind die gleichen Flags.

Bis auf einen Fehler zu "IPProtectionAvailable" wurde alles übernommen im about:config, auch die "Preferences" stehen drin, die unter Windows verweigert werden. Die werden tatsächlich übernommen und zT gesperrt gegen Änderungen.

Das sind spezielle Anlaufschwierigkeiten hier bei Linux, man folgt Anweisungen und Tipps, und muss nachbessern in Teilen. So auch zB unter Windows, weil ich Dateizugriff auf Mint haben wollte, SMB muss dafür installiert werden unter Linux - von Linux auf Windows gar keine Probleme.

In kurz: eine JSON in jenen Ordner werfen und das war es, funktioniert nur bedingt.

Sören Hentzschel

Zitat von .DeJaVu

Firefox 149 Portable. Unter Windows werden die "preferences" nicht übernommen, zB
browser.compactmode.show
browser.tabs.closeWindowWithLastTab

Das funktioniert beides definitiv. Ich habe deine Datei gerade selbst unter Windows 11 getestet und kann die Funktionalität beider Optionen bestätigen. Wenn es bei dir nicht funktioniert, hast du entweder etwas falsch gemacht oder nicht richtig getestet.

Zitat von .DeJaVu

Was mir fehlt wäre "DisablePocket": true,
In Firefox 140 esr gibt es den Pocket Button nicht mehr, allerdings, so meine ich, war der in einer Version aus 2025 noch vorhanden. Oder Firefox ist schlau und weiss, dass es Pocket nicht mehr gibt und zeigt den gar nicht mehr an. Ich denke, letzteres, weil Firefox 115 esr den definitiv auch nicht mehr anzeigt, und da gab es Pocket noch. Gut, dann braucht es auch keine Policy mehr dazu.

Die Richtlinie gibt es nicht mehr, da es Pocket nicht mehr gibt. Die Pocket-Schaltfläche wurde auch in Firefox ESR 115 durch Mozilla deaktiviert.

Zitat von .DeJaVu

Bis auf einen Fehler zu "IPProtectionAvailable" wurde alles übernommen im about:config

Sofern du nicht Firefox Beta oder Firefox Nightly genutzt hast, ist das richtig. Die Richtlinie gibt es erst ab Firefox 149.0.2. In der Erweiterung wird darauf auch hingewiesen. Dort steht zwar Firefox 149.0.1, aber so oder so sollte klar sein, dass es die Version noch nicht gibt.

.DeJaVu

Danke für den Test, ich hab einen Verdacht, weil ich eben noch was gegengeprüft habe. nope, falsch gedacht.

herrje, bin ich blöd. Ich hab in meiner Portable einen Order distribution als Vorlage für alle Füllungen, siehe Bild

Man sollte das JSON auch in den richtigen Ordner kopieren