Benutzerdefinierte CSP
-
Windows Policies Win11 24H2
Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
https://vgv-kibo.de/s/D4JBqM4zGLBnpkdStand 08.05.2025: 3 CSP's
UseDefaultTile
https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-admx-cpls#usedefaulttileRemovableDrivesRequireEncryption
Kehrt die Richtlinie aus Windows Security Baselines Win11 24H2 um -
Windows Group Policy Definitions
Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
https://vgv-kibo.de/s/D4JBqM4zGLBnpkdStand 09.06.2026: 1 CSP's
EdgeAdmx149
https://learn.microsoft.com/en-us/windows/client-management/win32-and-centennial-app-policy-configuration -
Windows Security Baselines Edge v139
Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
https://vgv-kibo.de/s/D4JBqM4zGLBnpkdStand 09.06.2026: 19 CSP's
EnableUnsafeSwiftShader
InternetExplorerIntegrationReloadInIEModeAllowed
SSLErrorOverrideAllowed
InternetExplorerIntegrationZoneIdentifierMhtFileAllowed
DynamicCodeSettings
ApplicationBoundEncryptionEnabled
BrowserLegacyExtensionPointsBlockingEnabled
SitePerProcess
InternetExplorerModeToolbarButtonEnabled
SharedArrayBufferUnrestrictedAccessAllowed
TyposquattingCheckerEnabled
ExtensionInstallBlocklist
BasicAuthOverHttpEnabled
AuthSchemes
NativeMessagingUserLevelHosts
SmartScreenEnabled
SmartScreenPuaEnabled
PreventSmartScreenPromptOverride
PreventSmartScreenPromptOverrideForFiles -
@Martin-Eulitz Hallo ich habe hierzu eine Rückfrage. Wenn ich die von dir bereitgestellten Dateien runterlade weiß ich ehrlich gesagt nicht wie ich diese öffnen soll. Sie sind vom Typ REXP und zeigen beim Öffnen mit Notepad++ nur Kauderwelsch an. Und ich wurde an keiner Stelle dazu aufgefordert ein Passwort einzugeben. Somit weiß ich nicht, wie ich an den vermeintlichen SyncML rankomme. Tut mir leid, falls dies eine absolute Anfängerfrage ist.
Vielen Dank für deine ganzen Beiträge. Ohne diese wäre ich schon oft aufgeschmissen gewesen. -
@Caroline-Linde Hallo Caroline, du kannst diese Dateien einfach in Relution unter Richtlinien importieren (Passwort: "Relution"):

Gruß Martin
-
@Martin-Eulitz Moin, danke erstmal für deine Vorarbeit!
Ich hab gerade ein frisch eingeschriebenenes Windows-Notebook aufgesetzt aber nach dem Import der Richtlinien musste ich leider feststellen, dass rund 80% der CSPs nicht angewendet werden entweder (1) COMMAND_NOT_ALLOWED oder (2) OPTIONAL_FEATURE_NOT_SUPPORTED
Zu 1):
Betrifft die meisten CSPs.Zu 2):
Benutzerdefinierte CSP (DefaultOutboundAction) → Verletzt, OPTIONAL_FEATURE_NOT_SUPPORTEDIch hab bereits über die Microsoft Dokumentation nachgeschaut ob es Kompatibilitätsprobleme geben könnte, weil ich Windows 11 25H2 nutze aber laut der Doku sollte Windows 10, version 1709 [10.0.16299] and later kein Problem sein.
Die Prioriäten der Richtlinien habe ich entsprechend angepasst, aber auch schon die Prio. 1 Richtlinie "Windows Group Policy Definitions" mit dem EdgeAdmx149 CSP wird nicht angewendet, weil OPTIONAL_FEATURE_NOT_SUPPORTED.
Mache ich grundlegend etwas falsch, oder woran kann das liegen? Ist mein erster Versuch mit Relution + Windows.
-
Kann leider meinen Post nicht mehr bearbeiten.
EDIT:
Ich vermute es hängt mit meiner Art der Einschreibung zusammen. Derzeitig probiere ich die Geräte direkt per PPKG (siehe hier) einzuschreiben, dabei werden scheinbar aber nicht alle benötigten Richtlinien automatisch von Relution installiert. Ein zweites Gerät mit normaler Einschreibung über den generierten Link bezieht alle benötigten Richtlinien sodass auch alle CSPs angewendet werden können und das Gerät sich Konform meldet.

-
Hallo Joel,
das Problem ist, dass das Gerät immer mit dem aktuell angemeldeten Benutzer eingeschrieben wird. Wenn du das mit einer PPKG-Datei im Installationsprozess von Windows machst, erfolgt die Einschreibung mit dem Benutzer "defaultuser0". Das funktioniert auch soweit, aber leider wird dieser Benutzer nach ca. einer Stunde automatisch von Windows gelöscht und Relution kann keine CSP-Befehle mehr an das Gerät senden.
Ich habe hier im Forum schon ein paar Anleitungen geschrieben, wie man das umgehen kann. Die aktuellste findest du hier: https://community.relution.io/topic/63/vollautomatische-erstkonfiguration-und-einschreibung-in-relution-webdav-version
PS: Ich erstelle gerade die Security Baselines für 25H2. Sobald diese fertig ist, stelle ich sie hier online.
-
Ich habe die CSP's für Windows 11 25H2 und Edge v150 angepasst. Da die Anwendung meiner ca. 500 CSP's fast 10 Minuten gedauert hat, habe ich bei dieser Version alles CSP's in jeweils eine Richtline gepackt. Dies hat darüber hinaus noch den Vorteil, dass ich euch die CSP's hier zum Kopieren und Einfügen zur Verfügung stellen kann. Insgesamt sind es 5 Richtlinien, die in folgender Reihenfolge angewendet werden müssten:
- Win11 25H2 Basis
- Win11 25H2 Sicherheit
- Win11 25H2 Individual
- Edge v139 Sicherheit
- Edge v150 Individual
PS: Ich nutzte ausschließlich benutzerdefinierte CSP's, um nicht mit den eingebauten CSP's von Relution durcheinander zu kommen.
-
Win11 25H2 Basis
Diese Richtline stellt zunächst die Windows-Version fest auf Win11 25H2 ein. Sie ermöglicht später die Anwendung von CSP's, die eigentlich nur für Win11 Enterprise ziehen würden (https://learn.microsoft.com/en-us/windows/client-management/mdm/sharedpc-csp#setedupolicies). Vor allem ist sie aber Grundlage um CSP's für den Edge-Browser in der jeweils neusten Version anwenden zu können (https://learn.microsoft.com/en-us/deployedge/configure-edge-with-mdm#create-an-oma-uri-for-microsoft-edge-policies). Hierfür müsst ihr euch die aktuelle ADMX-Datei (msedge.admx) für den Edge-Browser runterladen (https://aka.ms/EdgeEnterprise). Öffnet die Datei mit einem Editor, kopiert den kompletten Inhalt und fügt diesen unter der CmdID6 ein (Das "EINFÜGEN" muss mit dem Inhalt überschrieben werden).
Hier die benutzerdefinierte CSP:
<Replace> <CmdID>1</CmdID> <Item> <Target> <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/ProductVersion</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">chr</Format> <Type xmlns="syncml:metinf">text/plain</Type> </Meta> <Data><![CDATA[Windows 11]]></Data> </Item> <CmdID>2</CmdID> <Item> <Target> <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/TargetReleaseVersion</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">chr</Format> <Type xmlns="syncml:metinf">text/plain</Type> </Meta> <Data><![CDATA[25H2]]></Data> </Item> <CmdID>3</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/SharedPC/SetEduPolicies</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">bool</Format> <Type xmlns="syncml:metinf">text/plain</Type> </Meta> <Data>true</Data> </Item> <CmdID>4</CmdID> <Item> <Target> <LocURI>./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/MicrosoftEdge/Policy/EdgeAdmx</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">chr</Format> <Type xmlns="syncml:metinf">text/plain</Type> </Meta> <Data><![CDATA[EINFÜGEN]]></Data> </Item> </Replace><Delete> <CmdID>1</CmdID> <Item> <Target> <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/ProductVersion</LocURI> </Target> </Item> <CmdID>2</CmdID> <Item> <Target> <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/TargetReleaseVersion</LocURI> </Target> </Item> <CmdID>3</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/SharedPC/SetEduPolicies</LocURI> </Target> </Item> <CmdID>4</CmdID> <Item> <Target> <LocURI>./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/MicrosoftEdge/Policy/EdgeAdmx</LocURI> </Target> </Item> </Delete> -
Win11 25H2 Sicherheit
Diese Richtline setzt die Windows MDM Security Baseline von Microsoft in der Version 25H2 um (https://learn.microsoft.com/en-us/intune/device-security/security-baselines/ref-windows-mdm-settings?pivots=mdm-25h2). Die ID's 21, 61, 238, 240, 246, 247, 248 ziehen nur für Enterprise-Versionen und/oder nur im Benutzerkontext. Die ID 42 erzwingt die Verschlüsselung aller USB-Sticks. Die ID's 243 und 244 setzen bei jeder Aktualisierung irgendeiner Richtlinie in Relution das Windows Passwort zurück. Die ID 293 bringt ohne Entra-ID einen Fehler. Am Besten alle diese ID's weglassen.
Hier die benutzerdefinierte CSP:
Win11 25H2 Sicherheit.xlsx