MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

Enterprise State Roaming und Edge Sync

Wenn Anwender das Endgerät wechseln, möchten Sie möglichst auch ihre Daten und Einstellungen mitnehmen. Dateien kann OneDrive abgleichen und Windows Profile kann ich im Active Directory über "Roaming Profiles" abbilden. Aber wie übernehme ich Einstellungen, wenn ich nu ein Entra ID-Gerät habe oder auf unterschiedlichen Endgeräten parallel arbeite. Dafür ist dann die Funktion "Enterprise State Roaming" da.

Edge Browser

Am Beispiel des Edge-Browsers ist die Funktion am einfachsten zu erklären. Sie können im Browser sich oben Rechts mit einem Konto anmelden und wenn alle Voraussetzungen erfüllt sind, dann funktioniert auch direkt der Enterprise Sync:

In dein Einstellungen, die oben rechts über das Zahnrad erreichbar sind, sehen Sie den Umfang des Abgleich. Sie können die Einstellungen auch direkt unter folgender Adresse erreichen:

edge://settings/profiles/sync

Damit "Enterprise State Roaming" funktioniert, müssen laut Microsoft folgende Voraussetzungen erfüllt ein:

  • Edge Browser 77 oder höher
    Erst ab da ist die Funktion enthalten
  • Aktive Cloud-Subscription
    Dazu zählen die Microsoft 365 Business (Basic/Standard/Premium)-Produkte als auch die Microsoft 365 EMS-Lizenz, die im Plan E3,E5,A3,A5,G3,G5 enthalten ist. Sie können die Lizenz z.B. auf https://m365maps.com sehr einfach kontrollieren.
  • Anmeldung mit einem Microsoft Konto
    Dazu zählen sowohl Geschäftskonten /Schulkonten als auch Microsoft Konten (vormals LiveID oder Passport).
  • RMS muss aktiv sein
    Da der Edge-Browser auch sensible Zugangsdaten, z.B.: Kennworte synchronisieren kann, schützt er die Ablage in der Cloud mittels RMS. Für RMS muss der Anwender zumindest Office 365 E1/A1 haben.

Weitere Details finden Sie bei Microsoft auf den folgenden Seiten

Fehlerquelle Entra ID

Es gibt zwei Dinge, die sie zudem prüfen sollten: Zuerst haben wir in Entra ID die globale Einstellung, welche Personen überhaupt die Funktion "Enterprise State Roaming" nutzen dürfen. In meinen Tenants war die Einstellung teilweise deaktiviert. Sie können die Einstellung global aktivieren oder über auf einzelne Entra ID-Personen oder über die Mitgliedschaft in Entra ID-Gruppen steuern.

Dies ist die globale Einstellung, um "Enterprise State Roaming" überhaupt erst zuzulassen. Welche Inhalte pro Anwender dann tatsächlich ins Roaming aufgenommen werden, können Sie dann noch einmal über Gruppenrichtlinien feiner steuern.

Fehlerquelle RMS/AIP

Die zweite Einstellung ist etwas kniffliger, da Sie diese nicht direkt per Browser und GUI einstellen können und auch nicht sofort sehen. Die synchronisierten Informationen werden mit RMS (Rights Management Service) gegen Fremdzugriffe abgesichert. Dazu muss RMS nicht nur über eine Lizenz an die Mitarbeiter zugewiesen sein, sondern global im Tenant aktiviert sein.

Diese Einstellung ist erst ab 2021 per Default auf "ein". Früher angelegte Tenants könnten hier noch auf "Aus" stehen

Die Konfiguration können Sie nur per AIP-PowerShell kontrollieren und setzen:

# Achtung: Im Juli 2025 funktionierte dieses Modul noch nicht in der PowerShell 7
# Installation des Moduls AIPService
Install-Module aipservice -Scope currentuser 

# Anzeige der aktuellen Version
(Get-Module AIPService -ListAvailable).Version  


#Verbindung zum Tenant interaktiv herstellen
Connect-AipService

# Kontrolle der aktuellen Einstellung 
(Get-AIPServiceConfiguration).Functionalstate


# Für Enterprise State Roaming muss der Status aktiviert sein.
Enable-AipService

# Kontrolle der aktuellen Einstellung 
(Get-AIPServiceConfiguration).Functionalstate

# Verbindung schliessen
Disconnect-AIPService

Die Aktivierung dauert in der Regel nur wenige Minuten, bis die Clients dann ihre Lizenz nutzen können. Die Aktivierung ist erforderlich, auch wenn Microsoft an anderer Stelle beschreibt, dass Enterprise State Routing seit Nov 2022 nicht mehr RMS nutzt.

Prior to Nov 2022 all user data was secured using Azure Rights Management.
Starting in November 2022, Microsoft no longer uses Azure Rights Management for all data encryption. Microsoft is committed to safeguarding customer data. Certain sensitive data such as passwords are encrypted client side with keys derived from the Microsoft Entra tenant to ensure an extra layer of security. All user data (including nonsensitive data) is encrypted in transit and at rest in the cloud.   
Quelle: How is the data secured?
https://learn.microsoft.com/en-us/entra/identity/devices/enterprise-state-roaming-faqs#how-is-the-data-secured-  

Fehlersuche mit edge://sync-internals

Nicht immer funktioniert der Sync reibungslos und dann brauchen sie gar nicht lange mit Wireshark, Fiddler oder Chromium-Debugger hantieren. Es gibt eine sehr aufschlussreiche Diagnose-Seite zum Thema Enterprise State Roaming und Edge Sync, die sie im Browser über die folgende URL direkt erreichen

edge://sync-internals

 

Bislang habe ich damit jeden Fehler analysieren und letztlich beseitigen können. Teils waren es einfach Firewall-Blockaden der jeweiligen URL, Manchmal auch einfach Anmeldefehler am Entra ID oder die fehlende Lizenz oder bei der führen Tenants die deaktivierte RMS-Funktion.

Fiddler

Dennoch war ich natürlich neugierig, was der Edge-Browser denn auf dem Kabel macht. Wer Wireshark habe ich schnell gesehen, dass es HTTPS-Requests sind und das sie vom Edge selbst und nicht aus einem Browser-Tab kommen, hilft mir der Chromium-Debugger nicht weiter. Dafür greife ich dann auf Fiddler zurück, um die HTTPS-Requests mitzuschneiden. Hier ein Auszug

Ehe der Sync-Client startet, scheint er zuerst die Lizenz abzufragen. Einen Request gegen folgende URL mit einem passenden "Bearer-Token" liefert die entsprechenden Daten.

https://api.aadrm.com/my/v2/enduserlicenses

Das Bearer-Token nutzt die AppID ecd6b820-32c2-49b6-98a6-444530e5a77a des Edge-Browsers und gilt für die URL "aadrm.com". Hier ein Auszug der decodierten XML-Struktur:

{
  "typ": "JWT",
}.{
  "aud": "https://aadrm.com",
  "iss": "https://sts.windows.net/604d9047-44e5-443a-ad8f-98abe5748b0a/",
  "iat": 1752738699,
  "nbf": 1752738699,
  "exp": 1752744398,
  "acr": "1",
  "appid": "ecd6b820-32c2-49b6-98a6-444530e5a77a",
  "family_name": "Carius",
  "given_name": "Frank",
  "idtyp": "user",
  "ipaddr": "2a00:6020:4e92:e200:917:6db9:3f44:6463",
  "name": "Frank Carius DEV",
  "scp": "user_impersonation",
  "unique_name": "adminfc@msxfaqdev.onmicrosoft.com",
  "upn": "adminfc@msxfaqdev.onmicrosoft.com",
}.[Signature]

Der Request selbst enthält noch eine JSON-Payload mit meiner lokalen IPv6-Adresse, die MAC-Adresse des Clients und eine "SerializedPublishingLicense".

Der Wert hinter SerializedPublishingLicense sieht nach BASE64-Codierung aus und der Textwizard von Fiddler liefert auch direkt eine XML-Struktur:

Die Antwort enthält die Information, dass ich "AccessGranted" habe. Alle weiteren Zugriffe gehen dann aber auf den Host "edge.microsoft.com/sync/v1/feeds/*". Allerdings nutzt Microsoft hier keine "sichtbaren" Informationen.

 

Das ist aber verständlich Microsoft schreibt dazu:

Certain sensitive data such as passwords are encrypted client side with keys derived from the Microsoft Entra tenant to ensure an extra layer of security. All user data (including nonsensitive data) is encrypted in transit and at rest in the cloud
Quelle: https://learn.microsoft.com/en-us/entra/identity/devices/enterprise-state-roaming-faqs#how-is-the-data-secured-

Service und Datenablage

Der Service zu "Edge.microsoft.com" ist zumindest von meinem Client per IPv6 und IPv4 sehr schnell erreichbar.

Der "Frontend-Service steht auf jeden Fall schon mal "nahe" bei mir und in Europa. Sie sehen aber auch, dass der IPv6-Weg deutlich schneller ist. Das dürfte aber an meinem Provider (Deutsche Glasfaser) liegen, die ein native IPv6-Routing bereitstellen aber für IPv4 sich einem Carrier Grade NAT (CGNAT) und 100.64.0.0/10 Subnetz bedienen müssen. Das bringt zusätzliche Hops und NAT-Gateways.

In den einzelnen Antworten von Microsoft aus der Cloud kann ich aber auch Hinweise auf die Server finden:

HTTP/1.1 200 OK
Content-Type: application/octet-stream
Vary: Accept-Encoding
mise-correlation-id: cac8c402-d985-4071-921a-b9eb5d666c92
MS-CV: bm39ctRM3NpJ6DFPSkBWcE.0
X-AFS-Tracking: cV=bm39ctRM3NpJ6DFPSkBWcE.0;server=akswtt00900000l;
                cloudType=Multitenant;
                environment=Prod_germanywestcentral_prod-s01-011-eur-germanywestcentral;
                migrationStage=NotStarted
X-Cache: CONFIG_NOCACHE
X-MSEdge-Ref: Ref A: CEAA644380FF4FFE9B305ABBF4142264 Ref B: DUS30EDGE0718 Ref C: 2025-07-18T00:53:52Z
Date: Fri, 18 Jul 2025 00:53:52 GMT
Content-Length: 57006

Die Information über das "environment" im Header X-AFS-Tracking ist ein deutliche Hinweis, dass die Daten vermutlich in Europe und vielleicht sogar in Deutschland liegen. Im Header "X-MSEdge-Ref" erscheint auch hinter "Ref B:" der Servername "DUS30EDGE0718".  DUS ist der IATA-Code für den Flughafen Düsseldorf. Ob da aber nun nur der Frontend oder auch die Datenablage liegt, kann ich so nicht bestimmen.

Wie generell eigentlich nicht  so ganz klar ist, wo die Daten nun tatsächlich liegen. Es scheint keine versteckte Mail in meinem Postfach oder eine Datei in meinen OneDrive zu sein. Microsoft schreibt dazu nur.

Enterprise State Roaming stores all synced data in the Microsoft cloud. UE-V offers an on-premises roaming solution
Settings and data roaming FAQ for administrators  https://learn.microsoft.com/en-us/entra/identity/devices/enterprise-state-roaming-faqs

Weitere Links