Copilot plötzlich auf allen Win 11 Domain Clients vorhanden

[phatair 47]

Hallo zusammen, 

 

wir haben schon länger bei uns die Installation von Copilot auf allen Clients unterbunden. Dazu haben wir die AppLocker Richtlinie von MS ausgerollt (https://learn.microsoft.com/en-us/windows/client-management/manage-windows-copilot) und im Base Image die APPX für alle User entfernt.

Das hat bisher ohne Problem funktioniert. Seit ein paar Tagen wird nun plötzlich auf allen Clients eine Copilot App unter "C:\Program Files (x86)\Microsoft\Copilot\Application" installiert. Also keine APPX.

Laut WindowsLatest scheint es wohl diese Copilot App zu sein -> https://www.windowslatest.com/2026/04/05/new-copilot-for-windows-11-includes-a-full-microsoft-edge-package-uses-more-ram/

 

Aber wie kann ich diese Installation verhindern? Ich habe es testweise mal deinstalliert und nach ca. 1 Stunde war es wieder installiert.

Ein schöner Spaß mit dieser Zwangsbeglückung 

 

Hat jemand die gleichen Erfahrungen in den letzten Tagen gemacht? Es scheint in Wellen ausgerollt zu werden, da von unseren 250 Clients rund 50 die Installation durchgeführt haben.

Updates werden über WSUS installiert, Dual Scan ist deaktiviert. Nur der Edge macht selbstständige Updates und ich vermute das es daher kommt.

 

Vielen Dank.

[Sunny61 853]

Du kannst mal versuchen die Update-Dienste vom Edge zu deaktivieren, allerdings befürchte ich, sie werden ziemlich schnell aktiviert werden. 

[phatair 47]

Hi Sunny61,

danke!

Ich habe jetzt mal Update policy override default auf disabled und AutoUpdateCheckPeriodMinutes auf 0 gestellt.

Mal schauen ob es was bringt.

 

Habe gerade diese Copilot Anwendung deinstalliert und keine 30 Min später war sie wieder drauf.

Im Eventlog ist aber auch kein Hinweis über die Installation... einfach ein Mist was MS da treibt.

[phatair 47]

vor 23 Stunden schrieb Sunny61:

Du kannst mal versuchen die Update-Dienste vom Edge zu deaktivieren, allerdings befürchte ich, sie werden ziemlich schnell aktiviert werden. 

Hat leider nichts geholfen.

Erscheint nach einer Deinstallation nach ca. 1 Stunde wieder.

Es geht genau um das Thema hier, was Windows Latest hier im März schon beschreibt. Auch hier wird keine Möglichkeit erwähnt das zu blocken.

https://www.windowslatest.com/2026/03/18/microsoft-appears-to-be-dumping-native-copilot-for-windows-11-in-favour-of-web-wrapper-yet-again/

 

Ich werde das jetzt mal mit AppLocker probieren. Das ist ja das offizielle Vorgehen von MS um die APPX zu blockieren.

Oder ich Frag einfach Copilot wie ich ihn blockieren kann 

[phatair 47]

Also das Thema lässt mir keine Ruhe

 

Die AppLocker Rule ermöglicht zwar das blockieren von installierten Copilot Installationen und ich schaffe es auch, dass trotzdem der Uninstall von bestehenden Installationen läuft.

Aber trotzdem wird Copilot immer neu installiert.

 

Ich habe jetzt mit Process Monitor mal geschaut was passiert wenn plötzlich Copilot wieder erscheint.

Dabei sind mir folgende Punkte aufgefallen und vielleicht habt ihr eine Idee ob mir das weiterhilft um diese ungewollte Installation zu unterbinden

 

Zum einen sehe ich, dass die Installation tatsächlich vom Edge Updater kommt.

Folgender Eintrag ist zu sehen

C:\Program Files (x86)\Microsoft\EdgeUpdate\Install\{8DCB45C1-62C5-45F7-80D0-28914C310AD9}\MicrosoftEdge_X64_147.0.3912.60.exe

PID: 5088, Command line: "C:\Program Files (x86)\Microsoft\EdgeUpdate\Install\{8DCB45C1-62C5-45F7-80D0-28914C310AD9}\MicrosoftEdge_X64_147.0.3912.60.exe" --mscopilot --verbose-logging --do-not-launch-msedge --system-level --channel=stable --copilot-upgrade-only=1

 

ETwas später passiert dann noch das

C:\Program Files (x86)\Microsoft\EdgeUpdate\Install\{8DCB45C1-62C5-45F7-80D0-28914C310AD9}\EDGEMITMP_4ADE2.tmp\setup.exe

PID: 12576, Command line: "C:\Program Files (x86)\Microsoft\EdgeUpdate\Install\{8DCB45C1-62C5-45F7-80D0-28914C310AD9}\EDGEMITMP_4ADE2.tmp\setup.exe" --install-archive="C:\Program Files (x86)\Microsoft\EdgeUpdate\Install\{8DCB45C1-62C5-45F7-80D0-28914C310AD9}\MicrosoftEdge_X64_147.0.3912.60.exe" --mscopilot --verbose-logging --do-not-launch-msedge --system-level --channel=stable --copilot-upgrade-only=1

 

Das wundert mich, da ich die Edge Updates per GPO deaktiviert habe und wenn ich im Edge auf "Hilfe" gehe, sehe ich die Info, dass die Updates deaktiviert sind und durch die Organisation kontrolliert werden.

Gibt es noch eine weitere GPO die weitere Edge Update Thematiken deaktiviert? Eigentlich sollte hier ja nichts mehr passieren.

 

Des Weiteren sehe ich, dass vor dem obigen Aufruf die MicrosoftEdgeUpdate.exe sehr oft folgende RegKeys prüft

HKLM\SOFTWARE\Policies\Microsoft\Copilot

HKLM\SOFTWARE\WOW6432Node\Policies\Microsoft\Copilot

 

Beide Reg Keys gibt es bei uns nicht. Meine Vermutung ist jetzt, dass vielleicht noch eine GPO fehlt die dem Updater mitteilt, dass er kein Copilot installieren soll

Ist euch da eine GPO bekannt, die oben genannte Reg Keys erstellt und befüllt?

 

Für Vorschläge wäre ich dankbar 
Schönes Wochenende.

[phatair 47]

Also ich habe für uns eine Lösung gefunden.

 

wie schon erwähnt, hatte ich den Edge Updater per GPO deaktiviert. Das wurde auch übernommen.

Info in Edge

Auch wurde die GPO sauber in die Registrierung geschrieben und der Wert für die Deaktivierung von Updates sauber gesetzt. Die Infos von MS stehen hier

 

Trotzdem wurde Copilot immer wieder als x86 Anwendung unter C:\Program Files (x86)\Microsoft\Copilot\Application installiert.

Ich musste jetzt folgende Schritte durchführen um das zu unterbinden

Folgende Dienste auf beendet setzen

Microsoft Edge Update Service (edgeupdate)

Microsoft Edge Update Service (edgeupdatem)

 

Scheduled Tasks (muss als Admin gestartet werden, sonst sieht man die Tasks nicht)

MicrosoftEdgeUpdateTaskMachineCore -> direkt unter "Aufgabenplanungsbibliothek"

MicrosoftEdgeUpdateTaskMachineUA -> direkt unter "Aufgabenplanungsbibliothek"

 

Seit dem ist Ruhe. Ich hätte eigentlich erwartet, dass die GPO die ich oben erwähne, "Update policy override default" in "Administrative Templates/Microsoft Edge Update/Applications" , genau diese Sachen deaktiviert. Aber die unterbindet wohl nur das Update von Edge und nicht andere Software die über diesen Dienst installiert werden kann.

 

Wir werden jetzt die Edge und WebView2 Updates über unsere Softwareverteilung verteilen.

Vielleicht hilft das ja noch jemand.

Grüße

 

[Weingeist 176]

Gilt das für auch für Enterprise oder sind das Pro Versionen? 

Bei IoT habe ich - bis jetzt - dieses Verhalten nicht festgestellt. Werde das mal näher prüfen. Die Dinger werden aber normal nicht Zwangsbeglückt. 

 

Die übliche Vorgehensweise von MS ist bei vielen Zwangsbeglückungen mittels einem Task gelöst. Da würde ich als erstes ansetzen. Schauen was sich da allenfalls verändert hat. Also einerseits unter Edge und andernseit bei allem was nach Copilot, AI, Recall, Cortana oder Azure klingt. 

[phatair 47]

vor 3 Minuten schrieb Weingeist:

Gilt das für auch für Enterprise oder sind das Pro Versionen? 

Bei IoT habe ich - bis jetzt - dieses Verhalten nicht festgestellt. Werde das mal näher prüfen. Die Dinger werden aber normal nicht Zwangsbeglückt. 

Wir nutzen hier nur Windows 11 24H2 Pro. Bei 50 von 250 Clients ist Copilot automatisch installiert worden (über die letzten ca. 2 Wochen verteilt). 

 

vor 11 Minuten schrieb Weingeist:

Die übliche Vorgehensweise von MS ist bei vielen Zwangsbeglückungen mittels einem Task gelöst. Da würde ich als erstes ansetzen. Schauen was sich da allenfalls verändert hat. Also einerseits unter Edge und andernseit bei allem was nach Copilot, AI, Recall, Cortana oder Azure klingt. 

Wie oben beschrieben, hat das deaktivieren der Edge Update Dienste und das deaktivieren der Schedule Tasks für den Edge Update die Zwangsbeglückung gestoppt.

Ob das alleinige deaktivieren der Schedule Tasks ausreichte, weiß ich nicht. 

Wir lassen jetzt sowohl die Tasks als auch die Services deaktiviert. Das Ganze wird über die Client Management Software regelmäßig geprüft und falls es sich wieder einschalten sollte, wieder deaktiviert.

 

Da sowohl Edge als auch WebView2 über unser Patch Management jetzt aktualisiert wird, brauchen wir den Edge Updater nicht mehr (stand jetzt  )

[Weingeist 176]

vor 1 Stunde schrieb phatair:

Wir nutzen hier nur Windows 11 24H2 Pro. Bei 50 von 250 Clients ist Copilot automatisch installiert worden (über die letzten ca. 2 Wochen verteilt). 

Bei Pro wundert mich das ehrlich gesagt nicht. Das ignoriert wie Home sehr gerne GPO's, welche MS am liebsten durchgesetzt hätte. Übrigens auch punkto Telemetrie-Daten. Im Grunde ist Pro nicht tauglich für Unternehmen. Der Name ist ver****e. Bei Enterprise-Editionen ziehen die GPO's normalerweise. Wenn nicht grad wieder die Bedeutung der eingestellten Werte umgestellt wird, funktioniert das auch (So wie das eine Zeitlang gefühlt jedes halbe Jahr bei den Updatediensten vorkam).

 

Eigentlich richtig abartig was sich MS beim Thema AI erlaubt wenn man die ganzen erfolgreichen Datenabzüge sieht.

 

vor 1 Stunde schrieb phatair:

Ob das alleinige deaktivieren der Schedule Tasks ausreichte, weiß ich nicht. 

Den Task hatte ich überlesen und nur die Updatedienste bemerkt. Sorry.

bearbeitet 20. April von Weingeist

[phatair 47]

vor 44 Minuten schrieb Weingeist:

Bei Pro wundert mich das ehrlich gesagt nicht. Das ignoriert wie Home sehr gerne GPO's, welche MS am liebsten durchgesetzt hätte. Übrigens auch punkto Telemetrie-Daten. Im Grunde ist Pro nicht tauglich für Unternehmen. Der Name ist ver****e. Bei Enterprise-Editionen ziehen die GPO's normalerweise. Wenn nicht grad wieder die Bedeutung der eingestellten Werte umgestellt wird, funktioniert das auch (So wie das eine Zeitlang gefühlt jedes halbe Jahr bei den Updatediensten vorkam).

Ich behaupte jetzt einfach mal, dass die GPOs bei uns genau so verarbeitet werden wie MS das gedacht hat, unabhängig von der Pro oder Enterprise Variante.

Nur deaktiviert eben die Update GPO vom Edge Updater nicht alle Kommunikation unterbinden, sondern erlaubt weiterhin einen Teil.

 

Das einige GPOs nur unter Enterprise funktionieren, ist korrekt. Aber das ist überschaubar.
Es mag sein, dass bestimmte Probleme bei einer Enterprise oder LTSC/LTSB Variante gar nicht auftreten, da bestimmte Features dort gar nicht vorhanden sind oder bei MS anders gehandhabt werden.

 

Für uns funktioniert das Thema jetzt erstmal so. Wichtig war mir, dass ich relativ einfach jetzt diesen Copilot Mist von den Clients bekomme und auch die Zwangsbeglückung deaktiviere.

 

EDIT:
Wir sind auch nicht die einzigen mit dem Problem. Bei WindowsLatest wurde es ja schon erwähnt, aber auch hier und hier sind Beiträge von Usern die auf das gleiche Problem abzielen. 

bearbeitet 20. April von phatair

[NorbertFe 2.401]

vor einer Stunde schrieb Weingeist:

Übrigens auch punkto Telemetrie-Daten

Man kann auch bei der Pro den Telemetriedienst abschalten ;)

[Weingeist 176]

vor 55 Minuten schrieb phatair:

Ich behaupte jetzt einfach mal, dass die GPOs bei uns genau so verarbeitet werden wie MS das gedacht hat, unabhängig von der Pro oder Enterprise Variante.

Nur deaktiviert eben die Update GPO vom Edge Updater nicht alle Kommunikation unterbinden, sondern erlaubt weiterhin einen Teil.

Punkto Telemetrie, Updates: No Way. Ausser da wurde grundlegend etwas verändert, was ich mir nicht vorstellen kann. Heisst aber nicht, dass man nicht selber Gegensteuer geben kann. So wie Du das auch gemacht hast mit Edge. Mir geht solcher Kram aber auf die Eier. MS lässt sich diesbezüglich immer wieder was neues einfallen. Mit LTSC/Enterprise ist es weniger.

 

 

vor 26 Minuten schrieb NorbertFe:

Man kann auch bei der Pro den Telemetriedienst abschalten ;)

I know. Manche Einstellungen brauchen unter Pro aber schon die Brechstange. Im Detail weiss ich es nimmer auswendig, ist schon eine Zeit her als ich das Verhalten sowie vorinstallierten Kram von Pro/Enterprise/IoT und den LTSC-Derivaten unter W10 verglichen habe. Auf alle Fälle hat sich Pro für mich disqualifiziert gehabt.

[phatair 47]

Zwar etwas OT, aber wir haben Telemetrie auch deaktiviert und haben deshalb auch keine Secure Boot Updates bekommen. Haben auch nur die GPO gesetzt.

Updates ist mir auch nichts bekannt, was hier mit Pro nicht klappt.

Unsere Problematik hat meiner Meinung nach nichts mit Pro/Enterprise und irgendwelchen nicht supporteten GPOs zu tun.

 

Enterprise ist für uns kostentechnisch raus, da wir nicht die großen Mehrwehrt davon haben.

Aber ist ja gut, wenn jeder seinen Weg gehen kann 

[Sunny61 853]

vor 7 Stunden schrieb phatair:

Folgende Dienste auf beendet setzen

Microsoft Edge Update Service (edgeupdate)

Microsoft Edge Update Service (edgeupdatem)

Den Teil hatte ich schon beschrieben, und dass man meistens noch ein paar geplante Aufgaben deaktivieren muss, ist heute ja schon Standard. Und so eine Einstellung von wegen Updates deaktivieren, schreibt immer nur etwas in die GUI, deaktivieren tun es anschließend die wenigsten. Adobe und Foxit sind da sehr gute negative Beispiele. Danke auf jeden Fall für die Rückmeldung. ;)

[NorbertFe 2.401]

vor 19 Minuten schrieb phatair:

aber wir haben Telemetrie auch deaktiviert und haben deshalb auch keine Secure Boot Updates bekommen.

Ist der Zusammenhang irgendwo bei MS dokumentiert?