Déployer et administrer Firefox en Entreprise

Vous souhaitez que vos utilisateurs n’utilisent plus IE ou Edge ? Vous avez déployé Firefox au lieu de Firefox ESR ?
Bienvenu, installez-vous, on va voir ici comment déployer et administrer Firefox au sein de votre entreprise.

Déploiement

Sur un poste neuf

Pour commencer, télécharger le fichier Firefox ESR au format msi depuis cette adresse : https://www.mozilla.org/en-US/firefox/enterprise/#download .

C’est le moment de créer une GPO pour le déploiement.

L’installation devant se faire sur chaque ordinateur, il s’agira d’une GPO Ordinateur.

Chemin pour la GPO

Ajouter un fichier via le clic droit.

De l’intêret des .msi

Sélectionner votre fichier .msi préalablement mis dans un répertoire partagé.

Sélectionner le mode « Attribué ».

Vous devriez voir ceci après un petit temps d’analyse.

Redémarrer (ou forcer l’application) de la GPO sur un de postes cibles.

Avant le redémarrage.
Après le gpupdate /force.

A noter, lors de l’application de la GPO sur un serveur, vous aurez cette fenêtre.

Information présente sur les serveurs.

Et si j’ai déjà du Firefox sur le parc ?

Dans le cas où une version de Firefox est déjà présente, plusieurs problèmes vont se poser.

Primo, les profils des utilisateurs sont stockés aux mêmes endroits, que ce soit avec la version ESR et la standard. Il faut donc s’assurer de ne pas les perdre.
Plus d’informations ici : https://support.mozilla.org/fr/kb/profils-la-ou-firefox-conserve-donnees-utilisateur

Deuxième problème, on souhaite éviter la cohabitation de Firefox et de Firefox ESR.

Troisièmement, dans le cadre d’une migration Firefox vers Firefox ESR, une alerte a forcément lieu pour avertir du changement de version.

Cas d’étude

Dans cette « étude de cas », je pars d’un poste avec Firefox standard installé et avec des réglages fait par l’utilisateur ( favoris, page accueil, mots de passe enregistrés, configuration extension/application déjà réalisée).

Préparation de la migration

On va créer une GPO pour copier le profil des utilisateurs à la connexion de l’utilisateur.

Cette GPO devra être appliquée en avance de phase, si vous le déployez trop tard, vous risquez d’avoir des utilisateurs qui ne sont pas connectés et par conséquent qui n’auront pas la sauvegarde de réalisée.

La GPO.

Le contenu du script:

###Création du dossier de sauvegarde
mkdir C:\temp\SaveFirefox
###Copie des profils en local
xcopy "%userprofile%\AppData\Roaming\Mozilla" "C:\temp\SaveFirefox" /E /Y /V

On redémarre la cible pour confirmer la sauvegarde.

La sauvegarde est ok

Vu la situation et les risques, à moins d’être suicidaire, vous allez gérer par lot. Charge à vous de vérifier que chaque utilisateur a bien sa sauvegarde.

Dans mon cas, je sauvegarde sur le poste utilisateur, mais vous pouvez le faire dans un répertoire partagé dédié avec un dossier par utilisateur par exemple.

Les fichiers importants sont :
– key4.db et login.json qui contiennent les identifiants et mots de passe enregistrés,
-prefs.js qui contient les préférences comme la page d’accueil,
-places.sqlite et favicons.sqlite qui contiennent les favoris et leurs favicons,
-handler.json : contient la relation entre application et extension.

La sauvegarde faite, il est temps de déployer votre nouveau Firefox.

Déploiement de la version ESR

On va reprendre la GPO de tantôt, à laquelle on ajoute l’exécution d’un script à la déconnexion.

On attend l’application de la nouvelle GPO (ou gpupdate /force).

A la reconnexion on a bien Firefox en ESR qui a remplacé Firefox:

Et uniquement ESR

On exécute Firefox pour créer le nouveau profil :

Firefox ESR a un cycle de sortie plus lent, son numéro est donc inférieur à Firefox « standard ».

L’utilisateur n’a plus qu’a exécuté le script de copie des fichiers vers le répertoire nouvellement créé en redémarrant le sa session.

Le script de restauration :

xcopy « C:\temp\SaveFirefox\Profiles\*.default-release\key4.db » « %userprofile%\AppData\Roaming\Mozilla\Profiles\*.default-esr\ » /E /Y /V
xcopy « C:\temp\SaveFirefox\Profiles\*.default-release\login.json » « %userprofile%\AppData\Roaming\Mozilla\Profiles\*.default-esr\ » /E /Y /V
xcopy « C:\temp\SaveFirefox\Profiles\*.default-release\prefs.js » « %userprofile%\AppData\Roaming\Mozilla\Profiles\*.default-esr\ » /E /Y /V
xcopy « C:\temp\SaveFirefox\Profiles\*.default-release\places.sqlite » « %userprofile%\AppData\Roaming\Mozilla\Profiles\*.default-esr\*.* » /E /Y /V
xcopy « C:\temp\SaveFirefox\Profiles\*.default-release\favicons.sqlite » « %userprofile%\AppData\Roaming\Mozilla\Profiles\*.default-esr\*.* » /E /Y /V
xcopy « C:\temp\SaveFirefox\Profiles\*.default-release\handler.json » « %userprofile%\AppData\Roaming\Mozilla\Profiles\*.default-esr\*.* » /E /Y /V
#Renommer le dossier pour ne pas écraser les modifcation ultérieures
ren C:\temp\SaveFirefox C:\temp\SaveFirefox.old

Je relance le navigateur et je vérifie que tout sois revenu comme avant.

La page d’accueil est bien www.google.fr
Le mot de passe est enregistré

Ce qui donne en processus : on déploie Firefox ESR, l’utilisateur créer le profil, se déconnecte et à sa reconnexion il aura son profil tout refait, tout propre.

Voici la GPO cible.

Si la migration s’est bien passée, vous pourrez refaire une GPO pour nettoyer les anciens exports via :

rmdir C:\temp\SaveFirefox.old /S /Q

Administrer Firefox ESR

Depuis 2018, Mozilla fournit les fichiers afin de créer vos GPO.
Customizing Firefox Using Group Policy (Windows) | Firefox for Enterprise Help (mozilla.org)

Mettre Firefox en navigateur par défaut.

Pour ça, il faut extraire votre propre configuration.

Dism /Online /Export-DefaultAppAssociations:"C:\ExportApp.xml"

it works !

Une autre solution semble être d’utiliser le fichier « defaultassociations.xml » présent dans le dossier system32.

Créer la GPO pour attribuer cette configuration aux postes clients :

Sélectionner « set a default associations configuration file »

Penser a mettre le fichier XML dans le même répertoire que l’installeur de Firefox. Plus simple pour le suivi.

Comme tout à l’heure, attendez l’application de la GPO.

Avant
Après le reboot

Configurer Firefox

Avec les fichiers ADMX fournis, vous devriez pouvoir gérer Firefox via des GPO.

Les possibilités sont illimitées !

Dans mon cas je veux bloquer les accès aux « about : », activer les mises à jour automatiques, forcer la page d’accueil et un proxy.

Adieu les about:
On force les mises à jour

À noter que la valeur par défaut et « désactiver » sont identiques. Par principe, si je veux une valeur je la force pour éviter qu’un changement de politique « par défaut » ne mette à mal le système informatique.

J’interdis aux utilisateurs de changer la page.

On en profite pour modifier la page de démarrage:

Je choisis de mettre la page d’accueil verrouillée.
Je force le proxy pour tous les protocoles et j’interdis aux utilisateurs de le changer.

Et c’est repartie pour attendre la descente de la GPO.

Le contrôle du proxy confirme que tout est ok.

Et voilà, votre Firefox est configuré, vous n’avez plus à gérer à l’ancienne un fichier de configuration et vous êtes sûr que vos utilisateurs respectent les mêmes règles qu’avec les autres navigateurs.