Quando provi ad attivare la VPN di Microsoft Edge (Edge Secure Network) compare l’avviso “This setting is turned off for managed browsers”? Qui trovi cause, verifiche e soluzioni concrete. La procedura principale rimuove l’associazione “Accesso a lavoro o scuola” che fa risultare Edge come gestito.
Sintomi e messaggio di errore
Su alcuni PC Windows 10/11, entrando in Impostazioni di Edge > Privacy, ricerca e servizi per abilitare la nuova VPN di Edge (a volte chiamata “Rete sicura”), appare il banner:
“This setting is turned off for managed browsers”
Il comportamento tipico è che l’interruttore della VPN sia disabilitato e l’intera sezione risulti bloccata come se fosse stata imposta una policy aziendale.
Perché Edge segnala browser gestito
Edge eredità lo stato di gestione dal sistema. Se Windows risulta registrato o associato a un’organizzazione (tenant Azure AD o servizio MDM, come Intune o MDM di terze parti), il browser può risultare “gestito” anche in assenza di criteri visibili in edge://policy
. La semplice associazione “Accesso a lavoro o scuola” (Workplace Join) è sufficiente per far sì che Edge si consideri sotto controllo amministrativo e disattivi funzionalità consumer, tra cui la VPN.
Questa condizione può persistere per anni se un vecchio account universitario/aziendale è rimasto registrato sul dispositivo, pur non essendo più usato.
Cosa era già stato provato
Nel caso reale descritto, prima di chiedere aiuto l’utente aveva già tentato senza successo:
- Verificare l’assenza di criteri in Edge (
edge://policy
vuoto). - Controllare il Registro per chiavi Edge/Chrome Policies.
- Disabilitare o rimuovere tutte le estensioni.
- Aggiornare Windows ed Edge all’ultima versione disponibile.
- Eseguire
gpupdate /force
. - Usare un account locale invece di un account Microsoft.
Tutti passaggi utili, ma se Windows risulta ancora “workplace joined” o iscritto a un MDM, Edge continuerà a mostrarsi gestito e a bloccare la VPN.
Percorso di risoluzione consigliato
Di seguito il percorso suggerito da un consulente Microsoft, da seguire nell’ordine. La prima opzione risolve la maggior parte dei casi domestici e BYOD.
Opzione | Passaggi | Scopo |
---|---|---|
Rimuovere eventuali associazioni “Work o School” | 1) Impostazioni → Account → Accesso a lavoro o scuola. 2) Se compare un account (es. universitario o aziendale) selezionalo e premi Disconnetti. 3) Riavvia il PC. | Un semplice collegamento a un tenant Azure AD o MDM fa riconoscere Edge come “gestito”, disabilitando la VPN. |
Creare un nuovo profilo in Edge | … → Impostazioni → Profili → Aggiungi profilo e testare la VPN nel nuovo profilo. | Escludere che il problema dipenda dal profilo browser (cache, dati, sync). |
Creare un nuovo account locale Windows | Apri CMD (amministratore):net user NUOVOUTENTE PASSWORD /add net localgroup administrators NUOVOUTENTE /add Disconnettiti, accedi come NUOVOUTENTE e prova la VPN. | Verificare se la configurazione del profilo Windows è danneggiata. |
Opzione: rimuovere l’associazione “Accesso a lavoro o scuola”
Questa è la soluzione che nella pratica risolve più spesso. Funziona perché elimina la fonte che fa percepire il dispositivo come controllato da un’organizzazione.
Passaggi dettagliati
- Apri Impostazioni (Win+I).
- Vai in Account → Accesso a lavoro o scuola.
- Se vedi un account o una voce “Connesso a NomeOrganizzazione”, selezionala e scegli Disconnetti.
- Conferma tutte le finestre di avviso. Se richiesto, accetta la rimozione dei criteri di gestione.
- Riavvia il PC.
- Apri Edge e verifica: la sezione della VPN dovrebbe essere sbloccata.
Attenzione in ambienti aziendali
Non scollegare un dispositivo se è effettivamente di proprietà dell’azienda o ufficialmente gestito: potresti violare policy interne o perdere accesso a risorse e app (S/MIME, Wi‑Fi aziendale, VPN corporate, Office con licenza aziendale). In questi casi devi contattare il reparto IT.
Verifiche post‑rimozione
- In Edge digita
edge://management
: lo stato dovrebbe riportare che il browser non è gestito. - Controlla
edge://policy
: l’elenco delle policy deve essere vuoto o privo di voci attive. - Apri Impostazioni → Account → Accesso a lavoro o scuola: non devono esserci connessioni.
Opzione: creare un nuovo profilo in Edge
Se non vuoi toccare subito lo stato del dispositivo o se hai già rimosso l’associazione ma il problema persiste, crea un profilo browser pulito per escludere cause locali.
- Apri Edge → menu … → Impostazioni → Profili.
- Seleziona Aggiungi profilo e scegli Aggiungi senza accedere (per il test).
- Nel nuovo profilo vai nella pagina della VPN e prova ad attivarla.
Se la VPN si abilita nel profilo nuovo ma non in quello vecchio, valuta di migrare i dati (preferiti, password) e usare il profilo pulito. In alternativa, prova a disattivare la sincronizzazione nel profilo problematico, svuotare cache/dati sito, o eseguire un reset dalle impostazioni di Edge.
Opzione: creare un nuovo account locale Windows
Quando il profilo utente Windows è corrotto o ha residui di policy, un account nuovo aiuta a capire se la causa è per‑utente o di sistema.
Creazione rapida via riga di comando
cmd (eseguito come amministratore)
net user NUOVOUTENTE PASSWORD /add
net localgroup administrators NUOVOUTENTE /add
Esci dalla sessione corrente, accedi come NUOVOUTENTE e prova la VPN in Edge. Se qui funziona, la problematica è confinata al profilo originale; puoi migrare i dati e rimuovere l’account vecchio dopo un backup.
Nota di sicurezza: evita password semplici e rimuovi l’account di test quando non serve più.
Come verificare rapidamente lo stato di gestione
Controllo da Edge
- Apri
edge://management
per vedere se il browser è gestito e da quale origine (Azure AD, MDM, criteri locali). - Apri
edge://policy
per l’elenco effettivo delle policy applicate. Se vedi configurazioni non riconosciute, il dispositivo è probabilmente collegato a un tenant o a un MDM.
Comando dsregcmd per Azure AD/MDM
Esegui in Prompt dei comandi (amministratore):
dsregcmd /status
Nel blocco Device State controlla i campi principali:
Campo | Cosa significa | Indicazione |
---|---|---|
AzureAdJoined | Il dispositivo è unito ad Azure AD (tipico di PC aziendali gestiti). | Se YES, è normale che Edge risulti gestito. |
WorkplaceJoined | Il dispositivo è registrato (Workplace Join) a un tenant; avviene spesso aggiungendo “Accesso a lavoro o scuola”. | Se YES, anche senza policy visibili Edge può bloccarsi. |
TenantName / TenantId | Mostra il nome/ID del tenant che ha la registrazione. | Se vedi il nome della vecchia università/azienda, rimuovi l’associazione. |
Verifica nel Registro
Controlla che non ci siano policy residue nelle chiavi:
HKLM\SOFTWARE\Policies\Microsoft\Edge
HKCU\SOFTWARE\Policies\Microsoft\Edge
Se trovi valori attivati, annotali. Prima di qualsiasi modifica al Registro, crea sempre un punto di ripristino o esporta la chiave interessata. Evita di cancellare chiavi a caso: spesso sono ricreate da logon script o agent MDM al riavvio.
Verifica dei criteri di gruppo
Su PC connessi a dominio la gestione può arrivare da GPO:
gpresult /r /scope computer
Se compaiono GPO di dominio e non riconosci l’origine, è probabile una gestione aziendale. In tal caso, non puoi (né dovresti) sbloccare la VPN consumer di Edge senza l’IT.
Perché accade
La VPN di Edge è pensata per utenti consumer. Quando il dispositivo è registrato a un tenant (anche solo tramite “Accesso a lavoro o scuola”) o a un MDM, Edge attiva i meccanismi di browser management per rispettare le policy organizzative. Di default, questo stato disabilita la VPN integrata per evitare conflitti con VPN aziendali, ispezione del traffico e requisiti di conformità.
Scenario reale risolto
Nel caso pratico che ha generato questa guida, l’utente ha scoperto con l’Opzione “Accesso a lavoro o scuola” che sul PC era rimasto un vecchio account universitario. Disconnesso l’account e riavviato il sistema, Edge ha smesso di essere “managed” e l’interruttore della VPN è tornato attivo. Non sono state necessarie modifiche al Registro o reinstallazioni.
Diagnostica avanzata e suggerimenti
- Valuta l’impatto su app Office/OneDrive: la rimozione di “Accesso a lavoro o scuola” può disconnettere Office/OneDrive aziendali. Se ti serve ancora quell’account per le app, valuta un profilo Windows separato: uno “pulito” per uso personale e uno aziendale per lavoro/studio.
- Edge profili e Sync: se usi la sincronizzazione con account Microsoft personale, la gestione del browser non dipende da essa. È lo stato del dispositivo che fa fede.
- Script di logon: in contesti ibridi, all’accesso potrebbero essere reimposte policy (cartelle Startup, Attività pianificate, agent terze parti). Se dopo il riavvio le chiavi di policy riappaiono, c’è ancora un agente di gestione installato.
- Reset di Edge: se il problema è residuo del profilo, prova Impostazioni → Reimposta impostazioni → Ripristina le impostazioni ai valori predefiniti. Salva prima password/segnalibri.
Domande frequenti
Posso tenere l’account “lavoro o scuola” e abilitare lo stesso la VPN?
Nella maggior parte dei casi no: finché il dispositivo risulta registrato a un tenant/MDM, Edge considera il browser gestito e disabilita la VPN consumer. Soluzioni: usare un profilo Windows separato non registrato, o un PC non gestito.
Se rimuovo l’associazione perdo file o licenze?
La rimozione scollega criteri e accessi aziendali. I file personali restano; potresti perdere l’accesso a risorse dell’organizzazione (OneDrive/SharePoint aziendale, app protette). Se ti servono ancora, non rimuovere l’associazione.
edge://policy
è vuoto ma vedo ancora “managed”. È normale?
Sì. Lo stato “managed” può derivare dal semplice workplace join, senza policy attive. edge://management
e dsregcmd /status
sono più indicativi.
Ho disconnesso l’account ma la VPN è ancora disabilitata.
Verifica con dsregcmd /status
che WorkplaceJoined sia NO. Controlla che non ci siano agent MDM installati. Se il problema resta, prova un profilo Edge nuovo o un utente Windows nuovo: se lì funziona, il profilo originale è la causa.
È sicuro cancellare le chiavi di registro delle policy?
Solo se sai esattamente cosa stai facendo e dopo un backup. Spesso quelle chiavi sono sintomo, non causa: se un agente MDM è ancora presente, le ricreerà al riavvio. La strada corretta è rimuovere l’associazione a monte.
Checklist operativa
- Apri
edge://management
e annota lo stato. - Esegui
dsregcmd /status
e controlla AzureAdJoined e WorkplaceJoined. - Se WorkplaceJoined = YES, rimuovi Accesso a lavoro o scuola e riavvia.
- Controlla
edge://policy
; se vuoto, testa la VPN. - Se ancora bloccata: profilo Edge nuovo; in alternativa, account Windows nuovo.
- Se il dispositivo è aziendale, coordina ogni cambiamento con l’IT.
Esempi di comandi utili
REM Verifica stato Azure AD/MDM
dsregcmd /status
REM Aggiorna criteri di gruppo (se il PC è in dominio)
gpupdate /force
REM Crea account locale di test con privilegi amministrativi
net user NUOVOUTENTE PASSWORD /add
net localgroup administrators NUOVOUTENTE /add
Approfondimenti pratici
- Perché accade: Edge eredita lo stato “managed” se Windows è registrato in Azure AD o in un servizio MDM. In questo stato la VPN integrata viene disabilitata.
- Verifiche alternative:
dsregcmd /status
per il controllo dell’iscrizione ad Azure AD.- Registro di sistema:
HKLM\SOFTWARE\Policies\Microsoft\Edge
eHKCU\SOFTWARE\Policies\Microsoft\Edge
.
- Se il problema persiste: assicurati che non esistano criteri di gruppo applicati a livello di dominio o script di accesso che reimpostino le policy a ogni logon.
Conclusione
Il messaggio “This setting is turned off for managed browsers” in Edge non è un bug della VPN, ma un effetto dello stato di gestione del dispositivo. Nel contesto domestico o BYOD, la soluzione più efficace è rimuovere l’eventuale associazione “Accesso a lavoro o scuola”, riavviare e verificare lo sblocco della VPN. Se il dispositivo è aziendale o effettivamente gestito, è normale che la VPN di Edge resti disabilitata: in quel caso occorre attenersi alle policy dell’organizzazione o utilizzare un profilo/dispositivo personale non gestito.
Riepilogo rapido
- La VPN di Edge è disattivata perché il browser risulta gestito.
- La causa più comune è una vecchia registrazione a un tenant (università/azienda) rimasta in “Accesso a lavoro o scuola”.
- Disconnetti quella voce e riavvia: nella maggior parte dei casi la VPN torna attivabile.