Produktdokumentation
Citrix Remote Browser Isolation
PDF anzeigen

Was ist neu

February 16, 2026
Beitrag von: 
C C

Juni 2025

Remote-Browser-Isolation – selbstgehostete Workloads

Mit selbstgehosteten Workloads der Remote Browser Isolation (RBI) können Kunden Remote-Browser-Workloads innerhalb ihrer eigenen Azure-Abonnements betreiben. Die Datenebenenkomponente (Virtual Desktop Agent) in selbstgehosteten RBI-Workloads wird in einem vom Kunden bereitgestellten Azure-Abonnement ausgeführt. Auf diese Weise können Kunden Maschinen und Kataloge je nach Bedarf horizontal skalieren und mehrere Kataloge für eine bessere Kategorisierung der Workload bereitstellen.

Voraussetzungen:

  • Citrix Platform Licenses-(CPL)-Lizenz oder eine RBI Dedicated Entitlement und eine DaaS Premium Entitlement.
  • Der DaaS-Dienst muss aktiviert sein. > Hinweis: > > Dieser Schritt ist nur möglich, wenn der Mandant des Kunden über die erforderlichen Rechte verfügt.
  • Aktivieren Sie das Rendezvous-Protokoll in DaaS.

So aktivieren Sie den DaaS-Dienst

  1. Melden Sie sich bei Citrix Cloud an.
  2. Navigieren Sie zum DaaS-Dienst.
  3. Suchen Sie Enable DaaS und klicken Sie darauf. Dieser Schritt bereitet die erforderliche DaaS-Infrastruktur für selbst gehostete RBI-Workloads vor und dauert etwa 45 Minuten.

Onboardingprozess für RBI

Klicken Sie auf der Citrix Cloud-Seite auf RBI-Service verwalten, um auf die Remote Browser Isolation-Landingpage zuzugreifen.

RBI - Landingpage

Schritt 1: Azure-Abonnement hinzufügen

  1. Klicken Sie auf der Seite Erste Schritte mit Remote Isolation auf Abonnement hinzufügen. Azure-Abonnements können auf zwei Arten zu selbst gehosteten RBI-Workloads hinzugefügt werden:

    • Globale Administratoranmeldeinformationen verwenden: Dem Citrix-Dienst erlauben, in meinem Namen auf mein Azure-Abonnement zuzugreifen.
    • Verwendung von Unternehmens-App-Registrierungen mit Mitwirkendenrolle für das gesamte Abonnement.

    Globaler Administrator

  2. Klicken Sie auf Ich habe eine Azure-App mit Mitwirkendenrolle für das Abonnement.
  3. Geben Sie die Verzeichnis-ID, Anwendungs-ID, Clientgeheimnis und Ablaufdatum des Geheimnisses ein, um diese Option zu aktivieren, und klicken Sie auf Authentifizieren.
  4. Nachdem Sie die Abonnementdetails bestätigt haben, klicken Sie auf Abonnement hinzufügen.

Azure-App

Hinweis:

Mehrere Azure-Abonnements können mit selbst gehosteten RBI-Workloads verknüpft werden. Das Azure-Abonnement kann entweder neu oder für einen anderen Zweck verwendet werden. Selbst gehostete RBI-Workloads erstellen ein virtuelles Netzwerk (VNet) und stellen die Maschinen innerhalb dieser Grenze bereit.

Schritt 2: Anwendungskatalog erstellen

Kataloge sind Container für Browser-Apps. Sie können Browser-Apps organisieren, indem Sie für jede Gruppe unterschiedliche Kataloge erstellen. Die Maschinen in einem Katalog sind in Größe und Einstellungen identisch, aber Maschinen in verschiedenen Katalogen können in Größe und Einstellungen variieren. Darüber hinaus kann die Region auch zwischen den Katalogen variieren, was für die Optimierung der Startleistung durch Endbenutzer nützlich sein kann.

Das Erstellen eines Katalogs dauert in einem neu verknüpften Abonnement etwa 90 Minuten. Dieser Prozess stellt die erforderlichen Ressourcen in Azure bereit, einschließlich einer Ressourcengruppe für die Verwaltung der Maschine.

  1. Klicken Sie auf der Citrix Cloud-Seite auf RBI-Service verwalten > Katalog erstellen.

  2. Geben Sie auf der Seite Remote Browser Isolation-Katalog erstellen einen Namen für den Katalog ein und klicken Sie auf Remote Isolated Browser hinzufügen.

    Hinweis:

    Wenn Sie “Katalog erstellen” auswählen, werden die Standardeinstellungen für eine schnelle Bereitstellung verwendet.

  3. Klicken Sie auf Weiter: Maschineneinstellungen und geben Sie die folgenden Details an:
    • Abonnement
    • Einstellungen der Maschine
    • Region

    Hinweis:

    “Einen Energieplan einrichten” ist standardmäßig deaktiviert, aber der Benutzer hat die Möglichkeit, dies zu konfigurieren.

  4. Klicken Sie auf Weiter: Zusammenfassung > Katalog erstellen.
  5. Nachdem der Katalog erstellt wurde, klicken Sie auf Details anzeigen.

Höhepunkte der Katalogkonfiguration:

  • Bei der Katalogerstellung wird alles, was für Kundenworkloads benötigt wird, mit nur einem Klick eingerichtet.
  • Kunden können ihre eigenen Energieverwaltungszyklen für die Maschinen auswählen und Browser in den Katalogen veröffentlichen.
  • Wenn ein Kunde mehrere Abonnements hat, kann er wählen, wo der Katalog bereitgestellt werden soll.
  • Citrix Catalog Service verwaltet die Workloads.
  • Softwarepatches und Updates werden automatisch auf der Grundlage der vom Kunden konfigurierten Energieverwaltungseinstellungen der Maschine bereitgestellt.
  • Die Maschine im Katalog arbeitet im Connectorless-Modus (Rendezvous V2 Policy for DaaS). Das bedeutet, dass in der Ressourcengruppe des Kunden keine Connector-Bereitstellung erforderlich ist.
Schritt 2.1: Katalog für Secure Private Access (SPA) -App-Sitzungen zuweisen

Kundenadministratoren können auswählen, welcher Katalog für SPA-Sitzungen verwendet werden soll, sodass sie einen bestimmten Katalog für diesen Zweck verwenden können.

Voraussetzungen:

Für diese Option muss mindestens ein Katalog aktiviert sein, um eine SPA RBI-App erfolgreich zu starten.

So aktivieren Sie die Secure Private Access-Sitzung:

  1. Klicken Sie auf der Citrix Cloud-Seite auf RBI-Service verwalten.
  2. Klicken Sie auf Verwalten, navigieren Sie zum erstellten Katalog und klicken Sie auf Details anzeigen.
  3. Aktivieren Sie auf der Seite Konfigurationsdetails die Umschaltoption für Secure Private Access-Sitzungen erlauben, diesen Katalog zu verwenden.

SPA zulassen

Hinweis:

Mit dieser Option können Sie mehr als einen Katalog auswählen. Wenn mehrere Kataloge ausgewählt sind, wechselt SPA Launches zu dem Katalog in der nächstgelegenen Region, von der aus die Startanfrage gestellt wird.

Schritt 3: Browseranwendung veröffentlichen
Browseranwendung erstellen

Gehen Sie wie folgt vor, um einen isolierten Remotebrowser hinzuzufügen:

  1. Klicken Sie auf der Registerkarte Verwalten der RBI Self-Hosted Workloads-Konsole auf den Katalog.

  2. Klicken Sie auf Isolierten Remotebrowser hinzufügen und geben Sie die folgenden Konfigurationsdetails an:

    • Name des Browsers: Geben Sie einen beliebigen Namen ein.
    • URL: Geben Sie die URL der Zielanwendung an.
    • Geben Sie ein: Wählen Sie Freigegebener Passcode oder Authentifiziert, der für Endbenutzer sichtbar ist.
    • Passcode Geben Sie den Passcode ein.
    • Symbol: Laden Sie ein App-Symbol hoch.
  3. Klicken Sie auf Isolierten Remotebrowser hinzufügen. Browser-App erstellen
Weisen Sie der Browseranwendung Richtlinien zu

Sobald ein Browser erstellt wurde, können Sie die erforderlichen Richtlinien im Browser konfigurieren.

Richtlinien verwalten

  1. Klicken Sie auf das Dreipunktmenü und dann auf Richtlinien verwalten.
  2. Aktivieren Sie die gewünschten Richtlinien und klicken Sie auf Speichern.

Richtlinien verwalten2

Benutzer zu einer Browseranwendung hinzufügen

Kunden müssen ihre Domänen und den Identitätsanbieter angeben, um dem veröffentlichten Browser im Katalog Benutzer und Gruppen zuzuweisen.

Benutzer verwalten

  1. Um einen Benutzer zu abonnieren, klicken Sie auf das Dreipunktmenü und wählen Sie Benutzer verwalten aus.
  2. Wählen Sie dann die Domäne und wählen eine Gruppe oder einen Benutzer aus dem Dropdownmenü aus.

Benutzer verwalten2

Schritt 4: Browseranwendung testen und freigeben

Sie können jetzt über den Workspace oder direkte URLs auf veröffentlichte Browser zugreifen. Startanfragen werden an die Maschinen in den zugewiesenen Katalogen in Ihrem Konto weitergeleitet.

Hinweis:

Wenn die Energieverwaltung für die Maschinen nicht für den Katalog eingerichtet wurde und keine laufenden Maschinen vorhanden sind, löst das Starten einer Sitzung den Start einer Maschine aus, die dann darauf wartet, bereit zu sein, die Sitzung anzunehmen.

Browser löschen:

Wählen Sie den Browser aus, den Sie löschen möchten, und klicken Sie auf das Löschen-Symbol.

Maschine neu starten oder Neustart erzwingen:

Klicken Sie neben dem Maschinennamen auf das Dreipunktmenü und dann auf die gewünschte Option.

Zusätzliche Features

Azure Firewall für ein vom Kunden verwaltetes virtuelles RBI-Katalognetzwerk konfigurieren

Mit Azure Firewall können Sie ausgehende Webanforderungen von Ihren Katalogmaschinen in Ihrem Remote Browser Isolation-Dienst filtern. Durch die Bereitstellung von Azure Firewall in Ihrem vorhandenen Azure Virtual Network können Sie ausgehenden Datenverkehr steuern und überwachen. Auf diese Weise können Sie die Netzwerksicherheit verbessern und ausgehende Verbindungen für Ihre Workloads verwalten.

Voraussetzungen:

  • Ein Katalog, der unter dem Remote Browser Isolation-Dienst in Ihrem Azure-Abonnement erstellt wurde.
  • Ausreichende Berechtigungen zum Erstellen und Verwalten von Azure-Ressourcen.
Nach dem virtuellen Azure-Netzwerk suchen
  1. Identifizieren Sie in der Citrix Cloud DaaS-Konsole den Maschinenkatalog, den Sie sichern möchten.
  2. Wählen Sie eine Maschine aus dem Katalog aus und kopieren Sie den ersten Teil ihres Namens (z. B. RBI3BLR6-O80001).
  3. Suchen Sie im Azure-Portal mit diesem Namen nach der VM.
  4. Wählen Sie in der Übersicht der VM das verknüpfte virtuelle Netzwerk aus.
Azure Firewall erstellen
  1. Wählen Sie im Menü des virtuellen Netzwerks unter EinstellungenSubnetze aus.
  2. Fügen Sie ein neues Subnetz mit dem Zweck Azure Firewall hinzu (verwenden Sie die Standardeinstellungen).
  3. Kehren Sie zur Übersicht des virtuellen Netzwerks zurück und wählen Sie Azure Firewall unter Capabilities aus.
  4. Klicken Sie auf Neue Firewall hinzufügen.
  5. Füllen Sie die folgenden Felder aus:
    • Abonnement und Ressourcengruppe: Wählen Sie entsprechend aus.
    • Name: Geben Sie einen Namen für Ihre Firewall ein.
    • Region: Passt zur Region Ihres virtuellen Netzwerks.
    • Firewall-Stufe: Wählen Sie Standard.
    • Virtuelles Netzwerk: Wählen Sie das in Schritt 1 identifizierte Netzwerk.
    • Firewall-Richtlinie: Wählen Sie Firewall-Richtlinie verwenden, um diese Firewall zu verwalten.
    • Richtlinienname: Klicken Sie auf Neu hinzufügen und geben Sie einen Namen ein (z. B. “Testrichtlinie”).
    • Firewall-Verwaltungs-NIC: Deaktivieren Sie diese Einstellung.
  6. Überprüfen Sie Ihre Einstellungen und erstellen Sie die Firewall.
Routing konfigurieren
  1. Öffnen Sie nach der Bereitstellung die Azure Firewall-Ressource und notieren Sie sich ihre private IP-Adresse.
  2. Navigieren Sie im Azure-Portal zu Ihrem virtuellen Netzwerk und wählen Sie Subnetze aus.
  3. Identifizieren Sie das Subnetz, in dem sich Ihre Katalog-VMs befinden (normalerweise “Standard” genannt).
  4. Erstellen Sie eine neue Routentabelle oder wählen Sie eine vorhandene aus, die mit diesem Subnetz verknüpft ist.
  5. Fügen Sie eine neue Route hinzu:
    • Ziel: 0.0.0.0/0
    • Nächster Hop-Typ: Virtuelle Appliance
    • Adresse des nächsten Hops: Geben Sie die private IP-Adresse der Azure Firewall ein.
  6. Speichern Sie die Route.
Firewall-Regel konfigurieren
  1. Gehen Sie im Azure-Portal zu Firewall Manager > Azure Firewall-Richtlinien.
  2. Wählen Sie die von Ihnen erstellte Richtlinie aus (z. B. Testrichtlinie).
  3. Gehen Sie zu Regeln.
  4. Fügen Sie eine neue Anwendungsregelsammlung hinzu (empfohlen für Webfilterung).
  5. Definieren Sie Regeln, um bestimmte FQDNs oder URL-Kategorien zuzulassen oder abzulehnen. Um beispielsweise den Zugriff auf www.example.com zu verweigern:
    • Name: DenyExampleWebsite
    • Quell-IP-Adresse: Der Subnetzbereich Ihrer Katalog-VMs.
    • Ziel-FQDNs: www.example.com
    • Protokolle: http:80, https
    • Aktion: Ablehnen
  6. Speichern Sie die Regelsammlung.
  7. Fügen Sie bei Bedarf weitere Zulassungs- oder Ablehnungsregeln hinzu und passen Sie die Prioritäten entsprechend an. (Optional)
Konfiguration testen
  1. Starten Sie eine Browsersitzung von einer Maschine im konfigurierten Katalog.
  2. Versuchen Sie, sowohl auf zugelassene als auch auf blockierte Websites zuzugreifen, um zu bestätigen, dass die Zugriffskontrollen ordnungsgemäß funktionieren.
  3. Überprüfen Sie, ob die Firewall den Netzwerkverkehr entsprechend den definierten Regeln korrekt filtert.
Problembehandlung

Wenn Probleme auftreten, lesen Sie die Azure Firewall-Dokumentation.

Einschränkungen

Alle Browser innerhalb desselben Katalogs verwenden dieselbe Firewall, dieselben Richtlinien und Regeln.

Network Address Translation-(NAT)-Gateway (Secure Web) aktivieren

Auf der Seite Konfigurationsdetails haben Sie die Möglichkeit, ein Secure Web Gateway für bestimmte Kataloge hinzuzufügen.

Software-Upgrades und Patchmanagement

Citrix erstellt und verwaltet die Maschinenimages und Kataloge, einschließlich Softwaremanagement. Wenn neue Versionen von Katalogen verfügbar sind, überträgt Citrix diese Upgrades auf Kundenkataloge und stellt so sicher, dass ihre Maschinen beim nächsten Neustart die neuesten Fixes und Patches erhalten. RBI verwendet den DaaS-Katalogdienst, um diese Upgrades im Abonnement des Kunden zu ermöglichen.

Juli 2022

  • Remote Browser Isolation unterstützt Authentifizierungen für alle Apps mit Azure Active Directory.
    • Die Benutzer können sich jetzt mit Azure Active Directory-Anmeldeinformationen von Citrix Workspace aus bei beliebigen Remote Browser Isolation-Apps anmelden.
    • Wenn sich Remote Browser Isolation-Benutzer anmelden, verwenden sie die Workspace-Anmeldeseite, die Sie für Ihre Site konfiguriert haben. Weitere Informationen finden Sie unter Integration in Citrix Workspace.

September 2021

  • Remote Browser Isolation unterstützt bidirektionales Audio. Bidirektionales Audio ist in Remote Browser Isolation verfügbar.
  • Remote Browser Isolation-Starts von launch.cloud.com werden per Citrix Cloud-Authentifizierung authentifiziert. Wenn Benutzer Remote Browser Isolation-Apps mit der launch.cloud.com-URL starten, verarbeitet die Citrix Cloud-Authentifizierung ihre Anmeldeinformationen. Dies erhöht die Sicherheit, ändert jedoch nichts an der Benutzererfahrung.

März 2021

  • Remote Browser Isolation unterstützt die Authentifizierung mit Azure Active Directory. Die Benutzer können sich jetzt mit Azure Active Directory-Anmeldeinformationen von Citrix Workspace aus bei Remote Browser Isolation-Apps anmelden. Weitere Informationen finden Sie unter Integration in Citrix Workspace.
  • Remote Browser Isolation ermöglicht das Überwachen und Abmelden aktiver Benutzersitzungen. Remote Browser Isolation liefert zu aktiven Benutzersitzungen Daten zu Benutzernamen, Sitzungs-ID, Client-IP, Authentifizierungstyp, Anwendungsname, Startzeit der Sitzung und Sitzungsdauer. Sie können allgemeine Informationen zu jeder aktiven Sitzung anzeigen und die Sitzung bei Bedarf trennen. Weitere Informationen finden Sie unter Überwachen von Sitzungen.

Releases im Jahr 2020

Jedes Release von 2020 enthält Erweiterungen zur Verbesserung der Gesamtleistung und Stabilität.

Was ist neu
February 16, 2026
Beitrag von: 
C C
February 16, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.