ブラウザーコンテンツリダイレクト
はじめに
ブラウザーコンテンツリダイレクト(BCR)は、Citrix Virtual Apps and Desktops環境内でのWeb閲覧のユーザーエクスペリエンスを向上させます。 BCRは、Webページのレンダリングをユーザーのローカルマシンにオフロードすることで、サーバーの負荷を軽減し、特に複雑なWebサイトやリソースを大量に消費するWebサイトのパフォーマンスを向上させます。
機能
BCRはCitrix Workspaceアプリを利用して、ユーザーのデバイス上にセキュアなブラウジング環境を構築します。 ユーザーが許可されたWebページにアクセスすると、ブラウザーウィンドウのビューポートがクライアントにリダイレクトされます。 その後、クライアント側のブラウザーエンジンはローカルマシンのリソースを活用してページをレンダリングし、読み込み時間が短縮され、操作がスムーズになります。
ブラウザーのビューポートのみがリダイレクトされることに注意してください。 ビューポートは、コンテンツが表示されるブラウザー内の長方形の領域です。 ビューポートには、アドレスバー、お気に入りツールバー、ステータスバーなどは含まれません。 これらの項目はユーザーインターフェイス内にあり、リダイレクト時もVDAのブラウザーで実行されます。
主なメリット
ブラウザーコンテンツリダイレクトは、Webトラフィックをインテリジェントに管理し、インフラストラクチャへの負担を軽減しながらユーザーに優れたエクスペリエンスを提供します。
以下は、組織にもたらされるメリットです:
-
コスト削減:リソースを大量に消費するWebページをユーザーのデバイスにオフロードし、貴重なサーバーリソースを解放して、帯域幅の消費を削減します。 これにより、ハードウェアとネットワークのコストが削減されます。
-
強化されたユーザーエクスペリエンス:グラフィックを多用するWebサイトでも、よりスムーズで応答性の高いブラウジングエクスペリエンスをユーザーに提供します。 ネイティブのようなパフォーマンスを実現し、遅延をなくするため、生産性が向上します。
-
セキュリティの強化:内部リソースと外部リソースの両方へのアクセスを許可しながら、セキュアな環境を維持します。
-
柔軟性の向上:基本的なWebブラウジングから、プロキシトラバーサルやSSO認証を必要とする複雑なWebアプリケーションまで、幅広いユースケースをサポートします。 Citrix Web Studioのきめ細かなポリシー制御により、リダイレクト設定を簡単に管理できます
システム要件
サーバー側コンポーネント
Citrix Virtual Apps and Desktops
- 長期サービスリリース
- 最小要件 -製品終了していないCitrix Virtual Apps and Desktops LTSRリリース
- 推奨 - Citrix Virtual Apps and Desktops 2402以降
- 最新リリース
- 最小要件 -製品終了していないCitrix Virtual Apps and Desktops CRリリース
- 推奨 - 最新のCitrix Virtual Apps and Desktopsリリース
ブラウザーコンポーネント
- ブラウザー
- Microsoft Edge
- Google Chrome
- ブラウザーリダイレクト拡張機能: ChromeとEdgeの両方のWebストアで公開されています
- 最適な体験のために最新バージョンのブラウザーを使用することをお勧めします
クライアント側コンポーネント
Windows
- Windows10または11
- Citrix Workspaceアプリ
- 最小要件 - 製品終了していないCitrix Workspaceアプリ
- 推奨
- 長期サービスリリース - Citrix Workspace App 2402の最新のCU
- 最新リリース - Citrix Workspace App 2405以降
メモ:
-
ブラウザーコンテンツリダイレクトは、Windows向けCitrix WorkspaceアプリLTSRリリース1912および2203.1ではサポートされていません
-
ブラウザーコンテンツリダイレクトに必要なクライアント側ブラウザーエンジンは、Citrix Workspaceアプリの最新リリースにデフォルトでインストールされています
-
Citrix Workspace App 2402 LTSRリリースでは、ブラウザーコンテンツリダイレクトに必要なクライアント側ブラウザーエンジンがデフォルトでインストールされていません。 管理者はADDLOCALスイッチを利用して、Citrix Workspaceアプリ上にBCRブラウザーコンポーネントをインストールできます。
詳しくは、Windows向けCitrix Workspaceアプリのドキュメントを参照してください。
Linux
- Citrix Workspaceアプリ
- 最小要件 - 製品終了していないCitrix Workspaceアプリ
- 推奨 - Citrix Workspaceアプリ2408以降 詳しくは、Linux向けCitrix Workspaceアプリのドキュメントを参照してください
ChromeOS
- Citrix Workspaceアプリ
- Chrome Web Storeでの最新バージョン
macOS
- macOS 11 Big Sur
- macOS 12 Monterey
- macOS 13 Ventura
- macOS 14 Sonoma(14.2.1まで)
- Citrix Workspaceアプリ
- 最小要件 - Citrix Workspaceアプリ2411以降
メモ:
macOSの場合、ブラウザーコンテンツリダイレクトパッケージはCitrix Workspaceアプリから独立しており、常に最新バージョンです。 したがって、パッケージは指定された最小バージョンより上位の複数のCWAバージョンと互換性があります
Mac向けCitrix Workspaceアプリへの依存関係がないため、ブラウザーコンテンツリダイレクトのバージョン番号はMac向けCitrix Workspaceアプリのバージョンと一致しません
クライアント側のブラウザーエンジンは、Mac向けCitrix Workspaceアプリでパッケージ化されていません。 CitrixダウンロードでMac用のクライアント側をダウンロードしてインストールします。
IntelパッケージとARMパッケージは個別になっています。 したがって、MacOSエンドポイントに応じた適切なバージョンをインストールする必要があります
構成の手順
- システム要件に従ってクライアント側とサーバー側のコンポーネントをインストールします
- 拡張機能の展開の詳細については、拡張機能の展開セクションを参照してください
- Studioポリシーを構成します
- Web Studioポリシーによって、さまざまなユースケースに合わせてブラウザーコンテンツのリダイレクトを細かく構成する方法が提供されます
- 基本ポリシーでは、管理者はブラウザーコンテンツリダイレクトで許可/禁止する必要があるURLを構成できます
- URLはワイルドカードを使用して構成できます
- サポートされているWebブラウザーを開き、許可されたURLに移動します
- 許可リストに一致するものが見つかった場合、Webサイトはクライアントにリダイレクトされます
- Citrix Workspaceアプリは、VDA側のブラウザーにビューポートを統合し、シームレスなエクスペリエンスを実現します
- 拡張機能のロゴの色は、コンテンツリダイレクトの状態を示します
- 緑:アクティブで接続されています
- グレー:現在のタブではアクティブではないかアイドル状態です
- 赤:壊れているか動作していません
メモ:
HTML5ビデオリダイレクションとWebブラウザーコンテンツリダイレクトは、独立した機能です。 この機能を使用するために、HTML5ビデオのリダイレクトのポリシーは不要です。 ただし、WebブラウザーコンテンツのリダイレクトにはCitrix HDX HTML5ビデオリダイレクトサービスが使用されます。
すべての構成はレジストリキーではなくWeb Studioを使用して行うことをお勧めします。
構成オプション
ブラウザーコンテンツリダイレクトでは、さまざまな顧客環境のユースケースに合わせてさまざまな構成方法が用意されています。 ポリシー設定の詳細については、「ブラウザーコンテンツのリダイレクトのポリシー設定」を参照してください。
リダイレクトメカニズム
クライアントフェッチのクライアントレンダリング
デフォルトでは、ブラウザーコンテンツリダイレクトはこのモードで動作します。つまり、クライアント側のブラウザーエンジンがWebページに直接アクセスします。 これには、クライアントネットワークからWebページへの必要なアクセスが可能であることが必要です。 クライアントフェッチのクライアントレンダリングシナリオは、Citrix VDAからクライアントへのネットワーク、CPU、およびRAMの使用をすべてオフロードし、ブラウザーコンテンツのリダイレクトを構成するための最適な方法です
ポリシー構成オプション
-
ブラウザーコンテンツリダイレクト:許可
-
WebブラウザーコンテンツリダイレクトのACL構成
- リダイレクトする必要があるURLを指定します。 デフォルトでは、リダイレクト用に構成されているWebサイトはYouTubeのみです
-
ブラウザーコンテンツリダイレクトの禁止リストの構成
- 特定のURL/サブURLのリダイレクトを禁止するオプションの構成オプション。 このオプションを上記と組み合わせて活用すると、最大限のカスタマイズが可能になります。
サーバー側でフェッチし、クライアント側でレンダリング
この場合、クライアント側のブラウザーエンジンは、仮想チャネルを使用してVDA経由でWebサーバーに接続し、コンテンツを取得します。 このオプションは、クライアントにインターネットアクセスがない場合(シンクライアントなど)に便利です。 VDAではCPUとRAMの消費量は少なくなりますが、ICA仮想チャネルでは帯域幅が消費されます。
このシナリオには3つの動作モードがあります。 プロキシという用語は、VDAがインターネットアクセスのためにアクセスするプロキシデバイスを意味します。
ポリシー構成オプション
-
クライアントフェッチのクライアントレンダリングセクションで指定されたポリシーに加えて、次の構成を行います
-
Webブラウザーコンテンツリダイレクトのプロキシ構成
- 直接または透過型:サーバーフェッチのクライアントレンダリングを活用し、VDAからWebページへの直接アクセスまたは透過プロキシアクセスがある場合は、これを構成します。 キーワード「DIRECT」をポリシーに設定する必要があります
- 明示的なプロキシ:サーバーフェッチのクライアントレンダリングを活用し、VDAからWebページへの明示的なプロキシアクセスがある場合は、これを構成します
- PACファイル:PACファイルに依存している場合は、これを構成すると、VDAのブラウザーは指定されたURLを取得するために適切なプロキシサーバーを自動的に選択できます。
フォールバックモード
クライアントのリダイレクトが失敗することがあります。 たとえば、クライアントマシンでインターネットに直接アクセスできない場合、エラー応答がVDAに返される可能性があります。 このような場合、VDA上のブラウザーは、サーバー上のページをリロードしてレンダリングできます。
既存の [Windowsメディアフォールバック防止] ポリシーを使用することで、ビデオ要素のサーバーレンダリングを抑制できます。 このポリシーを、[クライアントにあるすべてのコンテンツのみを再生]または [クライアント上のクライアントがアクセスできるコンテンツのみを再生] に設定します。 これらの設定は、クライアントのリダイレクトが失敗した場合に、サーバー上でのビデオ要素の再生を禁止します。 このポリシーは、Webブラウザーコンテンツリダイレクトが有効になっており、[アクセス制御リスト] ポリシーにフォールバックするURLがある場合にのみ有効です。 URLを禁止リストポリシーで指定することはできません。
認証処理
認証サイト
ブラウザーコンテンツリダイレクトの現在の実装では、リダイレクトメカニズムに関係なく、ブラウザーコンテンツリダイレクトがWebサイトへのログインを処理できるように、認証サイトを構成する必要があります。
例:
-
ブラウザーコンテンツリダイレクトのACL構成でhttps://www.youtube.com/*のみが構成され、認証サイトが構成されていない場合、BCRはWebサイトにサインインするときにサーバー側レンダリングにフォールバックし、そこで処理を続行します。
-
この場合、BCRが認証サイトを処理できるように、必要に応じてhttps://www.accounts.google.com/*とIDプロバイダーWebサイトなど、その他の認証サイトを構成します。 各Webサイトのサインインはそれぞれ異なるため、必ず一覧にしてください
-
構成すると、BCRが認証を処理します。 たとえば、クライアントフェッチのクライアントレンダリングを使用すると、クライアント側のブラウザーエンジンからも認証が行われ、シームレスなサインインエクスペリエンスが実現します。
ポリシー構成オプション
リダイレクトメカニズムのセクションで説明したポリシーに加えて、ブラウザーコンテンツリダイレクト認証サイトポリシーを構成します
メモ:
BCRクライアント側ブラウザーは、リダイレクトされたウィンドウが閉じられた後、Cookie(認証を含む)を保持しません。 これによって、BCRウィンドウが完全に閉じられて再度開かれたときに、Webサイトへの再度のログインが要求されます。
BCRクライアント側ブラウザーは、VDA側ブラウザーからCookieを読み取りません。 したがって、ユーザーの個人設定と設定はVDAブラウザーと同期されません。
統合Windows認証
ブラウザーコンテンツリダイレクトは、VDAと同じドメイン内で統合Windows認証(IWA)を使用して構成されている場合、Webサイトへのシームレスな認証方法を提供できます。
ポリシー構成オプション
- ブラウザーコンテンツリダイレクトの統合Windows認証サポートポリシーを構成する
シングルサインオンを有効にする前に、次の手順を完了します:
-
ホスト名から構築されたサービスプリンシパル名(SPN)のチケットを発行するように、Kerberosインフラストラクチャを構成します。 たとえば、HTTP/serverhostname.comなどです。
-
サーバーフェッチのクライアントレンダリングの場合:サーバーフェッチモードでブラウザーコンテンツリダイレクトを使用する場合は、VDAでDNSが適切に構成されていることを確認してください。
-
クライアントフェッチのクライアントレンダリングの場合:クライアントフェッチモードでブラウザーコンテンツリダイレクトを使用する場合は、クライアントデバイスでDNSが適切に構成され、オーバーレイからWebサーバーのIPアドレスへのTCP接続が許可されていることを確認します。
プロキシ認証
ブラウザーコンテンツ リダイレクトを使用すると、サーバーからコンテンツを取得するときに、Webプロキシに対してシームレスに認証することができます。 有効にすると、ブラウザーコンテンツリダイレクトは自動的にKerberosサービスチケットを取得してプロキシ認証に使用します
ポリシー構成オプション
- ブラウザーコンテンツリダイレクトのサーバーフェッチプロキシ認証ポリシーを構成します
サーバーフェッチプロキシ認証ポリシーを有効にする前に、次の手順を完了してください:
- トラフィックをダウンストリームのWebプロキシ経由でルーティングするようにPACファイルを構成して、プロキシがKerberos認証を使用するように設定する必要があります
ユースケース
ブラウザーコンテンツリダイレクト(BCR)は、さまざまなWebサイト、特にリソースを大量に消費し、企業が頻繁にアクセスするWebサイトに利用できます。 これにはYouTubeなどのビデオストリーミングプラットフォームが含まれます。これらのプラットフォームでは、レンダリングをエンドポイントデバイスにオフロードすることで大きなメリットが得られ、サーバーの負荷が軽減され、コストが節約されます。 さらに、BCRは、ビデオ会議やコラボレーションツール(Google Meet、Teams Web、Zoom Web)、コンタクトセンターアプリケーション(Genesys Cloud)などの統合コミュニケーションアプリケーションに最適で、スムーズなパフォーマンスと強化されたユーザーエクスペリエンスを保証します。 BCRを活用することで、企業はリソースを最適化し、さまざまなWebベースのアプリケーション全体の効率を向上させることができます。 特定のWebサイトを構成する方法については、CTX238236を参照してください。
拡張機能の展開
手動で展開する
ブラウザーリダイレクト拡張機能は、ChromeとEdgeのWebストアで公開されています。 拡張機能はVDA上のブラウザーでのみ必要であり、クライアント側では必要ありません。 拡張機能をインストールするには、Chrome/Edge Webストアに移動し、ブラウザーリダイレクト拡張機能を検索して、それぞれのブラウザーに追加します。 この方法は、ユーザーごとに行います。 大規模なユーザーグループに拡張機能を展開するには、グループポリシーを使用して拡張機能を展開します
グループポリシーを使用して展開する
前提条件
-
アクセス:グループポリシーを構成するマシンまたはActive Directory環境内で管理者権限が必要です。
-
ADMXファイル: お使いのChromeバージョン用のGoogle Chrome ADMXファイル(管理用テンプレート)をダウンロードします。 これらは、Google Chrome Enterpriseヘルプページで見つかります。
-
Edgeテンプレート: Microsoft Edge EnterpriseランディングページからMicrosoft Edge管理用テンプレート(ADMXファイル)をダウンロードします。
-
拡張IDと更新URL:Citrixブラウザーコンテンツのリダイレクト拡張機能の拡張機能IDと更新URL。
Google Chromeの手順
- ADMXファイルをインポートします:
- Chrome ADMXファイルを管理テンプレートの中央ストアにコピーします。 これは通常、ドメインコントローラー上の%SystemRoot%\PolicyDefinitionsです。
- グループポリシー管理を開きます:
- グループポリシー管理コンソール(gpmc.msc)を起動します。
- GPOを作成または編集します:
- 新しいグループポリシーオブジェクト(GPO)を作成するか、拡張機能を展開するユーザーまたはコンピューターに適用される既存のGPOを編集します。
- 拡張機能の設定に移動します:
- GPOエディターで次の場所に移動します:
- ユーザーの構成 > 管理用テンプレート > 従来の管理用テンプレート(ADM)> Google > Google Chrome > 拡張機能
- GPOエディターで次の場所に移動します:
- 「強制インストールするアプリと拡張機能のリストを設定します」を有効にします。:
- このポリシー設定をダブルクリックし、「有効」を選択します。
- [強制インストールするアプリと拡張機能のリストを設定します] 設定を [無効] に設定すると、この拡張機能はすべてのユーザーのChromeから削除されます。
- 拡張機能IDと更新URLを追加します:
- [表示]ボタンをクリックします。
- 拡張機能IDと更新URLを次の形式で入力します:
; - 値:hdppkjifljbdpckfajcmlblbchhledln; https://clients2.google.com/service/update2/crx(更新URL)
- GPOを適用します:
- GPOをActive Directory構造内の適切な組織単位(OU)にリンクします。
- グループポリシーを更新します:
- ターゲットマシンでgpupdate /forceを実行してポリシーを直ちに適用するか、ポリシーが自動的に更新されるまで待機します。
Microsoft Edgeの手順
- ADMXファイルをインポートします:
- Edge ADMXファイルを管理テンプレートの中央ストア(%SystemRoot%\PolicyDefinitions)にコピーします。
- グループポリシー管理を開きます:
- グループポリシー管理コンソール(gpmc.msc)を起動します。
- GPOを作成または編集します:
- 新しいGPOを作成するか、既存のGPOを編集します。
- 拡張機能の設定に移動します:
- GPOエディターで次の場所に移動します:
- コンピューターの構成 > ポリシー > 管理用テンプレート > Microsoft Edge > 拡張機能
- GPOエディターで次の場所に移動します:
- 「拡張機能がサイレントインストールされた制御」を有効にする:
- このポリシー設定をダブルクリックし、「有効」を選択します。
- 拡張機能IDと更新URLを追加します:
- [表示]ボタンをクリックします。
- 拡張機能IDと更新URLを次の形式で入力します:
; - 値:hdppkjifljbdpckfajcmlblbchhledln; https://clients2.google.com/service/update2/crx(更新URL)
- GPOを適用します:
- GPOをActive Directory構造内の適切な組織単位(OU)にリンクします。
- グループポリシーを更新します:
- ターゲットマシンで、gpupdate /forceを実行するか、自動更新を待機します。
トラブルシューティング
トラブルシューティング情報については、ナレッジセンターの記事「ブラウザーコンテンツリダイレクトのトラブルシューティング方法」を参照してください。
ブラウザーコンテンツリダイレクトの制限
サーバー側の制限(VDA)
ブラウザーコンテンツリダイレクトでは、次のユースケースはサポートされません。 上記のシナリオまたは新しいシナリオで機能強化が必要な場合は、Citrix製品チームにお問い合わせください。
- ブラウザーコンテンツリダイレクトではポップアップウィンドウはサポートされません。
- セッションCookieの永続性はサポートされていません。
- ブラウザーコンテンツリダイレクトが使用されている場合は、HTML5ビデオリダイレクトポリシーを無効にする必要があります。
- セッションの切断/再接続のシナリオでは、BCRを再度起動するためにVDAブラウザーウィンドウを更新する必要があります。
- BCRされたウィンドウからの印刷およびファイルのダウンロードはサポートされていません。
クライアント側の制限(CWA)
- ARMhfフレームワークではブラウザーコンテンツのリダイレクトはサポートされていません。