ブラウザコンテンツリダイレクト

はじめに

ブラウザコンテンツリダイレクト (BCR) は、Citrix Virtual Apps and Desktops™ 環境内でのWebブラウジングのユーザーエクスペリエンスを向上させます。Webページのレンダリングをユーザーのローカルマシンにオフロードすることで、BCRはサーバーの負荷を軽減し、特に複雑なWebサイトやリソースを大量に消費するWebサイトのパフォーマンスを向上させます。

仕組み

BCRは、Citrix Workspace™アプリを利用して、ユーザーデバイス上に安全なブラウジング環境を作成します。ユーザーが許可されたWebページにアクセスすると、ブラウザウィンドウのビューポートがクライアントにリダイレクトされます。その後、クライアント側のブラウザエンジンはローカルマシンのリソースを活用してページをレンダリングし、読み込み時間の短縮とよりスムーズな操作を実現します。

ブラウザのビューポートのみがリダイレクトされることに注意してください。ビューポートとは、ブラウザでコンテンツが表示される長方形の領域です。ビューポートには、アドレスバー、お気に入りツールバー、ステータスバーなどは含まれません。これらの項目は、VDA内のブラウザで引き続き実行されているユーザーインターフェイスにあります。

主な利点

ブラウザコンテンツリダイレクトは、Webトラフィックをインテリジェントに管理し、インフラストラクチャへの負担を軽減しながら、ユーザーに優れたエクスペリエンスを提供します。

これらが組織にどのように役立つかをご紹介します。

• コスト削減: リソースを大量に消費するWebページをユーザーデバイスにオフロードすることで、貴重なサーバーリソースを解放し、帯域幅の消費を削減します。これにより、ハードウェアコストとネットワークコストの削減につながります。

• ユーザーエクスペリエンスの向上: グラフィックを多用するWebサイトでも、よりスムーズで応答性の高いブラウジングエクスペリエンスをユーザーに提供します。ネイティブのようなパフォーマンスを提供し、遅延をなくし、生産性を向上させます。

• セキュリティの向上: 内部リソースと外部リソースの両方へのアクセスを許可しながら、安全な環境を維持します。

• 柔軟性の向上: 基本的なWebブラウジングから、プロキシトラバーサルやSSO認証を必要とする複雑なWebアプリケーションまで、幅広いユースケースをサポートします。Citrix Web Studio™のきめ細かなポリシー制御により、リダイレクト設定を簡単に管理できます。

システム要件

サーバー側コンポーネント

シトリックス バーチャル アプリケーションズ アンド デスクトップ

• 長期サービスリリース
  • 最小要件 - サポート終了していない任意のLTSR版シトリックス バーチャル アプリケーションズ アンド デスクトップ リリース
  • 推奨 - シトリックス バーチャル アプリケーションズ アンド デスクトップ 2402 以降
• 現在のリリース
  • 最小要件 - サポート終了していない任意のCR版シトリックス バーチャル アプリケーションズ アンド デスクトップ リリース
  • 推奨 - 最新のシトリックス バーチャル アプリケーションズ アンド デスクトップ リリース

ブラウザコンポーネント

• ブラウザ
  • マイクロソフト エッジ
  • グーグル クローム

• ブラウザリダイレクト拡張機能

  • グーグル クローム ストア

  • マイクロソフト エッジ ストア

• 最高の体験のために、ブラウザの最新バージョンを使用することをお勧めします。

注:

ブラウザコンテンツリダイレクトまたは双方向コンテンツリダイレクトを有効にするには、Microsoft Edgeアドオンストアからブラウザリダイレクト拡張機能を使用する予定がある場合、Virtual Delivery Agent (VDA) バージョン2503があることを確認してください。古いVDAバージョンの場合、Microsoft Edgeブラウザ内でChromeウェブストアから拡張機能をインストールすることで、同じ機能を実現できます。

上記で提供されている拡張機能リンクは一般提供 (GA) されており、本番環境レベルの展開に関連しています。GA拡張機能に加えて、CitrixはGoogle Chrome Storeでベータ版 (GA + 1) 拡張機能も公開しています。

Citrixは、今後のアップデートがテストされ、問題が早期に報告されるように、顧客がベータ版のテストユーザーを持つことを推奨しています。これにより、GA拡張機能が正式にリリースされる際にスムーズなプロセスが保証されます。

拡張機能のリリースは通常、Citrix Workspaceアプリのリリースと一致します。

クライアント側コンポーネント

ウィンドウズ

• ウィンドウズ 10 または 11
• シトリックス ワークスペース アプリ
  • 最小要件 - サポート終了していないCitrix Workspaceアプリ
  • 推奨事項
    • 長期サービスリリース - Citrix Workspace アプリ for ウィンドウズ 2402 CU4 以降、Citrix Workspace アプリ for ウィンドウズ 2507
    • 現在のリリース - Citrix Workspaceアプリ 2405以降

  注:

  • ブラウザコンテンツリダイレクトは、Citrix Workspace App Windows LTSR リリース 1912 および 2203.1 ではサポートされていません。

  • ブラウザコンテンツリダイレクトに必要なクライアント側ブラウザエンジンは、Citrix Workspace App Current Releases にデフォルトでインストールされます。

  • ブラウザコンテンツリダイレクトに必要なクライアント側ブラウザエンジンは、Citrix Workspace App 2402 LTSR リリースにはデフォルトでインストールされません。管理者は、ADDLOCAL スイッチを利用して、Citrix Workspace App に BCR ブラウザコンポーネントをインストールできます。

  • Windows 用 Citrix Workspace アプリ 2507 以降、ブラウザコンテンツリダイレクト (BCR) はモジュールコンポーネントとして管理されますが、引き続き Citrix Workspace アプリにパッケージ化されています。BCR コンポーネントは、LTSR バージョンにもデフォルトでインストールされるようになり、CR と LTSR の間で一貫性が確保されます。さらに、通常の Citrix Workspace アプリのリリースサイクル外で独立した更新や暫定的なパッチが必要な状況のために、スタンドアロンの BCR パッケージが公開されます。詳細については、Citrix Workspace App Windows documentation を参照してください。

リナックス

• シトリックス ワークスペース アプリ
  • 最小要件 - サポート終了 (EOL) ではない任意の Citrix Workspace アプリ
  • 推奨 - Citrix Workspace アプリ 2408 以降 詳細については、Citrix Workspace App for Linux ドキュメントを参照してください。

注:

Linux 用 Citrix Workspace アプリ 2601 以降、ブラウザコンテンツリダイレクト (BCR) はモジュールコンポーネントとして管理されます。BCR コンポーネントは、引き続き Linux 用 Citrix Workspace アプリにデフォルトでパッケージ化およびインストールされ、一貫したユーザーエクスペリエンスを保証します。さらに、通常の Citrix Workspace アプリのリリースサイクル外で独立した更新や暫定的なパッチが必要な状況のために、スタンドアロンの BCR パッケージが公開されます。詳細については、Citrix Workspace App Linux documentation を参照してください。

クロームOS

• シトリックス ワークスペース アプリ
  • クローム ウェブストア の最新バージョン

マックOS

• シトリックス ワークスペース アプリ
  • 最小要件 - Mac向けシトリックス ワークスペース アプリ 2411以降

注:

• macOSの場合、ブラウザコンテンツリダイレクトパッケージはCitrix Workspaceアプリとは独立しており、常に最新バージョンです。そのため、このパッケージは指定された最小バージョンより新しい複数のCWAバージョンと互換性があります。

• Citrix Workspace App Macへの依存関係がないため、ブラウザコンテンツリダイレクトのバージョン番号はCitrix Workspace App Macのバージョンと一致しません。

• クライアント側のブラウザエンジンはCitrix Workspace App Macにはパッケージ化されていません。Citrix DownloadsからMac用のクライアント側をダウンロードしてインストールしてください。

• IntelパッケージとARMパッケージは別々です。そのため、macOSエンドポイントに適したバージョンをインストールする必要があります。

• Mac版Citrix Workspaceアプリ2511.1以降、モジュラーBCRコンポーネントはデフォルトでインストールされますが、Citrix Workspaceアプリにはパッケージ化されていません。これにより、Citrix Downloadsからコンポーネントを手動でダウンロードしてインストールする必要がなくなります。スタンドアロンのBCRパッケージは、通常のCitrix Workspaceアプリのリリースサイクル外で独立した更新や暫定パッチが必要な状況のために公開されます。詳細については、Citrix Workspace App Macのドキュメントを参照してください。

構成の手順

1. システム要件に従って、クライアント側およびサーバー側のコンポーネントをインストールします
   • 拡張機能の展開の詳細については、「拡張機能の展開」セクションを参照してください
2. Studioポリシーを構成する
   • Web Studioポリシーは、さまざまなユースケースに合わせてブラウザコンテンツリダイレクトを構成するためのきめ細かな方法を提供します
   • 基本的なポリシーにより、管理者はブラウザコンテンツリダイレクトで許可/不許可にする必要があるURLを構成できます
   • URLはワイルドカードで構成できます
3. サポートされているWebブラウザを開き、許可されたURLに移動します
   • 許可リストに一致が見つかった場合、ウェブサイトはクライアントにリダイレクトされます。
   • Citrix Workspaceアプリは、シームレスなエクスペリエンスのために、ビューポートをVDA側のブラウザにブレンドします。
4. 拡張機能のロゴの色は、コンテンツリダイレクトのステータスを示します。
   • 緑: アクティブで接続済み
   • 灰色: アクティブではない / 現在のタブでアイドル状態
   • 赤: 破損 / 動作していません

注:

• HTML5ビデオのリダイレクトとブラウザコンテンツのリダイレクトは独立した機能です。この機能が動作するためにHTML5ビデオのリダイレクトポリシーは必要ありません。ただし、Citrix HDX™ HTML5ビデオのリダイレクトサービスはブラウザコンテンツのリダイレクトに使用されます。

• すべての設定は、レジストリキーではなくWeb Studioを介して行うことをお勧めします。

機能と構成オプション

ブラウザコンテンツリダイレクトは、さまざまな顧客環境のユースケースに合わせて構成するためのさまざまな方法を提供します。ポリシー設定の詳細については、ブラウザコンテンツリダイレクトポリシー設定を参照してください。

リダイレクトメカニズム

クライアントフェッチクライアントレンダリング

デフォルトでは、ブラウザコンテンツリダイレクトはこのモードで動作します。つまり、クライアント側のブラウザエンジンがウェブページに直接アクセスします。これには、クライアントネットワークからウェブページへの必要なアクセスが必要です。クライアントフェッチクライアントレンダリングのシナリオでは、Citrix VDAからクライアントへのネットワーク、CPU、およびRAMの使用量をすべてオフロードし、ブラウザコンテンツリダイレクトを構成する最も最適な方法です。

ポリシー構成オプション

• ブラウザコンテンツリダイレクト: 許可

• ブラウザコンテンツリダイレクトACL構成

  • リダイレクトする必要があるURLを指定します。デフォルトでは、YouTubeのみがリダイレクト用に構成されています。

• ブラウザコンテンツリダイレクトブロックリスト構成

  • 特定のURL/サブURLのリダイレクトをブロックするためのオプションの構成オプション。最大限のカスタマイズを実現するために、このオプションを上記のオプションと組み合わせて活用してください。

サーバーフェッチクライアントレンダー

この場合、クライアント側のブラウザエンジンは、仮想チャネルを使用してVDAを介してWebサーバーからコンテンツにアクセスし、フェッチします。このオプションは、クライアントがインターネットにアクセスできない場合（シンクライアントなど）に役立ちます。VDAでのCPUとRAMの消費は少ないですが、ICA®仮想チャネルで帯域幅が消費されます。

このシナリオには3つの動作モードがあります。プロキシという用語は、VDAがインターネットアクセスを得るためにアクセスするプロキシデバイスを指します。

ポリシー構成オプション

• クライアントフェッチクライアントレンダーセクションで指定されたポリシーに加えて、以下を構成します

• ブラウザコンテンツリダイレクトプロキシ構成

  • 直接または透過: サーバーフェッチクライアントレンダーを活用し、VDAからWebページへの直接アクセスまたは透過プロキシアクセスがある場合に、これを構成します。ポリシーにはキーワード「DIRECT」を構成する必要があります。
  • 明示的プロキシ: サーバーフェッチクライアントレンダーを活用し、VDAからWebページへの明示的プロキシアクセスがある場合に、これを構成します。
  • PACファイル: PACファイルに依存している場合にこれを構成します。VDA内のブラウザは、指定されたURLをフェッチするための適切なプロキシサーバーを自動的に選択できます。

フォールバックモード

クライアントリダイレクトが失敗する場合があります。たとえば、クライアントマシンがインターネットに直接アクセスできない場合、エラー応答がVDAに戻されることがあります。そのような場合、VDA上のブラウザがページを再読み込みし、サーバー上でレンダリングできます。

既存のWindows Mediaフォールバック防止ポリシーを使用することで、ビデオ要素のサーバーレンダリングを抑制できます。このポリシーを「すべてのコンテンツをクライアントでのみ再生」または「クライアントでアクセス可能なコンテンツのみをクライアントで再生」に設定します。これらの設定は、クライアントリダイレクトに失敗があった場合、ビデオ要素がサーバー上で再生されるのをブロックします。このポリシーは、ブラウザコンテンツリダイレクトを有効にし、アクセス制御リストポリシーにフォールバックするURLが含まれている場合にのみ有効になります。そのURLはブロックリストポリシーに含まれていてはいけません。

認証の取り扱い

認証サイト

Browser Content Redirectionの現在の実装では、リダイレクトメカニズムに関わらず、Browser Content Redirectionがウェブサイトへのログインを処理できるように、認証サイトを設定する必要があります。

例:

1. Browser Content Redirection ACL構成でhttps://www.youtube.com/*のみが設定されており、認証サイトが設定されていない場合、ウェブサイトにサインインする際にBCRはサーバーサイドレンダリングにフォールバックし、そこで処理が続行されます。

2. この場合、BCRが認証サイトを処理できるようにするには、https://www.accounts.google.com/*や、必要に応じてIdPウェブサイトなどの他の認証サイトを設定します。各ウェブサイトのサインインは異なる動作をするため、必ずリストに含めてください。

3. 設定されている場合、BCRは認証を処理します。たとえば、クライアントフェッチクライアントレンダリングの場合、認証もクライアント側のブラウザエンジンから行われ、シームレスなサインインエクスペリエンスが実現します。

ポリシー構成オプション

リダイレクトメカニズムのセクションで言及されているポリシーに加えて、Browser Content Redirection認証サイトポリシーを構成します

注:

• BCRクライアントサイドブラウザは、リダイレクトされたウィンドウが閉じられた後、Cookie（認証を含む）を保持しません。これは、BCRウィンドウが完全に閉じられてから再度開かれたときに、ウェブサイトに再ログインする必要があるという形で現れます。

• BCRクライアント側ブラウザはVDA側ブラウザからCookieを読み取りません。そのため、ユーザーのパーソナライゼーションと設定はVDAブラウザと同期されません。

統合 ウィンドウズ 認証

ブラウザコンテンツリダイレクトは、VDAと同じドメイン内で統合Windows認証 (IWA) を使用して構成されている場合、Webサイトへのシームレスな認証方法を提供できます。

ポリシー構成オプション

• ブラウザコンテンツリダイレクト統合Windows認証サポートポリシーを構成する

シングルサインオンを有効にする前に、以下を完了してください。

• ホスト名から構築されたサービスプリンシパル名 (SPN) のチケットを発行するようにKerberosインフラストラクチャを構成します。例: HTTP/serverhostname.com。

• サーバーフェッチクライアントレンダリングの場合: サーバーフェッチモードでブラウザコンテンツリダイレクトを使用する場合、VDAでDNSが適切に構成されていることを確認してください。

• クライアントフェッチクライアントレンダリングの場合: クライアントフェッチモードでブラウザコンテンツリダイレクトを使用する場合、クライアントデバイスでDNSが適切に構成されており、オーバーレイからWebサーバーのIPアドレスへのTCP接続を許可していることを確認してください。

プロキシ認証

ブラウザコンテンツリダイレクトは、サーバーからコンテンツをフェッチする際に、Webプロキシへのシームレスな認証方法を提供できます。有効にすると、ブラウザコンテンツリダイレクトはKerberosサービスチケットを自動的に取得して使用し、プロキシで認証します。

ポリシー構成オプション

• ブラウザコンテンツリダイレクトサーバーフェッチプロキシ認証ポリシーを構成する

サーバーフェッチプロキシ認証ポリシーを有効にする前に、以下を完了してください。

• PACファイルを構成して、ダウンストリームWebプロキシ経由でトラフィックをルーティングし、プロキシがKerberos認証を使用するように設定する必要があります。

サーバー側証明書検証

ブラウザコンテンツリダイレクトは、証明書検証サポートによってさらに強化されました。クライアントからリダイレクトされたWebサイトにアクセスする場合、クライアントオーバーレイブラウザは、サーバーまたはMitMプロキシからの証明書を信頼しないことがあります。このような場合、BCRはVDAの証明書ストアに対してホストまたはプロキシの証明書を検証できるようになりました。

最低限の要件

この機能はデフォルトで有効になっており、以下の要件が満たされれば構成は不要です。

• シトリックス バーチャル アプリケーションズ アンド デスクトップ 2507

• Windows版 シトリックス ワークスペース アプリ 2511

• Linux版 シトリックス ワークスペース アプリ 2511 (プレビュー)

• ブラウザリダイレクト拡張機能 (ChromeまたはEdge) 25.11以降。

シングルサインオンのサポート

ブラウザコンテンツリダイレクトは、シングルサインオンのサポートにより、VDA側の認証とCookie共有を可能にし、合理化されたユーザーエクスペリエンスを提供します。この機能強化により、冗長なログインが排除され、BCRウィンドウが閉じられた後でもBCRセッション全体で認証とCookieの永続性が維持されるため、生産性が向上します。このシームレスなエクスペリエンスは、認証がクライアントではなくVDAから行われることを保証することで、セキュリティをさらに強化します。

この機能の詳細については、「シングルサインオンのサポート」セクションを参照してください。

ユースケース

ブラウザコンテンツリダイレクト (BCR) は、特にリソースを大量に消費し、企業で頻繁にアクセスされる幅広いWebサイトで利用できます。これには、YouTubeのようなビデオストリーミングプラットフォームが含まれ、レンダリングをエンドポイントデバイスにオフロードすることで、サーバー負荷を大幅に削減し、コストを節約できます。さらに、BCRは、ビデオ会議やコラボレーションツール (Google Meet、Teams Web、Zoom Web) などのユニファイドコミュニケーションアプリケーションや、コンタクトセンターアプリケーション (Genesys Cloud) にも最適であり、スムーズなパフォーマンスと強化されたユーザーエクスペリエンスを保証します。BCRを活用することで、企業はリソースを最適化し、さまざまなWebベースのアプリケーションで効率を向上させることができます。特定のWebサイトの構成方法については、CTX238236を参照してください。

拡張機能の展開

手動で展開

ブラウザリダイレクト拡張機能は、ChromeおよびEdgeのウェブストアで公開されています。この拡張機能は、VDA上のブラウザでのみ必要であり、クライアント側では必要ありません。拡張機能をインストールするには、Chrome / Edgeウェブストアに移動し、「Browser redirection extension」を検索して、それぞれのブラウザに追加します。この方法は個々のユーザーに有効です。多数のユーザーに拡張機能を展開するには、グループポリシーを使用して拡張機能を展開します。

グループポリシーを使用した展開

前提条件

• アクセス: グループポリシーを構成するマシンまたはActive Directory環境内で、管理者権限が必要です。

• ADMXファイル: お使いのChromeのバージョンに対応するGoogle Chrome ADMXファイル（管理用テンプレート）をダウンロードします。これらはGoogle Chrome Enterprise Helpページで見つけることができます。

• Edge テンプレート: Microsoft Edge Enterprise ランディング ページから Microsoft Edge の管理用テンプレート (ADMX ファイル) をダウンロードします。

• 拡張機能 ID と更新 URL: Citrix ブラウザコンテンツリダイレクト拡張機能の拡張機能 ID と更新 URL。

Google Chrome を使用する際の手順

1. ADMXファイルのインポート:
   • Chrome ADMXファイルを管理用テンプレートの中央ストアにコピーします。これは通常、ドメインコントローラー上の%SystemRoot%\PolicyDefinitionsです。
2. グループポリシー管理を開く:
   • グループポリシー管理コンソール (gpmc.msc) を起動します。
3. GPOの作成または編集:
   • 新しいグループポリシーオブジェクト (GPO) を作成するか、拡張機能を展開したいユーザーまたはコンピューターに適用される既存のGPOを編集します。
4. 拡張機能の設定に移動します。
   • GPOエディターで、以下に移動します。
     • ユーザーの構成 > 管理用テンプレート > クラシック管理用テンプレート (ADM) > Google > Google Chrome > 拡張機能
5. 「強制インストールされるアプリと拡張機能のリストを構成する」を有効にします。
   • このポリシー設定をダブルクリックし、「有効」を選択します。
   • 「強制インストールされるアプリと拡張機能のリストを構成する」設定が無効に設定されている場合、拡張機能はすべてのユーザーのChromeから自動的に削除されます。
6. 拡張機能IDと更新URLを追加します。
   • 「表示」ボタンをクリックします。
   • 拡張機能IDと更新URLを次の形式で入力します: ;
   • Value: hdppkjifljbdpckfajcmlblbchhledln; https://clients2.google.com/service/update2/crx (Update URL)
7. GPOを適用します。
   • Active Directory構造内の適切な組織単位 (OU) にGPOをリンクします。
8. グループポリシーを更新します。
   • ターゲットマシンで gpupdate /force を実行してポリシーをすぐに適用するか、ポリシーが自動的に更新されるのを待ちます。

Steps for Microsoft Edge

1. ADMX ファイルのインポート:
   • Edge ADMX ファイルを、管理用テンプレートの中央ストア (%SystemRoot%\PolicyDefinitions) にコピーします。
2. グループポリシー管理を開く:
   • グループポリシー管理コンソール (gpmc.msc) を起動します。
3. GPO を作成または編集する:
   • 新しい GPO を作成するか、既存の GPO を編集します。
4. 拡張機能の設定に移動する:
   • GPO エディターで、以下に移動します:
     • コンピューターの構成 > ポリシー > 管理用テンプレート > Microsoft Edge > 拡張機能
5. 「サイレントインストールされる拡張機能を制御する」を有効にする:
   • このポリシー設定をダブルクリックし、「有効」を選択します。
6. 拡張機能 ID と更新 URL を追加する:
   • 「表示」ボタンをクリックします。
   • 拡張機能 ID と更新 URL を次の形式で入力します: ;
   • Value: hdppkjifljbdpckfajcmlblbchhledln; https://clients2.google.com/service/update2/crx (Update URL)
7. GPOを適用する:
   • GPOをActive Directory構造内の適切な組織単位 (OU) にリンクします。
8. グループポリシーを更新する:
   • ターゲットマシンで、gpupdate /force を実行するか、自動更新を待ちます。

トラブルシューティング

トラブルシューティング情報については、ブラウザコンテンツリダイレクトのトラブルシューティング方法のナレッジセンター記事を参照してください。

ブラウザコンテンツリダイレクトの制限事項

サーバー側の制限事項 (VDA)

ブラウザコンテンツリダイレクトは、以下のユースケースをサポートできません。記載されているシナリオまたは新しいシナリオで機能強化が必要な場合は、Citrix製品チームにお問い合わせください。

• ポップアップウィンドウは、ブラウザコンテンツリダイレクトではサポートされていません。
• ブラウザコンテンツリダイレクトを使用している場合、HTML5ビデオリダイレクトポリシーは無効にする必要があります。
• セッションの切断/再接続のシナリオでは、BCRを再度有効にするためにVDAブラウザウィンドウを更新する必要があります。
• BCR化されたウィンドウからの印刷およびファイルのダウンロードはサポートされていません。
• ブラウザプロファイル共有でブラウザコンテンツリダイレクトを使用する場合、複数のプロファイルでのSSO永続性はサポートされていません。

クライアント側の制限 (CWA)

• ブラウザコンテンツリダイレクトはARMhfフレームワークではサポートされていません。
• ブラウザコンテンツリダイレクトはARMhfフレームワークではサポートされていません。
• BCRは、1つのブラウザで最大25個のリダイレクトされたタブ、および2つのブラウザで合計30個のリダイレクトされたタブをサポートします。