新增功能

2025 年 6 月

远程浏览器隔离 - 自托管工作负载

远程浏览器隔离 (RBI) 自托管工作负载使客户能够在自己的 Azure 订阅中运行远程浏览器工作负载。RBI 自托管工作负载中的数据平面组件（虚拟桌面代理）在客户提供的 Azure 订阅中运行。这允许客户根据需要横向扩展计算机和目录，并预配多个目录以更好地进行工作负载分类。

先决条件：

1. Citrix Platform Licenses (CPL) 许可证或 RBI 专用权利，以及 DaaS Premium 权利。
2. 必须启用 DaaS 服务。

   注意：

   仅当客户租户具有必要的权利时，才能执行此步骤。

3. 在 DaaS 中启用 Rendezvous 协议。

如何启用 DaaS 服务

1. 登录到 Citrix Cloud。
2. 导航到 DaaS 服务。
3. 找到并单击启用 DaaS。 此步骤将为 RBI 自托管工作负载准备必要的 DaaS 基础结构，大约需要 45 分钟。

RBI 的入门流程

在 Citrix Cloud 页面上，单击管理 RBI 服务以访问 远程浏览器隔离 登录页面。

步骤 1：添加 Azure 订阅

1. 在远程隔离入门页面上，单击添加订阅。可以通过两种方式将 Azure 订阅添加到 RBI 自托管工作负载：

   • 使用全局管理员凭据：允许 Citrix 服务代表我访问我的 Azure 订阅。
   • 使用具有整个订阅的“参与者”角色的企业应用注册。

   

2. 单击我有一个具有订阅参与者角色的 Azure 应用。
3. 提供目录 ID、应用程序 ID、客户端密码和密码过期日期以启用此选项，然后单击身份验证。
4. 验证订阅详细信息后，单击添加订阅。

注意：

多个 Azure 订阅可以链接到 RBI 自托管工作负载。Azure 订阅可以是新的，也可以是重新利用的。RBI 自托管工作负载会创建一个虚拟网络 (VNet) 并在该边界内部署计算机。

步骤 2：创建应用程序目录

目录是浏览器应用程序的容器。您可以通过为每个组创建不同的目录来组织浏览器应用程序。目录中的计算机在大小和设置方面是相同的，但不同目录中的计算机在大小和设置方面可能有所不同。此外，区域在目录之间也可能有所不同，这对于优化最终用户启动性能非常有用。

在新链接的订阅中创建目录大约需要 90 分钟。此过程会在 Azure 中部署必要的资源，包括用于管理计算机的资源组。

1. 在 Citrix Cloud 页面上，单击管理 RBI 服务 > 创建目录。

2. 在创建远程浏览器隔离目录页面上，为目录命名，然后单击添加远程隔离浏览器。

   注意：

   如果您选择创建目录，它将采用默认设置以进行快速部署。

3. 单击下一步: 计算机设置并提供以下详细信息：
   • 订阅
   • 计算机设置
   • 区域

   注意：

   默认情况下，设置电源计划处于禁用状态，但用户可以选择配置此项。

4. 单击下一步: 摘要 > 创建目录。
5. 创建目录后，单击查看详细信息。

目录配置亮点：

1. 只需单击一下，目录创建即可为客户工作负载设置所需的一切。
2. 客户可以为计算机选择自己的电源管理周期，并在目录中发布浏览器。
3. 如果客户有多个订阅，他们可以选择部署目录的位置。
4. Citrix Catalog Service 管理工作负载。
5. 软件修补程序和更新会根据客户配置的计算机电源管理设置自动部署。
6. 目录中的计算机在无连接器模式下运行（DaaS 的 Rendezvous V2 策略）。这意味着客户的资源组中不需要连接器部署。

步骤 2.1：为安全专用访问 (SPA) 应用程序会话分配目录

客户管理员可以选择用于 SPA 会话的目录，从而允许他们为此目的专门分配一个目录。

先决条件：

必须至少启用一个目录，此选项才能成功启动 SPA RBI 应用程序。

如何启用安全专用访问会话：

1. 在 Citrix Cloud 页面上，单击管理 RBI 服务。
2. 单击管理，然后导航到已创建的目录并单击查看详细信息。
3. 在配置详细信息页面上，启用允许安全专用访问会话使用此目录的切换选项。

注意：

您可以使用此选项选择多个目录。如果选择了多个目录，SPA 启动将转到发出启动请求的最近区域中的目录。

步骤 3：发布浏览器应用程序

创建浏览器应用程序

请按照以下步骤添加远程隔离浏览器：

1. 在 RBI 自托管工作负载控制台的管理选项卡上单击目录。

2. 单击添加远程隔离浏览器并提供以下配置详细信息：

   • 浏览器名称：输入您喜欢的任何名称。
   • URL：指定目标应用程序 URL。
   • 类型：选择共享密码或已验证，这些对最终用户可见。
   • 密码 输入密码。
   • 图标：上传应用程序图标。
3. 单击添加远程隔离浏览器。

将策略分配给浏览器应用程序

创建浏览器后，您可以在浏览器上配置必要的策略。

1. 单击省略号，然后单击管理策略。
2. 启用所需的策略，然后单击保存。

将用户添加到浏览器应用程序

客户需要引入其域和身份提供程序，以便将用户和组分配给目录中已发布的浏览器。

1. 要订阅用户，请单击省略号并选择管理用户。
2. 然后，选择域并从下拉菜单中选择一个组或用户。

步骤 4：测试浏览器应用程序并共享

您现在可以通过工作区或直接 URL 访问已发布的浏览器。启动请求将定向到您帐户中指定目录中的计算机。

注意：

如果尚未为目录设置计算机的电源管理，并且没有正在运行的计算机，则启动会话会触发计算机的启动，然后计算机将等待准备好接受会话。

删除浏览器：

选择要删除的浏览器，然后单击删除图标。

重新启动或强制重新启动计算机：

在计算机名称旁边，单击省略号并单击所需选项。

其他功能

为客户管理的 RBI 目录虚拟网络配置 Azure 防火墙

Azure 防火墙使您能够筛选远程浏览器隔离服务中目录计算机的传出 Web 请求。通过在现有 Azure 虚拟网络中部署 Azure 防火墙，您可以控制和监视出站流量。这有助于您增强网络安全性并管理工作负载的出站连接。

先决条件：

1. 在您的 Azure 订阅中的远程浏览器隔离服务下创建的目录。
2. 创建和管理 Azure 资源的足够权限。

定位 Azure 虚拟网络

1. 在 Citrix Cloud DaaS 控制台中，识别要保护的计算机目录。
2. 从目录中选择一台计算机并复制其名称的第一部分（例如，RBI3BLR6-O80001）。
3. 在 Azure 门户中，使用此名称搜索 VM。
4. 在 VM 的概述中，选择链接的虚拟网络。

创建 Azure 防火墙

1. 在虚拟网络的菜单中，在设置下选择子网。
2. 添加一个新子网，其用途设置为Azure 防火墙（使用默认设置）。
3. 返回虚拟网络概述，并在功能下选择Azure 防火墙。
4. 单击添加新防火墙。
5. 填写以下字段：
   • 订阅和资源组：根据需要选择。
   • 名称：输入防火墙的名称。
   • 区域：与虚拟网络的区域匹配。
   • 防火墙层：选择标准。
   • 虚拟网络：选择步骤 1 中识别的网络。
   • 防火墙策略：选择使用防火墙策略管理此防火墙。
   • 策略名称：单击添加新项并输入名称（例如，Test-policy）。
   • 防火墙管理 NIC：禁用此设置。
6. 查看您的设置并创建防火墙。

配置路由

1. 部署后，打开 Azure 防火墙资源并记下其专用 IP 地址。
2. 在 Azure 门户中，导航到您的虚拟网络并选择子网。
3. 识别目录 VM 所在的子网（通常命名为 default）。
4. 创建新的路由表或选择与此子网关联的现有路由表。
5. 添加新路由：
   • 目标：0.0.0.0/0
   • 下一跳类型：Virtual appliance
   • 下一跳地址：输入 Azure 防火墙的专用 IP 地址。
6. 保存路由。

配置防火墙规则

1. 在 Azure 门户中，转到防火墙管理器 > Azure 防火墙策略。
2. 选择您创建的策略（例如，Test-policy）。
3. 转到规则。
4. 添加新的应用程序规则集合（建议用于 Web 筛选）。
5. 定义规则以允许或拒绝特定的 FQDN 或 URL 类别。例如，要拒绝访问 www.example.com：
   • 名称：DenyExampleWebsite
   • 源 IP 地址：目录 VM 的子网范围。
   • 目标 FQDN：www.example.com
   • 协议：http:80、https
   • 操作：Deny
6. 保存规则集合。
7. 根据需要添加其他允许或拒绝规则，并相应地调整优先级。（可选）

测试配置

1. 从配置的目录中的计算机启动浏览器会话。
2. 尝试访问允许和阻止的网站，以确认访问控制是否正常工作。
3. 验证防火墙是否根据定义的规则正确筛选网络流量。

故障排除

如果遇到问题，请参阅 Azure 防火墙文档。

限制

同一目录中的所有浏览器都使用相同的防火墙、策略和规则。

启用网络地址转换 (NAT)（安全 Web）网关

在配置详细信息页面上，您可以选择为特定目录添加安全 Web 网关。

软件升级和修补程序管理

Citrix 创建和管理计算机映像和目录，包括软件管理。当有新版本的目录可用时，Citrix 会将这些升级推送到客户目录，确保他们的计算机在下次重新启动时收到最新的修复和修补程序。RBI 使用 DaaS 目录服务来促进客户订阅中的这些升级。

2022 年 7 月

1. 远程浏览器隔离支持所有应用程序使用 Azure Active Directory 进行身份验证。
   1. 用户现在可以使用 Azure Active Directory 凭据从 Citrix Workspace 登录到任何远程浏览器隔离应用程序。
   2. 当远程浏览器隔离用户登录时，他们会使用您为站点配置的 Workspace 登录页面。有关详细信息，请参阅与 Citrix Workspace 集成。

2021 年 9 月

1. 远程浏览器隔离支持双向音频。远程浏览器隔离中提供双向音频。
2. 从 launch.cloud.com 启动的远程浏览器隔离由 Citrix Cloud 身份验证进行身份验证。当用户使用 launch.cloud.com URL 启动远程浏览器隔离应用程序时，Citrix Cloud 身份验证会处理其凭据。这增强了安全性，但不会改变用户体验。

2021 年 3 月

1. 远程浏览器隔离支持使用 Azure Active Directory 进行身份验证。用户现在可以使用 Azure Active Directory 凭据从 Citrix Workspace 登录到远程浏览器隔离应用程序。有关详细信息，请参阅与 Citrix Workspace 集成。
2. 远程浏览器隔离允许您监视和注销用户的活动会话。远程浏览器隔离提供有关用户活动会话的用户名、会话 ID、客户端 IP、身份验证类型、应用程序名称、会话开始时间和会话持续时间信息。您可以查看每个活动会话的基本信息，并在需要时断开会话。有关详细信息，请参阅监视活动会话。

2020 年版本

2020 年的所有版本都包含有助于提高整体性能和稳定性的增强功能。