URLコンテンツリダイレクト

みなさま、こんにちは。

SB C&Sで仮想化製品のプリセールスエンジニアを担当しております、小泉と申します。
※ちなみに、上の写真は私ではありません。（笑

本ブログでは、仮想デスクトップ製品である「VMware Horizon」について、よりご活用いただくための「術」をご紹介していきたいと思います。

記念すべき第1回は、「URLコンテンツリダイレクト」です。

突然ですが、皆さんは標的型攻撃などのインターネットから侵入してくる脅威に対応するべく、自治体様を中心に一大旋風を巻き起こした「インターネット分離」をご存知でしょうか？

インターネット分離とは・・・

メールやWebフィッシングなどインターネットに関わるセキュリティ対策として、万が一被害にあったとしてもその影響を最小限に留めるために、機密情報などにアクセス可能なネットワークとインターネットを「分離」してしまう考え方です。

簡単なイメージで示しますと、以下のような感じです。

ただ、インターネット分離はセキュリティ対策としては非常に有効ですが、システム利用者にとっては煩わしい面もあります。

それは、「イントラネット」と「インターネット」が分離されているために、簡単に行き来ができないという点です。

ブラウザで様々なWEBサイトにアクセスする際、お気に入りからアクセスされる方、Googleなどの検索フォームからアクセスされる方、メールのリンクからアクセスされる方、URLを直接入力される方など様々だと思いますが、実はこれらすべてが"URL"というアドレス情報に基づいてWEBサイトにアクセスしてコンテンツが表示されています。しかし、皆さんはURLを意識することなく、社内イントラやインターネットサイトを同じブラウザで自由にアクセスできていると思います。

この自由なアクセスは、インターネットが「分離」されていない環境であるから成り立つ仕組みであり、インターネットが「分離」されている環境の場合、インターネットサイトへのアクセスは別の分離された環境で動作するブラウザからアクセスする関係上、URL情報が連携出来ません。

インターネット分離環境において、イントラサイトに掲載されているインターネットサイトのリンクを参照する場合、分離環境側で動作しているブラウザにURL情報を一字一句間違わずに転記する必要があります。。
※URL情報（テキスト）のコピー&ペーストでも対応可能ですが、情報漏えい対策の一環で禁止されているお客様も多いと思います。

さすがに毎回この転記が科せられるとなると利用者にとっては作業効率が悪く、生産性の低下になりかねません。

そこで登場したのが、VMware Horizon の「URLコンテンツリダイレクト」という機能です。

URLコンテンツリダイレクト

この機能を有効にすると、先ほどのURL情報を入力する手間が省けることはもちろん、イントラ環境でインターネットサイトのリンクをクリックするだけで自動的に分離環境側のブラウザを起動し、対象のサイトを表示してくれます。さらに、このURLコンテンツリダイレクトのすごいところは、アクセスするURL情報に基づいてイントラネット側のブラウザ（物理ブラウザ）とインターネット側のブラウザ（仮想ブラウザ）を自動的に切り替えてくれます。

物理ブラウザ⇒仮想ブラウザ

仮想ブラウザ⇒物理ブラウザ

セキュリティ対策として有効なインターネット分離ですが、それによって利用者の利便性が損なわれてしまうと結果として生産性低下やストレスに繋がってしまいます。

「URLコンテンツリダイレクト」によって、高いセキュリティはそのままに利便性を損なわない運用が可能になりますので、是非活用してみてください。

システム要件

Horizon

Horizon 7 ※RDSH上のブラウザにリダイレクトする場合はAdvanced Edition以上が必要
Horizon Client 4.0 以降

vSphere

vSphrere 5.5 Update1 以降

画面転送プロトコル

Blast Extreme
PCoIP

ブラウザ

Internet Explorer 9、10、11
Chrome 60.0.3112.101 （公式ビルド）、64 ビットまたは 32 ビット

設定手順

Horizon Agent と Horizon Client のインストール

URLコンテンツリダイレクトを有効にする場合、Horizon Agent と Horizon Client は特別なパラメータを使ってインストールする必要があります。

Horizon Agent

VMware-viewagent-x86_64-y.y.y-xxxxxx.exe /v URL_FILTERING_ENABLED=1

Horizon Client

VMware-Horizon-Client-y.y.y-xxxxxxxx.exe /v URL_FILTERING_ENABLED=1

グループポリシーテンプレートのインポート

Horizon 7 GPO Bundle より、urlRedirection.admx（および言語ファイル）をActive Directoryサーバーにコピーします。

urlRedirection.admx⇒C:\Windows\PolicyDefinitions
ja-JP\urlRedirection.adml⇒C:\Windows\PolicyDefinitions\ja-JP

グループポリシー設定

管理テンプレート内にロードされたVMware Horizon URL リダイレクトポリシー内の"URL リダイレクトプロトコル「http」"ポリシーを設定します。

ブローカーホスト名：Connection Server名

リモート項目：仮想側でURLを開く際に起動するリソース名
VDIの場合はプール名(表示名)
RDSHの場合はアプリケーション名(表示名)

クライアントルール：物理側で開きたいURL（正規表現）
vmware.comを含む= .*.vmware.com
vmware.comを除く= ^((?!vmware.com).)*$

エージェントルール：仮想側で開きたいURL（正規表現）
※記述方法は「クライアントルール」と同じです。

参考ドキュメント

URL コンテンツ リダイレクトの構成
https://docs.vmware.com/jp/VMware-Horizon-7/7.8/horizon-remote-desktop-features/GUID-2D2D33AA-0B0A-45B4-B8A2-19CDCD02A634.html