Ci-dessous la procédure à suivre afin de mettre en place la solution FortiClient via FortiCloud EMS pour déployer un profile "Remote Access VPN SSL" et "System Settings", cette solution nécessite une licence contrairement au client FortiClient VPN qui lui est gratuit, mais n'est pas administrable à distance.
Procédure réalisée sur FortiClient/FortiCloud EMS en 7.2.4.
Des licences sont nécessaires :
FortiClient/FortiCloud EMS : User-based licenses - VPN/ZTNA
Aller dans Endpoint Profiles --> Remote Access et cliquer sur Add,
Indiquer un nom dans le champ Name, décocher la partie IPsec VPN et cliquer sur Add Tunnel,
Sélectionner Manual et cliquer sur Next,
Remplir les champs suivants par rapport à votre configuration (si vous n'avez pas de configuration VPN SSL voir le post suivant : https://www.frenchnetworkengineer.fr/forum/fortinet/fortigate-ssl-vpn) et cliquer sur Save,
Vérifier que votre Tunnel est bien visible et cliquer sur Save,
Aller dans Endpoint Profiles --> System Settings et cliquer sur Add,
Indiquer un nom dans le champ Name, laisser le reste avec les paramètre par défaut (si vous le souhaitez vous pouvez ajuster les autres paramètres, cliquer sur Advanced pour avoir plus de paramètres) et cliquer sur Save,
Aller dans Endpoints --> Workgroups, faite un clic droit sur All Groups et cliquer sur Create group,
Indiquer le nom du groupe et cliquer sur Confirm,
Aller dans Endpoint Policy & Componets --> Manage Policies et cliquer sur Add,
Indiquer le nom de la Policy dans le champ Endpoint Policy Name, dans Endpoint Groups ajouter le groupe créé précédemment , dans Profile mettre les deux profiles crée plus haut "Profile Remote Access" et "Profile System Settings" puis cliquer sur Save,
Aller dans Endpoints --> Invitations et cliquer sur Add,
Indiquer le nom de l'invitation et cliquer sur Save (par défaut Expiring est activé),
Aller dans Endpoints --> Group Assignment Rules et cliquer sur Add,
Dans Type sélectionner "Invitation" puis dans Invitation mettre celle créé plus haut, dans Group sélectionner le groupe créé précédemment et cliquer sur Save,
Aller dans Deployment & Installers --> FortiClient Installer et cliquer sur Add,
Indiquer la version du client souhaité, dans notre cas nous allons utiliser la version 7.2.4 et cliquer sur Next,
Indiquer un nom pour le Package, puis dans Invitation sélectionner celle créé plus haut et cliquer sur Next,
Laisser uniquement Secure Access Architecture Components (car nous allons utiliser le client uniquement pour monter une connexion VPN SSL) et décocher tous le reste puis cliquer sur Next,
Cocher Enable desktop shortcut et Enable start menu shortcut (afin de créer un raccourci sur le bureau et dans le menu démarrage). Cocher Include MSI installer filles (cette option est utile si vous souhaitez déployer le client en masse afin de l'intégrer sur des outils comme SCCM, Ivanti, etc..). Dans Endpoint Profile indiquer les profiles créés plus haut et cliquer sur Finish,
Cliquer sur l'icone ci-dessous afin de générer l'archive zip qui contiendra deux .exe , un .dmg et un dossier comportant un .msi et .mst. La génération prend un peu de temps, une fois fini cliquer sur télécharger,
Exécuter le .exe présent dans l'archive, une fois l'installation terminé et le PC redémarré, ouvrir l'application FortiClient et aller dans ZERO TRUST TELEMETRY afin de vérifier que l'état est bien en "Connecté",
Si ce n'est pas le cas retourner sur la console FortiCloud EMS. Aller dans Endpoints --> Invitation puis ensuite sur l'invitation et cliquer sur "Code" pour copier le code,
Retourner ensuite sur l'application FortiClient et coller le code dans ZERO TRUST TELEMETRY et cliquer sur Connecter,
Le client sera visible au niveau de la console dans Endpoints --> Workgroups et au niveau du groupe créé plus haut,
Une fois le client synchronisé (icône Policy en vert), retourner sur l'application FortiClient et vous devriez voir vos paramètres VPN SSL de présent,
Pour information l'utilisateur sera visible au niveau de la console dans User Management --> Unverified Users, vous pouvez aussi voir qui consomme une licence (ZTNA : 1),
L'utilisateur est Unverified (non reconnu) car aucun système de vérification a été mise en place. Pour mettre en place une vérification suivre les étapes sur le post : https://www.frenchnetworkengineer.fr/forum/fortinet/forticloud-ems-forticlient-verified-users-azure-ad
Pour plus d'informations : https://docs.fortinet.com/document/forticlient/7.2.4/ems-administration-guide/24450