Microsoft Intune – Installazione e configurazione di Forticlient VPN

L’implementazione di una soluzione VPN sicura è fondamentale per le aziende che desiderano proteggere le risorse aziendali e garantire la sicurezza dei dati quando i dipendenti accedono alla rete aziendale da remoto. FortiClient VPN è una scelta popolare tra le aziende per la sua robustezza e l’integrazione con altre soluzioni di sicurezza Fortinet. Tuttavia, la gestione delle installazioni e delle configurazioni di VPN su dispositivi distribuiti può rappresentare una sfida. Microsoft Intune offre una soluzione efficiente per la gestione dei dispositivi e delle applicazioni in ambienti aziendali, consentendo agli amministratori IT di distribuire e configurare FortiClient VPN su dispositivi Windows, macOS, iOS e Android in modo centralizzato.

Questa guida mira a fornire una panoramica dettagliata su come utilizzare Microsoft Intune per l’installazione e la configurazione di FortiClient VPN sui dispositivi dei dipendenti. Copriremo i prerequisiti necessari, i passaggi per il packaging dell’applicazione, la distribuzione tramite Intune e le istruzioni per la configurazione del profilo VPN.

Scenario

Lo scenario che vi trovate davanti è una macchina, nel mio caso una VM in Azure, che risulta in Entra ID Join gestita da Microsoft Intune

Figura 1: VM in Azure

Figura 2: Dispositivo in Microsoft Intune

Nel tenant che utilizzerò per questo articolo inoltre sono presenti le seguenti licenze, utili a sfruttare la componente di Microsoft Intune

Figura 3: Licensing Tenant Microsoft 365

Vi riporto anche i software installati all’interno della macchina, per darvi evidenza, della non presenza di FortiClient

Figura 4: FortiClient non Installato

Prerequisiti

Passiamo quindi ai prerequisiti necessari a svolgere questa attività:

Svolgimento

Ora andremo, insieme, a vedere quali sono i passaggi necessari per eseguire l’installazione di FortiClient e relativa configurazione.

Come primo step, abbiamo la necessità di eseguire il download del client fortinet VPN Only, che potete trovare al link riportato nei prerequisiti

Figura 5: Download FortiClient VPN

Figura 6: Download FortiClient VPN

Figura 7: Download FortiClient VPN

Ora dovrete eseguire il primo step di installazione del Download che avete appena eseguito “FortiClientVPNOnlineInstaller.exe”, questa operazione servirà solo per recuperare il file MSI di installazione dell’applicativo

Figura 8: Installazione FortiClient

Figura 9: Installazione Forticlient

Ora dovreste essere giunti con la seguente schermata

Figura 10: Installazione Forticlient

Ora potete procedere a chiudere l’installazione e posizionatevi all’interno della cartella “%localappdata%\Temp” dove troverete MSI di FortiClient

Figura 11: MSI FortiClient

Ora salvate “FortiClientVPN.msi” all’interno di una posizione da voi scelta, nel mio caso, ho utilizzato la cartella di appoggio C:\service del mio dispositivo

Figura 12: Salvataggio File MSI

Ora dovrete procedere a creare due script in Powershell, uno che chiameremo InstallForticlient.ps1 ed il secondo UnistallForticlient.ps1, procedete quindi alla creazione del primo, che sarò utile all’installazione, nel quale inseriremo anche i parametri VPN, è di fondamentale importanza sostituire i campi evidenziata con i vostri:

  • ProfiloICTPOWER: è il nome del profilo VPN che viene creato in Forticlient
  • VPN ICTPOWER: è la descrizione del profilo
  • VPN.MIOSERVER.COM:10443: è il server con relativa porta del vostro Firewall su cui è attestata la VPN Aziendale

Figura 13: Script di Installazione

Salvatelo, come detto in precedenza, io utilizzerò il nome “InstallFortiClient.ps1” per comodità io salverò tutti gli script all’interno della cartella C:\service, il percorso è indifferente, basta che sia MSI che script siano all’interno dello stesso percorso

Figura 14: Salvataggio Script

Ora dovrete creato lo script di disinstallazione, sostituite la parte evidenziata, con il nome che avrete scelto prima

Figura 15: Script Disinstallazione

Salvate ora anche questo script, nella stessa posizione dei precedenti

Figura 16: Salvataggio Script

Ora bisognerà creare la app WIN32 per procedere poi al caricamento in Intune, per avere visione di come poter generare una app WIN32 attraverso l’utility IntunWinAppUtil.exe vi riporto l’articolo di Nicola Ferrini Microsoft Endpoint Manager – Microsoft Intune – Distribuire e gestire le applicazioni in Windows 10 e Windows 11 – ICT Power dove, in modo dettagliato, viene spiegato come poter creare WIN32 app.

Ora che grazie a Nicola, avete capito come poter creare una app WIN32 potrete procedere con i next step, io per comodità ho inserito la cartella dell’applicativo in C:\Service

Figura 17: Generazione APP WIN32

Eseguito ora il Comand Prompt (CMD) come amministratore

Figura 18: Generazione App WIN32

Figura 19: Generazione App WIN32

Ora, l’utility vi chiederà di inserire alcune informazioni:

  • Source Folder: Inserire il percorso in cui si trova il vostro file MSI
  • Setup File: Inserire il nome, compreso di estensione, dell’installer
  • Output Folder: Inserire il percorso in cui volete che il file .intunewin sia salvato

Figura 20: Generazione App WIN32

Figura 21: Deploy Avvenuto Correttamente

Ora siete pronti per caricare il file generato all’interno del portale di Microsoft Intune, recatevi quindi App – Interfaccia di amministrazione di Microsoft Intune

Figura 22: Configurazione Intune

Figura 23: Configurazione Intune

Figura 24: Configurazione Intune

Ora come Installa Comand inserite la seguente stringa: “powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass -file .\InstallFortiClient.ps1” ricordandovi di sostituire InstallForticlient.ps1 con il nome dello script che avrete creato in precedenza e come Unistall Comand: “powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass -file .\UnistallFortiClient.ps1” per il file ps1 vale quanto detto in precedenza.

Figura 25: Configurazione Intune

Figura 26: Configurazione Intune

Figura 27: Configurazione Intune

Io per comodità ho assegnato la policy a tutti i dispositivi, ma voi, potete procedere a selezionare un gruppo che contenga solo i client che necessitano dell’applicazione

Figura 28: Configurazione Intune

Figura 29: Configurazione Intune

Figura 30: Caricamente Applicazione

Figura 31: Applicazione Installata

Ora dovrete attendere che la policy venga recepita dal client, per “forzare” la ricezione potete recarvi in Intune ed eseguire una Sync del dispositivo

Figura 32: Forzare Policy

Dopo questo comando, dovrete solo attendere, nel mio caso circa 10 minuti recandovi all’interno del computer incluso nella policy, vedrete che il client Fortinet VPN è stato installato con tutte le configurazioni che avrete applicato

Figura 33: Installazione Forticlient

Giusto a titolo informativo, vi riporto anche la schermata che evidenzia delle configurazioni importate

Figura 34: Profilo Configurazione FortiClient

Figura 35: Profilo Configurazione FortiClient

Figura 36: Profilo Configurazione FortiClient

Conclusioni

Come avete potuto notare, con poco effort, e sfruttando al meglio le funzionalità messe a disposizione da Microsoft, siete riusciti non solo ad installare l’applicazione in modo centralizzato a tutti i client, ma addirittura a passargli parametri di configurazione della stessa, che magari avreste dovuto configurare a mano dovendovi collegare su tutti i dispositivi.

Questa funzionalità vi ha permesso di risparmiare tempo di gestione e dare meno disservizio lato utente, funzionalità inoltre che può essere sfruttata insieme ad Autopilot, per spedire il client direttamente all’utente finale che si troverebbe tutti i suoi software configurati senza l’azione di nessun membro del reparto IT.