Microsoft Intune – Installazione e configurazione di Forticlient VPN
L’implementazione di una soluzione VPN sicura è fondamentale per le aziende che desiderano proteggere le risorse aziendali e garantire la sicurezza dei dati quando i dipendenti accedono alla rete aziendale da remoto. FortiClient VPN è una scelta popolare tra le aziende per la sua robustezza e l’integrazione con altre soluzioni di sicurezza Fortinet. Tuttavia, la gestione delle installazioni e delle configurazioni di VPN su dispositivi distribuiti può rappresentare una sfida. Microsoft Intune offre una soluzione efficiente per la gestione dei dispositivi e delle applicazioni in ambienti aziendali, consentendo agli amministratori IT di distribuire e configurare FortiClient VPN su dispositivi Windows, macOS, iOS e Android in modo centralizzato.
Questa guida mira a fornire una panoramica dettagliata su come utilizzare Microsoft Intune per l’installazione e la configurazione di FortiClient VPN sui dispositivi dei dipendenti. Copriremo i prerequisiti necessari, i passaggi per il packaging dell’applicazione, la distribuzione tramite Intune e le istruzioni per la configurazione del profilo VPN.
Scenario
Lo scenario che vi trovate davanti è una macchina, nel mio caso una VM in Azure, che risulta in Entra ID Join gestita da Microsoft Intune
Figura 1: VM in Azure
Figura 2: Dispositivo in Microsoft Intune
Nel tenant che utilizzerò per questo articolo inoltre sono presenti le seguenti licenze, utili a sfruttare la componente di Microsoft Intune
Figura 3: Licensing Tenant Microsoft 365
Vi riporto anche i software installati all’interno della macchina, per darvi evidenza, della non presenza di FortiClient
Figura 4: FortiClient non Installato
Prerequisiti
Passiamo quindi ai prerequisiti necessari a svolgere questa attività:
- Creare App Configuration WIn32 con Microsoft Intune
- Licenza Microsoft Intune (nel mio caso ho Microsoft 365 E5, che al suo Interno ha Intune) Microsoft 365 E5 | M365 Maps
- Permessi necessari per poter operare in Microsoft Intune (nel mio caso utilizzerò un Global Administrator)
- Download di FortiClient VPNOnly Download prodotti | Download prodotti Fortinet | Assistenza
- Avere a disposizioni i parametri VPN
Svolgimento
Ora andremo, insieme, a vedere quali sono i passaggi necessari per eseguire l’installazione di FortiClient e relativa configurazione.
Come primo step, abbiamo la necessità di eseguire il download del client fortinet VPN Only, che potete trovare al link riportato nei prerequisiti
Figura 5: Download FortiClient VPN
Figura 6: Download FortiClient VPN
Figura 7: Download FortiClient VPN
Ora dovrete eseguire il primo step di installazione del Download che avete appena eseguito “FortiClientVPNOnlineInstaller.exe”, questa operazione servirà solo per recuperare il file MSI di installazione dell’applicativo
Figura 8: Installazione FortiClient
Figura 9: Installazione Forticlient
Ora dovreste essere giunti con la seguente schermata
Figura 10: Installazione Forticlient
Ora potete procedere a chiudere l’installazione e posizionatevi all’interno della cartella “%localappdata%\Temp” dove troverete MSI di FortiClient
Figura 11: MSI FortiClient
Ora salvate “FortiClientVPN.msi” all’interno di una posizione da voi scelta, nel mio caso, ho utilizzato la cartella di appoggio C:\service del mio dispositivo
Figura 12: Salvataggio File MSI
Ora dovrete procedere a creare due script in Powershell, uno che chiameremo InstallForticlient.ps1 ed il secondo UnistallForticlient.ps1, procedete quindi alla creazione del primo, che sarò utile all’installazione, nel quale inseriremo anche i parametri VPN, è di fondamentale importanza sostituire i campi evidenziata con i vostri:
- ProfiloICTPOWER: è il nome del profilo VPN che viene creato in Forticlient
- VPN ICTPOWER: è la descrizione del profilo
- VPN.MIOSERVER.COM:10443: è il server con relativa porta del vostro Firewall su cui è attestata la VPN Aziendale
Figura 13: Script di Installazione
Salvatelo, come detto in precedenza, io utilizzerò il nome “InstallFortiClient.ps1” per comodità io salverò tutti gli script all’interno della cartella C:\service, il percorso è indifferente, basta che sia MSI che script siano all’interno dello stesso percorso
Figura 14: Salvataggio Script
Ora dovrete creato lo script di disinstallazione, sostituite la parte evidenziata, con il nome che avrete scelto prima
Figura 15: Script Disinstallazione
Salvate ora anche questo script, nella stessa posizione dei precedenti
Figura 16: Salvataggio Script
Ora bisognerà creare la app WIN32 per procedere poi al caricamento in Intune, per avere visione di come poter generare una app WIN32 attraverso l’utility IntunWinAppUtil.exe vi riporto l’articolo di Nicola Ferrini Microsoft Endpoint Manager – Microsoft Intune – Distribuire e gestire le applicazioni in Windows 10 e Windows 11 – ICT Power dove, in modo dettagliato, viene spiegato come poter creare WIN32 app.
Ora che grazie a Nicola, avete capito come poter creare una app WIN32 potrete procedere con i next step, io per comodità ho inserito la cartella dell’applicativo in C:\Service
Figura 17: Generazione APP WIN32
Eseguito ora il Comand Prompt (CMD) come amministratore
Figura 18: Generazione App WIN32
Figura 19: Generazione App WIN32
Ora, l’utility vi chiederà di inserire alcune informazioni:
- Source Folder: Inserire il percorso in cui si trova il vostro file MSI
- Setup File: Inserire il nome, compreso di estensione, dell’installer
- Output Folder: Inserire il percorso in cui volete che il file .intunewin sia salvato
Figura 20: Generazione App WIN32
Figura 21: Deploy Avvenuto Correttamente
Ora siete pronti per caricare il file generato all’interno del portale di Microsoft Intune, recatevi quindi App – Interfaccia di amministrazione di Microsoft Intune
Figura 22: Configurazione Intune
Figura 23: Configurazione Intune
Figura 24: Configurazione Intune
Ora come Installa Comand inserite la seguente stringa: “powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass -file .\InstallFortiClient.ps1” ricordandovi di sostituire InstallForticlient.ps1 con il nome dello script che avrete creato in precedenza e come Unistall Comand: “powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass -file .\UnistallFortiClient.ps1” per il file ps1 vale quanto detto in precedenza.
Figura 25: Configurazione Intune
Figura 26: Configurazione Intune
Figura 27: Configurazione Intune
Io per comodità ho assegnato la policy a tutti i dispositivi, ma voi, potete procedere a selezionare un gruppo che contenga solo i client che necessitano dell’applicazione
Figura 28: Configurazione Intune
Figura 29: Configurazione Intune
Figura 30: Caricamente Applicazione
Figura 31: Applicazione Installata
Ora dovrete attendere che la policy venga recepita dal client, per “forzare” la ricezione potete recarvi in Intune ed eseguire una Sync del dispositivo
Figura 32: Forzare Policy
Dopo questo comando, dovrete solo attendere, nel mio caso circa 10 minuti recandovi all’interno del computer incluso nella policy, vedrete che il client Fortinet VPN è stato installato con tutte le configurazioni che avrete applicato
Figura 33: Installazione Forticlient
Giusto a titolo informativo, vi riporto anche la schermata che evidenzia delle configurazioni importate
Figura 34: Profilo Configurazione FortiClient
Figura 35: Profilo Configurazione FortiClient
Figura 36: Profilo Configurazione FortiClient
Conclusioni
Come avete potuto notare, con poco effort, e sfruttando al meglio le funzionalità messe a disposizione da Microsoft, siete riusciti non solo ad installare l’applicazione in modo centralizzato a tutti i client, ma addirittura a passargli parametri di configurazione della stessa, che magari avreste dovuto configurare a mano dovendovi collegare su tutti i dispositivi.
Questa funzionalità vi ha permesso di risparmiare tempo di gestione e dare meno disservizio lato utente, funzionalità inoltre che può essere sfruttata insieme ad Autopilot, per spedire il client direttamente all’utente finale che si troverebbe tutti i suoi software configurati senza l’azione di nessun membro del reparto IT.