Comment déployer FortiClient VPN avec configuration en utilisant Microsoft Intune

Fortinet ne fournit pas de téléchargements MSI directs, vous devez donc extraire le MSI de l'installateur en ligne. Ce processus capture le véritable package d'installation que Intune peut déployer.

Téléchargez l'installateur en ligne FortiClient VPN depuis le portail de support Fortinet. Vous aurez besoin d'un compte de support valide pour accéder à la section des téléchargements.

Lancez l'installateur mais ne complétez pas l'installation :

FortiClientVPNOnlineInstaller.exe

Lorsque l'installateur atteint l'écran de bienvenue, il télécharge le MSI dans un emplacement de cache temporaire. Accédez au répertoire de cache :

C:\ProgramData\Applications\Cache\

Cherchez un dossier avec un nom GUID contenant un sous-dossier de numéro de version. Triez par date de modification pour trouver l'extraction la plus récente. Le fichier MSI sera nommé quelque chose comme FortiClientVPN.msi.

Copiez le fichier MSI dans un emplacement sûr sur votre système :

copy "C:\ProgramData\Applications\Cache\{GUID}\{VERSION}\FortiClientVPN.msi" "C:\Temp\FortiClientVPN.msi"

Annulez l'installateur après avoir copié le fichier MSI.

Vérification : Faites un clic droit sur le MSI extrait et sélectionnez Propriétés. Confirmez que le type de fichier est affiché comme "Package d'installation Windows" et que la version correspond à votre version FortiClient attendue.

Vous allez maintenant empaqueter le MSI extrait en tant qu'application Line-of-Business (LOB) dans Intune pour la distribution aux appareils gérés.

Connectez-vous au centre d'administration Microsoft Intune à l'adresse https://intune.microsoft.com et accédez à Applications :

Allez à Applications > Toutes les applications > Ajouter > Application Line-of-business

Sélectionnez Windows comme plateforme et téléchargez votre fichier MSI FortiClient extrait. Configurez les informations de l'application :

• Nom : FortiClient VPN
• Description : Client VPN FortiClient pour un accès distant sécurisé
• Éditeur : Fortinet
• Arguments de ligne de commande : /quiet /norestart
• Comportement d'installation : Système

Définissez les règles de détection pour utiliser le code produit MSI (détecté automatiquement) ou créez une règle personnalisée :

# Exemple de règle de détection personnalisée
$AppPath = "C:\Program Files\Fortinet\FortiClient\FortiClient.exe"
if (Test-Path $AppPath) {
    $Version = (Get-ItemProperty $AppPath).VersionInfo.FileVersion
    Write-Output "Version de FortiClient : $Version"
}

Configurez les exigences :

• Architecture du système d'exploitation : x64
• Système d'exploitation minimum : Windows 10 1607

Attribuez l'application à vos groupes d'appareils cibles. Commencez par un groupe pilote avant de déployer à l'échelle de l'entreprise.

Vérification : Vérifiez que le statut de l'application dans Intune indique "Prêt à installer" et assurez-vous que l'attribution montre correctement vos groupes cibles.

Avant de créer le script de configuration automatisé, vous devez comprendre la structure du registre en configurant manuellement FortiClient sur un appareil de test.

Installez FortiClient sur une machine de test et configurez votre connexion VPN manuellement via l'interface FortiClient. Cela crée les entrées de registre que vous devrez reproduire via un script.

Après avoir configuré la connexion VPN, exportez les paramètres du registre :

reg export "HKLM\SOFTWARE\Fortinet\FortiClient\Sslvpn\Tunnels" C:\Temp\FortiVPN_Config.reg

Ouvrez le fichier de registre exporté pour examiner la structure :

[HKEY_LOCAL_MACHINE\SOFTWARE\Fortinet\FortiClient\Sslvpn\Tunnels\YourVPNName]
"server"="vpn.yourcompany.com"
"port"="443"
"description"="Connexion VPN de l'entreprise"
"auth_method"="sslvpn"
"save_password"=dword:00000000
"auto_connect"=dword:00000000

Documentez toutes les valeurs de registre que vous devez reproduire. Les paramètres courants incluent :

• server - FQDN ou IP du serveur VPN
• port - Port de connexion (généralement 443)
• description - Nom convivial
• auth_method - Méthode d'authentification
• certificate - Chemin du certificat client si utilisé

Testez minutieusement la configuration manuelle pour vous assurer qu'elle fonctionne avant de passer à la création du script.

Vérification : Connectez-vous au VPN manuellement et confirmez l'authentification réussie et l'accès réseau aux ressources internes.

Créez un script PowerShell qui configurera automatiquement les paramètres VPN dans le registre après l'installation de FortiClient.

Créez un nouveau fichier de script PowerShell nommé Configure-FortiVPN.ps1 :

# Script de configuration VPN FortiClient
# Configurer la connexion VPN via le registre

# Variables - Personnalisez-les pour votre environnement
$VPNName = "CompanyVPN"
$VPNServer = "vpn.yourcompany.com"
$VPNPort = "443"
$Description = "Connexion VPN de l'entreprise"
$AuthMethod = "sslvpn"

# Chemin du registre pour les tunnels VPN FortiClient
$RegPath = "HKLM:\SOFTWARE\Fortinet\FortiClient\Sslvpn\Tunnels\$VPNName"

try {
    # Vérifiez si FortiClient est installé
    $FortiClientPath = "C:\Program Files\Fortinet\FortiClient\FortiClient.exe"
    if (-not (Test-Path $FortiClientPath)) {
        Write-Error "FortiClient non trouvé. Assurez-vous que l'application est d'abord installée."
        exit 1
    }

    # Créez le chemin du registre s'il n'existe pas
    if (-not (Test-Path $RegPath)) {
        Write-Output "Création du chemin du registre : $RegPath"
        New-Item -Path $RegPath -Force | Out-Null
    }

    # Définir les valeurs de configuration VPN
    Write-Output "Configuration des paramètres VPN..."
    New-ItemProperty -Path $RegPath -Name "server" -Value $VPNServer -PropertyType String -Force
    New-ItemProperty -Path $RegPath -Name "port" -Value $VPNPort -PropertyType String -Force
    New-ItemProperty -Path $RegPath -Name "description" -Value $Description -PropertyType String -Force
    New-ItemProperty -Path $RegPath -Name "auth_method" -Value $AuthMethod -PropertyType String -Force
    New-ItemProperty -Path $RegPath -Name "save_password" -Value 0 -PropertyType DWord -Force
    New-ItemProperty -Path $RegPath -Name "auto_connect" -Value 0 -PropertyType DWord -Force

    Write-Output "Configuration VPN terminée avec succès"
    
    # Vérifier la configuration
    $ServerValue = Get-ItemProperty -Path $RegPath -Name "server" -ErrorAction SilentlyContinue
    if ($ServerValue.server -eq $VPNServer) {
        Write-Output "Configuration vérifiée : Serveur = $($ServerValue.server)"
        exit 0
    } else {
        Write-Error "Échec de la vérification de la configuration"
        exit 1
    }
}
catch {
    Write-Error "Échec de l'exécution du script : $($_.Exception.Message)"
    exit 1
}

Si votre organisation exige des scripts signés, signez le script PowerShell :

# Auto-signer le script (pour les tests)
$cert = New-SelfSignedCertificate -CertStoreLocation Cert:\CurrentUser\My -Subject "CN=PowerShell Code Signing" -KeyUsage DigitalSignature -Type CodeSigningCert
Set-AuthenticodeSignature -FilePath "Configure-FortiVPN.ps1" -Certificate $cert

Vérification : Exécutez le script manuellement et vérifiez que les entrées du registre sont créées correctement sous HKLM\SOFTWARE\Fortinet\FortiClient\Sslvpn\Tunnels.

Déployez votre script de configuration via la fonctionnalité de gestion des scripts PowerShell d'Intune pour configurer automatiquement les paramètres VPN après l'installation de FortiClient.

Dans le centre d'administration Intune, accédez aux scripts de périphériques :

Allez à Appareils > Scripts et remédiations > Scripts de plateforme > Ajouter > Windows 10 et versions ultérieures

Téléchargez votre script PowerShell et configurez les paramètres :

• Nom : Configurer FortiClient VPN
• Description : Configure automatiquement les paramètres VPN de l'entreprise dans FortiClient
• Emplacement du script : Téléchargez votre fichier Configure-FortiVPN.ps1

Configurez les paramètres d'exécution :

• Exécuter ce script avec les informations d'identification de l'utilisateur connecté : Non
• Imposer la vérification de la signature du script : Oui (si vous avez signé le script)
• Exécuter le script dans l'hôte PowerShell 64 bits : Oui

Configurez les affectations et la planification :

• Affectez aux mêmes groupes d'appareils que votre application FortiClient
• Envisagez d'utiliser une dépendance ou un délai pour garantir que FortiClient s'installe avant l'exécution du script

Créez un script de détection pour vérifier la configuration réussie :

# Script de détection
$RegPath = "HKLM:\SOFTWARE\Fortinet\FortiClient\Sslvpn\Tunnels\CompanyVPN"
if (Test-Path $RegPath) {
    $server = Get-ItemProperty -Path $RegPath -Name "server" -ErrorAction SilentlyContinue
    if ($server.server -eq "vpn.yourcompany.com") {
        Write-Output "VPN configuré correctement"
        exit 0
    }
}
Write-Output "VPN non configuré"
exit 1

Vérification : Surveillez l'exécution du script dans Intune sous Statut de l'appareil. Vérifiez que les appareils affichent le statut "Succès" et vérifiez que la connexion VPN apparaît dans FortiClient sur les appareils cibles.

Assurez-vous d'une séquence de déploiement correcte pour que FortiClient s'installe avant que le script de configuration ne s'exécute. Cela évite les échecs de script dus à l'absence de fichiers d'application.

Configurez les dépendances des applications dans Intune pour contrôler l'ordre d'installation :

Modifiez votre application VPN FortiClient dans Intune et allez à Propriétés > Dépendances > Ajouter

Configurez les relations de dépendance si vous avez des logiciels prérequis (comme des certificats spécifiques ou des pilotes réseau).

Pour le script PowerShell, créez un script de remédiation qui vérifie la présence de FortiClient avant d'appliquer la configuration :

# Script de configuration amélioré avec vérification des dépendances
$MaxRetries = 5
$RetryDelay = 30

for ($i = 1; $i -le $MaxRetries; $i++) {
    $FortiClientPath = "C:\Program Files\Fortinet\FortiClient\FortiClient.exe"
    
    if (Test-Path $FortiClientPath) {
        Write-Output "FortiClient trouvé, poursuite de la configuration..."
        # Exécutez votre code de configuration ici
        break
    } else {
        Write-Output "Tentative $i : FortiClient non trouvé, attente de $RetryDelay secondes..."
        if ($i -eq $MaxRetries) {
            Write-Error "Installation de FortiClient non détectée après $MaxRetries tentatives"
            exit 1
        }
        Start-Sleep -Seconds $RetryDelay
    }
}

Configurez des filtres d'affectation pour cibler des groupes d'appareils spécifiques ou exclure les appareils qui ne devraient pas recevoir la configuration VPN :

{
  "filterType": "include",
  "rule": "(device.deviceOwnership -eq \"Corporate\") and (device.operatingSystem -eq \"Windows\")"
}

Configurez la surveillance et le reporting :

• Créez une politique de conformité des appareils personnalisée qui vérifie la configuration VPN
• Utilisez le reporting Intune pour suivre les taux de réussite des déploiements
• Configurez des alertes pour les déploiements échoués

Vérification : Vérifiez la chronologie de déploiement dans les détails de l'appareil Intune pour confirmer que FortiClient s'installe avant que le script de configuration ne s'exécute. Testez sur un appareil pilote pour vérifier le flux de travail complet.

Testez minutieusement votre déploiement sur des appareils pilotes avant de le déployer dans l'ensemble de l'organisation. Cette étape identifie les problèmes potentiels et valide le flux de travail complet.

Sélectionnez un petit groupe d'appareils de test représentant la diversité de votre environnement (différentes versions de Windows, configurations matérielles, emplacements réseau).

Surveillez le processus de déploiement en temps réel :

# Script PowerShell pour vérifier l'état du déploiement localement
$AppName = "FortiClient VPN"
$VPNName = "CompanyVPN"

# Vérifiez si l'application est installée
$App = Get-WmiObject -Class Win32_Product | Where-Object { $_.Name -like "*FortiClient*" }
if ($App) {
    Write-Output "✓ FortiClient installé : $($App.Version)"
} else {
    Write-Output "✗ FortiClient non trouvé"
}

# Vérifiez la configuration VPN
$RegPath = "HKLM:\SOFTWARE\Fortinet\FortiClient\Sslvpn\Tunnels\$VPNName"
if (Test-Path $RegPath) {
    $Config = Get-ItemProperty -Path $RegPath
    Write-Output "✓ VPN configuré : Serveur = $($Config.server)"
} else {
    Write-Output "✗ Configuration VPN non trouvée"
}

# Testez la connectivité VPN (basique)
$VPNServer = (Get-ItemProperty -Path $RegPath -Name "server" -ErrorAction SilentlyContinue).server
if ($VPNServer) {
    $TestConnection = Test-NetConnection -ComputerName $VPNServer -Port 443
    if ($TestConnection.TcpTestSucceeded) {
        Write-Output "✓ Serveur VPN accessible"
    } else {
        Write-Output "✗ Impossible d'atteindre le serveur VPN"
    }
}

Validez l'expérience utilisateur final :

1. Lancez FortiClient sur les appareils de test
2. Vérifiez que la connexion VPN apparaît dans la liste des connexions
3. Testez l'authentification avec les identifiants utilisateur
4. Confirmez l'accès réseau aux ressources internes après la connexion
5. Testez la fonctionnalité de déconnexion et de reconnexion

Vérifiez les points de défaillance courants :

• Windows Defender ou un antivirus tiers bloquant l'installation
• Conflits de stratégie de groupe avec les paramètres VPN
• Restrictions réseau empêchant le trafic VPN
• Problèmes de certificat pour l'authentification SSL VPN

Documentez tout problème et créez des procédures de dépannage :

# Script de dépannage pour les problèmes courants
# Vérifiez les journaux d'événements Windows pour les erreurs FortiClient
Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='FortiClient'} -MaxEvents 10 | Format-Table TimeCreated, LevelDisplayName, Message -Wrap

# Vérifiez les journaux d'extension de gestion Intune
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin'} -MaxEvents 20

Vérification : Complétez des connexions VPN réussies à partir de plusieurs appareils de test, confirmez l'accès aux ressources internes et validez que les utilisateurs peuvent se connecter sans assistance informatique.

Mettre en œuvre une surveillance complète et établir des procédures de dépannage pour la gestion continue des déploiements et le support utilisateur.

Configurer des tableaux de bord de rapports Intune pour suivre les métriques de déploiement :

Accédez à Applications > Surveiller > Statut d'installation de l'application pour voir les statistiques de déploiement de FortiClient.

Créer des rapports personnalisés pour le succès de la configuration VPN :

# Script PowerShell pour le rapport de déploiement
$Computers = Get-ADComputer -Filter * -Properties OperatingSystem | Where-Object { $_.OperatingSystem -like "*Windows 10*" -or $_.OperatingSystem -like "*Windows 11*" }

$Results = foreach ($Computer in $Computers) {
    try {
        $Session = New-PSSession -ComputerName $Computer.Name -ErrorAction Stop
        $Status = Invoke-Command -Session $Session -ScriptBlock {
            $FortiClient = Test-Path "C:\Program Files\Fortinet\FortiClient\FortiClient.exe"
            $VPNConfig = Test-Path "HKLM:\SOFTWARE\Fortinet\FortiClient\Sslvpn\Tunnels\CompanyVPN"
            [PSCustomObject]@{
                ComputerName = $env:COMPUTERNAME
                FortiClientInstalled = $FortiClient
                VPNConfigured = $VPNConfig
                LastChecked = Get-Date
            }
        }
        Remove-PSSession $Session
        $Status
    } catch {
        [PSCustomObject]@{
            ComputerName = $Computer.Name
            FortiClientInstalled = "Error"
            VPNConfigured = "Error"
            LastChecked = Get-Date
            Error = $_.Exception.Message
        }
    }
}

$Results | Export-Csv -Path "C:\Reports\FortiClient-Deployment-Status.csv" -NoTypeInformation

Scénarios de dépannage courants et solutions :

Configurer une remédiation automatisée pour les problèmes courants :

# Script de remédiation pour la configuration VPN manquante
$RegPath = "HKLM:\SOFTWARE\Fortinet\FortiClient\Sslvpn\Tunnels\CompanyVPN"

if (-not (Test-Path $RegPath)) {
    Write-Output "Configuration VPN manquante, tentative de réparation..."
    
    # Réexécuter le script de configuration
    try {
        # Votre code de configuration ici
        Write-Output "Configuration réparée avec succès"
    } catch {
        Write-Error "Échec de la remédiation : $($_.Exception.Message)"
        # Enregistrer dans le journal des événements pour la surveillance
        Write-EventLog -LogName Application -Source "FortiClient Deployment" -EventId 1001 -EntryType Error -Message "Échec de la remédiation de la configuration VPN : $($_.Exception.Message)"
    }
}

Établir des procédures de support utilisateur :

• Créer des guides de dépannage en libre-service
• Documenter les messages d'erreur utilisateur courants et les solutions
• Configurer des procédures d'escalade du helpdesk pour les problèmes complexes
• Fournir des méthodes de connexion alternatives pour les utilisateurs critiques

Vérification : Confirmer que les tableaux de bord de surveillance montrent un statut de déploiement précis, tester que les scripts de remédiation résolvent les problèmes courants, et valider que les procédures de support permettent une résolution rapide des problèmes.