Existuje nějaký způsob, jak zkontrolovat specifické vlastnosti počítače (například doménu, do které patří), aby bylo možné povolit nebo odmítnout připojení přes SSL VPN tunel s FortiGate a zdarma FortiClient VPN?
Jen abych vystoupil od standardní odpovědi EMS, možná SAML autentizace proti M365 Azure AD s politikou podmíněného přístupu umožňující pouze zařízení s AAD připojeným nebo hybridním připojením?
Jak jiní zmínili s EMS (a možná bez něj), je to možné. Ale jediným nezfalšovatelným ukazatelem je podepsaný a důvěryhodný certifikát. A ten musí být na zařízení a chráněn proti exportu. To je složitý úkol a vede to k problémům s laptoopy a podobně.
Můžete také provést kontrolu a podívat se do registru na detaily domény.
Funkce EMS. A je to velmi jednoduché v FortiOS 7.0, existuje globální nastavení check-ems-sn. Není zaregistrováno na EMS serveru? Pokoušíte se použít bezplatného VPN klienta? Patříte k jinému EMS serveru, který není připojen k tomuto FortiGate? “Žádné VPN pro vás!”
S EMS je to docela jednoduché.
Certifikáty lze také snadno provést a propojit je s vaší CA a CRL.
Podívejte se na FortiNAC, pokud si to můžete dovolit v rozpočtu. To přesně vyřeší to, co hledáte.
- Použijte ověření Google a cloudovou identitu SSO.
- Nastavte kontextově uvědomělý přístup vyžadující registraci zařízení Chrome Enterprise.
Použijte vestavěného klienta VPN ve Windows a využijte interní CA. Vynechte FC a EMS.
Myslím, že to lze zvládnout s EMS.
Domnívám se, že taková kontrola je dostupná pouze s službou FortiEMS.
Certifikáty zařízení. Ale nemůžete využít dvojí identitu, takže je autorizujete jako jejich zařízení, ne podle uživatelského jména. Plus EMS a pravděpodobně SAML.
Certifikáty, SAML tokeny.
Ano, děláme přesně tohle s neplatinovou verzí FortiClient, SAML v Chrome s pluginem AD proti našemu Azure AD. Včetně MFA tokenové autentizace.
Ano, jde to s Intune.
Vyžaduje EMS a v takovém případě máte lepší možnosti.
Máte nějaké odkazy na dokumentaci k tomuto? Není to možné ve verzi 6.4? Přesně tohle se snažím udělat.
Co když jsou místa, kde jsou povoleny pouze porty 80 a 443?
Certifikáty zařízení jsou nejlepší cesta. Pak můžete použít EMS/ZTNA značky na pravidlech firewallu k dalšímu omezení přístupu například na uživatelské skupiny (spárujete EMS s vaším AD – to dělám já).
Myslel jsem, že to lze udělat na FGT?