FortiClient VPNを業務利用する場合、ユーザーが手作業でVPN設定を行うと、入力ミスや設定のばらつきが発生します。
そこで、オンプレActive Directory(AD)のグループポリシー(GPO)を利用し、全社的に統一したVPNプロファイルを自動展開する方法をご紹介します。
今回はXMLファイルを利用した方式を中心に、展開手順・注意点・スクリプト実行方式の比較を解説します。
目次
- 1. 事前準備
- 2. FortiClientからVPNプロファイルをエクスポート
- 3. 共有フォルダを作成
- 4. GPOで配布スクリプトを設定
- 5. クライアントPCでの確認
- 6. スクリプト実行方式の比較
- 7. 注意点
- まとめ
1. 事前準備
- オンプレAD環境(ドメインコントローラ、GPO利用可能)。
- VPN接続設定済みの FortiClient がインストールされたテストPC。
- AD配布用の共有フォルダ(例:
\\yourdomain\netlogon\FortiClient)。
2. FortiClientからVPNプロファイルをエクスポート
- テストPCで FortiClient を起動。
- VPN設定を正しく入力した状態で、設定 → 構成のエクスポート を選択。
- XMLファイル(例:
forticlient.conf.xml)として保存。
3. 共有フォルダを作成
- ドメインコントローラ上で
\\yourdomain\netlogon\FortiClientフォルダを作成。 - 先ほどエクスポートした
forticlient.conf.xmlを格納。 - アクセス権限は「読み取り」を全員に付与し、変更は管理者のみに制限。
4. GPOで配布スクリプトを設定
- グループポリシー管理エディタを開き、新規GPO(例:FortiClient_VPN_Profile)を作成。
- 対象OUにリンク。
- ユーザーの構成 → Windowsの設定 → スクリプト(ログオン) または
コンピューターの構成 → Windowsの設定 → スクリプト(スタートアップ) に PowerShellスクリプトを登録。
配布スクリプト例(PowerShell)
$source = "\\yourdomain\netlogon\FortiClient\forticlient.conf.xml"
$dest = "C:\ProgramData\Fortinet\FortiClient\conf\forticlient.conf.xml"
# ディレクトリが存在しない場合は作成
if (!(Test-Path (Split-Path $dest))) {
New-Item -Path (Split-Path $dest) -ItemType Directory -Force
}
# XMLプロファイルをコピー(既存は上書き)
Copy-Item -Path $source -Destination $dest -Force
5. クライアントPCでの確認
- 対象OUに属するPCでログイン。
- 自動的にXMLファイルがコピーされ、FortiClientにVPN接続先が反映。
- FortiClientを開き、配布した接続プロファイルが表示されることを確認。
6. スクリプト実行方式の比較
| 方式 | 適用タイミング | メリット | デメリット | おすすめ利用シーン |
|---|---|---|---|---|
| ユーザーログオンスクリプト | ユーザーがドメインにログインした時 |
|
|
固定PC利用が前提のオフィス環境 |
| スタートアップスクリプト | PC起動時(Windowsサービスレベルで実行) |
|
|
シンクライアント・共用PC・不特定ユーザー利用環境 |
7. 注意点
- バージョン依存性:FortiClientの保存先パスはバージョンにより異なるため要確認。
- 既存プロファイルの上書き:ユーザーが手動で設定したVPNが消える可能性があるため事前に周知徹底。
- 権限管理:XMLファイルには接続情報が含まれるため、共有フォルダのアクセス制御は厳格に。
まとめ
FortiClientのVPNプロファイルは、オンプレAD環境のGPOを使って効率的に展開可能です。
配布方法としては、ユーザーログオンスクリプトとスタートアップスクリプトがあり、それぞれの特徴を理解して使い分けることが重要です。
組織の利用形態に合わせて最適な方式を選択し、統一的かつ安全なVPN環境を運用していきましょう。
コメント