HOWTO: Verteilung des WatchGuard SSLVPN Client mit Microsoft Intune

In der heutigen Zeit gibt es immer mehr Unternehmen, die keine On-Premises-Infrastruktur mehr betreiben, sondern die komplette Verwaltung der Benutzer und Endgeräte nach Microsoft Azure/Entra ID ausgelagert haben. Eine zentralisierte Verteilung des SSLVPN Clients ist über Gruppenrichtlinien dann nicht möglich.

Es gibt aber auch in der Cloud die Möglichkeit, Software – somit auch den SSLVPN Client von WatchGuard – für berechtigte Benutzer bereitzustellen. Diese Anleitung ist für Infrastrukturen, die ausschließlich über die Cloud verwaltet werden und gilt nicht für Hybrid-Strukturen!

Voraussetzungen

Um ohne lokales Active Directory (AD) und damit ohne Gruppenrichtlinien Software verteilen zu können, bietet sich bei Verwendung von Microsoft 365 Lizenzen im Unternehmen der Weg über Microsoft Intune an.
Zur Vorbereitung sollte geklärt werden, dass die folgenden Voraussetzungen erfüllt sind:

• Globaler Admin-Zugriff auf Microsoft Intune
• Die Benutzer/Rechner müssen eine M365 Intune Lizenz haben (beispielsweise in M365 Business Premium enthalten)
• Die Rechner tauchen unter den “Aktiven Geräten” im Admin Center auf:
  
• Auf den Client-Rechnern (beispielsweise bei BYOD (Bring Your Own Device), wenn der Benutzer selbst entscheidet ob er die VPN installieren möchte oder nicht) muss das Unternehmensportal aus dem Microsoft-Store installiert sein
• Für die Paketierung werden der aktuellste WatchGuard SSLVPN Client benötigt sowie das Win32 Content Prep Tool von Microsoft. Dieses muss runtergeladen und an einem beliebigen Ort entpackt werden.

1. intunewin Datei erzeugen

Der erste Schritt ist die Erstellung einer .intunewin Datei, die von M365 gelesen werden kann um per Softwareverteilung ausgerollt zu werden:

1. Auf dem Admin PC wird zunächst unter “Dokumente” ein Verzeichnis erstellt, in diesem Beispiel Intune SSL Client, und der Installer für den SSLVPN Client von WatchGuard hineinkopiert
2. Ein weiteres Verzeichnis für die Ausgabe wird auch erstellt, in diesem Beispiel Intune SSL Client OUT
3. Von einer Kommandozeile wird in das entpackte Verzeichnis des Content Prep Tool gewechselt
4. Dort wird das Programm IntuneWinAppUtil.exe ohne Parameter aufgerufen
5. Das Quellverzeichnis wird angegeben, in unserem Fall das neu erzeugte Verzeichnis Intune SSL Client in den Dokumenten, mit Enter bestätigen
6. Als nächstes wird der Dateiname der Programmdatei des SSLVPN Client angegeben, mit Enter bestätigen
7. Anschließend das Output-Verzeichnis, in unserem Beispiel Intune SSL Client OUT, mit Enter bestätigen
8. Die Frage nach der Angabe eines Katalog-Verzeichnisses wird mit N beantwortet:
   
9. Der Konverter erstellt jetzt im Verzeichnis Intune SSL Client OUT eine Datei mit Namen WG-MVPN-SSL_12_10_4.intunewin:
   

2. Gruppe in Intune anlegen

Für die Zuweisung des SSLVPN Clients für ausgewählte Benutzer ist es sinnvoll auch in Intune Gruppen zu definieren:

1. Mit einem Account als Globaler Administrator bei M365 anmelden
2. In Intune eine neue Sicherheitsgruppe anlegen unter Gruppen -> Alle Gruppen -> neue Gruppe, unter Gruppenname ist in diesem Beispiel WatchGuard SSLVPN eingetragen.
3. Über den Link “Keine Mitglieder ausgewählt” fügen wir die Benutzer hinzu, die zu dieser Gruppe gehören sollen
4. Die Gruppe wird über Erstellen erzeugt und gespeichert:
   

Es ist auch möglich mehrere Gruppen anzulegen, beispielsweise für die automatische Installation bei Unternehmensgeräten und für eine optionale Installation – über das Unternehmensportal – bei BYOD Geräten.

3. Hinzufügen der .intunewin Datei zu Intune

Beim Hinzufügen einer Datei zu Intune werden die folgenden Parameter definiert: Gerätevoraussetzungen, Richtlinien und Benutzerzuweisung:

1. Mit einem Account als Globaler Administrator bei M365 anmelden und zum Microsoft Intune Admin Center wechseln
2. Unter Apps -> alle Apps -> Hinzufügen auswählen
3. App-Typ “Windows-App (Win32)” aus dem Dropdown-Menü wählen und Auswählen klicken:
   
4. App-Paketdatei auswählen
5. Die unter Punkt 1 erstellte .intunewin Datei im Verzeichnis Intune SSL Client OUT auswählen und mit “OK” bestätigen:
   
6. In den “App-Informationen“ entsprechend den Namen, Hersteller und Versionsnummer hinterlegen und auf Weiter klicken:
   
7. Im Reiter “Programm” wird der Name der ursprünglichen Installationsdatei angegeben, gefolgt von den Parametern silent und verysilent. In diesem Beispiel also:
   “WG-MVPN-SSL_12_10_4.exe” /silent /verysilent
8. Der Deinstallationsbefehl lautet in diesem Beispiel:
   “C:\Program Files (x86)\WatchGuard\WatchGuard Mobile VPN with SSL\unins000.exe” /silent /verysilent
   
   Mit einem klick auf Weiter geht es zum Reiter “Anforderungen“.
9. Im Reiter “Anforderungen” wird die verwendete Betriebssystemarchitektur auf den Zielrechnern gewählt und die minimale Versionsnummer des Betriebssystems – in diesem Beispiel 32 und 64 Bit sowie Windows 10 (ab Version 1607):
   
10. Im Reiter “Erkennungsregeln” wird als Regelformat “Erkennungsregeln manuell konfigurieren” ausgewählt und dann auf Hinzufügen geklickt
11. Der Regeltyp ist hier Datei. Als Pfad wird das zukünftige Installationsverzeichnis angegeben:
    “C:\Program Files (x86)\WatchGuard\WatchGuard Mobile VPN with SSL”
    und als Datei “wgsslvpnc.exe”. Die Erkennungsmethode ist in diesem Beispiel “Datei oder Ordner vorhanden” – das heißt wenn beides nicht vorhanden ist dann wird die Installation durchgeführt. Die Einstellungen werden mit OK übernommen:
    
12. Um auf den Reiter “Zuweisungen” zu gelangen, 3x auf Weiter klicken. In diesem Reiter kann jetzt entschieden werden, ob die App automatisch bei den berechtigten Benutzern installiert wird oder ob die App über das Unternehmensportal als optionale Installation verfügbar gemacht werden soll.
    Für die automatische Installation würde die Gruppe unter “Erforderlich” hinzugefügt, in diesem Beispiel fügen wir die unter Punkt 2 angelegte Gruppe in den “Für registrierte Geräte verfügbar” Bereich ein, die Installation ist also später im Unternehmensportal sichtbar:
    
13. Der letzte Schritt ist Weiter und Erstellen um die App abschließend im Intune zu hinterlegen.

4. Test auf dem Windows-Client

Auf dem Windows-Client muss wie unter Voraussetzungen aufgeführt das Unternehmensportal installiert sein. Nach dem Öffnen der App befindet sich der per Intune verteilte WatchGuard Mobil SSLVPN Client unter dem Punkt Apps:

Die App doppelklicken und auf Installieren klicken. Der Installationsprozess wird gestartet und anschließend lässt sich der SSLVPN Client über das Startmenü starten.

5. [Optional] Feld “Server” vorausfüllen mit Hilfe von Intune und Powershell

Auch mit Intune kann man Registry Keys setzen, damit der Benutzer den Server nicht selbst eintragen muss. Dazu ist der Umweg über Powershell notwendig. Die folgenden Zeilen in einen Editor kopieren, den FQDN oder die IP eintragen und als Powershell mit der Endung ps1 speichern:

New-Item -Path 'HKCU:\Software\WatchGuard'
New-Item -Path 'HKCU:\Software\WatchGuard\SSLVPNClient'
New-Item -Path 'HKCU:\Software\WatchGuard\SSLVPNClient\Settings'
New-ItemProperty -Path 'HKCU:\Software\WatchGuard\SSLVPNClient\Settings' -Name Server -Value "vpn.myCompany.tld"

Danach wird die Skriptausführung in Intune definiert – unter Geräte -> Skripts und Wartungen -> Plattformskript -> Hinzufügen wird ein neues Skript angelegt:

Das Skript bekommt einen Namen, danach auf Weiter klicken. Im nächsten Reiter “Skripteinstellungen” wird die angepasste Powershell-Datei ausgewählt und die Skriptsignaturprüfung ausgeschaltet:

Im Reiter “Zuweisungen” wird die Gruppe angegeben, die das Skript erhalten soll:

Nach Überprüfen + Hinzufügen dauert es etwas bis auf den Clients der Server eingetragen wird.

Fazit

Auch in Cloud gemanagten Umgebungen kann der SSLVPN Client von WatchGuard zentral gesteuert auf die Clients ausgerollt werden. So wird den Benutzern eine einfache Möglichkeit gegeben, selbst die Installation vorzunehmen auch ohne lokale Adminrechte zu besitzen.