À Propos de WatchGuard Connection Manager

S'applique À : Accès à Internet FireCloud

Pour que FireCloud protège vos utilisateurs, ils doivent avoir WatchGuard Connection Manager installé sur leur périphérique et l'utiliser pour se connecter à FireCloud. Lorsqu'un utilisateur est connecté à FireCloud, le trafic Internet de son périphérique transite par le point de présence (PoP) WatchGuard le plus proche.

FireCloud utilise l'Agent WatchGuard pour déployer et installer WatchGuard Connection Manager. L'Agent WatchGuard gère la communication entre les ordinateurs gérés et le serveur WatchGuard. L'agent est installé sur chaque endpoint ou ordinateur et est utilisé pour déployer le logiciel WatchGuard tel que WatchGuard Connection Manager et le logiciel Endpoint Security. Il utilise peu le processeur, la mémoire et la bande passante, et consomme moins de 2 MO de données par jour. Pour en savoir plus sur l'Agent WatchGuard, accédez à À Propos de l'Agent WatchGuard.

Lorsque vous téléchargez le programme d'installation à partir de FireCloud, vous téléchargez l'Agent WatchGuard. Lorsque vous installez l'Agent WatchGuard, il communique avec WatchGuard Cloud et installe tous les logiciels pour lesquels votre compte et votre ordinateur possèdent actuellement une licence. Lorsque WatchGuard publie une nouvelle version de WatchGuard Connection Manager, l'Agent WatchGuard télécharge et installe automatiquement la nouvelle version afin que vos utilisateurs demeurent toujours à jour.

Si votre licence ou votre essai FireCloud expire et que votre compte ne possède pas FireCloud sous licence, l'Agent WatchGuard désinstalle automatiquement WatchGuard Connection Manager sur tous les périphériques des utilisateurs finaux. Lorsque votre compte dispose à nouveau d'une licence FireCloud active, l'Agent WatchGuard télécharge et installe automatiquement WatchGuard Connection Manager.

Chaque compte WatchGuard Cloud possède une version unique de l'Agent WatchGuard installée. Seuls les utilisateurs FireCloud d'un même compte WatchGuard Cloud peuvent utiliser le programme d'installation de ce compte. Si vous êtes Service Provider, n'utilisez pas le même programme d'installation pour déployer FireCloud pour plusieurs comptes gérés.

Caution: Vous ne pouvez pas installer WatchGuard Connection Manager sur des ordinateurs sur lesquels des produits de sécurité des endpoints Panda sont installés. WatchGuard Connection Manager est uniquement compatible avec les produits WatchGuard Endpoint Security.

Exigences d'Accès au Réseau

Les connexions à ces noms d'hôtes sont nécessaires afin que l'Agent WatchGuard puisse se connecter à WatchGuard Cloud via votre pare-feu.

Noms d'Hôte Ports
*.pandasecurity.com
*.pandasoftware.com
*.windows.net		 TCP 443
TCP 80

Fonctionnement de Connection Manager

Lorsque vous êtes connecté à FireCloud, FireCloud vous protège contre les menaces afin que vous puissiez utiliser votre ordinateur et naviguer sur Internet en toute sécurité. Après vous être connecté à FireCloud pour la première fois, l'agent maintient votre session ouverte et vous restez connecté même si vous redémarrez votre ordinateur. Pour obtenir des informations détaillées, accédez à Sessions d'Authentification de Connection Manager.

Lorsque vous êtes connecté à FireCloud, vous pouvez continuer à vous connecter aux ressources locales de votre réseau telles que les imprimantes.

Si vous devez vous connecter à un VPN, vous devez d'abord vous déconnecter manuellement de FireCloud. Après vous être déconnecté de FireCloud, vous devez manuellement vous connecter et vous reconnecter afin de rester protégé.

Si vous ne pouvez pas vous connecter à FireCloud ou si vous vous déconnectez manuellement de FireCloud, vous pouvez tout de même vous connecter à Internet, mais FireCloud ne vous protégera pas.

Si WatchGuard Connection Manager ne peut pas s'authentifier ou se connecter à FireCloud pendant plus d'une heure, le logiciel vous demande de vous reconnecter.

Si vous vous rendez à votre bureau et que vous vous connectez au réseau d'entreprise alors que votre ordinateur est déjà connecté à FireCloud, la configuration de votre pare-feu peut influer sur la gestion de votre trafic. FireCloud utilise le port UDP 4500 pour communiquer avec les points de présence (PoP) WatchGuard.

  • Si le port 4500 est ouvert lors de la connexion à votre réseau d'entreprise, Connection Manager continue de transmettre le trafic via FireCloud.
  • Si le port 4500 est bloqué lors de la connexion à votre réseau d'entreprise, la connexion client à FireCloud ne s'ouvre pas et le client transmet le trafic comme il le fait normalement lorsqu'il est connecté au réseau d'entreprise. Cependant, WatchGuard Connection Manager tente continuellement de se connecter au PoP FireCloud derrière le pare-feu.

Après vous être déconnecté du réseau d'entreprise, il est possible que vous deviez vous reconnecter manuellement à FireCloud.

Pour afficher l'état de votre connexion à FireCloud, survolez l'icône de Connection Manager dans la barre d'état système. La couleur de l'icône indique l'état de la connexion :

État Définition
Connecté à point de présence et le routage du trafic Internet via FireCloud.
Connecté à point de présence mais ne peut pas se connecter à Internet.
Non connecté.

Sessions d'Authentification de Connection Manager

Lorsque vous vous authentifiez avec Connection Manager et que vous vous connectez à FireCloud, Connection Manager établit 2 sessions.

  • La première session est établie avec le Fournisseur d'Identité (IdP), par exemple Authpoint.
  • La deuxième session est établie avec FireCloud afin de pouvoir autoriser la connexion au POP FireCloud.

Connection Manager met en cache la session IdP, qui reste valide jusqu'à ce que l'application Connection Manager soit arrêtée ou redémarrée, que le système soit redémarré ou que la session soit invalidée par le fournisseur d'identité (par exemple si la session atteint le délai d'expiration de l'IdP).

La session FireCloud reste valide jusqu'à ce que vous sélectionniez Se Déconnecter dans le menu de Connection Manager.

La règle d'accès FireCloud qui s'applique à votre groupe d'utilisateurs détermine si vous pouvez vous déconnecter manuellement de FireCloud

Les scénarios ci-après décrivent comment Connection Manager utilise chaque session ainsi que le comportement escompté.

Lorsque vous vous connectez pour la première fois à FireCloud avec Connection Manager, la page de connexion du fournisseur d'identité s'affiche. Vous devez saisir votre nom d'utilisateur et votre mot de passe pour vous authentifier auprès du fournisseur d'identité.

Si l'authentification réussit, Connection Manager met en cache la nouvelle session IdP.

Une fois l'authentification du fournisseur d'identité réussie, Connection Manager établit une nouvelle session FireCloud qui permet à Connection Manager de se connecter à un POP FireCloud et commencer à transmettre le trafic.

Lorsque vous vous déconnectez manuellement de FireCloud, Connection Manager se déconnecte de FireCloud et la session FireCloud est invalidée. Connection Manager conserve la session IdP mise en cache.

Lorsque vous ouvrez Connection Manager, vous vous connectez à FireCloud :

  • Si la session IdP mise en cache est valide et n'a pas expiré, Connection Manager utilise la session IdP existante pour établir une nouvelle session FireCloud. Étant donné que la session IdP établie est réutilisée, vous n'êtes pas invité à vous connecter.
  • Si la session IdP mise en cache est invalide (par exemple si elle a expiré), Connection Manager vous demande de vous connecter au fournisseur d'identité pour créer une nouvelle session IdP. Une fois que le fournisseur d'identité vous a authentifié et que Connection Manager a créé une nouvelle session IdP, Connection Manager établit une nouvelle session FireCloud.

Lorsque vous redémarrez un ordinateur, Connection Manager démarre automatiquement, mais ne conserve pas la session IdP précédente. Le comportement de Connection Manager suite à un redémarrage selon si vous vous êtes ou non déconnecté de FireCloud avant le redémarrage.

Si vous vous êtes déconnecté manuellement de FireCloud avant le redémarrage, Connection Manager vous demande de vous connecter au fournisseur d'identité afin de créer une nouvelle session IdP. Une fois que le fournisseur d'identité vous a authentifié et qu'une nouvelle session IdP a été créée, Connection Manager établit une nouvelle session FireCloud.

Si vous redémarrez alors que vous étiez toujours connecté à FireCloud, suite au redémarrage, Connection Manager tente de rétablir la session FireCloud précédemment établie.

  • Si cette action réussit, Connection Manager se connecte à FireCloud (vous n'êtes pas invité à vous connecter), mais il n'existera plus de session IdP mise en cache.
  • Si cette action ne réussit pas, Connection Manager vous demande de vous connecter. Une fois que le fournisseur d'identité vous a authentifié et qu'une nouvelle session IdP a été créée, Connection Manager établit une nouvelle session FireCloud.

Télécharger et Installer l'Agent WatchGuard et Connection Manager

Vous téléchargez l'Agent WatchGuard à partir de l'UI de FireCloud dans WatchGuard Cloud. Vous pouvez également obtenir un lien vers le programme d'installation pour votre compte et le distribuer à vos utilisateurs afin qu'ils puissent télécharger et installer eux-mêmes Connection Manager.

Pour télécharger l'Agent WatchGuard (permettant d'installer WatchGuard Connection Manager) :

  1. Connectez-vous à WatchGuard Cloud et accédez à Configurer > FireCloud.
  2. Sélectionnez Téléchargement du Client.
    La page Téléchargement du Client s'ouvre.
  3. Cliquez sur Télécharger le Programme d'Installation.
    Le téléchargement du programme d'installation de l'Agent WatchGuard commence.
  4. Si vous souhaitez envoyer le programme d'installation à vos utilisateurs afin qu'ils puissent eux-mêmes télécharger et installer l'agent, cliquez sur Copier l'URL du Programme d'Installation. Vous pouvez envoyer ce lien à vos utilisateurs.

Vous pouvez utiliser différentes méthodes pour déployer l'Agent WatchGuard. La méthode la plus simple consiste à exécuter le programme d'installation manuellement.

Vous pouvez également utiliser une invite de commande Windows pour installer l'Agent WatchGuard, ou utiliser l'option de ligne de commande pour effectuer un déploiement via un Objet de Stratégie de Groupe (GPO) Active Directory.

Si l'Agent WatchGuard ne parvient pas à installer Connection Manager, l'agent tente à nouveau d'exécuter l'installation 4 heures après. Pour réessayer d'effectuer l'installation immédiatement, vous pouvez exécuter le programme d'installation.

  1. Exécutez le programme d'installation téléchargé.
  2. Cliquez sur Installer. L'installation de l'Agent WatchGuard peut nécessiter plusieurs minutes.
  3. Une fois l'installation terminée, cliquez sur Terminer.
  4. Une fois l'Agent WatchGuard installé, l'agent télécharge et installe automatiquement Connection Manager. Une fois cette opération terminée, Connection Manager s'ouvre et vous êtes invité à saisir vos informations d'identification pour vous connecter à FireCloud. Vous utilisez les informations d'identification du compte d'utilisateur dans votre fournisseur d'identité.
  1. Dans le menu Démarrer de Windows, faites un clic droit sur Invite de Commande puis sélectionnez Exécuter en tant qu'Administrateur.
    Une fenêtre d'invite de commande Windows s'ouvre.
  2. Remplacez le répertoire par l'emplacement du fichier .MSI de l'Agent WatchGuard téléchargé.
  3. Pour exécuter le programme d'installation de l'Agent WatchGuard, exécutez la commande msiexec -i WatchGuard_Agent.msi.

    Pour installer l'agent de manière silencieuse sans intervention de l'utilisateur, ajoutez /q ou /qn à la commande. Pour empêcher l'ordinateur de démarrer une fois l'installation terminée, ajoutez /norestart à la commande. Pour de plus amples informations, accédez à la Documentation Microsoft de la Commande msiexec.

Vous pouvez utiliser les commandes décrites dans la procédure précédente pour installer l'Agent WatchGuard à distance sur plusieurs ordinateurs via un Objet de Stratégie de Groupe (GPO) Active Directory. Vous devez employer une méthode d'installation prenant en charge les paramètres en ligne de commande.

Si vous ne souhaitez pas installer l'Agent WatchGuard sur des ordinateurs sur lesquels l'agent est déjà installé, vous pouvez configurer votre script de manière à ignorer l'installation sur ces ordinateurs.

Vous pouvez employer l'une des méthodes suivantes pour configurer un GPO de manière à effectuer l'installation à partir d'un fichier .MSI avec des paramètres de ligne de commande :

Option 1 — Créer un GPO de Démarrage du Système Qui Exécute un Fichier de Commandes

Configurez un GPO avec un script de démarrage ou de connexion qui exécute un fichier de commandes d'installation de l'Agent WatchGuard. Le fichier de commandes contient une seule ligne, qui spécifie le chemin réseau du fichier .MSI. Les autres paramètres sont identiques à ceux mentionnés dans la procédure précédente pour l'installation à partir d'une invite de commandes Windows.

msiexec -i "[chemin]\NWatchGuard_Agent.msi"

Option 2 — Créer un GPO d'Installation Logicielle qui Emploie un Fichier de Transformation (MST)

Utilisez l'outil Orca du Kit de Développement Logiciel (SDK) Windows pour créer un fichier de transformation (.MST) contenant les paramètres de ligne de commande nécessaires. Pour télécharger le SDK Windows, accédez à la page du SDK Windows de Microsoft.

Pour créer le fichier .MST dans Orca :

  1. Ouvrez Orca.
  2. Sélectionnez Fichier > Ouvrir et sélectionnez le fichier .MSI de l'Agent WatchGuard que vous avez téléchargé.
  3. Pour lancer une nouvelle transformation, sélectionnez Transformation > Nouvelle Transformation.
  4. Pour enregistrer le fichier de transformation, sélectionnez Fichier > Enregistrer la Transformation Sous.
    La boîte de dialogue Enregistrer la Transformation Sous s'ouvre.
  5. Sélectionnez l'emplacement où vous souhaitez enregistrer le fichier .MST.
  6. Dans la zone de texte Nom du Fichier, saisissez un nom pour le fichier .MST puis cliquez sur Enregistrer.
    Le fichier .MST est enregistré à l'emplacement spécifié.
  7. Copiez le fichier .MSI d'origine dans le répertoire contenant le fichier .MST.
  8. Pour tester manuellement l'installation, saisissez cette commande :
    install: msiexec -i WatchGuard_Agent.msi -t TRANSFORMS=[Nom du fichier mst de l'Agent WatchGuard]

Après avoir créé le fichier .MST, créez un GPO d'Installation Logicielle comprenant le fichier .MSI et le fichier .MST.

Pour créer le GPO d'Installation Logicielle :

  1. Ouvrez l'Éditeur de Gestion des Stratégies de Groupe.
  2. Accédez aux paramètres d'installation des logiciels.
  3. Faites un clic droit puis sélectionnez Nouveau > Paquet.
  4. Spécifiez le chemin réseau du fichier .MSI.
  5. Sélectionnez Avancé.
  6. Sélectionnez l'onglet Modifications.
  7. Cliquez sur Ajouter.
  8. Spécifiez le chemin réseau du fichier .MST.
  9. Cliquez sur OK.
  10. Dans le menu Démarrer de Windows, faites un clic droit sur Invite de Commande puis sélectionnez Exécuter en tant qu'Administrateur.
    Une fenêtre d'invite de commande Windows s'ouvre.
  11. Utilisez la commande gpupdate pour actualiser les paramètres de la stratégie de groupe.
  12. Pour tester le GPO, redémarrez l'un des ordinateurs du domaine.

Se Connecter à FireCloud avec WatchGuard Connection Manager

Pour se connecter à FireCloud, à partir de WatchGuard Connection Manager :

  1. Ouvrez WatchGuard Connection Manager.
  2. Cliquez sur Se Connecter.
  3. Saisissez votre nom d'utilisateur ou votre adresse e-mail, puis cliquez sur Suivant.
  4. Saisissez votre mot de passe.
    Un message de réussite s'affiche lorsque vous vous connectez à FireCloud.

Lorsque vous êtes connecté à FireCloud, vous êtes protégé et pouvez utiliser votre ordinateur et naviguer sur Internet en toute sécurité. Suite à votre première connexion à FireCloud, l'agent garde votre session ouverte et vous restez connecté même si vous redémarrez votre ordinateur.

Se Déconnecter de FireCloud

Dans certains cas, il s'avère nécessaire de vous déconnecter de FireCloud. Par exemple, vous pourrez être amené à vous déconnecter si vous devez vous connecter à un VPN.

Pour vous déconnecter de FireCloud, dans la barre d'état système de votre ordinateur, faites un clic droit sur l'icône FireCloud puis sélectionnez Se Déconnecter. Une fois votre tâche terminée, vous devez vous reconnecter manuellement à FireCloud.

La règle d'accès FireCloud qui s'applique à votre groupe d'utilisateurs détermine si vous pouvez vous déconnecter manuellement de FireCloud

Afficher les Messages de Journal de Connection Manager

Pour dépanner les problèmes de connexion de FireCloud, vous pouvez utiliser les messages de journal de Connection Manager.

Pour consulter les messages de journal :

  1. Dans la barre d'état système de votre ordinateur, cliquez sur l'icône FireCloud.
  2. Sélectionnez Afficher les Messages de Journal.
    Les messages de journal actifs de Connection Manager s'affichent.

Si nécessaire, vous pouvez enregistrer vos messages de journal dans un fichier texte. Vous pouvez procéder ainsi lorsque vous travaillez avec l'Assistance WatchGuard pour dépanner des problèmes.

Rubriques Connexes

À Propos de WatchGuard Connection Manager

Agent WatchGuard - Messages d'Erreur d'Installation et de Mise à niveau

Problèmes d'Installation MSI de l'Agent WatchGuard avec WatchGuard Endpoint Security