بدل أن يُدخل كل مستخدم إعدادات الـ VPN يدوياً، يقوم EMS بتوفير اتصال الوصول عن بُعد (SSL أو IPsec) مركزياً داخل الـ endpoint profile. تُدفَع هذه الإعدادات إلى الـ FortiClient تلقائياً، ويبقى الـ FortiGate هو بوابة الـ VPN التي تُنهي الاتصال وتُطبّق المصادقة.

• 1إعداد الـ VPN يُعرَّف داخل قسم VPN من الـ endpoint profile ويُدفع للمستخدمين دون تدخّل يدوي منهم.
• 2يدعم EMS نوعي الوصول عن بُعد: SSL-VPN و IPsec، ويُحدَّد النوع وعنوان الـ gateway والمنفذ في الـ profile.
• 3الـ FortiGate هو البوابة: يُنهي النفق ويربطه بمصادقة المستخدمين (local أو LDAP أو RADIUS) وبسياسات الجدار الناري.
• 4يمكن ضبط auto-connect و always-up في الـ profile ليتصل الـ FortiClient تلقائياً عند تشغيل الجهاز.
• 5تحديث عنوان البوابة أو الـ shared secret يتم مرة واحدة في الـ profile، فيُدفع لكل الأجهزة دون إعادة ضبط فردي.

• اختر SSL-VPN عندما تريد بساطة الاجتياز عبر منفذ 443 والمرور خلف proxies؛ واختر IPsec عندما تريد أداءً أعلى وتكاملاً مع dialup IKE وتشفيراً قابلاً للضبط بدقة.
• في سيناريو IPsec dialup يُعرَّف phase1-interface من نوع dynamic على الـ FortiGate، ويُدفع الـ FortiClient profile الـ PSK أو الشهادة المطابقة عبر EMS لضمان نجاح المصادقة في الـ IKE.
• فعّل الـ split tunneling بحذر: عند تعطيله يمرّ كل الترافيك عبر النفق (full tunnel) لفرض الـ Web Filter والتفتيش، لكنه يزيد الحمل على البوابة؛ وازِن بين الأمن والأداء حسب حجم المستخدمين.