Fortinet:SASE

Vorwort

Diese Seite erklärt das FortiSASE Produkt

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

FortiSASE - Dokumentationen

Admin Guides

• Datei:FortiSASE-AdminGuide.pdf 25.2.30

add 04.06.2025 - 4Tinu

Starthilfe Dokumente

• Datei:FortiSASE-GettingStarted.pdf 24.3.42
• Datei:FortiSASE-GettingStarted-EndUserGuide.pdf

add 04.06.2025 - 4Tinu

Referenz Guides

• Datei:FortiSASE-ReferenceGuide.pdf 25.2
• Datei:FortiSASE-ArchitectureGuide.pdf 25.2
• Datei:FortiSASE-ConceptGuide.pdf 25.2

edit 22.07.2025 - 4Tinu

Release Notes

Version 25.2

• Datei:FortiSASE-ReleaseNotes-25.2.30.pdf

add 04.06.2025 - 4Tinu

Deployment Guides

• Datei:FortiSASE-Public-IP-DeploymentGuide.pdf 25.2
• Datei:FortiSASE-SSA-Using Inline-CASB and DLP.pdf 25.2
• Datei:FortiSASE-Multitenant-Deployment for MSSP using OU.pdf 25.2
• Datei:FortiSASE-FortiGate NGFW to FortiSASE SPA Hub Conversion Using Fabric Overlay Orchestrator Deployment Guide.pdf 25.2

• Datei:FortiSASE-EndpointManagement-DeploymentGuide.pdf 25.2
• Datei:FortiSASE-SWG with VPN-DeploymentGuide.pdf 25.2
• Datei:FortiSASE-SAML-SSO Using FortiTrust as IdP Proxy DeploymentGuide.pdf 25.2
• Datei:FortiSASE-Agent-based VPN Autoconnect Using Entra ID SSO.pdf 25.2

• Datei:FortiSASE-SIA-Site-based-DeploymentGuide.pdf 25.2
• Datei:FortiSASE-SIA-Agent-based-DeploymentGuide.pdf 25.2
• Datei:FortiSASE-SIA-Agentless-SWG-DeploymentGuide.pdf 25.2

• Datei:FortiSASE-SPA-UsingZTNA-DeploymentGuide.pdf 25.2
• Datei:FortiSASE-FortiGate NGFW to FortiSASE SPA Hub Conversion DeploymentGuide.pdf 25.2
• Datei:FortiSASE-SPA with a FortiGate SD-WAN-DeploymentGuide.pdf 25.2

• Datei:FortiSASE-CloudDeployment.pdf 25.2
• Datei:FortiSASE-VDI-DeploymentBrief.pdf 25.2

Instutitionen:

• Datei:FortiSASE-Education-Deployment-Brief.pdf 25.2
• Datei:FortiSASE-Healthcare-Guide.pdf 25.2

add 04.06.2025 - 4Tinu

FortiSASE oder FortiEMS

Welche Feature Unterscheiden den FortiEMS und das FortiSASE?

Um die Unterschiede zwischen FortiEMS und FortiSASE zu verstehen, betrachtest du zwei Lösungen, die unterschiedliche Schwerpunkte innerhalb der Endpoint- und Cloud-Security-Architektur setzen. Während FortiEMS primär auf das zentrale Management und die Absicherung von Endgeräten ausgerichtet ist, kombiniert FortiSASE Netzwerk- und Security-Funktionen zu einem cloudbasierten Zugriffsmodell.

Diese Unterscheidung bildet den Rahmen für die folgenden Feature-Vergleiche.

-	FortiEMS (klassisch / on-prem / Cloud EMS)	FortiSASE (Cloud SASE + integrierte EMS-Lite)
Fokus:	Endpoint-Management	Sicheres Arbeiten von überall
Features ✅	✅ Tiefes Endpoint-Management ✅ Vollständige FortiClient-Policy-Kontrolle ✅ Patching / Vulnerability / Branding / Quarantäne / Tags ✅ Volle ZTNA Device Posture ✅ AD-Integration, Tags zur FortiGate Fabric ✅ Ideal für klassische VPN / On-Prem Security	✅ Integrierte EMS-Cloud (für FortiClient Management) ✅ Secure Web Gateway (SWG) ✅ Cloud-Firewall / FWaaS ✅ CASB (Inline & API)/ ✅ DLP in der Cloud/ ✅ ZTNA Universal Access ✅ SD-WAN On-Ramp / Private App Zugriff ✅ Digital Experience Monitoring (DEM) ✅ Globale PoPs → niedrige Latenz
Features ❌	❌ Keine Cloud-Security ❌ Keine globalen PoPs ❌ Kein SWG / CASB / FWaaS ❌ Kein SASE-Datenverkehrslenkung	❌ FortiSASE-EMS ist nicht so tief wie On-Prem EMS ❌ Einige alte EMS-Features fehlen (z. B. spezielle AV-/Patch-Profile) ❌ Weniger granular bei Endpoint-Posture als volles EMS
Bemerkung:	EMS ist ein Management-Tool – keine Security-Cloud.	SASE ist eine Sicherheitsplattform – kein vollständiges Endpoint-Management.

add 21.11.2025 - 4Tinu | Microsoft Copilot hat mir geholfen

Wann solltest du EMS einsetzen?

Du solltest FortiEMS einsetzen, wenn du eine robuste, zentralisierte Lösung zur Verwaltung und Absicherung deiner Endpoints benötigst – unabhängig davon, ob sie im LAN, remote oder hybrid betrieben werden. FortiEMS ist sinnvoll, wenn:

• Zentrale Endpoint-Kontrolle benötigt wird – z. B. zur Verwaltung, Überwachung und Konfiguration von FortiClient-Installationen.
• Du Zero-Trust-Konzepten folgen möchtest, bei denen der Sicherheitsstatus eines Endgeräts vor dem Netzwerkzugriff geprüft wird.
• Du Endpoint-Telemetrie und Compliance-Checks brauchst (OS-Versionen, Patch-Status, AV-Status, Vulnerabilities).
• Du Automatisierung von Sicherheitsmassnahmen auf Endgeräten benötigst – etwa Quarantäne, Policy-Durchsetzung oder automatisierte Reaktionen auf Vorfälle.
• Endgeräte sowohl im Unternehmensnetz als auch remote konsistent abgesichert werden müssen.
• Du eine Integration mit FortiGate, FortiAnalyzer oder FortiSASE planst und eine robuste Endpoint-Security-Basis benötigst.

Kurz: FortiEMS ist die richtige Wahl, wenn Du Endgeräte aktiv verwalten, überwachen und absichern willst – unabhängig davon, wo sich die Nutzer befinden.

Typische Szenarien:

• ✅ Unternehmen mit starker On-Prem-Firewall-Infrastruktur

FortiGate + EMS ist ein klassisches Duo.

• ✅ Geräteverwaltung und Compliance im Fokus

Wenn du granular steuern willst, wie Software, AV, Quarantäne, Realtime-Tags, etc. verwaltet werden.

• ✅ VPN-first Unternehmen

Wenn viele interne Applikationen über klassischen FortiClient VPN genutzt werden.

• ✅ Unternehmen, die noch nicht "Cloud-first" sind

Oder ihre Security nicht aus der Cloud beziehen dürfen (Compliance).

add 21.11.2025 - 4Tinu | Microsoft Copilot hat mir geholfen

Wann solltest du FortiSASE einsetzen?

Du solltest FortiSASE einsetzen, wenn du Sicherheits- und Netzwerkfunktionen cloudbasiert bereitstellen möchtest – insbesondere für verteilte Nutzer, Remote-Mitarbeiter und Standorte ohne eigene Security-Infrastruktur.

FortiSASE ist ideal, wenn:

• du global verteilte User über die Cloud schützen möchtest (SSE / SASE).
• du Secure Web Gateway (SWG), Cloud Firewall, CASB, ZTNA und DNS-Sicherheit zentral aus der Cloud benötigst.
• du die Skalierbarkeit, Resilienz und geringe Latenz eines globalen Fortinet-Backbones nutzen willst.
• deine User von überall sicher ins Internet oder zu internen Apps verbinden sollen – ohne lokale Hardware.
• du eine moderne SASE-Architektur umsetzen willst, um hybride oder komplett cloudbasierte Umgebungen zu schützen.

Kurz: FortiSASE ist die richtige Wahl, wenn der Fokus auf cloudbasierter Netzwerk- und Nutzerabsicherung liegt – besonders in verteilten oder remote-first Umgebungen.

Typische Funktionen, wo SASE klar überlegen ist:

• ✅ Remote-Work / Home-Office / weltweites Arbeiten

Traffic geht direkt zum PoP → niedrige Latenz.

• ✅ Absicherung von Internet + SaaS + Remote-User

Du bekommst: SWG, CASB, DLP, FWaaS, DNS-Protection, ZTNA, DEM.

• ✅ Standortlose Benutzer oder kleine Niederlassungen

Kein Backhauling mehr zur Zentrale.

• ✅ Zero Trust Access ohne VPN

Schneller, moderner, flexibler.

• ✅ Unternehmen, die "Firewall in der Cloud" wollen

SASE ersetzt oder ergänzt die FortiGate am Edge.

add 21.11.2025 - 4Tinu | Microsoft Copilot hat mir geholfen

Wann ist welche Loesung Sinnvoll?

Empfehlung 1: Modernes Remote-Work Unternehmen → FortiSASE Wenn du viele mobile User hast: SASE first. Empfehlung 2: Klassisches Netzwerk + Geräteverwaltung → EMS On-Prem-Netzwerk, viele Windows-Clients: EMS lohnt sich. Empfehlung 3: Kombi sinnvoll → Wenn starke Endpoint-Kontrolle + SASE benötigt Beispiele:

• regulierte Branchen
• Unternehmen mit komplexem Client-Hardening
• „Hybrid Infrastructure“: On-Prem + Cloud-Security

Kann man von EMS auf SASE migrieren?

Ja — es gibt einen offiziellen Migrationspfad. ABER:

• ⚠ EMS-Konfiguration wird NICHT 1:1 übernommen.
• ⚠ Profile müssen neu in der SASE-EMS erstellt werden.
• ⚠ Einige Funktionen fehlen in der SASE-EMS.

Für die meisten Kunden gilt: → Kombination aus EMS jetzt + später SASE ist problemlos möglich.

Integration mit FortiGate Sehr gut, aber:

• Policies sind NICHT 1:1 identisch
• SASE hat eigene Policy-Engines (SWG/FWaaS/ZTNA)
• FortiGate kann über Secure Edge / SD-WAN angebunden werden
• Dynamische EMS-Tags können weiter genutzt werden

➡ Wird laufend besser, aber noch keine komplette Policy-Fusion.

Wann macht EMS + SASE zusammen wirklich Sinn?

Beste Kombination in diesen Fällen: Szenario Empfehlung Tiefe Device-Posture + Cloud Security EMS + SASE Starke Governance / Compliance Anforderungen EMS + SASE Gemischte Remote + On-Prem Workforce EMS + SASE SASE-Pilot, vorbereitende Phase EMS jetzt, später SASE Nur Cloud-Remote-Worker SASE reicht aus Nur On-Prem VPN EMS reicht aus

Zusammenfassung als Executive Summary

• ✔ EMS = Endpoint-Management
• ✔ SASE = Cloud-Security für User überall auf der Welt
• ✔ SASE enthält EMS, aber ersetzt nicht alle EMS-Features
• ✔ Beides zusammen = maximale Kontrolle + moderne Cloud Security

FortiSASE - Registration

Wie kann ich die FortiSASE Instanz aktiveren?

Um die FortiSASE Instanz zu aktivieren muss man diese vorab im Supportportal registrieren:

Wenn man die SASE Instanz erworben hat, bekommt man ein PDF Dokument mit dem Registrierungs Key. Dieser muss im Portal auf dem entsprechenden Account aktiviert werden.

Kann ich eine EMS Cloud Instanz und eine FortiSASE Instanz auf dem selben FortiCloud Account betreiben?

Momentan ist es nur möglich eine INstanz pro Account zu haben. Entweder eine FortiEMS Cloud Instanz oder dann eine FortiSASE Instanz.

Versucht man eine FortiSASE Instanz zu aktivieren aber es ist noch eine FortiEMS Cloud Instanz aktiv, wird folgende Fehlermeldung angezeigt.

Mann kann dann über ein Customer Service Ticket die bestehende Instanz auf einen anderen Account verschieben lassen.

edit 21.11.2025 - 4Tinu

Wie kann ich bei einer FortiSASE Instanz die Lizenz um ein weiteres Jahr verlängern?

add 06.01.2024 - 4Tinu

FortiSASE - Authentifizierung

Wie kann ich auf der FortiGate die Public IP Adressen von FortiSASE einbinden?

Es gibt die Möglichkeit über einen Feed die IP Adressen von FortiSASE auf die FortiGate einzubinden. Dies hat der Vorteil, dass explizit Firewallregeln von oder zu FortiSASE erstellt werden können.

Folgende URL muss im Feed konfiguriert werden: https://portal.prod.fortisase.com/api/v1/public/egress/ips

Konfiguration über das WebGui:

Navigiere über Security Fabric → External Connectors im Abschnitt Thread Feeds den Button IP Adress auswählen

Feed definieren: Im Namen Feld einen Sinnvollen Namen definieren. Das Objekt findet man bei den Firewallregeln dann unter diesem Namen. Die Update Methode ist der External Feed (dies ist die default Einstellung) Die folgende URL im URL of external resource eintragen: https://portal.prod.fortisase.com/api/v1/public/egress/ips Die HTTP basic authentication Option deaktivieren. in der Refresh rate kann definiert werden, in welchem Zeitinterval die Liste auf der FortiGate abgeglichen wird (Default 5 Minuten)

Erfolgskontrolle: Solange das Rote x angezeigt wird, ist der Feed nicht erfolgreich gezogen worden. Mit dem Refresh Button kann der Synch forciert werden. Sobald der Feed erfolgreich auf die FortiGate gezogen wurde, erscheint ein grünen Hacken. Die Liste ist jetzt aktiv auf der FortiGate vorhanden Wenn mit dem Mauscursor direkt auf das grüne Icon navigiert wird, öffnet sich ein Menu. Es werden Informationen über den letzten Synch angezeigt. Weiter ist es möglich unter dem Menupunkt View Entries die IP Adressen, welche in der Liste sind, anzeigen zu lassen

Konfiguration über die CLI:

config system external-resource edit "FortiSASE-IP-PublicCloud" set type address set comments "IP Adressen FortiSASE Cloud" set resource "https://portal.prod.fortisase.com/api/v1/public/egress/ips" next end

add 25.03.2024 - 4Tinu

Wie kann ich einen User in die FortiSASE Instanz integrieren?

Im folgenden Beispiel zeige ich euch, wie man einen neuen Client mit Benutzer im FortiSASE onboardet und den FortiClient auf dem Endgerät installiert:

Als erstes musst du dich in die SASE Instanz einloggen:

Konfiguration im SASE Portal:

Über das Seiten Menu Configuration → Users & Groups kommst die in die User Verwaltung Mit + Create kann ein neuer User erstellt werden

Du bist jetzt im folgenden Menu: Wir legen in diesem Beispiel einen Lokalen User auf der SASE Instanz an: Wähle den Menupunkt User Mit Next gelangst du in das User Erstellung Fenster

Über die Email Adresse wird dem User der aktivierungs Link zugestellt Es kann ein Temporäres Adminpasswort optional gesetzt werden Der Aktivierungscode kann hier rauskopiert werden, es wird aber im User der Code per Email automatisch zugestellt Mit OK wird der User erstellt und ein initiales Email an den User gesendet, damit er Installations Instruktionen bekommt.

Konfiguration beim Client:

Der User bekommt eine Email an die konfigurierte Email Adresse mit Instruktionen. Um den Account zu aktivieren auf den Button Activate klicken.

Es öffnet sich eine Seite der SASE Instanz um ein Passwort zu definieren: Der Display Name kann definiert werden. Passwort zweimal gleich eingeben Mit Activate wird der User aktiviert.

Der User kann sich jetzt anmelden: Die AccountID wird automatisch übernommen Username eingeben Passwort eingeben mit Loging sich anmelden

Wenn der User sich erfolgreich angemeldet hat, kann er den FortiClient herunterladen und den aktivierungs Kode entnehmen: Die entsprechende FortiClient Version auswählen Der Aktivierungscode am besten in eine Textdatei kopieren, wir brauchen diesen nach der Installation.

Die ausgewählte FortiClient Version wird heruntergeladen: Nach dem herunterladen die Datei ausführen um die Installation zu starten.

Es öffnet sich der Installations Wizard: Die Lizenzvereinbarungen gut durchlesen Wenn die Lizenzvereinbarung durchgelesen und verstanden ist kann dies bestätigt werden Mit Next wird der Installationsprozess vorangetrieben, mit Cancel wird die Installation abgebrochen.

Die gewünschten Features anwählen welche Installiert werden sollen. weiter mit Next

ATP/Webfilter Services: Die gewünschten UTP Services können aktiviert werden Mit Next geht es weiter

Installationspfad wird vorgeschlagen Installationspfad ändern Mit Next geht es weiter

Mit Install wird die Installation mit den angegebenen Parametern gestartet

Windows kann eine Sicherheitsabfrage aufpoppen lassen: Bestätige mit Ja und falls erforderlich gib das Administrations Passwort ein.

Die Installation läuft:

Sobald die Installation durchgeführt ist, wird sich der Client melden: Mit Finish verlässt du das Installations Programm.

Starte das FortiClient Programm

Um dich an die SASE Instanz anzumelden, musst du den Client aktivieren: Navigiere auf ZERO TRUST TELEMTRIE gib den vorher kopierte Aktivierungscode ein wähle Verbinden um den Code zu übermitteln. Hab ein paar Sekunden geduld und warte bis die Authentifizierung im SASE verifiziert wurde.

Gratuliere, der User ist jetzt über das FortiSASE verbunden:

Konfiguration im SASE Portal:

Auf der SASE Instanz findest du jetzt den User von Toni als angemeldet: Navigiere auf Dashboards → Status suche das Widget Managed Endpoints und klicke ins Widget rein.

Du siehst den angemeldeten User in der Übersicht.

add 24.07.2024 - 4Tinu

FortiSASE - Betrieb

Wie binde ich eine FortiGate im FortiSASE ein?

Auf der FortiGate:

Auf der SASE Instanz:

Auf der FortiGate:

add 10.10.2025 - 4Tinu