位置物件在加入目標裝置時
類型用MAC Address
然後你可以從FortiGate的設備清單抓出你要的那些設備，清單紀錄上都有MAC Address
你不用過問他們也能封鎖那幾台電腦的對外流量

只要你上頭夠罩，他們氣噗噗來找你的時候要有主管幫

如果你用DHCP的方式配發IP
那就使用保留區的方式 鎖定MAC給特定IP
就只要針對舊系統的MAC所拿到的IP禁止上網就可以了

不再保留區的就直接配發另外一段IP然後禁止上網

這樣就變成白名單上網的方式了

如果這些虛擬機都是為了客戶環境測試,基本上你管不了,虛擬機你鎖mac沒用,因為可以手動換,除非你弄一台比較好的Server 把這些VM都搬移到主機上管理

在對外的Fortigate防火牆上判斷OS版本來加以管控，
但是測試結果是無法正確判斷出來

很好奇樓主用的是哪一版FortiOS
其實雖然近幾年的版本可以辨識終端系統
但其實只有6.0可以針對終端系統下policy
而且免費設備辨識也只能做windows類別
要針對終端物件或可看出windoes版本
所以樓主在於使用方向不對，而非是否正確判斷

其實，要徹底解決的辦法
應該是對每一個進入公司的終端都有准入控制(NAC)
這其實與有沒有DHCP無關
而是貴公司沒有資源盤點的概念
搞清楚進入網路的是什麼、流量用什麼是MIS網管的責任
弄得清楚才有可能管好網路

其實單靠一個Fortigate就要管整個網路實在不容易
不過可以試著採用"資安鐵三角"
這樣可以用"設備辨識"來進行管理
要不就是採用與AD結合的FSSO方案
或是導入FortiAuthenticator
這些都是花錢比較少的
花多點經費的可以搞FortiNAC
預算足夠的建議採用FortiSIEM
總之，搞資安就是要花錢，沒有免費的午餐