Configuración de la integración de Lookout Mobile Endpoint Security con Intune

Con un entorno que cumple con los requisitos previos, es posible integrar Lookout Mobile Endpoint Security con Intune. La información de este artículo puede ayudarle a configurar la integración y configurar valores importantes en Lookout para su uso con Intune.

Importante

No se puede usar un inquilino existente de Lookout Mobile Endpoint Security que no esté asociado al inquilino de Microsoft Entra para la integración con Microsoft Entra ID y Intune. Póngase en contacto con el soporte técnico de Lookout para crear un nuevo inquilino de Lookout Mobile Endpoint Security. Use el nuevo inquilino para incorporar los usuarios de Microsoft Entra.

Recopilación de información Microsoft Entra

Para integrar Lookout con Intune, asocie el inquilino de Lookout Mobility Endpoint Security a la suscripción de Microsoft Entra.

Para habilitar la integración de la suscripción de Lookout Mobile Endpoint Security con Intune, proporcione la siguiente información al soporte técnico de Lookout (enterprisesupport@lookout.com):

• Microsoft Entra identificador de inquilino

• Microsoft Entra id. de objeto de grupo para el grupo con acceso completo a la consola de Lookout Mobile Endpoint Security (MES).

  Este grupo de usuarios se crea en Microsoft Entra ID para contener los usuarios que tienen acceso completo para iniciar sesión en la consola de Lookout. Para iniciar sesión en la consola de Lookout, los usuarios deben ser miembros de este grupo o del grupo opcional con acceso restringido.

• Microsoft Entra id. de objeto de grupo para el grupo con acceso restringido a la consola de Lookout MES (grupo opcional).

  Cree este grupo de usuarios opcional en Microsoft Entra ID para contener usuarios que no deben tener acceso a varios módulos relacionados con la configuración y la inscripción de la consola de Lookout. En su lugar, estos usuarios tienen acceso de solo lectura al módulo Directiva de seguridad de la consola de Lookout. Para iniciar sesión en la consola de Lookout, los usuarios deben ser miembros de este grupo opcional o del grupo obligatorio con acceso total.

Recopilar información de Microsoft Entra ID

1. Inicie sesión en Azure Portal con una cuenta de administrador global.

2. Vaya a Microsoft Entra IDPropiedades> y busque el identificador de inquilino. Use el botón Copiar para copiar el identificador del directorio y, luego, guárdelo en un archivo de texto.

   

3. A continuación, busque el identificador de grupo Microsoft Entra de las cuentas que usa para conceder a Microsoft Entra usuarios acceso a la consola de Lookout. Un grupo es para el acceso total y el segundo grupo, para el acceso restringido, es opcional. Para obtener el identificador del objeto, en cada cuenta:

   1. Vaya a Microsoft Entra ID>Grupos para abrir el panel Grupos - Todos los grupos.

   2. Seleccione el grupo que creó para el acceso total para abrir el panel de Información general correspondiente.

   3. Use el botón Copiar para copiar el identificador del objeto y, luego, guárdelo en un archivo de texto.

   4. Repita el proceso para el grupo con acceso restringido si usa dicho grupo.

      

   Después de recopilar esta información, póngase en contacto con el soporte técnico de Lookout (correo electrónico: enterprisesupport@lookout.com). El soporte técnico de Lookout funciona con su contacto principal para incorporar su suscripción y crear su cuenta de Lookout Enterprise, con la información que proporcione.

Configuración de la suscripción de Lookout

Los pasos siguientes deben completarse en la consola de administración de Lookout Enterprise y habilitar una conexión al servicio de Lookout para Intune dispositivos inscritos (a través del cumplimiento de dispositivos) y dispositivos no inscritos (a través de directivas de protección de aplicaciones).

Una vez que el soporte técnico de Lookout cree su cuenta de empresa de Lookout, le enviará un correo electrónico al contacto principal de su empresa con un vínculo a la dirección URL de inicio de sesión: https://aad.lookout.com/les?action=consent.

Inicio de sesión inicial

El primer inicio de sesión en la consola de Lookout MES muestra una página de consentimiento (https://aad.lookout.com/les?action=consent). Como administrador global de Microsoft Entra, inicie sesión y acepte. Un inicio de sesión posterior no requiere que el usuario tenga este nivel de privilegio Microsoft Entra ID.

Se muestra una página de consentimiento. Pulse Aceptar para completar el registro.

Cuando haya aceptado y dado su consentimiento, se le redirigirá a la consola de Lookout.

Una vez que se completen el inicio de sesión inicial y el consentimiento, a los usuarios que inician sesión desde https://aad.lookout.com se les redirige a la consola de MES. Si todavía no se da el consentimiento, todos los intentos de inicio de sesión generarán un error de inicio de sesión incorrecto.

Configuración del conector de Intune

En el procedimiento siguiente se supone que ha creado previamente un grupo de usuarios en Microsoft Entra ID para probar la implementación de Lookout. El procedimiento recomendado es comenzar con un grupo pequeño de usuarios para permitir que los administradores de Lookout y de Intune se familiaricen con las integraciones de los productos. Una vez familiarizados, se puede extender la inscripción a grupos adicionales de usuarios.

1. Inicie sesión en la consola de Lookout MES, vaya aConectores del sistema> y, a continuación, seleccione Agregar conector. Seleccione Intune.

   

2. En el panel de Microsoft Intune, seleccione Connection Settings (Configuración de la conexión) y especifique la frecuencia de latido en cuestión de minutos.

   

3. Seleccione Administración de inscripción y, en Usar los siguientes grupos de seguridad Microsoft Entra para identificar los dispositivos que se deben inscribir en Lookout for Work, especifique el nombre del grupo de un grupo de Microsoft Entra que se va a usar con Lookout y, a continuación, seleccione Guardar cambios.

   

   Acerca de los grupos que usa:

   • Como procedimiento recomendado, comience con un grupo de seguridad Microsoft Entra que contenga solo unos pocos usuarios para probar la integración de Lookout.
   • El nombre del grupo distingue mayúsculas de minúsculas, como se muestra en las propiedades del grupo de seguridad del Azure Portal.
   • Los grupos que especifique para Administración de inscripciones definen el conjunto de usuarios cuyos dispositivos se inscribirán en Lookout. Cuando un usuario está en un grupo de inscripción, sus dispositivos en Microsoft Entra ID están inscritos y son aptos para la activación en Lookout MES. La primera vez que un usuario abra la aplicación Lookout for Work en un dispositivo compatible, se le pedirá que la active.

4. Seleccione State Sync (Sincronización de estado) y asegúrese de que tanto el estado del dispositivo como el estado de la amenaza estén establecidos en On (Activado). Ambos estados son necesarios para que la integración de Lookout e Intune funcione correctamente.

5. Seleccione Error Management (Administración de errores), especifique la dirección de correo electrónico donde se deben recibir los informes de errores y, luego, seleccione Guardar cambios.

   

6. Seleccione Crear conector para completar la configuración del conector. Más adelante, cuando esté satisfecho con los resultados, puede ampliar la inscripción a grupos de usuarios adicionales.

Configuración de Intune para usar Lookout como proveedor de defensa contra amenazas móviles

Después de configurar Lookout MES, debe configurar una conexión a Lookout en Intune.

Opciones adicionales de la consola de Lookout MES

Las siguientes son opciones adicionales que se pueden configurar en la consola de Lookout MES.

Configuración de las opciones de inscripción

En la consola de Lookout MES, seleccione Sistema>Manage Enrollment (Administrar la inscripción) >Enrollment settings (Configuración de la inscripción).

• En Disconnected Status (Estado desconectado), especifique el número de días antes de que un dispositivo no conectado se marque como desconectado.

  Los dispositivos desconectados se consideran no compatibles y se bloquea el acceso a las aplicaciones de la empresa en función de las directivas de acceso condicional Intune. Puede especificar valores entre 1 y 90 días.

  

Configuración de las notificaciones de correo electrónico

Para recibir corres electrónicos con alertas de amenazas, inicie sesión en la consola de Lookout MES con la cuenta de usuario que debe recibir las notificaciones.

• Vaya a Preferencias y establezca las notificaciones que quiere recibir en ON (Activado). Luego, guarde los cambios.

• Si ya no quiere recibir notificaciones por correo electrónico, establezca las notificaciones en OFF (Desactivado) y guarde los cambios.

  

Configuración de las clasificaciones de amenazas

Lookout Mobile Endpoint Security clasifica las amenazas móviles de varios tipos. Las clasificaciones de amenazas de Lookout tienen asociados niveles de riesgo predeterminados. Los niveles de riesgo pueden cambiarse en cualquier momento para adaptarse a los requisitos de la empresa.

Para información sobre las clasificaciones de los niveles de amenaza y cómo administrar los niveles de riesgo asociados, consulte la referencia de Lookout sobre las amenazas.

Importante

Los niveles de riesgo son un aspecto importante de Mobile Endpoint Security, ya que la integración de Intune calcula el cumplimiento del dispositivo según estos niveles de riesgo en tiempo de ejecución.

El administrador de Intune establece una regla en la directiva para identificar un dispositivo como no conforme si éste tiene una amenaza activa con un nivel mínimo de: alto, medio o bajo. La directiva de clasificación de amenazas de Lookout Mobile Endpoint Security determina directamente el cálculo del cumplimiento del dispositivo en Intune.

Supervisión de la inscripción

Una vez completada la instalación, Lookout Mobile Endpoint Security comienza a sondear Microsoft Entra ID para los dispositivos que corresponden a los grupos de inscripción especificados. Para encontrar información sobre los dispositivos inscritos, puede ir a Dispositivos en la consola de Lookout MES.

• El estado inicial de los dispositivos es pendiente.
• El estado del dispositivo se actualiza una vez que la aplicación Lookout for Work se instala, abre y activa en el dispositivo.

Para detalles sobre cómo implementar la aplicación Lookout for Work en un dispositivo, consulte Agregar aplicaciones Lookout for Work con Intune.

Siguientes pasos

• Configuración de aplicaciones Lookout para dispositivos inscritos
• Configuración de aplicaciones Lookout para dispositivos no inscritos