Condividi tramite


Configurare l'integrazione di Lookout Mobile Endpoint Security con Intune

Con un ambiente che soddisfa i prerequisiti, è possibile integrare Lookout Mobile Endpoint Security con Intune. Le informazioni contenute in questo articolo consentono di configurare l'integrazione e configurare le impostazioni importanti in Lookout per l'uso con Intune.

Importante

Un tenant di Lookout Mobile Endpoint Security esistente non già associato al tenant di Microsoft Entra non può essere usato per l'integrazione con Microsoft Entra ID e Intune. Contattare il supporto di Lookout per creare un nuovo tenant di Lookout Mobile Endpoint Security. Usare il nuovo tenant per eseguire l'onboarding degli utenti di Microsoft Entra.

Raccogliere informazioni su Microsoft Entra

Per integrare Lookout con Intune, associare il tenant di Lookout Mobility Endpoint Security alla sottoscrizione di Microsoft Entra.

Per abilitare l'integrazione della sottoscrizione di Lookout Mobile Endpoint Security con Intune, fornire le informazioni seguenti al supporto di Lookout (enterprisesupport@lookout.com):

  • Microsoft Entra tenant ID

  • ID oggetto gruppo Microsoft Entra per il gruppo con accesso completo alla console di Lookout Mobile Endpoint Security (MES).

    Questo gruppo di utenti viene creato in Microsoft Entra ID per contenere gli utenti che hanno accesso completo per accedere alla console di Lookout. Gli utenti devono essere membri di questo gruppo o del gruppo di accesso con restrizioni facoltativo per accedere alla console di Lookout.

  • ID oggetto gruppo Microsoft Entra per il gruppo con accesso limitato alla console MES lookout (gruppo facoltativo).

    Questo gruppo di utenti facoltativo viene creato in Microsoft Entra ID per contenere utenti che non devono avere accesso a diversi moduli di configurazione e di registrazione della console di Lookout. Questi utenti hanno invece accesso in sola lettura al modulo Criteri di sicurezza della console lookout. Gli utenti devono essere membri di questo gruppo facoltativo o del gruppo di accesso completo necessario per accedere alla console di Lookout.

Raccogliere informazioni da Microsoft Entra ID

  1. Accedere al portale di Azure con un account amministratore globale.

  2. Passare aProprietàID> Entra Microsoft e individuare l'ID tenant. Usare il pulsante Copia per copiare l'ID directory e quindi salvarlo in un file di testo.

    Microsoft Entra ID

  3. Individuare quindi l'ID gruppo Microsoft Entra per gli account usati per concedere agli utenti di Microsoft Entra l'accesso alla console di Lookout. Un gruppo è destinato all'accesso completo e il secondo gruppo per l'accesso con restrizioni è facoltativo. Per ottenere l'ID oggetto, per ogni account:

    1. Passare a Microsoft Entra IDGroups (GruppiID> Entra Microsoft) per aprire il riquadro Gruppi - Tutti i gruppi.

    2. Selezionare il gruppo creato per l'accesso completo per aprire il relativo riquadro Panoramica .

    3. Usare il pulsante Copia per copiare l'ID oggetto e quindi salvarlo in un file di testo.

    4. Ripetere il processo per il gruppo di accesso con restrizioni se si usa tale gruppo.

      ID oggetto gruppo Microsoft Entra

    Dopo aver raccolto queste informazioni, contattare il supporto di Lookout (posta elettronica: enterprisesupport@lookout.com). Il supporto di Lookout collabora con il contatto principale per eseguire l'onboarding della sottoscrizione e creare l'account Lookout Enterprise usando le informazioni fornite.

Configurare la sottoscrizione lookout

I passaggi seguenti devono essere completati nella console di amministrazione di Lookout Enterprise e abilitare una connessione al servizio lookout per i dispositivi registrati in Intune (tramite la conformità del dispositivo) e i dispositivi non registrati (tramite i criteri di protezione delle app).

Dopo che il supporto di Lookout ha creato l'account Lookout Enterprise, il supporto di Lookout invia un messaggio di posta elettronica al contatto principale dell'azienda con un collegamento all'URL di accesso: https://aad.lookout.com/les?action=consent.

Accesso iniziale

Il primo accesso alla console MES di Lookout visualizza una pagina di consenso (https://aad.lookout.com/les?action=consent). Come amministratore globale di Microsoft Entra, accedere e accettare. Un accesso successivo non richiede all'utente di avere questo livello di privilegi di ID Entra Microsoft.

Viene visualizzata una pagina di consenso. Scegliere Accetta per completare la registrazione.

screenshot della pagina di accesso alla prima volta della console di Lookout

Quando si accettano e si acconsente, si viene reindirizzati alla console di Lookout.

Al termine dell'accesso iniziale e del consenso, gli utenti che accedono da https://aad.lookout.com vengono reindirizzati alla console MES. Se il consenso non è stato ancora concesso, tutti i tentativi di accesso generano un errore di accesso non valido.

Configurare il connettore di Intune

La procedura seguente presuppone che in precedenza sia stato creato un gruppo di utenti in Microsoft Entra ID per testare la distribuzione di Lookout. La procedura consigliata consiste nell'iniziare con un piccolo gruppo di utenti per consentire agli amministratori di Lookout e Intune di acquisire familiarità con le integrazioni dei prodotti. Dopo aver acquisito familiarità, è possibile estendere la registrazione ad altri gruppi di utenti.

  1. Accedere alla console MES di Lookout, passare aConnettori di sistema> e quindi selezionare Aggiungi connettore. Selezionare Intune.

    Immagine della console lookout con l'opzione Intune nella scheda connettori

  2. Nel riquadro Microsoft Intune selezionare Impostazioni di connessione e specificare la frequenza heartbeat in minuti.

    Immagine della scheda delle impostazioni di connessione con la frequenza heartbeat configurata

  3. Selezionare Gestione registrazione e in Usare i gruppi di sicurezza di Microsoft Entra seguenti per identificare i dispositivi che devono essere registrati in Lookout for Work, specificare il nome del gruppo di un gruppo Microsoft Entra da usare con Lookout e quindi selezionare Salva modifiche.

    screenshot della pagina di registrazione del connettore di Intune

    Informazioni sui gruppi usati:

    • Come procedura consigliata, iniziare con un gruppo di sicurezza Microsoft Entra che contiene solo pochi utenti per testare l'integrazione di Lookout.
    • Il nome del gruppo fa distinzione tra maiuscole e minuscole, come illustrato in Proprietà del gruppo di sicurezza nel portale di Azure.
    • I gruppi specificati per Gestione registrazione definiscono il set di utenti i cui dispositivi verranno registrati con Lookout. Quando un utente fa parte di un gruppo di registrazione, i dispositivi in Microsoft Entra ID sono registrati e idonei per l'attivazione in Lookout MES. La prima volta che un utente apre l'applicazione Lookout for Work in un dispositivo supportato, viene richiesto di attivarla.
  4. Selezionare Sincronizzazione stato e assicurarsi che lo stato del dispositivo e lo stato delle minacce siano impostati su Attivato. Entrambi sono necessari per il corretto funzionamento dell'integrazione di Lookout Intune.

  5. Selezionare Gestione errori, specificare l'indirizzo di posta elettronica che deve ricevere i report degli errori e quindi selezionare Salva modifiche.

    screenshot della pagina di gestione degli errori del connettore di Intune

  6. Selezionare Crea connettore per completare la configurazione del connettore. In seguito, quando si è soddisfatti dei risultati, è possibile estendere la registrazione a gruppi di utenti aggiuntivi.

Configurare Intune per l'uso di Lookout come provider di Mobile Threat Defense

Dopo aver configurato Lookout MES, è necessario configurare una connessione a Lookout in Intune.

Impostazioni aggiuntive nella console MES lookout

Di seguito sono riportate le impostazioni aggiuntive che è possibile configurare nella console mes di Lookout.

Configurare le impostazioni di registrazione

Nella console MES lookout selezionare Impostazioni diregistrazione>gestionesistema>.

  • Per Stato disconnesso specificare il numero di giorni prima che un dispositivo non connesso venga contrassegnato come disconnesso.

    I dispositivi disconnessi sono considerati non conformi e non possono accedere alle applicazioni aziendali in base ai criteri di accesso condizionale di Intune. È possibile specificare valori compresi tra 1 e 90 giorni.

    Impostazioni di registrazione lookout nel modulo Sistema

Configurare le notifiche di posta elettronica

Per ricevere avvisi di posta elettronica per le minacce, accedere alla console MES di Lookout con l'account utente che deve ricevere le notifiche.

  • Passare a Preferenze , quindi impostare le notifiche che si desidera ricevere su ON e quindi salvare le modifiche.

  • Se non si desidera più ricevere notifiche tramite posta elettronica, impostare le notifiche su OFF e salvare le modifiche.

    screenshot della pagina delle preferenze con l'account utente visualizzato

Configurare le classificazioni delle minacce

Lookout Mobile Endpoint Security classifica le minacce per dispositivi mobili di vari tipi. Alle classificazioni delle minacce di Lookout sono associati livelli di rischio predefiniti. I livelli di rischio possono essere modificati in qualsiasi momento in base alle esigenze aziendali.

Per informazioni sulle classificazioni a livello di minaccia e su come gestire i livelli di rischio associati, vedere Informazioni di riferimento sulle minacce di Lookout.

Importante

I livelli di rischio sono un aspetto importante di Mobile Endpoint Security perché l'integrazione di Intune calcola la conformità dei dispositivi in base a questi livelli di rischio in fase di esecuzione.

L'amministratore di Intune imposta una regola nei criteri per identificare un dispositivo come non conforme se il dispositivo presenta una minaccia attiva con un livello minimo alto, medio o basso. I criteri di classificazione delle minacce in Lookout Mobile Endpoint Security guidano direttamente il calcolo della conformità dei dispositivi in Intune.

Monitorare la registrazione

Al termine dell'installazione, Lookout Mobile Endpoint Security inizia a eseguire il polling di Microsoft Entra ID per i dispositivi che corrispondono ai gruppi di registrazione specificati. È possibile trovare informazioni sui dispositivi registrati passando a Dispositivi nella console MES di Lookout.

  • Lo stato iniziale per i dispositivi è in sospeso.
  • Lo stato del dispositivo viene aggiornato dopo l'installazione, l'apertura e l'attivazione dell'app Lookout for Work nel dispositivo.

Per informazioni dettagliate su come distribuire l'app Lookout for Work in un dispositivo, vedere Aggiungere app lookout for work con Intune.

Passaggi successivi