Configurare l'integrazione di Lookout Mobile Endpoint Security con Intune

Con un ambiente che soddisfa i prerequisiti, è possibile integrare Lookout Mobile Endpoint Security con Intune. Le informazioni contenute in questo articolo illustrano come configurare l'integrazione e configurare le impostazioni importanti in Lookout per l'uso con Intune.

Importante

Un tenant di Lookout Mobile Endpoint Security esistente non già associato al tenant di Azure AD non può essere usato per l'integrazione con Azure AD e Intune. Contattare il supporto di Lookout per creare un nuovo tenant di Lookout Mobile Endpoint Security. Usare il nuovo tenant per eseguire l'onboarding degli utenti di Azure AD.

Raccogliere informazioni su Azure AD

Per integrare Lookout con Intune, associare il tenant di Lookout Mobility Endpoint Security alla sottoscrizione di Azure Active Directory (AD).

Per abilitare l'integrazione della sottoscrizione di Lookout Mobile Endpoint Security con Intune, fornire le informazioni seguenti al supporto di Lookout (enterprisesupport@lookout.com):

  • Azure AD tenant Directory ID

  • ID oggetto gruppo di Azure AD per il gruppo con accesso completo alla console di Lookout Mobile Endpoint Security (MES).
    Questo gruppo di utenti viene creato in Azure AD per contenere gli utenti che hanno accesso completo per accedere alla console di Lookout. Gli utenti devono essere membri di questo gruppo o del gruppo di accesso con restrizioni facoltativo per accedere alla console di Lookout.

  • ID oggetto gruppo di Azure AD per il gruppo con accesso limitato alla console MES lookout (gruppo facoltativo). Questo gruppo di utenti facoltativo viene creato in Azure AD per contenere utenti che non devono avere accesso a diversi moduli correlati alla configurazione e alla registrazione della console di Lookout. Questi utenti hanno invece accesso in sola lettura al modulo Criteri di sicurezza della console lookout. Gli utenti devono essere membri di questo gruppo facoltativo o del gruppo di accesso completo necessario per accedere alla console di Lookout.

Consiglio

Per altre informazioni sulle autorizzazioni, vedere questo articolo sul sito Web lookout.

Raccogliere informazioni da Azure AD

  1. Accedere al portale di Azure con un account amministratore globale.

  2. Passare aProprietàdi Azure Active Directory> e individuare l'ID directory. Usare il pulsante Copia per copiare l'ID directory e quindi salvarlo in un file di testo.

    Proprietà di Azure AD

  3. Individuare quindi l'ID gruppo di Azure AD per gli account usati per concedere agli utenti di Azure AD l'accesso alla console di Lookout. Un gruppo è destinato all'accesso completo e il secondo gruppo per l'accesso con restrizioni è facoltativo. Per ottenere l'ID oggetto, per ogni account:

    1. Passare aGruppi di Azure Active Directory> per aprire il riquadro Gruppi - Tutti i gruppi.

    2. Selezionare il gruppo creato per l'accesso completo per aprire il relativo riquadro Panoramica .

    3. Usare il pulsante Copia per copiare l'ID oggetto e quindi salvarlo in un file di testo.

    4. Ripetere il processo per il gruppo di accesso con restrizioni se si usa tale gruppo.

      ID oggetto gruppo di Azure AD

    Dopo aver raccolto queste informazioni, contattare il supporto di Lookout (posta elettronica: enterprisesupport@lookout.com). Il supporto di Lookout collaborerà con il contatto principale per eseguire l'onboarding della sottoscrizione e creare l'account Lookout Enterprise usando le informazioni fornite.

Configurare la sottoscrizione lookout

I passaggi seguenti devono essere completati nella console di amministrazione di Lookout Enterprise e consentiranno una connessione al servizio di Lookout per i dispositivi registrati Intune (tramite la conformità del dispositivo) e i dispositivi non registrati (tramite criteri di protezione delle app).

Dopo che il supporto di Lookout ha creato l'account Lookout Enterprise, il supporto di Lookout invia un messaggio di posta elettronica al contatto principale dell'azienda con un collegamento all'URL di accesso: https://aad.lookout.com/les?action=consent.

Accesso iniziale

Il primo accesso alla console MES di Lookout visualizza una pagina di consenso (https://aad.lookout.com/les?action=consent). Un amministratore globale di Azure AD è sufficiente accedere e accettare. L'accesso successivo non richiede all'utente di disporre di questo livello di privilegi di Azure AD.

Viene visualizzata una pagina di consenso. Scegliere Accetta per completare la registrazione. screenshot della pagina di accesso alla prima volta della console di Lookout

Quando si accettano e si acconsente, si viene reindirizzati alla console di Lookout.

Al termine dell'accesso iniziale e del consenso, gli utenti che accedono da https://aad.lookout.com vengono reindirizzati alla console MES. Se il consenso non è stato ancora concesso, tutti i tentativi di accesso generano un errore di accesso non valido.

Configurare il connettore Intune

La procedura seguente presuppone che in precedenza sia stato creato un gruppo di utenti in Azure AD per testare la distribuzione di Lookout. La procedura consigliata consiste nell'iniziare con un piccolo gruppo di utenti per consentire agli amministratori di Lookout e Intune di acquisire familiarità con le integrazioni dei prodotti. Dopo aver acquisito familiarità, è possibile estendere la registrazione ad altri gruppi di utenti.

  1. Accedere alla console MES di Lookout, passare aConnettori di sistema> e quindi selezionare Aggiungi connettore. Selezionare Intune.

    Immagine della console lookout con l'opzione Intune nella scheda connettori

  2. Nel riquadro Microsoft Intune selezionare Impostazioni di connessione e specificare la frequenza heartbeat in minuti.

    Immagine della scheda delle impostazioni di connessione con la frequenza heartbeat configurata

  3. Selezionare Gestione registrazione e in Usare i gruppi di sicurezza di Azure AD seguenti per identificare i dispositivi che devono essere registrati in Lookout for Work, specificare il nome del gruppo di un gruppo di Azure AD da usare con Lookout e quindi selezionare Salva modifiche.

    screenshot della pagina di registrazione del connettore Intune

    Informazioni sui gruppi usati:

    • Come procedura consigliata, iniziare con un gruppo di sicurezza di Azure AD che contiene un numero ridotto di utenti per testare l'integrazione di Lookout.
    • Il nome del gruppo fa distinzione tra maiuscole e minuscole, come illustrato in Proprietà del gruppo di sicurezza nel portale di Azure.
    • I gruppi specificati per Gestione registrazione definiscono il set di utenti i cui dispositivi verranno registrati con Lookout. Quando un utente fa parte di un gruppo di registrazione, i dispositivi in Azure AD sono registrati e idonei per l'attivazione in Lookout MES. La prima volta che un utente apre l'applicazione Lookout for Work in un dispositivo supportato, viene richiesto di attivarla.
  4. Selezionare Sincronizzazione stato e assicurarsi che lo stato del dispositivo e lo stato delle minacce siano impostati su Attivato. Entrambi sono necessari per il corretto funzionamento dell'integrazione di Lookout Intune.

  5. Selezionare Gestione errori, specificare l'indirizzo di posta elettronica che deve ricevere i report degli errori e quindi selezionare Salva modifiche.

    screenshot della pagina di gestione degli errori del connettore Intune

  6. Selezionare Crea connettore per completare la configurazione del connettore. In seguito, quando si è soddisfatti dei risultati, è possibile estendere la registrazione a gruppi di utenti aggiuntivi.

Configurare Intune per l'uso di Lookout come provider di Mobile Threat Defense

Dopo aver configurato Lookout MES, è necessario configurare una connessione a Lookout in Intune.

Impostazioni aggiuntive nella console MES lookout

Di seguito sono riportate le impostazioni aggiuntive che è possibile configurare nella console mes di Lookout.

Configurare le impostazioni di registrazione

Nella console MES lookout selezionare Impostazioni diregistrazione>gestionesistema>.

  • Per Stato disconnesso specificare il numero di giorni prima che un dispositivo non connesso venga contrassegnato come disconnesso.

    I dispositivi disconnessi sono considerati non conformi e non potranno accedere alle applicazioni aziendali in base ai criteri di accesso condizionale Intune. È possibile specificare valori compresi tra 1 e 90 giorni.

    Impostazioni di registrazione lookout nel modulo Sistema

Configurare le notifiche Email

Per ricevere avvisi di posta elettronica per le minacce, accedere alla console MES di Lookout con l'account utente che deve ricevere le notifiche.

  • Passare a Preferenze , quindi impostare le notifiche che si desidera ricevere su ON e quindi salvare le modifiche.

  • Se non si desidera più ricevere notifiche tramite posta elettronica, impostare le notifiche su OFF e salvare le modifiche.

    screenshot della pagina delle preferenze con l'account utente visualizzato

Configurare le classificazioni delle minacce

Lookout Mobile Endpoint Security classifica le minacce per dispositivi mobili di vari tipi. Alle classificazioni delle minacce di Lookout sono associati livelli di rischio predefiniti. I livelli di rischio possono essere modificati in qualsiasi momento in base alle esigenze aziendali.

Per informazioni sulle classificazioni a livello di minaccia e su come gestire i livelli di rischio associati, vedere Informazioni di riferimento sulle minacce di Lookout.

Importante

I livelli di rischio sono un aspetto importante di Mobile Endpoint Security perché l'integrazione Intune calcola la conformità dei dispositivi in base a questi livelli di rischio in fase di esecuzione.

L'amministratore Intune imposta una regola nei criteri per identificare un dispositivo come non conforme se il dispositivo presenta una minaccia attiva con un livello minimo alto, medio o basso. I criteri di classificazione delle minacce in Lookout Mobile Endpoint Security guidano direttamente il calcolo della conformità del dispositivo in Intune.

Monitorare la registrazione

Al termine dell'installazione, Lookout Mobile Endpoint Security inizia a eseguire il polling di Azure AD per i dispositivi che corrispondono ai gruppi di registrazione specificati. È possibile trovare informazioni sui dispositivi registrati passando a Dispositivi nella console MES di Lookout.

  • Lo stato iniziale per i dispositivi è in sospeso.
  • Lo stato del dispositivo viene aggiornato dopo l'installazione, l'apertura e l'attivazione dell'app Lookout for Work nel dispositivo.

Per informazioni dettagliate su come distribuire l'app Lookout for Work in un dispositivo, vedere Aggiungere app lookout for work con Intune.

Passaggi successivi