Udostępnij za pośrednictwem


Konfigurowanie integracji usługi Lookout Mobile Endpoint Security z aplikacją Intune

W środowisku spełniającym wymagania wstępne można zintegrować usługę Lookout Mobile Endpoint Security z usługą Intune. Informacje zawarte w tym artykule ułatwiają konfigurowanie integracji i konfigurowanie ważnych ustawień w usłudze Lookout do użycia z Intune.

Ważna

Istniejąca dzierżawa usługi Lookout Mobile Endpoint Security, która nie jest jeszcze skojarzona z dzierżawą Microsoft Entra, nie może być używana do integracji z Tożsamość Microsoft Entra i Intune. Skontaktuj się z pomocą techniczną usługi Lookout, aby utworzyć nową dzierżawę usługi Lookout Mobile Endpoint Security. Użyj nowej dzierżawy, aby dołączyć Microsoft Entra użytkowników.

Zbieranie informacji o Microsoft Entra

Aby zintegrować aplikację Lookout z usługą Intune, skojarz dzierżawę usługi Lookout Mobility Endpoint Security z subskrypcją Microsoft Entra.

Aby włączyć integrację subskrypcji usługi Lookout Mobile Endpoint Security z usługą Intune, należy podać następujące informacje do pomocy technicznej usługi Lookout (enterprisesupport@lookout.com):

  • identyfikator dzierżawy Microsoft Entra

  • Microsoft Entra grupowania identyfikatora obiektu dla grupy z pełnym dostępem do konsoli usługi Lookout Mobile Endpoint Security (MES).

    Tę grupę użytkowników należy utworzyć w Tożsamość Microsoft Entra, aby zawierała użytkowników, którzy mają pełny dostęp do logowania się do konsoli usługi Lookout. Użytkownicy muszą być członkami tej grupy lub opcjonalnej grupy z ograniczonym dostępem , aby zalogować się do konsoli usługi Lookout.

  • Microsoft Entra grupowania identyfikatora obiektu dla grupy z ograniczonym dostępem do konsoli usługi Lookout MES (grupa opcjonalna).

    Tę opcjonalną grupę użytkowników należy utworzyć w Tożsamość Microsoft Entra, aby zawierała użytkowników, którzy nie powinni mieć dostępu do kilku modułów konfiguracji i rejestracji konsoli usługi Lookout. Zamiast tego ci użytkownicy mają dostęp tylko do odczytu do modułu Zasady zabezpieczeń konsoli usługi Lookout. Aby zalogować się do konsoli usługi Lookout, użytkownicy muszą być członkami tej opcjonalnej grupy lub wymaganej grupy pełnego dostępu .

Zbieranie informacji z Tożsamość Microsoft Entra

  1. Zaloguj się do Azure Portal przy użyciu konta administratora globalnego.

  2. Przejdź do obszaru> Tożsamość Microsoft Entra Właściwości i znajdź identyfikator dzierżawy. Użyj przycisku Kopiuj , aby skopiować identyfikator katalogu, a następnie zapisz go w pliku tekstowym.

    Tożsamość Microsoft Entra

  3. Następnie znajdź identyfikator grupy Microsoft Entra dla kont używanych do udzielania Microsoft Entra użytkownikom dostępu do konsoli usługi Lookout. Jedna grupa służy do uzyskania pełnego dostępu, a druga dla ograniczonego dostępu jest opcjonalna. Aby uzyskać identyfikator obiektu, dla każdego konta:

    1. Przejdź do Tożsamość Microsoft Entra>Grup, aby otworzyć okienko Grupy — wszystkie grupy.

    2. Wybierz utworzoną grupę, aby uzyskać pełny dostęp , aby otworzyć okienko Przegląd .

    3. Użyj przycisku Kopiuj , aby skopiować identyfikator obiektu, a następnie zapisz go w pliku tekstowym.

    4. Powtórz proces dla grupy z ograniczonym dostępem , jeśli używasz tej grupy.

      identyfikator obiektu grupy Microsoft Entra

    Po zebraniu tych informacji skontaktuj się z pomocą techniczną aplikacji Lookout. Pomoc techniczna aplikacji Lookout współpracuje z podstawowym kontaktem w celu dołączenia subskrypcji i utworzenia konta usługi Lookout Enterprise przy użyciu podanych informacji.

Konfigurowanie subskrypcji usługi Lookout

Poniższe kroki należy wykonać w konsoli administracyjnej usługi Lookout Enterprise i włączyć połączenie z usługą Lookout dla Intune zarejestrowanych urządzeń (za pośrednictwem zgodności urządzeń) i niezarejestrowanych urządzeń (za pośrednictwem zasad ochrony aplikacji).

Po utworzeniu konta usługi Lookout Enterprise przez dział pomocy technicznej aplikacji Lookout pomoc techniczna wysyła wiadomość e-mail do podstawowego kontaktu firmy z linkiem do adresu URL logowania: https://aad.lookout.com/les?action=consent.

Logowanie początkowe

Pierwsze logowanie do konsoli usługi Lookout MES wyświetla stronę zgody (https://aad.lookout.com/les?action=consent). Jako administrator globalny Microsoft Entra zaloguj się i zaakceptuj. Kolejne logowanie nie wymaga, aby użytkownik miał ten poziom uprawnień Tożsamość Microsoft Entra.

Zostanie wyświetlona strona zgody. Wybierz pozycję Akceptuj , aby ukończyć rejestrację.

zrzut ekranu przedstawiający stronę logowania po raz pierwszy konsoli usługi Lookout

Po zaakceptowaniu i wyrażeniu zgody nastąpi przekierowanie do konsoli usługi Lookout.

Po zakończeniu początkowego logowania i wyrażania zgody użytkownicy, z https://aad.lookout.com których się logują, są przekierowywani do konsoli MES. Jeśli zgoda nie została jeszcze udzielona, wszystkie próby logowania powodują błąd nieprawidłowego logowania.

Konfigurowanie łącznika Intune

W poniższej procedurze przyjęto założenie, że wcześniej utworzono grupę użytkowników w Tożsamość Microsoft Entra na potrzeby testowania wdrożenia usługi Lookout. Najlepszym rozwiązaniem jest rozpoczęcie pracy z niewielką grupą użytkowników, aby umożliwić administratorom usługi Lookout i Intune zapoznanie się z integracjami produktów. Po zapoznaniu się z nimi możesz rozszerzyć rejestrację na dodatkowe grupy użytkowników.

  1. Zaloguj się do konsoli usługi Lookout MES i przejdź do pozycjiŁączniki systemowe>, a następnie wybierz pozycję Dodaj łącznik. Wybierz pozycję Intune.

    Obraz konsoli usługi Lookout z opcją Intune na karcie Łączniki

  2. W okienku Microsoft Intune wybierz pozycję Ustawienia połączenia i określ częstotliwość pulsu w minutach.

    Obraz przedstawiający kartę ustawień połączenia ze skonfigurowaną częstotliwością pulsu

  3. Wybierz pozycję Zarządzanie rejestracją i w obszarze Użyj następujących Microsoft Entra grup zabezpieczeń, aby zidentyfikować urządzenia, które mają zostać zarejestrowane w aplikacji Lookout for Work, określ nazwę grupy Microsoft Entra do użycia z aplikacją Lookout, a następnie wybierz pozycję Zapisz zmiany.

    zrzut ekranu przedstawiający stronę rejestracji łącznika Intune

    Informacje o używanych grupach:

    • Najlepszym rozwiązaniem jest rozpoczęcie pracy z Microsoft Entra grupą zabezpieczeń, która zawiera tylko kilku użytkowników do testowania integracji usługi Lookout.
    • Nazwa grupy uwzględnia wielkość liter, jak pokazano na stronie Właściwości grupy zabezpieczeń w Azure Portal.
    • Grupy określone dla usługi Enrollment Management definiują zestaw użytkowników, których urządzenia będą rejestrowane w usłudze Lookout. Gdy użytkownik należy do grupy rejestracji, jego urządzenia w Tożsamość Microsoft Entra są zarejestrowane i kwalifikują się do aktywacji w usłudze Lookout MES. Po pierwszym otwarciu aplikacji Lookout for Work na obsługiwanym urządzeniu zostanie wyświetlony monit o jej aktywowanie.
  4. Wybierz pozycję Synchronizacja stanu i upewnij się, że stan urządzenia i stan zagrożenia są ustawione na Włączone. Oba te elementy są wymagane do poprawnego działania integracji usługi Lookout Intune.

  5. Wybierz pozycję Zarządzanie błędami, określ adres e-mail, który powinien otrzymywać raporty o błędach, a następnie wybierz pozycję Zapisz zmiany.

    zrzut ekranu przedstawiający stronę zarządzania błędami łącznika Intune

  6. Wybierz pozycję Utwórz łącznik, aby ukończyć konfigurację łącznika. Później, gdy wyniki będą zadowalające, możesz rozszerzyć rejestrację na dodatkowe grupy użytkowników.

Konfigurowanie Intune do używania usługi Lookout jako dostawcy usługi Mobile Threat Defense

Po skonfigurowaniu usługi Lookout MES należy skonfigurować połączenie z usługą Lookout w Intune.

Dodatkowe ustawienia w konsoli usługi Lookout MES

Poniżej przedstawiono dodatkowe ustawienia, które można skonfigurować w konsoli usługi Lookout MES.

Konfigurowanie ustawień rejestracji

W konsoli usługi Lookout MES wybierz pozycję System>Zarządzaj ustawieniamirejestracji rejestracji>.

  • W polu Stan rozłączenia określ liczbę dni, po których niepodłączone urządzenie zostanie oznaczone jako odłączone.

    Odłączone urządzenia są uznawane za niezgodne i nie mogą uzyskiwać dostępu do aplikacji firmowych na podstawie zasad dostępu warunkowego Intune. Możesz określić wartości z zakresu od 1 do 90 dni.

    Ustawienia rejestracji usługi Lookout w module System

Konfigurowanie powiadomień Email

Aby otrzymywać alerty e-mail dotyczące zagrożeń, zaloguj się do konsoli usługi Lookout MES przy użyciu konta użytkownika, które powinno otrzymywać powiadomienia.

  • Przejdź do pozycji Preferencje , a następnie ustaw powiadomienia, które chcesz otrzymywać, na WŁ., a następnie zapisz zmiany.

  • Jeśli nie chcesz już otrzymywać powiadomień e-mail, ustaw opcję Wył. powiadomień i zapisz zmiany.

    zrzut ekranu przedstawiający stronę preferencji z wyświetlonym kontem użytkownika

Konfigurowanie klasyfikacji zagrożeń

Usługa Lookout Mobile Endpoint Security klasyfikuje zagrożenia dla urządzeń przenośnych różnych typów. Klasyfikacje zagrożeń usługi Lookout mają skojarzone domyślne poziomy ryzyka. Poziomy ryzyka można zmienić w dowolnym momencie, aby dopasować je do wymagań firmy.

Aby uzyskać informacje na temat klasyfikacji na poziomie zagrożeń i sposobu zarządzania skojarzonymi z nimi poziomami ryzyka, zobacz Lookout Threat Reference (Dokumentacja zagrożeń usługi Lookout).

Ważna

Poziomy ryzyka są ważnym aspektem usługi Mobile Endpoint Security, ponieważ integracja Intune oblicza zgodność urządzeń zgodnie z tymi poziomami ryzyka w czasie wykonywania.

Administrator Intune ustawia regułę w zasadach, aby zidentyfikować urządzenie jako niezgodne, jeśli urządzenie ma aktywne zagrożenie z minimalnym poziomem Wysoki, Średni lub Niski. Zasady klasyfikacji zagrożeń w usłudze Lookout Mobile Endpoint Security bezpośrednio napędzają obliczenia zgodności urządzeń w Intune.

Monitorowanie rejestracji

Po zakończeniu instalacji usługa Lookout Mobile Endpoint Security rozpoczyna sondowanie Tożsamość Microsoft Entra dla urządzeń odpowiadających określonym grupom rejestracji. Informacje o zarejestrowanych urządzeniach można znaleźć, przechodząc do pozycji Urządzenia w konsoli usługi Lookout MES.

  • Stan początkowy dla urządzeń jest w toku.
  • Stan urządzenia jest aktualizowany po zainstalowaniu, otwarciu i aktywowaniu aplikacji Lookout for Work na urządzeniu.

Aby uzyskać szczegółowe informacje na temat sposobu wdrażania aplikacji Lookout for Work na urządzeniu, zobacz Dodawanie aplikacji lookout for work za pomocą Intune.

Następne kroki