設定 Lookout Mobile Endpoint Security 與 Intune 整合

文章
07/30/2024

使用符合必要條件的環境，您可以整合LookoutMobile Endpoint Security 與 Intune。本文中的資訊可引導您在Lookout中設定整合和設定重要設定，以搭配Intune使用。

重要事項

現有的 Lookout 行動端點安全性租使用者尚未與您的 Microsoft Entra 租使用者相關聯，無法用於與 Microsoft Entra ID 和 Intune 整合。請連絡 Lookout 支援以建立新的 Lookout Mobile Endpoint Security 租使用者。使用新的租使用者將您的 Microsoft Entra 用戶上線。

收集Microsoft資訊

若要整合 Lookout 與 Intune，您可以將 Lookout Mobility Endpoint Security 租使用者與您的 Microsoft Entra 訂用帳戶建立關聯。

若要啟用 Lookout Mobile Endpoint Security 訂用帳戶與 Intune 的整合，您可以提供下列資訊給 Lookout 支援 (enterprisesupport@lookout.com) ：

Microsoft租用戶標識碼
Microsoft具有完整 Lookout Mobile Endpoint Security (MES) 控制台存取權的群組的 Entra 群組物件標識符。

您可以在 Microsoft Entra ID 中建立此使用者群組，以包含具有 完整存取權 可登入 Lookout 控制台的使用者。用戶必須是此群組的成員，或選擇性的 受限制存取 群組，才能登入 Lookout 控制台。
Microsoft具有限制 Lookout MES 控制台存取的群組的 Entra 群組物件識別 符 (選擇性群組) 。

您可以在 Microsoft Entra ID 中建立此選擇性使用者群組，以包含不應存取 Lookout 控制台數個設定和註冊相關模組的使用者。相反地，這些使用者可以唯讀存取 Lookout 控制台 的安全 策略模組。用戶必須是這個選擇性群組的成員，或是必要的 完整存取 群組，才能登入 Lookout 控制台。

從 Microsoft Entra ID 收集資訊

使用全域管理員帳戶登入 Azure 入口網站。
移至 Microsoft Entra ID>屬性 ]，並找出您的 租用戶標識碼。使用 [ 複製] 按鈕來複製目錄識別符，然後將它儲存在文本檔中。
接下來，針對您用來授與 Microsoft Entra 使用者 Lookout 控制台存取權的帳戶，尋找 Microsoft Entra 群組標識符。一個群組用於 完整存取，而第二個群組用於 限制存取 是選擇性的。若要取得每個帳戶的 物件識別碼：
1. 移至 Microsoft Entra ID>群組 ] 以開啟 [ 群組 - 所有群組] 窗格。
2. 選取您為 完整存取 建立的群組，以開啟其 [ 概觀 ] 窗格。
3. 使用 [複製] 按鈕來複製物件標識符，然後將它儲存在文本檔中。
4. 如果您使用該群組，請針對 受限制的存取 群組重複此程式。
收集此資訊之後，請連絡 Lookout 支援 (電子郵件： enterprisesupport@lookout.com) 。 Lookout 支援服務可與您的主要聯繫人合作，使用您提供的信息來將您的訂用帳戶上線並建立 Lookout Enterprise 帳戶。

設定 Lookout 訂用帳戶

下列步驟將在 Lookout Enterprise 管理控制台中完成，並透過裝置合規性) 和透過應用程式保護原則 (的未註冊 裝置， (啟用與 Intune 註冊裝置的 Lookout 服務連線) 。

在Lookout支援建立Lookout Enterprise帳戶之後，Lookout支援會傳送電子郵件給您公司的主要連絡人，其中包含登入URL的連結： https://aad.lookout.com/les?action=consent。

第一次登入 Lookout MES 控制台會顯示同意頁面 (https://aad.lookout.com/les?action=consent) 。身為 Microsoft Entra Global Administrator，登入並接受。後續登入不需要用戶具備此層級的 Microsoft Entra ID 許可權。

會顯示同意頁面。選擇 [接受 ] 以完成註冊。

Lookout 控制台第一次登入頁面的螢幕快照

當您接受並同意時，系統會將您重新導向至 Lookout 控制台。

初始登入和同意完成之後，登入的使用者 https://aad.lookout.com 會重新導向至 MES 控制台。如果尚未授與同意，所有登入嘗試都會導致登入錯誤。

設定 Intune 連接器

下列程序假設您先前已在 Microsoft Entra ID 中建立使用者群組，以測試 Lookout 部署。最佳做法是從一小組用戶開始，讓Lookout和Intune系統管理員熟悉產品整合。熟悉之後，您可以將註冊延伸至其他使用者群組。

登入 Lookout MES 控制台並移至 [系統>連接器]，然後選取 [ 新增連接器]。選取 [Intune]。
在 [Microsoft Intune ] 窗格上，選取 [ 聯機設定] ，並以分鐘為單位指定 活動訊號頻率 。
選取 [註冊管理]，然後針對 [ 使用下列Microsoft安全組識別應在 Lookout for Work 中註冊的裝置]，指定要與 Lookout 搭配使用的 Microsoft Entra 群組組名，然後選取 [儲存 變更]。

關於您使用的群組：
- 最佳做法是從僅包含少數使用者的 Microsoft Entra 安全組開始測試 Lookout 整合。
- 組名會區分大小寫，如 Azure 入口網站中安全組的屬性所示。
- 您為 註冊管理 指定的群組會定義其裝置將向 Lookout 註冊的使用者集合。當用戶在註冊群組中時，其在 Microsoft Entra ID 中的裝置會註冊，並有資格在 Lookout MES 中啟用。使用者第一次在支援的裝置上開啟 Lookout for Work 應用程式時，系統會提示他們啟用它。
選 取 [狀態同步 ]，並確定 裝置狀態 和 威脅狀態 都設為 [ 開啟]。這兩者都需要Lookout Intune整合才能正確運作。
選取 [錯誤管理]，指定應該接收錯誤報告的電子郵件地址，然後選取 [ 儲存變更]。
選 取 [建立連接器 ] 以完成連接器的設定。稍後，當您滿意結果時，可以將註冊擴充至其他使用者群組。

將 Intune 設定為使用 Lookout 作為 Mobile Threat Defense 提供者

設定 Lookout MES 之後，您必須設定與 Intune 中 Lookout 的連線。

Lookout MES 控制台中的其他設定

以下是您可以在Lookout MES 控制台中設定的其他設定。

設定註冊設定

在Lookout MES 控制台中，選 取 [系統>管理註冊註冊>設定]。

針對 [中斷連線 狀態]，指定未連線裝置標示為已中斷連線的天數。

中斷連線的裝置會被視為不符合規範，而且會根據Intune條件式存取原則封鎖而無法存取您的公司應用程式。您可以指定介於 1 到 90 天的值。

設定電子郵件通知

若要接收威脅的電子郵件警示，請使用應該接收通知的用戶帳戶登入 Lookout MES 控制台。

移至 [喜好設定]，然後將您想要接收的通知設定為 [開啟]，然後儲存變更。
如果您不想再收到電子郵件通知，請將通知設定為 OFF 並儲存變更。

設定威脅分類

Lookout Mobile Endpoint Security 會將各種類型的行動威脅分類。 Lookout 威脅分類具有與其相關聯的預設風險層級。您可以隨時變更風險層級，以符合您的公司需求。

如需威脅層級分類的相關信息，以及如何管理與其相關聯的風險層級，請參閱Lookout威脅參考。

重要事項

風險層級是行動端點安全性的重要層面，因為 Intune 整合會在運行時間根據這些風險層級來計算裝置合規性。

Intune 系統管理員會在原則中設定規則，以在裝置具有最低層級 為 [高]、[ 中] 或 [ 低] 的作用中威脅時，將裝置識別為不符合規範。 Lookout Mobile Endpoint Security 中的威脅分類原則會直接驅動 Intune 中的裝置合規性計算。

監視註冊

安裝完成之後，Lookout Mobile Endpoint Security 會開始輪詢Microsoft對應至指定註冊群組之裝置的 Entra ID。您可以前往 Lookout MES 控制台中的 [ 裝置 ]，以尋找已註冊裝置的相關信息。

裝置的初始狀態暫止。
在裝置上安裝、開啟及啟動 Lookout for Work 應用程式之後，裝置狀態會更新。

如需如何將 Lookout for Work 應用程式部署到裝置的詳細資訊，請參閱使用 Intune 新增 Lookout for Work 應用程式。

分享方式：