設定 Lookout Mobile Endpoint Security 與 Intune 整合

發行項
03/20/2024

使用符合必要條件的環境，您可以整合LookoutMobile Endpoint Security 與 Intune。本文中的資訊可引導您在 Lookout 中設定整合和設定重要設定，以便與 Intune 搭配使用。

重要事項

尚未與您 Microsoft Entra 租使用者相關聯的現有 Lookout 行動端點安全性租使用者，無法用於與 Microsoft Entra ID 和 Intune 的整合。請連絡 Lookout 支援以建立新的 Lookout Mobile Endpoint Security 租使用者。使用新的租使用者將您的 Microsoft Entra 用戶上線。

收集 Microsoft Entra資訊

若要整合 Lookout 與 Intune，請將 Lookout 行動端點安全性租使用者與 Microsoft Entra 訂用帳戶建立關聯。

若要啟用 Lookout Mobile Endpoint Security 訂用帳戶與 Intune 整合，您可以提供下列資訊給 Lookout 支援 (enterprisesupport@lookout.com) ：

Microsoft Entra 租用戶標識碼
Microsoft Entra 具有完整 Lookout Mobile Endpoint Security (MES) 控制台存取權的群組對象識別碼。

您可以在 Microsoft Entra ID 中建立此使用者群組，以包含具有完整存取權可登入 Lookout 控制台的使用者。用戶必須是此群組的成員，或選擇性的 受限制存取 群組，才能登入 Lookout 控制台。
Microsoft Entra 具有受限制 Lookout MES 控制台存取的群組物件識別碼， (選擇性群組) 。

您可以在 Microsoft Entra ID 中建立此選擇性使用者群組，以包含不應存取 Lookout 控制台數個設定和註冊相關模組的使用者。相反地，這些使用者可以唯讀存取 Lookout 控制台 的安全 策略模組。用戶必須是這個選擇性群組的成員，或是必要的 完整存取 群組，才能登入 Lookout 控制台。

從Microsoft Entra ID 收集資訊

使用全域管理員帳戶登入 Azure 入口網站。
移至 [Microsoft Entra ID>][屬性]，並找出您的租用戶標識碼。使用 [ 複製] 按鈕來複製目錄識別符，然後將它儲存在文本檔中。
接下來，針對您用來授與 Microsoft Entra 用戶存取 Lookout 控制台的帳戶，尋找 Microsoft Entra 組標識符。一個群組用於 完整存取，而第二個群組用於 限制存取 是選擇性的。若要取得每個帳戶的 物件識別碼：
1. 移至 Microsoft Entra ID>Groups 以開啟 [群組 - 所有群組] 窗格。
2. 選取您為 完整存取 建立的群組，以開啟其 [ 概觀 ] 窗格。
3. 使用 [複製] 按鈕來複製物件標識符，然後將它儲存在文本檔中。
4. 如果您使用該群組，請針對 受限制的存取 群組重複此程式。
收集此資訊之後，請連絡 Lookout 支援 (電子郵件： enterprisesupport@lookout.com) 。 Lookout 支援服務可與您的主要聯繫人合作，使用您提供的信息來將您的訂用帳戶上線並建立 Lookout Enterprise 帳戶。

設定 Lookout 訂用帳戶

下列步驟將在 Lookout Enterprise 管理控制台中完成，並透過裝置合規性) 啟用 Intune 已註冊裝置的 Lookout 服務連線，以及透過應用程式保護原則) (的未註冊裝置 (。

在Lookout支援建立Lookout Enterprise帳戶之後，Lookout支援會傳送電子郵件給您公司的主要連絡人，其中包含登入URL的連結： https://aad.lookout.com/les?action=consent。

第一次登入 Lookout MES 控制台會顯示同意頁面 (https://aad.lookout.com/les?action=consent) 。身為 Microsoft Entra 全域管理員，登入並接受。後續的登入不需要用戶具備此層級的 Microsoft Entra ID許可權。

會顯示同意頁面。選擇 [接受 ] 以完成註冊。

Lookout 控制台第一次登入頁面的螢幕快照

當您接受並同意時，系統會將您重新導向至 Lookout 控制台。

初始登入和同意完成之後，登入的使用者 https://aad.lookout.com 會重新導向至 MES 控制台。如果尚未授與同意，所有登入嘗試都會導致登入錯誤。

設定 Intune 連接器

下列程式假設您先前已在 Microsoft Entra ID 中建立使用者群組，以測試 Lookout 部署。最佳做法是從一小組用戶開始，讓Lookout和Intune系統管理員熟悉產品整合。熟悉之後，您可以將註冊延伸至其他使用者群組。

登入 Lookout MES 控制台並移至 [系統>連接器]，然後選取 [ 新增連接器]。選取 [Intune]。
在 [Microsoft Intune] 窗格中，選取 [連線設定]，並以分鐘為單位指定活動訊號頻率。
選取 [註冊管理]，然後針對 [使用下列 Microsoft Entra 安全組識別應在Lookout for Work 中註冊的裝置]，指定要與Lookout搭配使用的 Microsoft Entra 組的組名，然後選取 [儲存變更]。

關於您使用的群組：
- 最佳做法是從只包含少數使用者的 Microsoft Entra 安全組開始測試Lookout整合。
- 組名會區分大小寫，如 Azure 入口網站中安全組的屬性所示。
- 您為 註冊管理 指定的群組會定義其裝置將向 Lookout 註冊的使用者集合。當用戶在註冊群組中時，其在 Microsoft Entra ID 中的裝置會註冊，並有資格在Lookout MES 中啟用。使用者第一次在支援的裝置上開啟 Lookout for Work 應用程式時，系統會提示他們啟用它。
選 取 [狀態同步 ]，並確定 裝置狀態 和 威脅狀態 都設為 [ 開啟]。這兩者都需要Lookout Intune整合才能正確運作。
選取 [錯誤管理]，指定應該接收錯誤報告的電子郵件地址，然後選取 [ 儲存變更]。
選 取 [建立連接器 ] 以完成連接器的設定。稍後，當您滿意結果時，可以將註冊擴充至其他使用者群組。

設定 Intune 以使用Lookout作為Mobile Threat Defense 提供者

設定 Lookout MES 之後，您必須在 Intune 中設定 Lookout 的連線。

Lookout MES 控制台中的其他設定

以下是您可以在Lookout MES 控制台中設定的其他設定。

設定註冊設定

在Lookout MES 控制台中，選 取 [系統>管理註冊註冊>設定]。

針對 [中斷連線 狀態]，指定未連線裝置標示為已中斷連線的天數。

中斷連線的裝置會被視為不符合規範，而且會根據 Intune 條件式存取原則封鎖，無法存取您的公司應用程式。您可以指定介於 1 到 90 天的值。

設定 Email 通知

若要接收威脅的電子郵件警示，請使用應該接收通知的用戶帳戶登入 Lookout MES 控制台。

移至 [喜好設定]，然後將您想要接收的通知設定為 [開啟]，然後儲存變更。
如果您不想再收到電子郵件通知，請將通知設定為 OFF 並儲存變更。

設定威脅分類

Lookout Mobile Endpoint Security 會將各種類型的行動威脅分類。 Lookout 威脅分類具有與其相關聯的預設風險層級。您可以隨時變更風險層級，以符合您的公司需求。

如需威脅層級分類的相關信息，以及如何管理與其相關聯的風險層級，請參閱Lookout威脅參考。

重要事項

風險層級是行動端點安全性的重要層面，因為 Intune 整合會在運行時間根據這些風險層級來計算裝置合規性。

Intune 系統管理員會在原則中設定規則，以在裝置具有最低層級為 [高]、[中] 或 [低] 的作用中威脅時，將裝置識別為不符合規範。 Lookout Mobile Endpoint Security 中的威脅分類原則會直接在 Intune 中驅動裝置合規性計算。

監視註冊

安裝完成之後，Lookout Mobile Endpoint Security 會開始輪詢 Microsoft Entra ID 對應至指定註冊群組的裝置。您可以前往 Lookout MES 控制台中的 [ 裝置 ]，以尋找已註冊裝置的相關信息。

裝置的初始狀態暫止。
在裝置上安裝、開啟及啟動 Lookout for Work 應用程式之後，裝置狀態會更新。

如需如何將Lookout for Work 應用程式部署到裝置的詳細資訊，請參閱使用 Intune 新增Lookout for Work 應用程式。

Share via