Nastavení předplatného ochrany před mobilními hrozbami LookoutSet up your Lookout Mobile Threat Defense subscription

Platí pro: Intune v klasické konzoleApplies to: Intune in the classic console
Hledáte dokumentaci k Intune v Azure?Looking for documentation about Intune on Azure? Přejděte sem.Go here.

Při nastavování ochrany před mobilními hrozbami Lookout je potřeba provést tyto kroky:The following steps are required to set up Lookout Mobile Threat Defense:

# KrokStep
11 Shromáždění informací z Azure ADCollect Azure AD information
22 Konfigurace předplatnéhoConfigure your subscription
33 Konfigurace skupin pro registraciConfigure enrollment groups
44 Konfigurace synchronizace stavuConfigure state sync
55 Konfigurace informací o příjemci e-mailů se zprávami o chybáchConfigure error report email recipient information
66 Konfigurace nastavení registraceConfigure enrollment settings
77 Konfigurace e-mailových oznámeníConfigure email notifications
88 Konfigurace klasifikace hrozebonfigure threat classification
11 Sledování registracíWatching enrollment
Důležité

Existujícího tenanta Lookout Mobile Endpoint Security, který ještě není přidružený k vašemu tenantovi Azure AD, nejde použít k integraci s Azure AD a Intune.An existing Lookout Mobile Endpoint Security tenant that is not already associated with your Azure AD tenant cannot be used for the integration with Azure AD and Intune. Pokud chcete vytvořit nového tenanta Lookout Mobile Endpoint Security, obraťte se na podporu Lookoutu.Contact Lookout support to create a new Lookout Mobile Endpoint Security tenant. Pomocí tohoto nového tenanta můžete připojit uživatele Azure AD.Use the new tenant to onboard your Azure AD users.

Shromáždění informací z Azure ADCollect Azure AD information

Váš tenant Lookout Mobility Endpoint Security se přidruží k předplatnému Azure AD, aby se Lookout mohl integrovat s Intune.Your Lookout Mobility Endpoint Security tenant will be associated with your Azure AD subscription to integrate Lookout with Intune. K tomu, aby bylo možné povolit předplatné ochrany před mobilními hrozbami Lookout, potřebuje podpora služby Lookout (enterprisesupport@lookout.com) následující informace:To enable your Lookout Mobile Threat Defense service subscription, Lookout support (enterprisesupport@lookout.com) needs the following information:

  • ID klienta Azure ADAzure AD Tenant ID
  • ID objektu skupiny Azure AD pro úplný přístup ke konzole LookoutAzure AD Group Object ID for full Lookout console access
  • ID objektu skupiny Azure AD pro omezený přístup ke konzole Lookout (volitelné)Azure AD Group Object ID for restricted Lookout console access (optional)

V následujícím postupu se dozvíte, jak získat informace, které je třeba sdělit týmu podpory služby Lookout.Use the following steps to gather the information you need to give to the Lookout support team.

  1. Přihlaste se k portálu pro správu Azure AD a vyberte své předplatné.Sign in to the Azure AD management portal and select your subscription. Snímek obrazovky se stránkou Azure AD zobrazující název tenantascreenshot of the Azure AD page showing the name of the tenant
  2. Když vyberete název vašeho předplatného, výsledná adresa URL obsahuje ID předplatného.When you choose the name of your subscription, the resulting URL includes the subscription ID. Pokud máte problémy s nalezením ID vašeho předplatného, přečtěte si článek podpory společnosti Microsoft, který obsahuje tipy, jak toto ID najít.If you have any issues finding your subscription ID, see this Microsoft support article for tips on finding your subscription ID.
  3. Najděte ID skupiny Azure AD.Find your Azure AD Group ID. Konzola Lookout podporuje dvě úrovně přístupu:The Lookout console supports 2 levels of access:

    • Úplný přístup: Správce Azure AD může vytvořit skupinu pro uživatele, kteří budou mít úplný přístup, a volitelně může také vytvořit skupinu pro uživatele, kteří budou mít omezený přístup.Full Access: The Azure AD admin can create a group for users that will have Full Access and optionally create a group for users that will have Restricted Access. Ke konzole Lookout se budou moct přihlásit jenom uživatelé z těchto skupin.Only users in these groups will be able to login to the Lookout console.
    • Omezený přístup: Uživatelé z této skupiny nemají přístup k některým modulům konzoly Lookout týkajícím se konfigurace a registrace a mají přístup jenom pro čtení k modulu Zásady zabezpečení.Restricted Access: The users in this group will have no access to several configuration and enrollment related modules of the Lookout console, and have read-only access to the Security Policy module of the Lookout console.

    Další podrobnosti o oprávněních najdete v tomto článku na webu Lookout.For more details on the permissions, read this article on the Lookout website.

    ID objektu skupiny najdete na stránce Vlastnosti dané skupiny v konzole pro správu Azure AD.The Group Object ID is on the Properties page of the group in the Azure AD management console.

    snímek obrazovky zobrazující stránku vlastností se zvýrazněným polem s ID skupiny

  4. Jakmile tyto informace získáte, obraťte se na podporu služby Lookout (e-mail: enterprisesupport@lookout.com).Once you have gathered this information, contact Lookout support (email: enterprisesupport@lookout.com). Podpora Lookout bude při zprovoznění vašeho předplatného a vytvoření účtu Lookout Enterprise používat váš primární kontakt (pro veškerou potřebnou komunikaci) na základě poskytnutých informací.Lookout Support will work with your primary contact to onboard your subscription and create your Lookout Enterprise account, using the information that you collected.

Konfigurace předplatnéhoConfigure your subscription

  1. Poté, co podpora služby Lookout vytvoří váš účet Lookout Enterprise, se na adresu primárního kontaktu vaší firmy odešle e-mail s odkazem na přihlašovací stránku: https://aad.lookout.com/les?action=consent.After Lookout support creates your Lookout Enterprise account, an email from Lookout is sent to the primary contact for your company with a link to the login url:https://aad.lookout.com/les?action=consent.

  2. Při prvním přihlášení ke konzole Lookout je nutné použít uživatelský účet, který má v Azure AD roli globálního správce, aby bylo možné zaregistrovat tenanta Azure AD.The first login to the Lookout console must be by with a user account with the Azure AD role of Global Admin to register your Azure AD tenant. Při dalších přihlášeních se už tato úroveň oprávnění v Azure AD nevyžaduje.Later, sign in doesn't this level of Azure AD privilege. Zobrazí se stránka pro vyjádření souhlasu.A consent page is displayed. Vyberte možnost přijmout a dokončete registraci.Choose Accept to complete the registration.

    snímek obrazovky zobrazující přihlašovací stránku konzoly Lookout Jakmile odsouhlasíte podmínky, budete přesměrováni do konzoly Lookout.screenshot of the first time login page of the Lookout console Once you have accepted and consented, you are redirected to the Lookout Console.

    Nápovědu k problémům při přihlášení najdete v řešení potíží s integrací služby Lookout.See troubleshooting Lookout integration for help with login problems.

  3. V konzole Lookout zvolte v modulu Systém kartu Konektory a vyberte Intune.In the Lookout Console, from the System module, choose the Connectors tab, and select Intune.

    snímek obrazovky zobrazující konzolu Lookout s otevřenou kartou konektorů a zvýrazněnou možností Intune

  4. Přejděte na Konektory > Nastavení připojení a určete frekvenci prezenčního signálu v minutách.Go Connectors > Connection Settings and specify the Heartbeat Frequency in minutes.

    snímek obrazovky zobrazující kartu nastavení připojení, na které je nakonfigurovaná frekvence prezenčního signálu

Konfigurace skupin pro registraciConfigure enrollment groups

  1. Osvědčeným postupem je vytvořit na portálu pro správu Azure AD skupinu zabezpečení Azure AD, která obsahuje malý počet uživatelů a umožňuje otestovat integraci se službou Lookout.As a best practice, create an Azure AD security group in the Azure AD management portal containing a small number of users to test Lookout integration.

    Všechna identifikovaná a podporovaná zařízení uživatelů ve skupině pro registraci v Azure AD, která Lookout podporuje a jsou zaregistrovaná v Intune, se zaregistrují a bude u nich možné aktivovat službu Lookout pro ochranu zařízení před hrozbami.All the Lookout-supported, Intune-enrolled devices of users in an enrollment group in Azure AD that are identified and supported are enrolled and eligible for activation in Lookout device threat protection.

  2. V konzole Lookout zvolte v modulu Systém kartu Konektory a vyberte Správa registrace, abyste mohli definovat sadu uživatelů, jejichž zařízení se mají ve službě Lookout zaregistrovat.In the Lookout Console, from the System module, choose the Connectors tab, and select Enrollment Management to define a set of users whose devices should be enrolled with Lookout. Přidejte zobrazovaný název skupiny zabezpečení Azure AD pro registraci.Add the Azure AD security group Display Name for enrollment.

    snímek obrazovky zobrazující stránku registrace konektoru Intune

    Důležité

    V zobrazovaném názvu se rozlišují velká a malá písmena, jak je vidět na stránce vlastností skupiny zabezpečení na webu Azure Portal.The Display Name is case sensitive as shown the in the Properties of the security group in the Azure portal. Na obrázku níže vidíte, že zobrazovaný název skupiny zabezpečení je ve stylu CamelCase, zatímco v nadpisu jsou všechna písmena malá.As shown in the image below, the Display Name of the security group is camel case while the title is all lower case. V konzole Lookout použijte pro zobrazovaný název stejnou velikost písmen jako u skupiny zabezpečení.In the Lookout console match the Display Name case for the security group. snímek obrazovky portálu Azure Portal, služby Azure Active Directory a stránky vlastnostíscreenshot of the Azure portal, Azure Active Directory service, properties page

    Osvědčeným postupem je ponechat výchozí nastavení (5 minut) intervalu vyhledávání nových zařízení.The best practice is to use the default (5 minutes) for the increment of time to check for new devices.

    Aktuální omezení:Current limitations:

    • Lookout nemůže ověřit zobrazované názvy skupin.Lookout cannot validate group display names. Ujistěte se, že pole ZOBRAZOVANÝ NÁZEV na portálu Azure Portal se přesně shoduje se skupinou zabezpečení Azure AD.Ensure the DISPLAY NAME field in the Azure portal exactly matches the Azure AD security group.
    • Vytváření vnořených skupin se nepodporuje.Creating nest groups is not supported. Skupiny zabezpečení Azure AD, které se používají ve službě Lookout, musí obsahovat jenom uživatele.Azure AD security groups used in Lookout must contain users only. Nesmí obsahovat jiné skupiny.They cannot contain other groups.
  3. Po přidání skupiny se podporované zařízení aktivuje ve službě Lookout ve chvíli, kdy na něm uživatel znovu otevře aplikaci Lookout for Work.Once a group is added, the next time a user opens the Lookout for Work app on their supported device, the device is activated in Lookout.

  4. Až budete s výsledky spokojení, rozšiřte registraci na další skupiny uživatelů.Once you are satisfied with your results, extend enrollment to additional user groups.

Konfigurace synchronizace stavuConfigure state sync

V nastavení Synchronizace stavu určete typ dat odesílaných do Intune.In the State Sync option, specify the type of data that should be sent to Intune. Aby integrace služeb Lookout a Intune fungovala správně, je nutné povolit stav zařízení i stav hrozby.Both device status and threat status are required for the Lookout Intune integration to work correctly. Ve výchozím nastavení jsou tyto možnosti povolené.These are enabled by default.

Konfigurace informací o příjemci e-mailů se zprávami o chybáchConfigure error report email recipient information

V nastavení Správa chyb zadejte e-mailovou adresu příjemce, který má dostávat zprávy o chybách.In the Error Management option, enter the email address that should receive the error reports.

snímek obrazovky zobrazující stránku správy chyb konektoru Intune

Konfigurace nastavení registraceConfigure enrollment settings

V modulu Systém zadejte na stránce Konektory počet dnů, po jejichž uplynutí se zařízení bude považovat za odpojené.In the System module, on the Connectors page, specify the number of days before a device is considered as disconnected. Odpojená zařízení se považují za nevyhovující a bude jim zablokován přístup k firemním aplikacím na základě zásad podmíněného přístupu Intune.Disconnected devices are considered as non-compliant and will be blocked from accessing your company applications based on the Intune conditional access policies. Můžete zadat hodnotu mezi 1 a 90 dny.You can specify values between 1 and 90 days.

Konfigurace e-mailových oznámeníConfigure email notifications

Pokud chcete e-mailem dostávat upozornění na hrozby, přihlaste se ke konzole Lookout pomocí uživatelského účtu, na kterém chcete oznámení přijímat.If you want to receive email alerts for threats, sign in to the Lookout console with the user account that should receive notifications. Přejděte na kartu Předvolby v modulu Systém, vyberte úrovně hrozeb, při kterých by se měla posílat oznámení, a nastavte u nich hodnotu Zapnuto.On the Preferences tab of the System module, choose the threat levels that should notifications and set them to ON. Uložte provedené změny.Save your changes.

snímek obrazovky zobrazující stránku předvoleb se zobrazeným uživatelským účtem Pokud už nechcete dostávat některá e-mailová oznámení, nastavte příslušná oznámení na Vypnuto a provedené změny uložte.screenshot of the preferences page with the user account displayed If you no longer want to receive email notifications, set the notifications to OFF and save your changes.

Konfigurace klasifikace hrozebConfigure threat classification

Ochrana před mobilními hrozbami Lookout klasifikuje mobilní hrozby podle různých typů.Lookout Mobile Threat Defense classifies mobile threats of various types. Klasifikace hrozeb ve službě Lookout k nim má přiřazené výchozí úrovně rizika.The Lookout threat classifications have default risk levels associated with them. Ty lze kdykoli změnit tak, aby odpovídaly požadavkům vaší společnosti.These can be changed at any time to suit your company requirements.

snímek obrazovky zobrazující stránku zásad s hrozbami a klasifikací

Důležité

Úrovně rizik jsou důležitou součástí ochrany před mobilními hrozbami, protože integrace se službou Intune vypočítává míru dodržování předpisů u zařízení za běhu právě podle těchto úrovní rizik.Risk levels are an important aspect of Mobile Threat Defense because the Intune integration calculates device compliance according to these risk levels at runtime. Správce Intune nastaví v zásadách pravidlo, které určí, že zařízení nesplňuje předpisy, pokud pro něj existuje aktivní hrozba minimálně vysoké, střední nebonízké úrovně.The Intune administrator sets a rule in policy to identify a device as non-compliant if the device has an active threat with a minimum level of High, Medium, or Low. Zásady klasifikace hrozeb v ochraně před mobilními hrozbami Lookout přímo řídí výpočet dodržování předpisů zařízením ve službě Intune.The threat classification policy in Lookout Mobile Threat Defense directly drives the device compliance calculation in Intune.

Sledování registracíWatching enrollment

Po dokončení nastavení začne ochrana před mobilními hrozbami Lookout posílat do služby Azure AD dotazy na zařízení, která odpovídají určeným skupinám pro registraci.Once the setup is complete, Lookout Mobile Threat Defense starts to poll Azure AD for devices that correspond to the specified enrollment groups. Informace o registrovaných zařízeních najdete v modulu Zařízení.You can find information about the devices enrolled on the Devices module. Počáteční stav u zařízení je čekající na vyřízení.The initial status for devices is shown as pending. Stav zařízení se změní, jakmile se na zařízení nainstaluje, otevře a aktivuje aplikace Lookout for Work.The device status changes once the Lookout for Work app is installed, opened, and activated on the device. Podrobnosti o tom, jak aplikaci Lookout for Work přidat do zařízení, najdete v tématu Konfigurace a nasazení aplikace Lookout for Work.For details on how to get the Lookout for Work app pushed to the device, see the Configure and deploy Lookout for work apps topic.

Další krokyNext steps

Povolení připojení Lookout MTP k IntuneEnable Lookout MTP connection Intune

Pokud chcete odeslat svůj názor na produkt, navštivte Intune Feedback