Einrichten Ihrer Lookout Mobile Threat Defense-Integration mit IntuneSet up your Lookout Mobile Threat Defense integration with Intune

Folgende Schritte sind erforderlich, um ein Lookout Mobile Threat Defense-Abonnement einzurichten:The following steps are required to set up Lookout Mobile Threat Defense subscription:

# SchrittStep
11 Sammeln von Azure AD-InformationenCollect Azure AD information
22 Konfigurieren des AbonnementsConfigure your subscription
33 Konfigurieren von RegistrierungsgruppenConfigure enrollment groups
44 Konfigurieren der StatussynchronisierungConfigure state sync
55 Konfigurieren von Empfängerinformationen für Fehlerberichts-E-MailsConfigure error report email recipient information
66 Konfigurieren von RegistrierungseinstellungenConfigure enrollment settings
77 Konfigurieren von E-Mail-BenachrichtigungenConfigure email notifications
88 Konfigurieren der Bedrohungsklassifizierungonfigure threat classification
99 Beobachten der RegistrierungWatching enrollment
Wichtig

Ein bestehender Lookout Mobile Endpoint Security-Mandant, der nicht bereits Ihrem Azure AD-Mandanten zugeordnet ist, kann nicht für die Integration in Azure AD und Intune verwendet werden.An existing Lookout Mobile Endpoint Security tenant that is not already associated with your Azure AD tenant cannot be used for the integration with Azure AD and Intune. Wenden Sie sich an den Lookout-Support, um einen neuen Lookout Mobile Endpoint Security-Mandanten zu erstellen.Contact Lookout support to create a new Lookout Mobile Endpoint Security tenant. Verwenden Sie den neuen Mandanten zur Integration Ihrer Azure AD-Benutzer.Use the new tenant to onboard your Azure AD users.

Sammeln von Azure AD-InformationenCollect Azure AD information

Ihr Lookout Mobile Endpoint Security-Mandant wird zur Integration von Lookout in Intune Ihrem Azure AD-Abonnement zugeordnet.Your Lookout Mobility Endpoint Security tenant will be associated with your Azure AD subscription to integrate Lookout with Intune. Um Ihr Abonnement für Lookout Mobile Threat Defense zu aktivieren, benötigt der Lookout-Support (enterprisesupport@lookout.com) folgende Informationen:To enable your Lookout Mobile Threat Defense service subscription, Lookout support (enterprisesupport@lookout.com) needs the following information:

  • Azure AD-Mandanten-IDAzure AD Tenant ID
  • Objekt-ID der Azure AD-Gruppe für den Vollzugriff auf die Lookout-KonsoleAzure AD Group Object ID for full Lookout console access
  • Objekt-ID der Azure AD-Gruppe für den eingeschränkten Zugriff auf die Lookout-Konsole (optional)Azure AD Group Object ID for restricted Lookout console access (optional)

Führen Sie die folgenden Schritte aus, um die Informationen zusammenzustellen, die Sie an das Lookout-Supportteam übermitteln müssen.Use the following steps to gather the information you need to give to the Lookout support team.

  1. Melden Sie sich beim Azure-Portal an, und wählen Sie Ihr Abonnement aus.Sign in to the Azure portal and select your subscription.

  2. Wenn Sie den Namen Ihres Abonnements auswählen, enthält die resultierende URL die Abonnement-ID.When you choose the name of your subscription, the resulting URL includes the subscription ID. Wenn Sie Probleme haben, Ihre Abonnement-ID zu finden, finden Sie in diesem Microsoft-Supportartikel entsprechende Tipps.If you have any issues finding your subscription ID, see this Microsoft support article for tips on finding your subscription ID.

  3. Suchen Sie Ihre Azure AD-Gruppen-ID.Find your Azure AD Group ID. Die Lookout-Konsole unterstützt zwei Zugriffsebenen:The Lookout console supports 2 levels of access:

    • Vollzugriff: Der Azure AD-Administrator kann eine Gruppe für Benutzer erstellen, die Vollzugriff erhalten sollen, und optional eine Gruppe für Benutzer erstellen, die eingeschränkten Zugriff erhalten sollen.Full Access: The Azure AD admin can create a group for users that will have Full Access and optionally create a group for users that will have Restricted Access. Nur die Benutzer in diesen Gruppen können sich dann bei der Lookout-Konsole anmelden.Only users in these groups will be able to login to the Lookout console.
    • Eingeschränkter Zugriff: Die Benutzer in dieser Gruppe haben keinen Zugriff auf verschiedene Module der Lookout-Konsole für die Konfiguration und Registrierung und schreibgeschützten Zugriff auf das Modul Sicherheitsrichtlinie der Lookout-Konsole.Restricted Access: The users in this group will have no access to several configuration and enrollment related modules of the Lookout console, and have read-only access to the Security Policy module of the Lookout console.

      Tipp

      Weitere Details zu den Berechtigungen finden Sie in diesem Artikel auf der Lookout-Website.For more details on the permissions, read this article on the Lookout website.

      Hinweis

      Die Gruppenobjekt-ID befindet sich im Azure AD-Verwaltungsportal auf der Seite Eigenschaften der Gruppe.The Group Object ID is on the Properties page of the group in the Azure AD management portal.

  4. Nachdem Sie diese Informationen zusammengestellt haben, wenden Sie sich an den Lookout-Support (E-Mail-Adresse: enterprisesupport@lookout.com).Once you have gathered this information, contact Lookout support (email: enterprisesupport@lookout.com). Der Lookout-Support arbeitet mit Ihrem primären Kontakt zusammen, um Ihr Abonnement mithilfe der von Ihnen gesammelten Informationen zu integrieren und Ihr Lookout Enterprise-Konto zu erstellen.Lookout Support will work with your primary contact to onboard your subscription and create your Lookout Enterprise account, using the information that you collected.

Konfigurieren des AbonnementsConfigure your subscription

  1. Nachdem das Lookout-Supportteam Ihr Lookout-Enterprise-Konto erstellt hat, wird von Lookout eine E-Mail an den primären Kontakt Ihres Unternehmens gesendet, die einen Link zur Anmelde-URL enthält: https://aad.lookout.com/les?action=consent.After Lookout support creates your Lookout Enterprise account, an email from Lookout is sent to the primary contact for your company with a link to the login url:https://aad.lookout.com/les?action=consent.

  2. Die erste Anmeldung bei der Lookout-Konsole muss mit einem Benutzerkonto mit der Azure AD-Rolle „Globaler Administrator“ erfolgen, um Ihren Azure AD-Mandanten zu registrieren.The first login to the Lookout console must be by with a user account with the Azure AD role of Global Admin to register your Azure AD tenant. Bei späteren Anmeldungen ist diese Azure AD-Berechtigungsebene nicht erforderlich.Later, sign in doesn't this level of Azure AD privilege. Es wird eine Zustimmungsseite angezeigt.A consent page is displayed. Wählen Sie Akzeptieren aus, um die Registrierung abzuschließen.Choose Accept to complete the registration. Nachdem Sie die Bedingungen akzeptiert und ihnen zustimmt haben, werden Sie an die Lookout-Konsole weitergeleitet.Once you have accepted and consented, you are redirected to the Lookout Console.

    Screenshot der Seite für die erste Anmeldung an der Lookout-Konsole

    [HINWEIS] Sollten Probleme bei der Anmeldung auftreten, finden Sie unter Problembehandlung der Lookout-Integration mit Intune weitere Informationen.[NOTE] See troubleshooting Lookout integration for help with login problems.

  3. Wählen Sie in der Lookout-Konsole im Modul System die Registerkarte Connectors und dann Intune aus.In the Lookout Console, from the System module, choose the Connectors tab, and select Intune.

    Screenshot der Lookout-Konsole mit geöffneter Registerkarte „Connectors“ und hervorgehobener Option „Intune“

  4. Wechseln Sie zu Connectors > Verbindungseinstellungen, und geben Sie die Taktfrequenz in Minuten an.Go Connectors > Connection Settings and specify the Heartbeat Frequency in minutes.

    Screenshot der Registerkarte „Verbindungseinstellungen“ mit konfigurierter Taktfrequenz

Konfigurieren von RegistrierungsgruppenConfigure enrollment groups

  1. Es ist eine bewährte Methode, eine Azure AD-Sicherheitsgruppe im Azure AD-Verwaltungsportal mit einer geringen Anzahl von Benutzern zu erstellen, um die Lookout-Integration zu testen.As a best practice, create an Azure AD security group in the Azure AD management portal containing a small number of users to test Lookout integration.

    [HINWEIS] Alle identifizierten, von Lookout unterstützten und bei Intune registrierten Geräte von Benutzern in einer Registrierungsgruppe in Azure AD werden registriert und sind dann zur Aktivierung in der Lookout MTD-Konsole berechtigt.[NOTE] All the Lookout-supported, Intune-enrolled devices of users in an enrollment group in Azure AD that are identified and supported are enrolled and eligible for activation in Lookout MTD console.

  2. Wählen Sie in der Lookout-Konsole im Modul System die Registerkarte Connectors, und wählen Sie Registrierungsverwaltung, um eine Gruppe von Benutzern zu definieren, deren Geräte bei Lookout registriert werden sollen.In the Lookout Console, from the System module, choose the Connectors tab, and select Enrollment Management to define a set of users whose devices should be enrolled with Lookout. Fügen Sie die Azure AD-Sicherheitsgruppe Anzeigename für die Registrierung hinzu.Add the Azure AD security group Display Name for enrollment.

    Screenshot der Intune-Seite zur Connectorregistrierung

    Wichtig

    Beim Anzeigenamen muss die Groß- und Kleinschreibung beachtet werden, wie in den Eigenschaften der Sicherheitsgruppe im Azure-Portal dargestellt.The Display Name is case sensitive as shown the in the Properties of the security group in the Azure portal. Wie in der Abbildung unten gezeigt, wird der Anzeigename mit Groß- und Kleinbuchstaben geschrieben, der Titel dagegen nur mit Kleinbuchstaben.As shown in the image below, the Display Name of the security group is camel case while the title is all lower case. Verwenden Sie in der Lookout-Konsole für die Sicherheitsgruppe dieselbe Groß- und Kleinschreibung wie im Anzeigenamen.In the Lookout console match the Display Name case for the security group. Screenshot des Azure-Portals, Azure Active Directory-Dienst, Seite „Eigenschaften“screenshot of the Azure portal, Azure Active Directory service, properties page

    Hinweis

    Die bewährte Methode ist das Verwenden des Standardwerts (5 Minuten) für die Überprüfung auf neue Geräte.The best practice is to use the default (5 minutes) for the increment of time to check for new devices. Aktuelle Einschränkungen: Lookout kann Anzeigenamen von Gruppen nicht überprüfen: Stellen Sie sicher, dass das Feld ANZEIGENAME im Azure-Portal genau mit der Azure AD-Sicherheitsgruppe übereinstimmt.Current limitations, Lookout cannot validate group display names: Ensure the DISPLAY NAME field in the Azure portal exactly matches the Azure AD security group. Das Erstellen geschachtelter Gruppen wird nicht unterstützt: In Lookout verwendete Azure AD-Sicherheitsgruppen dürfen nur Benutzer enthalten.Creating nest groups is not supported: Azure AD security groups used in Lookout must contain users only. Sie dürfen keine anderen Gruppen umfassen.They cannot contain other groups.

  3. Wenn ein Benutzer nach dem Hinzufügen einer Gruppe die Lookout for Work-App auf einem unterstützten Gerät öffnet, wird das Gerät in Lookout aktiviert.Once a group is added, the next time a user opens the Lookout for Work app on their supported device, the device is activated in Lookout.

  4. Wenn Sie mit den Ergebnissen zufrieden sind, erweitern Sie die Registrierung auf weitere Benutzergruppen.Once you are satisfied with your results, extend enrollment to additional user groups.

Konfigurieren der StatussynchronisierungConfigure state sync

Geben Sie in der Option Statussynchronisierung den Typ von Daten an, die an Intune gesendet werden sollen.In the State Sync option, specify the type of data that should be sent to Intune. Damit die Lookout-Intune-Integration ordnungsgemäß funktioniert, sind sowohl der Gerätestatus als auch der Bedrohungsstatus erforderlich.Both device status and threat status are required for the Lookout Intune integration to work correctly. Standardmäßig sind diese Einstellungen aktiviert.These settings are enabled by default.

Konfigurieren von Empfängerinformationen für Fehlerberichts-E-MailsConfigure error report email recipient information

Geben Sie in der Option Fehlerverwaltung die E-Mail-Adresse ein, an die die Fehlerberichte gesendet werden sollen.In the Error Management option, enter the email address that should receive the error reports.

Screenshot der Intune-Seite zur Connector-Fehlerverwaltung

Konfigurieren von RegistrierungseinstellungenConfigure enrollment settings

Geben Sie im Modul System auf der Seite Connectors die Anzahl von Tagen an, bevor ein Gerät als getrennt bezeichnet werden kann.In the System module, on the Connectors page, specify the number of days before a device is considered as disconnected. Nicht verbundene Geräte gelten als nicht kompatibel und der Zugriff auf Unternehmensanwendungen wird ihnen auf Grundlage der Intune-Richtlinien für den bedingten Zugriff verwehrt.Disconnected devices are considered as non-compliant and will be blocked from accessing your company applications based on the Intune conditional access policies. Sie können Werte zwischen 1 und 90 Tagen angeben.You can specify values between 1 and 90 days.

Lookout-Registrierungseinstellungen

Konfigurieren von E-Mail-BenachrichtigungenConfigure email notifications

Wenn Sie bei Bedrohungen Warnungen per E-Mail erhalten möchten, melden Sie sich bei der Lookout-Konsole mit dem Benutzerkonto an, das die Benachrichtigungen erhalten soll.If you want to receive email alerts for threats, sign in to the Lookout console with the user account that should receive notifications. Wählen Sie im Modul System auf der Registerkarte Einstellungen die Bedrohungsstufen aus, für die Benachrichtigungen gesendet werden sollen, und legen Sie sie auf EIN fest.On the Preferences tab of the System module, choose the threat levels that should notifications and set them to ON. Speichern Sie die Änderungen.Save your changes.

Screenshot der Seite „Einstellungen“ mit angezeigtem Benutzerkonto Wenn Sie keine E-Mail-Benachrichtigungen mehr empfangen möchten, legen Sie die Benachrichtigungen auf AUS fest, und speichern Sie Ihre Änderungen.screenshot of the preferences page with the user account displayed If you no longer want to receive email notifications, set the notifications to OFF and save your changes.

Konfigurieren der BedrohungsklassifizierungConfigure threat classification

Lookout Mobile Threat Defense klassifiziert verschiedene Typen von Bedrohungen für mobile Geräte.Lookout Mobile Threat Defense classifies mobile threats of various types. Den Lookout-Bedrohungsklassifizierungen sind Standardrisikostufen zugeordnet.The Lookout threat classifications have default risk levels associated with them. Sie können diese jederzeit gemäß den Anforderungen Ihres Unternehmens ändern.These can be changed at any time to suit your company requirements.

Screenshot der Richtlinienseite mit Bedrohung und Klassifikationen

Wichtig

Risikostufen sind ein wichtiger Aspekt von Mobile Threat Defense, da die Intune-Integration die Gerätekompatibilität zur Laufzeit anhand dieser Risikostufen berechnet.Risk levels are an important aspect of Mobile Threat Defense because the Intune integration calculates device compliance according to these risk levels at runtime. Der Intune-Administrator legt in der Richtlinie eine Regel fest, um ein Gerät als nicht kompatibel zu identifizieren, wenn auf dem Gerät eine aktive Bedrohung mit der Mindeststufe Hoch, Mittel oder Niedrig erkannt wird.The Intune administrator sets a rule in policy to identify a device as non-compliant if the device has an active threat with a minimum level of High, Medium, or Low. Die Richtlinie zur Bedrohungsklassifizierung von Lookout Mobile Threat Defense bildet die unmittelbare Grundlage zur Berechnung der Gerätekompatibilität in Intune.The threat classification policy in Lookout Mobile Threat Defense directly drives the device compliance calculation in Intune.

Beobachten der RegistrierungWatching enrollment

Nachdem das Setup abgeschlossen wurde, beginnt Lookout Mobile Threat Defense mit der Abfrage von Azure AD nach Geräten, die den angegebenen Registrierungsgruppen entsprechen.Once the setup is complete, Lookout Mobile Threat Defense starts to poll Azure AD for devices that correspond to the specified enrollment groups. Informationen zu den registrierten Geräten finden Sie im Modul „Geräte“.You can find information about the devices enrolled on the Devices module. Der Ausgangsstatus für Geräte wird als „ausstehend“ angezeigt.The initial status for devices is shown as pending. Der Gerätestatus ändert sich, sobald die Lookout for Work-App auf dem Gerät installiert, geöffnet und aktiviert wurde.The device status changes once the Lookout for Work app is installed, opened, and activated on the device. Details zur Übertragung der Lookout for Work-App per Push an die Geräte finden Sie im Thema Add Lookout for Work apps with Intune (Hinzufügen von Lookout for Work-Apps mit Intune).For details on how to get the Lookout for Work app pushed to the device, see the Add Lookout for work apps with Intune topic.

Nächste SchritteNext steps

Einrichten von Lookout-AppsSet up Lookout apps