Configurare l'integrazione di Lookout Mobile Threat Defense con IntuneSet up your Lookout Mobile Threat Defense integration with Intune

Per configurare la sottoscrizione di Lookout Mobile Threat Defense sono necessari i passaggi seguenti:The following steps are required to set up Lookout Mobile Threat Defense subscription:

# PassaggioStep
11 Raccogliere le informazioni di Azure ADCollect Azure AD information
22 Configurare la sottoscrizioneConfigure your subscription
33 Configurare i gruppi di registrazioneConfigure enrollment groups
44 Configurare la sincronizzazione dello statoConfigure state sync
55 Configurare le informazioni per il destinatario dei report sugli errori tramite posta elettronicaConfigure error report email recipient information
66 Configurare le impostazioni di registrazioneConfigure enrollment settings
77 Configurare le notifiche tramite posta elettronicaConfigure email notifications
88 Configurare la classificazione delle minacceonfigure threat classification
99 Monitoraggio della registrazioneWatching enrollment
Importante

Un tenant esistente di Lookout Mobile Endpoint Security non ancora associato al tenant di Azure AD non può essere usato per l'integrazione con Azure AD e Intune.An existing Lookout Mobile Endpoint Security tenant that is not already associated with your Azure AD tenant cannot be used for the integration with Azure AD and Intune. Contattare il supporto di Lookout per creare un nuovo tenant di Lookout Mobile Endpoint Security.Contact Lookout support to create a new Lookout Mobile Endpoint Security tenant. Usare il nuovo tenant per caricare gli utenti di Azure AD.Use the new tenant to onboard your Azure AD users.

Raccogliere le informazioni di Azure ADCollect Azure AD information

Il tenant di Lookout Mobility Endpoint Security verrà associato alla sottoscrizione di Azure AD per l'integrazione di Lookout con Intune.Your Lookout Mobility Endpoint Security tenant will be associated with your Azure AD subscription to integrate Lookout with Intune. Per abilitare la sottoscrizione per il servizio Lookout Mobile Threat Defense, il supporto tecnico di Lookout (enterprisesupport@lookout.com) ha bisogno delle informazioni seguenti:To enable your Lookout Mobile Threat Defense service subscription, Lookout support (enterprisesupport@lookout.com) needs the following information:

  • ID tenant di Azure ADAzure AD Tenant ID
  • ID oggetto gruppo di Azure AD per l'accesso completo alla console di LookoutAzure AD Group Object ID for full Lookout console access
  • ID oggetto gruppo di Azure AD per l'accesso limitato alla console di Lookout (facoltativo)Azure AD Group Object ID for restricted Lookout console access (optional)

Usare la procedura seguente per raccogliere le informazioni che dovranno essere fornite al team di supporto tecnico di Lookout.Use the following steps to gather the information you need to give to the Lookout support team.

  1. Accedere al Portale di Azure e selezionare la sottoscrizione.Sign in to the Azure portal and select your subscription.

  2. Quando si sceglie il nome della sottoscrizione, l'URL risultante include l'ID sottoscrizione.When you choose the name of your subscription, the resulting URL includes the subscription ID. Se risulta problematico trovare l'ID sottoscrizione, questo articolo del supporto tecnico Microsoft include suggerimenti per trovare l'ID sottoscrizione.If you have any issues finding your subscription ID, see this Microsoft support article for tips on finding your subscription ID.

  3. Trovare l'ID gruppo di Azure AD.Find your Azure AD Group ID. La console di Lookout supporta 2 livelli di accesso:The Lookout console supports 2 levels of access:

    • Accesso completo: l'amministratore di Azure AD può creare un gruppo per gli utenti che avranno accesso completo e, facoltativamente, creare un gruppo per gli utenti che avranno accesso limitato.Full Access: The Azure AD admin can create a group for users that will have Full Access and optionally create a group for users that will have Restricted Access. Solo gli utenti di questi gruppi saranno in grado di accedere alla console di Lookout.Only users in these groups will be able to login to the Lookout console.
    • Accesso limitato: gli utenti in questo gruppo non avranno alcun accesso a diversi moduli correlati alla configurazione e alla registrazione della console di Lookout e avranno accesso in sola lettura al modulo Security Policy (Criteri di sicurezza) della console di Lookout.Restricted Access: The users in this group will have no access to several configuration and enrollment related modules of the Lookout console, and have read-only access to the Security Policy module of the Lookout console.

      Suggerimento

      Per altri dettagli sulle autorizzazioni, leggere questo articolo nel sito Web di Lookout.For more details on the permissions, read this article on the Lookout website.

      Nota

      L'ID dell'oggetto gruppo è reperibile nella pagina Proprietà del gruppo nel portale di gestione di Azure AD.The Group Object ID is on the Properties page of the group in the Azure AD management portal.

  4. Dopo aver raccolto le informazioni, contattare il supporto di Lookout all'indirizzo di posta elettronica enterprisesupport@lookout.com.Once you have gathered this information, contact Lookout support (email: enterprisesupport@lookout.com). Il servizio di supporto tecnico di Lookout collaborerà con il contatto principale dell'utente per il caricamento della sottoscrizione e per creare l'account aziendale per Lookout, usando le informazioni raccolte.Lookout Support will work with your primary contact to onboard your subscription and create your Lookout Enterprise account, using the information that you collected.

Configurare la sottoscrizioneConfigure your subscription

  1. Quando il servizio di supporto tecnico di Lookout ha creato l'account aziendale per Lookout, viene inviato un messaggio di posta elettronica da Lookout al contatto principale per l'azienda con un collegamento all'URL di accesso: https://aad.lookout.com/les?action=consent.After Lookout support creates your Lookout Enterprise account, an email from Lookout is sent to the primary contact for your company with a link to the login url:https://aad.lookout.com/les?action=consent.

  2. Al primo accesso alla console di Lookout è necessario usare un account utente con il ruolo di amministratore globale di Azure AD per la registrazione del tenant di Azure AD.The first login to the Lookout console must be by with a user account with the Azure AD role of Global Admin to register your Azure AD tenant. In seguito, per l'accesso non è necessario questo livello di privilegi di Azure AD.Later, sign in doesn't this level of Azure AD privilege. Viene visualizzata una pagina per richiedere il consenso.A consent page is displayed. Scegliere Accept (Accetto) per completare la registrazione.Choose Accept to complete the registration. Dopo aver accettato e fornito il consenso , si verrà reindirizzati alla console di Lookout.Once you have accepted and consented, you are redirected to the Lookout Console.

    screenshot della pagina di primo accesso della console di Lookout

    [NOTA] Per assistenza per i problemi di accesso, vedere Troubleshooting Lookout integration (Risoluzione dei problemi di integrazione di Lookout).[NOTE] See troubleshooting Lookout integration for help with login problems.

  3. Nella console di Lookout, nel modulo System (Sistema), scegliere la scheda Connectors (Connettori) e quindi selezionare Intune.In the Lookout Console, from the System module, choose the Connectors tab, and select Intune.

    screeenshot della console di Lookout con la scheda Connectors (Connettori) aperta e l'opzione Intune evidenziata

  4. Passare a Connectors > Connection Settings (Connettori, Impostazioni di connessione) e specificare la frequenza di heartbeat in Heartbeat Frequency in minuti.Go Connectors > Connection Settings and specify the Heartbeat Frequency in minutes.

    screenshot della scheda delle impostazioni di connessione che mostra la frequenza di heartbeat configurata

Configurare i gruppi di registrazioneConfigure enrollment groups

  1. Come procedura consigliata, creare un gruppo di sicurezza di Azure AD nel portale di gestione di Azure AD con un numero limitato di utenti per verificare l'integrazione di Lookout.As a best practice, create an Azure AD security group in the Azure AD management portal containing a small number of users to test Lookout integration.

    [NOTA] Tutti i dispositivi supportati da Lookout e registrati in Intune degli utenti in un gruppo di registrazione in Azure AD che vengono identificati e sono supportati, vengono registrati e sono idonei per l'attivazione nella console di Lookout MTD.[NOTE] All the Lookout-supported, Intune-enrolled devices of users in an enrollment group in Azure AD that are identified and supported are enrolled and eligible for activation in Lookout MTD console.

  2. Nella console di Lookout, nel modulo System (Sistema), scegliere la scheda Connectors (Connettori) e selezionare Enrollment Management (Gestione registrazione) per definire il set di utenti i cui dispositivi devono essere registrati in Lookout.In the Lookout Console, from the System module, choose the Connectors tab, and select Enrollment Management to define a set of users whose devices should be enrolled with Lookout. Aggiungere il nome visualizzato (Display Name) del gruppo di sicurezza di Azure AD per la registrazione.Add the Azure AD security group Display Name for enrollment.

    screenshot della pagina di registrazione di Intune Connector

    Importante

    Per il Display Name (Nome visualizzato) viene fatta distinzione tra maiuscole e minuscole, come indicato nella pagina Proprietà del gruppo di sicurezza nel portale di Azure.The Display Name is case sensitive as shown the in the Properties of the security group in the Azure portal. Come illustrato nell'immagine seguente, il nome indicato in Display Name (Nome visualizzato) per il gruppo di sicurezza ha iniziali maiuscole, mentre il titolo è tutto in lettere minuscole.As shown in the image below, the Display Name of the security group is camel case while the title is all lower case. Nella console di Lookout usare la combinazione di maiuscole/minuscole di Display Name (Nome visualizzato) per il gruppo di sicurezza.In the Lookout console match the Display Name case for the security group. screenshot del portale di Azure, servizio Azure Active Directory, pagina delle proprietàscreenshot of the Azure portal, Azure Active Directory service, properties page

    Nota

    La procedura consigliata prevede l'uso dell'incremento predefinito (5 minuti) per verificare la presenza di nuovi dispositivi.The best practice is to use the default (5 minutes) for the increment of time to check for new devices. Per limitazioni correnti, Lookout non è in grado di convalidare i nomi visualizzati dei gruppi: assicurarsi che il campo NOME VISUALIZZATO nel Portale di Azure corrisponda esattamente a quello del gruppo di sicurezza di Azure AD.Current limitations, Lookout cannot validate group display names: Ensure the DISPLAY NAME field in the Azure portal exactly matches the Azure AD security group. La creazione di gruppi annidati non è supportata: i gruppi di sicurezza di Azure AD usati in Lookout devono contenere solo utenti.Creating nest groups is not supported: Azure AD security groups used in Lookout must contain users only. e non possono contenere altri gruppi.They cannot contain other groups.

  3. Dopo aver aggiunto un gruppo, alla successiva apertura dell'app Lookout for Work nel dispositivo supportato, il dispositivo viene attivato in Lookout.Once a group is added, the next time a user opens the Lookout for Work app on their supported device, the device is activated in Lookout.

  4. Quando si è soddisfatti dei risultati, è possibile estendere la registrazione ad altri gruppi di utenti.Once you are satisfied with your results, extend enrollment to additional user groups.

Configurare la sincronizzazione dello statoConfigure state sync

Nell'opzione State Sync (Sincronizzazione stato) specificare il tipo di dati che deve essere inviato a Intune.In the State Sync option, specify the type of data that should be sent to Intune. Per il corretto funzionamento dell'integrazione di Lookout e Intune sono necessari sia lo stato del dispositivo che lo stato delle minacce.Both device status and threat status are required for the Lookout Intune integration to work correctly. Queste impostazioni sono abilitate per impostazione predefinita.These settings are enabled by default.

Configurare le informazioni per il destinatario dei report sugli errori tramite posta elettronicaConfigure error report email recipient information

Nella sezione Error Management (Gestione degli errori) immettere l'indirizzo di posta elettronica del destinatario dei report sugli errori.In the Error Management option, enter the email address that should receive the error reports.

screenshot della pagina di gestione degli errori di Intune Connector

Configurare le impostazioni di registrazioneConfigure enrollment settings

Nel modulo System (Sistema), nella pagina Connectors (Connettori), specificare il numero di giorni dopo i quali un dispositivo deve essere considerato disconnesso.In the System module, on the Connectors page, specify the number of days before a device is considered as disconnected. I dispositivi disconnessi sono considerati non conformi. L'accesso alle applicazioni aziendali tramite questi dispositivi in base ai criteri di accesso condizionale di Intune è bloccato.Disconnected devices are considered as non-compliant and will be blocked from accessing your company applications based on the Intune conditional access policies. È possibile specificare un valore compreso tra 1 e 90 giorni.You can specify values between 1 and 90 days.

Impostazioni di registrazione di Lookout

Configurare le notifiche tramite posta elettronicaConfigure email notifications

Per ricevere avvisi relativi alle minacce tramite posta elettronica, accedere alla console di Lookout con l'account utente che deve ricevere le notifiche.If you want to receive email alerts for threats, sign in to the Lookout console with the user account that should receive notifications. Nella scheda Preferences (Preferenze) del modulo System (Sistema) scegliere il livello delle minacce per cui generare le notifiche e impostarle su ON (Attivato).On the Preferences tab of the System module, choose the threat levels that should notifications and set them to ON. Salvare le modifiche.Save your changes.

screenshot della pagina delle preferenze con l'account utente visualizzato Se non si vogliono più ricevere notifiche tramite posta elettronica, impostare le notifiche su OFF (Disattivato) e salvare le modifiche.screenshot of the preferences page with the user account displayed If you no longer want to receive email notifications, set the notifications to OFF and save your changes.

Configurare la classificazione delle minacceConfigure threat classification

Lookout Mobile Threat Defense usa vari tipi di classificazione per le minacce ai dispositivi mobili.Lookout Mobile Threat Defense classifies mobile threats of various types. Alle classificazioni delle minacce di Lookout sono associati livelli di rischio predefiniti.The Lookout threat classifications have default risk levels associated with them. Questi livelli possono essere modificati in qualsiasi momento per adattarli ai requisiti aziendali.These can be changed at any time to suit your company requirements.

screenshot della pagina dei criteri con minacce e classificazioni

Importante

I livelli di rischio rappresentano un aspetto importante di Mobile Threat Defense perché l'integrazione con Intune calcola la conformità dei dispositivi in base a questi livelli di rischio in fase di esecuzione.Risk levels are an important aspect of Mobile Threat Defense because the Intune integration calculates device compliance according to these risk levels at runtime. In altre parole, l'amministratore di Intune imposta una regola nei criteri per identificare un dispositivo come non conforme se presenta una minaccia attiva con un livello minimo di rischio: alto, medio o basso.The Intune administrator sets a rule in policy to identify a device as non-compliant if the device has an active threat with a minimum level of High, Medium, or Low. Il calcolo di conformità dei dispositivi in Intune dipende direttamente dai criteri di classificazione delle minacce in Lookout Mobile Threat Defense.The threat classification policy in Lookout Mobile Threat Defense directly drives the device compliance calculation in Intune.

Monitoraggio della registrazioneWatching enrollment

Al termine della configurazione, Lookout Mobile Threat Defense inizia a eseguire il polling di Azure AD per i dispositivi corrispondenti ai gruppi di registrazione specificati.Once the setup is complete, Lookout Mobile Threat Defense starts to poll Azure AD for devices that correspond to the specified enrollment groups. Le informazioni sui dispositivi registrati sono disponibili nel modulo Devices (Dispositivi).You can find information about the devices enrolled on the Devices module. Per i dispositivi viene visualizzato lo stato iniziale in sospeso.The initial status for devices is shown as pending. Lo stato del dispositivo cambia dopo l'installazione, l'apertura e l'attivazione nel dispositivo dell'app Lookout for Work.The device status changes once the Lookout for Work app is installed, opened, and activated on the device. Per informazioni dettagliate su come ottenere tramite push l'app Lookout for Work nel dispositivo, vedere l'argomento Add Lookout for work apps with Intune (Aggiungere app Lookout for Work con Intune).For details on how to get the Lookout for Work app pushed to the device, see the Add Lookout for work apps with Intune topic.

Passaggi successiviNext steps

Configurare le app di LookoutSet up Lookout apps