Configurare l'integrazione di Lookout Mobile Endpoint Security con IntuneSet up Lookout Mobile Endpoint Security integration with Intune

Con un ambiente che soddisfi i prerequisiti, è possibile integrare Lookout Mobile Endpoint Security con Intune.With an environment that meets the prerequisites, you can integrate Lookout Mobile Endpoint Security with Intune. Le informazioni contenute in questo articolo illustrano nel dettaglio come predisporre l'integrazione e configurare impostazioni importanti in Lookout per l'uso con Intune.The information in this article will guide you in setting up integration and configuring important settings in Lookout for use with Intune.

Importante

Un tenant esistente di Lookout Mobile Endpoint Security non ancora associato al tenant di Azure AD non può essere usato per l'integrazione con Azure AD e Intune.An existing Lookout Mobile Endpoint Security tenant that is not already associated with your Azure AD tenant cannot be used for the integration with Azure AD and Intune. Contattare il supporto di Lookout per creare un nuovo tenant di Lookout Mobile Endpoint Security.Contact Lookout support to create a new Lookout Mobile Endpoint Security tenant. Usare il nuovo tenant per caricare gli utenti di Azure AD.Use the new tenant to onboard your Azure AD users.

Ottenere le informazioni su Azure ADCollect Azure AD information

Per integrare Lookout con Intune occorre associare il tenant di Lookout Mobility Endpoint Security alla sottoscrizione di Azure Active Directory (AD).To integrated Lookout with Intune, you associate your Lookout Mobility Endpoint Security tenant with your Azure Active Directory (AD) subscription.

Per abilitare la sottoscrizione di Lookout Mobile Endpoint Security con Intune, è necessario fornire le informazioni seguenti al servizio di supporto di Lookout (enterprisesupport@lookout.com):To enable your Lookout Mobile Endpoint Security subscription integration with Intune, you provide the following information to Lookout support (enterprisesupport@lookout.com):

  • ID directory del tenant di Azure ADAzure AD tenant Directory ID

  • ID oggetto di gruppo di Azure AD per il gruppo con accesso completo alla console di Lookout Mobile Endpoint Security (MES).Azure AD group Object ID for the group with full Lookout Mobile Endpoint Security (MES) Console access.
    Occorre creare questo gruppo di utenti in Azure AD per contenere gli utenti che hanno accesso completo alla console di Lookout.You create this user group in Azure AD to contain the users that have full access to sign in to the Lookout console. Gli utenti devono essere membri di questo gruppo o del gruppo facoltativo con accesso con restrizioni per poter accedere alla console di Lookout.Users must be members of this group, or the optional restricted access group, to sign in to the Lookout Console.

  • ID oggetto di gruppo di Azure AD per il gruppo con accesso con restrizioni alla console di Lookout MES (gruppo facoltativo) .Azure AD group Object ID for the group with restricted Lookout MES Console access (optional group). Occorre creare questo gruppo di utenti in Azure AD per contenere gli utenti che non devono avere accesso a diversi moduli di configurazione e registrazione della console di Lookout.You create this optional user group in Azure AD to contain users that shouldn't have access to several configuration and enrollment-related modules of the Lookout console. Questi utenti hanno invece accesso in sola lettura al modulo Criteri di sicurezza della console di Lookout.Instead, these users have read-only access to the Security Policy module of the Lookout console. Gli utenti devono essere membri di questo gruppo facoltativo o del gruppo obbligatorio con accesso completo per poter accedere alla console di Lookout.Users must be members of this optional group, or the required full access group, to sign in to the Lookout Console.

Suggerimento

Per altri dettagli sulle autorizzazioni, leggere questo articolo nel sito Web di Lookout.For more details on the permissions, read this article on the Lookout website.

Raccogliere informazioni da Azure ADCollect information from Azure AD

  1. Accedere al portale di Azure con un account di amministratore globale.Sign in to the Azure portal with a Global Administrator account.

  2. Passare ad Azure Active Directory > Proprietà e individuare il proprio ID directory.Go to Azure Active Directory > Properties and locate your Directory ID. Usare il pulsante Copia per copiare l'ID directory e quindi salvarlo in un file di testo.Use the Copy button to copy the Directory ID, and then save it in a text file.

    Proprietà di Azure AD

  3. Trovare quindi l'ID di gruppo di Azure AD per gli account usati per concedere agli utenti di Azure AD l'accesso alla console di Lookout.Next, find the Azure AD Group ID for the accounts you use to grant Azure AD users access to the Lookout Console. Il primo gruppo è per l'accesso completo, mentre il secondo è per l'accesso con restrizioni ed è facoltativo.One group is for full access, and the second group, for restricted access is optional. Per ottenere l'ID oggetto, per ogni account:To get the Object ID, for each account:

    1. Passare ad Azure Active Directory > Gruppi per aprire il riquadro Gruppi - Tutti i gruppi.Go to Azure Active Directory > Groups to open the Groups - All groups pane.

    2. Selezionare il gruppo creato per l'accesso completo per aprire il relativo riquadro Panoramica.Select the group you created for full access to open its Overview pane.

    3. Usare il pulsante Copia per copiare l'ID oggetto e quindi salvarlo in un file di testo.Use the Copy button to copy the Object ID, and then save it in a text file.

    4. Ripetere la procedura per il gruppo con accesso con restrizioni, se usato.Repeat the process for the restricted access group if you use that group.

      ID oggetto di gruppo di Azure AD

    Dopo aver raccolto queste informazioni, contattare il supporto di Lookout all'indirizzo di posta elettronica enterprisesupport@lookout.com.After you gather this information, contact Lookout support (email: enterprisesupport@lookout.com). Il servizio di supporto tecnico di Lookout collaborerà con il contatto principale dell'utente per eseguire l'onboarding della sottoscrizione e per creare l'account aziendale per Lookout, usando le informazioni fornite.Lookout Support will work with your primary contact to onboard your subscription and create your Lookout Enterprise account, using the information that you provide.

Configurare la sottoscrizione di LookoutConfigure your Lookout subscription

I passaggi seguenti vengono eseguiti nella console di amministrazione di Lookout Enterprise e consentiranno una connessione al servizio Lookout per i dispositivi registrati di Intune (tramite la conformità del dispositivo) e i dispositivi non registrati (tramite i criteri di protezione delle app).The following steps are to be completed in the Lookout Enterprise admin console and will enable a connection to Lookout's service for Intune enrolled devices (via device compliance) and unenrolled devices (via app protection policies).

Dopo aver creato l'account aziendale per Lookout, il servizio di supporto tecnico di Lookout invia un messaggio di posta elettronica al contatto principale dell'azienda con un collegamento all'URL di accesso: https://aad.lookout.com/les?action=consent.After Lookout support creates your Lookout Enterprise account, Lookout support sends an email to the primary contact for your company with a link to the sign-in url: https://aad.lookout.com/les?action=consent.

Accesso inizialeInitial sign-in

Al primo accesso alla console di Lookout MES viene visualizzata una pagina di consenso (https://aad.lookout.com/les?action=consent) ).The first sign-in to the Lookout MES Console displays a consent page (https://aad.lookout.com/les?action=consent). Se si è amministratori globali di Azure AD, accedere e selezionare Accept (Accetto).An Azure AD Global Administrator just sign-in and Accept. Per gli accessi successivi non è necessario che l'utente abbia questo livello di privilegi per Azure AD.Subsequent sign-in doesn't require the user to have this level of Azure AD privilege.

Viene visualizzata una pagina di consenso.A consent page is displayed. Scegliere Accept (Accetto) per completare la registrazione.Choose Accept to complete the registration. Screenshot della pagina di primo accesso della console di Lookoutscreenshot of the first-time sign-in page of the Lookout console

Dopo aver accettato e fornito il consenso, si viene reindirizzati alla console di Lookout.When you accept and consent, you're redirected to the Lookout Console.

Completata la fase di accesso iniziale e consenso, gli utenti che accedono da https://aad.lookout.com vengono reindirizzati alla console MES.After the initial sign-in and consent is complete, users that sign in from https://aad.lookout.com are redirected to the MES Console. Se il consenso non è stato ancora concesso, tutti i tentativi di accesso generano un errore di accesso non valido.If consent wasn't yet granted, all sign-in attempts result in a Bad Login Error.

Configurare Intune ConnectorConfigure the Intune Connector

La procedura seguente presuppone che sia stato precedentemente creato un gruppo di utenti in Azure AD per testare la distribuzione di Lookout.The following procedure assumes you've previously created a user group in Azure AD for testing your Lookout deployment. È consigliabile iniziare con un piccolo gruppo di utenti per consentire agli amministratori di Lookout e Intune di familiarizzare con le integrazioni dei prodotti.The best practice is to start with a small group of users to allow your Lookout and Intune admins to become familiar with the product integrations. Sarà poi possibile estendere la registrazione ad altri gruppi di utenti.After they're familiar, you can extend the enrollment to additional groups of users.

  1. Accedere alla console di Lookout MES e passare a System (Sistema) > Connectors (Connettori), quindi selezionare Add Connector (Aggiungi connettore).Sign in to the Lookout MES Console and go to System > Connectors, and then select Add Connector. Selezionare Intune.Select Intune.

    Immagine della console di Lookout con l'opzione Intune nella scheda dei connettori

  2. Nel riquadro Microsoft Intune selezionare Connection Settings (Impostazioni di connessione) e quindi in Heartbeat Frequency specificare la frequenza di heartbeat in minuti.On the Microsoft Intune pane, select Connection Settings and specify the Heartbeat Frequency in minutes.

    Immagine della scheda delle impostazioni di connessione con la frequenza di heartbeat configurata

  3. Selezionare Enrollment Management (Gestione registrazione), quindi in Use the following Azure AD security groups to identify devices that should be enrolled in Lookout for Work (Usa i gruppi di sicurezza di Azure AD seguenti per identificare i dispositivi da registrare in Lookout for Work) specificare il nome gruppo di un gruppo di Azure AD da usare con Lookout, quindi selezionare Save changes (Salva modifiche).Select Enrollment Management, and for Use the following Azure AD security groups to identify devices that should be enrolled in Lookout for Work, specify the Group name of an Azure AD group to use with Lookout, and then select Save changes.

    screenshot della pagina di registrazione di Intune Connector

    Informazioni sui gruppi usati:About the groups you use:

    • È consigliabile iniziare con un gruppo di sicurezza Azure AD contenente un numero limitato di utenti per testare l'integrazione di Lookout.As a best practice, start with an Azure AD security group that contains a small number of users to test Lookout integration.
    • Per il nome del gruppo viene fatta distinzione tra maiuscole e minuscole, come indicato nella pagina Proprietà del gruppo di sicurezza nel portale di Azure.The Group name is case-sensitive as shown in the Properties of the security group in the Azure portal.
    • I gruppi specificati per Enrollment Management (Gestione registrazione) definiscono il gruppo di utenti i cui dispositivi verranno registrati con Lookout.The groups you specify for Enrollment Management define the set of users whose devices will be enrolled with Lookout. Quando un utente è in un gruppo di registrazione, i suoi dispositivi in Azure AD vengono registrati e sono idonei per l'attivazione in Lookout MES.When a user is in an enrollment group, their devices in Azure AD are enrolled and eligible for activation in Lookout MES. La prima volta che un utente apre l'applicazione Lookout for Work in un dispositivo supportato, gli viene chiesto di attivarla.The first time a user opens the Lookout for Work application on a supported device, they're prompted to activate it.
  4. Selezionare State Sync (Sincronizzazione stato) e verificare che sia device status (stato dispositivo) che threat status (stato minacce) siano impostati su On (Attivato).Select State Sync and ensure both device status and threat status are set to On. Entrambi gli stati sono necessari per il corretto funzionamento dell'integrazione di Lookout e Intune.Both are required for the Lookout Intune integration to work correctly.

  5. Selezionare Error Management (Gestione errori), specificare l'indirizzo di posta elettronica a cui inviare i report sugli errori e quindi selezionare Save changes (Salva modifiche).Select Error Management, specify the email address that should receive the error reports, and then select Save changes.

    screenshot della pagina di gestione degli errori di Intune Connector

  6. Selezionare Create connector (Crea connettore) per completare la configurazione del connettore.Select Create connector to complete configuration of the connector. Quando si è soddisfatti dei risultati, è possibile estendere la registrazione ad altri gruppi di utenti.Later, when you're satisfied with your results, you can extend enrollment to additional user groups.

Configurare Intune per usare Lookout come provider di Mobile Threat DefenseConfigure Intune to use Lookout as a Mobile Threat Defense provider

Dopo aver configurato Lookout MES, è necessario impostare una connessione a Lookout in Intune.After you configure Lookout MES, you must set up a connection to Lookout in Intune.

Impostazioni aggiuntive nella console di Lookout MESAdditional settings in the Lookout MES Console

Di seguito sono illustrate alcune impostazioni aggiuntive che possono essere configurate nella console di Lookout MES.The following are additional settings you can configure in the Lookout MES Console.

Configurare le impostazioni di registrazioneConfigure Enrollment settings

Nella console di Lookout MES selezionare System (Sistema) > Manage Enrollment (Gestisci registrazione) > Enrollment settings (Impostazioni di registrazione).In the Lookout MES Console, select System > Manage Enrollment > Enrollment settings.

  • In Disconnected Status (Stato disconnesso) specificare il numero di giorni che deve trascorrere prima che un dispositivo non connesso venga contrassegnato come disconnesso.For Disconnected Status, specify the number of days before an unconnected device is marked as disconnected.

    I dispositivi disconnessi sono considerati non conformi. L'accesso alle applicazioni aziendali tramite questi dispositivi in base ai criteri di accesso condizionale di Intune è bloccato.Disconnected devices are considered as noncompliant and will be blocked from accessing your company applications based on the Intune conditional access policies. È possibile specificare un valore compreso tra 1 e 90 giorni.You can specify values between 1 and 90 days.

    Impostazioni di registrazione di Lookout per il modulo di sistema

Configurare le notifiche tramite posta elettronicaConfigure Email Notifications

Per ricevere avvisi relativi alle minacce tramite posta elettronica, accedere alla console di Lookout MES con l'account utente che deve ricevere le notifiche.To receive email alerts for threats, sign in to the Lookout MES Console with the user account that should receive notifications.

  • Passare a Preferences (Preferenze), impostare le notifiche che si vuole ricevere su ON (Attivato) e quindi scegliere Save (Salva) per salvare le modifiche.Go to Preferences and then set the notifications you want to receive to ON, and then Save the changes.

  • Se non si vogliono più ricevere notifiche tramite posta elettronica, impostare le notifiche su OFF (Disattivato) e salvare le modifiche.If you no longer want to receive email notifications, set the notifications to OFF and save your changes.

    Screenshot della pagina delle preferenze con l'account utente visualizzato

Configurare la classificazione delle minacceConfigure threat classifications

Lookout Mobile Endpoint Security usa vari tipi di classificazione per le minacce ai dispositivi mobili.Lookout Mobile Endpoint Security classifies mobile threats of various types. Alle classificazioni delle minacce di Lookout sono associati livelli di rischio predefiniti.The Lookout threat classifications have default risk levels associated with them. I livelli di rischio possono essere modificati in qualsiasi momento per adattarli ai requisiti aziendali.The risk levels can be changed at any time to suit your company requirements.

Per informazioni sulle classificazioni dei livelli di minaccia e su come gestire i livelli di rischio associati, vedere le informazioni di riferimento sulle minacce di Lookout.For information about the threat level classifications, and how to manage the risk levels associated with them, see Lookout Threat Reference.

Importante

I livelli di rischio rappresentano un aspetto importante di Mobile Endpoint Security perché l'integrazione con Intune calcola la conformità dei dispositivi in base a questi livelli di rischio in fase di esecuzione.Risk levels are an important aspect of Mobile Endpoint Security because the Intune integration calculates device compliance according to these risk levels at runtime.

L'amministratore di Intune imposta una regola nei criteri per identificare un dispositivo come non conforme se presenta una minaccia attiva con un livello minimo alto, medio o basso.The Intune administrator sets a rule in policy to identify a device as noncompliant if the device has an active threat with a minimum level of High, Medium, or Low. Il calcolo della conformità dei dispositivi in Intune dipende direttamente dai criteri di classificazione delle minacce in Lookout Mobile Endpoint Security.The threat classification policy in Lookout Mobile Endpoint Security directly drives the device compliance calculation in Intune.

Monitorare la registrazioneMonitor enrollment

Al termine della configurazione, Lookout Mobile Endpoint Security inizia a eseguire il polling di Azure AD per individuare i dispositivi corrispondenti ai gruppi di registrazione specificati.After setup is complete, Lookout Mobile Endpoint Security starts to poll Azure AD for devices that correspond to the specified enrollment groups. È possibile trovare informazioni sui dispositivi registrati passando a Devices (Dispositivi) nella console di Lookout MES.You can find information about enrolled devices by going to Devices in the Lookout MES Console.

  • Lo stato iniziale dei dispositivi è pending (in sospeso).Initial status for devices is pending.
  • Lo stato del dispositivo viene aggiornato dopo l'installazione, l'apertura e l'attivazione nel dispositivo dell'app Lookout for Work.The device status updates after the Lookout for Work app is installed, opened, and activated on the device.

Per informazioni dettagliate su come distribuire l'app Lookout for Work nel dispositivo, vedere Aggiungere e assegnare app Mobile Threat Defense (MTD) con Intune.For details on how to get the Lookout for Work app deployed to a device, see Add Lookout for work apps with Intune.

Passaggi successiviNext steps