Configurare l'integrazione di Lookout Mobile Endpoint Security con Intune

Con un ambiente che soddisfa i prerequisiti,è possibile integrare Lookout Mobile Endpoint Security con Intune. Le informazioni contenute in questo articolo ti guideranno nella configurazione dell'integrazione e nella configurazione di impostazioni importanti in Lookout per l'uso con Intune.

Importante

Non è possibile usare un tenant di Lookout Mobile Endpoint Security esistente non già associato al tenant Azure AD per l'integrazione con Azure AD e Intune. Contattare il supporto di Lookout per creare un nuovo tenant di Lookout Mobile Endpoint Security. Usare il nuovo tenant per eseguire l'onboard Azure AD utenti.

Raccogliere Azure AD informazioni

Per integrare Lookout con Intune, associa il tenant di Lookout Mobility Endpoint Security all'abbonamento Azure Active Directory (AD).

Per abilitare l'integrazione dell'abbonamento a Lookout Mobile Endpoint Security con Intune, fornisci le informazioni seguenti al supporto di Lookout (enterprisesupport@lookout.com):

  • Azure AD directory tenant

  • Azure AD id oggetto gruppo per il gruppo con accesso completo alla console di Lookout Mobile Endpoint Security (MES).
    Questo gruppo di utenti viene creato in Azure AD per contenere gli utenti che dispongono dell'accesso completo per accedere alla console di Lookout. Gli utenti devono essere membri di questo gruppo o del gruppo di accesso con restrizioni facoltativo per accedere alla console di lookout.

  • Azure AD ID oggetto gruppo per il gruppo con accesso limitato alla console Lookout MES (gruppo facoltativo). Questo gruppo di utenti facoltativo viene creato in Azure AD per contenere gli utenti che non dovrebbero avere accesso a diversi moduli relativi alla configurazione e alla registrazione della console lookout. Al contrario, questi utenti hanno accesso in sola lettura al modulo Criteri di sicurezza della console Lookout. Gli utenti devono essere membri di questo gruppo facoltativo o del gruppo di accesso completo necessario per accedere alla console lookout.

Suggerimento

Per ulteriori dettagli sulle autorizzazioni, leggere questo articolo nel sito Web Lookout.

Raccogliere informazioni da Azure AD

  1. Accedi al portale di Azure con un account amministratore globale.

  2. Vai a Azure Active Directory > proprietà e individua l'ID directory. Utilizzare il pulsante Copia per copiare l'ID directory e quindi salvarlo in un file di testo.

    Azure AD proprietà

  3. Trova quindi l'ID Azure AD gruppo per gli account che usi per concedere agli Azure AD utenti l'accesso alla console lookout. Un gruppo è per l'accesso completo e il secondo gruppo per l'accesso con restrizioni è facoltativo. Per ottenere l'ID oggetto, per ogni account:

    1. Passare a Azure Active Directory > gruppi per aprire il riquadro Gruppi - Tutti i gruppi.

    2. Selezionare il gruppo creato per l'accesso completo per aprire il riquadro Panoramica.

    3. Utilizzare il pulsante Copia per copiare l'ID oggetto e quindi salvarlo in un file di testo.

    4. Ripetere il processo per il gruppo di accesso con restrizioni se si utilizza tale gruppo.

      Azure AD id oggetto gruppo

    Dopo aver raccolto queste informazioni, contattare il supporto di Lookout (e-mail: enterprisesupport@lookout.com). Il supporto di Lookout funzionerà con il contatto principale per eseguire l'onboardboard dell'abbonamento e creare l'account lookout Enterprise, usando le informazioni fornite.

Configurare l'abbonamento a Lookout

I passaggi seguenti devono essere completati nella console di amministrazione di Lookout Enterprise e consentiranno una connessione al servizio di Lookout per i dispositivi registrati in Intune (tramite la conformità dei dispositivi) e i dispositivi non registrati (tramite i criteri di protezione delle app).

Dopo aver creato l'account lookout Enterprise, il supporto lookout invia un messaggio di posta elettronica al contatto principale dell'azienda con un collegamento all'URL di accesso: https://aad.lookout.com/les?action=consent .

Accesso iniziale

Il primo accesso alla console di Lookout MES visualizza una pagina di consenso ( https://aad.lookout.com/les?action=consent) . Un Azure AD amministratore globale deve solo accedere e accettare. L'accesso successivo non richiede che l'utente abbia questo livello di Azure AD privilegio.

Viene visualizzata una pagina di consenso. Scegliere Accetta per completare la registrazione. Screenshot della prima pagina di accesso della console Lookout

Quando accetti e accetti il consenso, viene reindirizzato alla console lookout.

Al termine dell'accesso e del consenso iniziali, gli utenti da cui si accede vengono https://aad.lookout.com reindirizzati alla console MES. Se il consenso non è stato ancora concesso, tutti i tentativi di accesso causano un errore di accesso non valido.

Configurare Intune Connector

La procedura seguente presuppone che in precedenza sia stato creato un gruppo di utenti in Azure AD per testare la distribuzione di Lookout. La procedura consigliata consiste nell'iniziare con un piccolo gruppo di utenti per consentire agli amministratori di Lookout e Intune di acquisire familiarità con le integrazioni dei prodotti. Una volta familiari, è possibile estendere la registrazione ad altri gruppi di utenti.

  1. Accedi alla console di Lookout MES e vai a Connettori di > sistema e quindi seleziona Aggiungi connettore. Selezionare Intune.

    Immagine della console lookout con l'opzione Intune nella scheda connettori

  2. Nel riquadro Microsoft Intune selezionare Connessione Impostazioni e specificare frequenza heartbeat in minuti.

    Immagine della scheda delle impostazioni di connessione con la frequenza heartbeat configurata

  3. Selezionare Gestione registrazioni e per Usare i seguenti gruppi di sicurezza di Azure AD per identificare i dispositivi che devono essere registrati in Lookout for Work, specificare il nome del gruppo di un gruppo di Azure AD da usare con Lookout e quindi selezionare Salva modifiche.

    screenshot della pagina di registrazione del connettore intune

    Informazioni sui gruppi utilizzati:

    • Come procedura consigliata, iniziare con un gruppo Azure AD di sicurezza che contiene un numero limitato di utenti per testare l'integrazione di Lookout.
    • Il nome del gruppo fa distinzione tra maiuscole e minuscole, come illustrato nelle proprietà del gruppo di sicurezza nel portale di Azure.
    • I gruppi specificati per Gestione registrazioni definiscono il set di utenti i cui dispositivi verranno registrati con Lookout. Quando un utente fa parte di un gruppo di registrazione, i dispositivi in Azure AD sono registrati ed idonei per l'attivazione in Lookout MES. La prima volta che un utente apre l'applicazione Lookout for Work in un dispositivo supportato, viene richiesto di attivarla.
  4. Seleziona State Sync e assicurati che sia lo stato del dispositivo che lo stato delle minacce siano impostati su On. Entrambi sono necessari per il corretto funzionamento dell'integrazione di Lookout Intune.

  5. Selezionare Gestione errori, specificare l'indirizzo di posta elettronica che deve ricevere le segnalazioni errori e quindi selezionare Salva modifiche.

    Screenshot of the Intune connector error management page

  6. Selezionare Crea connettore per completare la configurazione del connettore. In seguito, quando si è soddisfatti dei risultati, è possibile estendere la registrazione ad altri gruppi di utenti.

Configurare Intune per l'uso di Lookout come provider di Mobile Threat Defense

Dopo aver configurato Lookout MES, è necessario configurare una connessione a Lookout in Intune.

Impostazioni aggiuntive nella console di Lookout MES

Di seguito sono riportate altre impostazioni che è possibile configurare nella console di Lookout MES.

Configurare le impostazioni di registrazione

In Lookout MES Console seleziona System > Manage Enrollment > Settings.

  • In Stato disconnesso specificare il numero di giorni prima che un dispositivo non disconnesso venga contrassegnato come disconnesso.

    I dispositivi disconnessi sono considerati non conformi e non potranno accedere alle applicazioni aziendali in base ai criteri di accesso condizionale di Intune. È possibile specificare valori compresi tra 1 e 90 giorni.

    Impostazioni di registrazione lookout nel modulo Sistema

Configurare le notifiche di posta elettronica

Per ricevere avvisi tramite posta elettronica per le minacce, accedere alla console di Lookout MES con l'account utente che deve ricevere le notifiche.

  • Vai a Preferenze, quindi imposta le notifiche che vuoi ricevere su ON e quindi salva le modifiche.

  • Se non si desidera più ricevere notifiche tramite posta elettronica, impostare le notifiche su OFF e salvare le modifiche.

    screenshot della pagina delle preferenze con l'account utente visualizzato

Configurare le classificazioni delle minacce

Lookout Mobile Endpoint Security classifica le minacce mobili di vari tipi. Alle classificazioni delle minacce lookout sono associati livelli di rischio predefiniti. I livelli di rischio possono essere modificati in qualsiasi momento per soddisfare i requisiti aziendali.

Per informazioni sulle classificazioni a livello di minaccia e su come gestire i livelli di rischio associati, vedere Lookout Threat Reference.

Importante

I livelli di rischio sono un aspetto importante di Mobile Endpoint Security perché l'integrazione di Intune calcola la conformità dei dispositivi in base a questi livelli di rischio in fase di esecuzione.

L'amministratore di Intune imposta una regola nei criteri per identificare un dispositivo come non conforme se il dispositivo presenta una minaccia attiva con un livello minimo di High, Medium o Low. Il criterio di classificazione delle minacce in Lookout Mobile Endpoint Security guida direttamente il calcolo della conformità dei dispositivi in Intune.

Monitorare la registrazione

Al termine dell'installazione, Lookout Mobile Endpoint Security inizia a eseguire il polling Azure AD per i dispositivi che corrispondono ai gruppi di registrazione specificati. Puoi trovare informazioni sui dispositivi registrati andando su Dispositivi nella Console Lookout MES.

  • Lo stato iniziale per i dispositivi è in sospeso.
  • Lo stato del dispositivo viene aggiornato dopo l'installazione, l'apertura e l'attivazione dell'app Lookout for Work nel dispositivo.

Per informazioni dettagliate su come distribuire l'app Lookout for Work in un dispositivo, vedere Add Lookout for work apps with Intune.

Passaggi successivi