Lookout Mobile Endpoint Security コネクタと Intune

Microsoft Intune に統合された Mobile Threat Defense ソリューションである Lookout によって実行されるリスク評価に基づいて、モバイル デバイスから会社のリソースへのアクセスを制御することができます。 リスクは、Lookout サービスによりデバイスから収集される次のような製品利用統計情報に基づいて評価されます。

• オペレーティング システムの脆弱性
• インストールされた悪意のあるアプリ
• 悪意のあるネットワーク プロファイル

登録済みデバイス向けの Intune コンプライアンス ポリシーで有効にした Lookout リスク評価に基づき、条件付きアクセスのポリシーを構成できます。このポリシーは、検出された脅威に基づき、非準拠デバイスから企業リソースへのアクセスを許可したり、拒否したりするために利用できます。 登録されていないデバイスの場合、アプリ保護ポリシーを使用して、検出された脅威に基づいてブロックまたは選択的ワイプを強制することができます。

Intune と Lookout Mobile Endpoint Security で会社リソースを保護する方法

Lookout のモバイル アプリ Lookout for work は、モバイル デバイスにインストールされ、実行されます。 このアプリは、利用できる場合、ファイル システム、ネットワーク スタック、デバイスとアプリケーションの製品利用統計情報を記録し、Lookout クラウド サービスに送信し、モバイル デバイスの脅威に対するリスクを評価します。 Lookout コンソールでは、要件に合わせ、脅威に対するリスク レベルの分類を変更できます。

• 登録済みデバイスのサポート - Intune デバイス コンプライアンス ポリシーには Mobile Threat Defense (MTD) 用のルールが含まれ、そこでは Lookout for work からのリスク評価情報を使用できます。 MTD ルールを有効にすると、Intune では、有効にされたポリシーに基づいてデバイスの準拠状態が評価されます。 デバイスが準拠していないことが判明した場合、ユーザーは Exchange Online や SharePoint Online などの会社リソースへのアクセスをブロックされます。 また、ユーザーは、デバイスにインストールされている Lookout for work アプリから、問題を解決して会社のリソースへのアクセスを回復するための案内を受け取ります。 登録されたデバイスでの Lookout for work の使用をサポートするには:

  • デバイスに MTD アプリを追加する
  • MTD をサポートするデバイス コンプライアンス ポリシーを作成する
  • Intune で MTD コネクタを有効にする

• 登録されていないデバイスのサポート - Intune では、Intune アプリ保護ポリシーを使用すると、登録されていないデバイスで Lookout for work アプリからのリスク評価データを使用できます。 管理者は、この組み合わせを使用して、Microsoft Intune の保護されたアプリ内の企業データを保護することができ、それらの登録されていないデバイス上の企業データに対してブロックまたは選択的ワイプを発行することもできます。 登録されていないデバイスでの Lookout for work の使用をサポートするには:

  • 登録されていないデバイスに MTD アプリを追加する
  • Mobile Threat Defense アプリ保護ポリシーを作成する
  • 登録されていないデバイスに対して Intune で MTD コネクタを有効にする

サポートされるプラットフォーム

Intune に登録するとき、Lookout では次のプラットフォームがサポートされます。

• Android 5.0 以降
• iOS 12 以降

プラットフォームと言語サポートの詳細については、Lookout Web サイトを参照してください。

前提条件

• Lookout Mobile EndPoint Security エンタープライズ サブスクリプション
• プラン 1 サブスクリプションのMicrosoft Intune
• Microsoft Entra ID P1
• ユーザーにライセンスが割り当てられている Enterprise Mobility and Security (EMS) E3 または E5。

詳細については、「Lookout Mobile Endpoint Security」を参照してください

サンプル シナリオ

Intune で Mobile Endpoint Security を使用する場合の一般的なシナリオを次に示します。

悪意のあるアプリの脅威に基づいてアクセスを制御する

マルウェアなどの悪意のあるアプリがデバイスで検出されると、脅威が解決されるまで、デバイスで次の行為が禁止されます。

• 会社の電子メールに接続する
• OneDrive for Work アプリを使用して会社のファイルを同期する
• 会社のアプリにアクセスする

悪意のあるアプリが検出されたときにブロックする:

修復後、アクセスが与えられる:

ネットワークに対する脅威に基づいてアクセスを制御する

Man-in-the-middle 攻撃など、ネットワークに対する脅威を検出し、デバイスのリスクに基づいて WiFi ネットワークへのアクセスを保護します。

Wi-Fi 経由のネットワーク アクセスをブロックする:

修復後、アクセスが与えられる:

ネットワークへの脅威に基づいて SharePoint Online へのアクセスを制御する

Man-in-the-middle 攻撃のようなネットワークの脅威を検出し、デバイス リスクに基づき、企業ファイルの同期を制限します。

ネットワークの脅威が検出されたときに SharePoint Online をブロック:

修復後、アクセスが与えられる:

悪意のあるアプリの脅威に基づいて登録されていないデバイスでアクセスを制御する

Lookout Mobile Threat Defens ソリューションでデバイスが感染していると見なされる場合:

修復するとアクセス権が付与されます。

次の手順

このソリューションを実装するために必須となる主な手順:

• Lookout 統合を設定する
• Intune で Mobile Endpoint Security を有効にする
• Lookout for Work アプリを追加して割り当てる
• Lookout デバイス コンプライアンス ポリシーを構成する
• MTD アプリ保護ポリシーを作成する