Konfigurowanie subskrypcji usługi Lookout Mobile Threat DefenseSet up your Lookout Mobile Threat Defense subscription

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

Do skonfigurowania usługi Lookout Mobile Threat Defense wymagane są następujące kroki:The following steps are required to set up Lookout Mobile Threat Defense:

# KrokStep
11 Zbieranie informacji z usługi Azure ADCollect Azure AD information
22 Konfigurowanie subskrypcjiConfigure your subscription
33 Konfigurowanie grup rejestracjiConfigure enrollment groups
44 Konfigurowanie synchronizacji stanuConfigure state sync
55 Konfigurowanie informacji o adresie e-mail odbiorcy raportów o błędachConfigure error report email recipient information
66 Konfigurowanie ustawień rejestracjiConfigure enrollment settings
77 Konfigurowanie powiadomień e-mailConfigure email notifications
88 Konfigurowanie klasyfikacji zagrożeńonfigure threat classification
11 Obserwowanie rejestracjiWatching enrollment

Ważne

Nie można użyć istniejącej dzierżawy usługi Lookout Mobile Endpoint Security, która nie została wcześniej skojarzona z dzierżawą usługi Azure AD, w celu integracji z usługami Azure AD i Intune.An existing Lookout Mobile Endpoint Security tenant that is not already associated with your Azure AD tenant cannot be used for the integration with Azure AD and Intune. Skontaktuj się z pomocą techniczną firmy Lookout, aby utworzyć nową dzierżawę usługi Lookout Mobile Endpoint Security.Contact Lookout support to create a new Lookout Mobile Endpoint Security tenant. Przy użyciu nowej dzierżawy dodaj użytkowników usługi Azure AD.Use the new tenant to onboard your Azure AD users.

Zbieranie informacji z usługi Azure ADCollect Azure AD information

Dzierżawa usługi Lookout Mobility Endpoint Security zostanie skojarzona z subskrypcją usługi Azure AD w celu zintegrowania usługi Lookout z usługą Intune.Your Lookout Mobility Endpoint Security tenant will be associated with your Azure AD subscription to integrate Lookout with Intune. Aby włączyć subskrypcję usługi Lookout Mobile Threat Defense, zespół pomocy technicznej firmy Lookout (enterprisesupport@lookout.com) potrzebuje następujących informacji:To enable your Lookout Mobile Threat Defense service subscription, Lookout support (enterprisesupport@lookout.com) needs the following information:

  • Identyfikator dzierżawy usługi Azure ADAzure AD Tenant ID
  • Identyfikator obiektu grupy usługi Azure AD dla pełnego dostępu do konsoli usługi LookoutAzure AD Group Object ID for full Lookout console access
  • Identyfikator obiektu grupy usługi Azure AD dla ograniczonego dostępu do konsoli usługi Lookout (opcjonalnie)Azure AD Group Object ID for restricted Lookout console access (optional)

Wykonaj poniższe kroki w celu zebrania informacji, które musisz przekazać zespołowi pomocy technicznej firmy Lookout.Use the following steps to gather the information you need to give to the Lookout support team.

  1. Zaloguj się do portalu zarządzania usługi Azure AD i wybierz swoją subskrypcję.Sign in to the Azure AD management portal and select your subscription. Zrzut ekranu strony usługi Azure AD przedstawiający nazwę dzierżawyscreenshot of the Azure AD page showing the name of the tenant
  2. Po wybraniu nazwy subskrypcji wynikowy adres URL zawiera identyfikator subskrypcji.When you choose the name of your subscription, the resulting URL includes the subscription ID. Jeśli masz problemy ze znalezieniem identyfikatora subskrypcji, zobacz ten artykuł pomocy technicznej firmy Microsoft, aby uzyskać wskazówki dotyczące znajdowania identyfikatora subskrypcji.If you have any issues finding your subscription ID, see this Microsoft support article for tips on finding your subscription ID.
  3. Wyszukaj identyfikator grupy usługi Azure AD.Find your Azure AD Group ID. Konsola usługi Lookout obsługuje 2 poziomy dostępu:The Lookout console supports 2 levels of access:

    • Pełny dostęp: administrator usługi Azure AD może utworzyć grupę użytkowników, którzy będą mieć pełny dostęp i opcjonalnie utworzyć grupę użytkowników z ograniczonym dostępem.Full Access: The Azure AD admin can create a group for users that will have Full Access and optionally create a group for users that will have Restricted Access. Tylko użytkownicy z tych grup będą mogli logować się do konsoli usługi Lookout.Only users in these groups will be able to login to the Lookout console.
    • Ograniczony dostęp: użytkownicy w tej grupie nie będą mieć dostępu do kilku modułów konsoli usługi Lookout związanych z konfiguracją oraz rejestracją i będą mieć dostęp tylko do odczytu do modułu Security Policy (Zasady zabezpieczeń) konsoli usługi Lookout.Restricted Access: The users in this group will have no access to several configuration and enrollment related modules of the Lookout console, and have read-only access to the Security Policy module of the Lookout console.

    Więcej informacji dotyczących uprawnień znajduje się w witrynie sieci Web w tym artykule.For more details on the permissions, read this article on the Lookout website.

    Identyfikator obiektu grupy można znaleźć na stronie Właściwości grupy w konsoli zarządzania usługi Azure AD.The Group Object ID is on the Properties page of the group in the Azure AD management console.

    Zrzut ekranu strony właściwości z wyróżnionym polem Identyfikator grupy

  4. Po zebraniu tych informacji skontaktuj się z zespołem pomocy technicznej firmy Lookout (adres e-mail: enterprisesupport@lookout.com).Once you have gathered this information, contact Lookout support (email: enterprisesupport@lookout.com). Pomoc techniczna firmy Lookout wspólnie z główną osobą kontaktową doda subskrypcję i utworzy konto przedsiębiorstwa w usłudze Lookout przy użyciu zebranych wcześniej informacji.Lookout Support will work with your primary contact to onboard your subscription and create your Lookout Enterprise account, using the information that you collected.

Konfigurowanie subskrypcjiConfigure your subscription

  1. Po utworzeniu przez zespół pomocy technicznej firmy Lookout konta usługi Lookout Enterprise do głównej osoby kontaktowej w firmie zostanie wysłana wiadomość e-mail zawierająca link do adresu URL logowania: https://aad.lookout.com/les?action=consent.After Lookout support creates your Lookout Enterprise account, an email from Lookout is sent to the primary contact for your company with a link to the login url:https://aad.lookout.com/les?action=consent.

  2. Podczas pierwszego logowania do konsoli usługi Lookout należy użyć konta użytkownika w roli administratora globalnego usługi Azure AD w celu zarejestrowania dzierżawy usługi Azure AD.The first login to the Lookout console must be by with a user account with the Azure AD role of Global Admin to register your Azure AD tenant. Później podczas logowania ten poziom uprawnienia usługi Azure AD nie będzie używany.Later, sign in doesn't this level of Azure AD privilege. Zostanie wyświetlona strona zgody użytkownika.A consent page is displayed. Wybierz przycisk Accept (Akceptuj) w celu ukończenia rejestracji.Choose Accept to complete the registration.

    Zrzut ekranu strony pierwszego logowania do konsoli aplikacji Lookout Po zaakceptowaniu i wyrażeniu zgody nastąpi przekierowanie do konsoli usługi Lookout.screenshot of the first time login page of the Lookout console Once you have accepted and consented, you are redirected to the Lookout Console.

    Aby uzyskać pomoc dotyczącą problemów z logowaniem, zobacz Rozwiązywanie problemów dotyczących integracji aplikacji Lookout z usługą Intune.See troubleshooting Lookout integration for help with login problems.

  3. W konsoli usługi Lookout w module System wybierz kartę Connectors (Łączniki), a następnie wybierz pozycję Intune.In the Lookout Console, from the System module, choose the Connectors tab, and select Intune.

    Zrzut ekranu konsoli usługi Lookout z otwartą kartą łączników i wyróżnioną opcją Intune

  4. Wybierz kolejno pozycje Connectors > Connection Settings (Łączniki > Ustawienia połączeń) i określ wartość Heartbeat Frequency (Częstotliwość pulsu) w minutach.Go Connectors > Connection Settings and specify the Heartbeat Frequency in minutes.

    Zrzut ekranu przedstawiający kartę ustawień połączenia i skonfigurowaną częstotliwość pulsu

Konfigurowanie grup rejestracjiConfigure enrollment groups

  1. Najlepszym rozwiązaniem jest utworzenie w portalu zarządzania usługi Azure AD grupy zabezpieczeń usługi Azure AD zawierającej małą liczbę użytkowników na potrzeby testowania integracji z usługą Lookout.As a best practice, create an Azure AD security group in the Azure AD management portal containing a small number of users to test Lookout integration.

    Wszystkie urządzenia obsługiwane przez usługę Lookout i zarejestrowane w usłudze Intune, które należą do użytkowników w grupie rejestracji w usłudze Azure AD oraz zostały zidentyfikowane w usłudze Azure AD i są przez nią obsługiwane, są zarejestrowane i uprawnione do aktywacji w usłudze ochrony urządzeń przed zagrożeniami w usłudze Lookout.All the Lookout-supported, Intune-enrolled devices of users in an enrollment group in Azure AD that are identified and supported are enrolled and eligible for activation in Lookout device threat protection.

  2. W konsoli usługi Lookout w module System wybierz kartę Connectors (Łączniki), a następnie wybierz pozycję Enrollment Management (Zarządzenia rejestracjami), aby zdefiniować zestaw użytkowników, których urządzenia powinny zostać zarejestrowane w usłudze Lookout.In the Lookout Console, from the System module, choose the Connectors tab, and select Enrollment Management to define a set of users whose devices should be enrolled with Lookout. Dodaj grupę zabezpieczeń usługi Azure AD Nazwa wyświetlana na potrzeby rejestracji.Add the Azure AD security group Display Name for enrollment.

    Zrzut ekranu strony rejestracji łącznika usługi Intune

    Ważne

    Wartość Nazwa wyświetlana uwzględnia wielkość liter, jak pokazano w obszarze Właściwości grupy zabezpieczeń w witrynie Azure Portal.The Display Name is case sensitive as shown the in the Properties of the security group in the Azure portal. Jak widać poniżej, wartość Nazwa wyświetlana ma format camelCase, a tytuł jest pisany małymi literami.As shown in the image below, the Display Name of the security group is camel case while the title is all lower case. W konsoli usługi Lookout dopasuj wielkość liter wartości Nazwa wyświetlana dla grupy zabezpieczeń.In the Lookout console match the Display Name case for the security group. Zrzut ekranu przedstawiający witrynę Azure Portal, usługę Azure Active Directory i stronę właściwościscreenshot of the Azure portal, Azure Active Directory service, properties page

    Najlepszym rozwiązaniem jest użycie domyślnej wartości (5 minut) określającej, ile czasu ma upłynąć między kolejnymi próbami wykrywania nowego urządzenia.The best practice is to use the default (5 minutes) for the increment of time to check for new devices.

    Aktualne ograniczenia:Current limitations:

    • Usługa Lookout nie może walidować nazw wyświetlanych grup.Lookout cannot validate group display names. Upewnij się, że wartość pola NAZWA WYŚWIETLANA w witrynie Azure Portal odpowiada dokładnie grupie zabezpieczeń usługi Azure AD.Ensure the DISPLAY NAME field in the Azure portal exactly matches the Azure AD security group.
    • Tworzenie grup zagnieżdżonych nie jest obsługiwane.Creating nest groups is not supported. Grupy zabezpieczeń usługi Azure AD używane w usłudze Lookout muszą zawierać tylko użytkowników.Azure AD security groups used in Lookout must contain users only. Nie mogą zawierać innych grup.They cannot contain other groups.
  3. Po dodaniu grupy przy następnym otwarciu aplikacji Lookout for Work przez użytkownika na obsługiwanym urządzeniu zostanie ono aktywowane w usłudze Lookout.Once a group is added, the next time a user opens the Lookout for Work app on their supported device, the device is activated in Lookout.

  4. Jeśli wyniki są satysfakcjonujące, można rozszerzyć rejestrację na dodatkowe grupy użytkowników.Once you are satisfied with your results, extend enrollment to additional user groups.

Konfigurowanie synchronizacji stanuConfigure state sync

W opcji State Sync (Synchronizacja stanu) określ typ danych, które powinny być przesyłane do usługi Intune.In the State Sync option, specify the type of data that should be sent to Intune. Do prawidłowego działania integracji usług Lookout i Intune jest wymagany stan urządzenia i stan zagrożenia.Both device status and threat status are required for the Lookout Intune integration to work correctly. Oba są domyślnie włączone.These are enabled by default.

Konfigurowanie informacji o adresie e-mail odbiorcy raportów o błędachConfigure error report email recipient information

W opcji Error Management (Zarządzanie błędami) wpisz adres e-mail, na który mają być wysyłane raporty o błędach.In the Error Management option, enter the email address that should receive the error reports.

Zrzut ekranu strony zarządzania błędami łącznika usługi Intune

Konfigurowanie ustawień rejestracjiConfigure enrollment settings

W module System na stronie Connectors (Łączniki) określ liczbę dni, zanim urządzenie zostanie uznane za odłączone.In the System module, on the Connectors page, specify the number of days before a device is considered as disconnected. Odłączone urządzenia są uznawane za niezgodne i nie mają dostępu do aplikacji firmowych zgodnie z zasadami dostępu warunkowego usługi Intune.Disconnected devices are considered as non-compliant and will be blocked from accessing your company applications based on the Intune conditional access policies. Można określić wartości z zakresu od 1 do 90 dni.You can specify values between 1 and 90 days.

Konfigurowanie powiadomień e-mailConfigure email notifications

Jeśli chcesz otrzymywać alerty e-mail dotyczące zagrożeń, zaloguj się do konsoli usługi Lookout przy użyciu konta użytkownika, który powinien otrzymywać powiadomienia.If you want to receive email alerts for threats, sign in to the Lookout console with the user account that should receive notifications. Na karcie Preferences (Preferencje) modułu System wybierz poziom zagrożenia, który powinien wywoływać powiadomienia, i ustaw go na wartość ON (Włącz).On the Preferences tab of the System module, choose the threat levels that should notifications and set them to ON. Zapisz zmiany.Save your changes.

Zrzut ekranu strony preferencji z wyświetlonym kontem użytkownika Jeśli nie chcesz już otrzymywać powiadomień pocztą e-mail, ustaw dla powiadomień wartość OFF (Wyłącz) i zapisz zmiany.screenshot of the preferences page with the user account displayed If you no longer want to receive email notifications, set the notifications to OFF and save your changes.

Konfigurowanie klasyfikacji zagrożeńConfigure threat classification

Usługa Lookout Mobile Threat Defense klasyfikuje różne typy zagrożeń dla urządzeń przenośnych.Lookout Mobile Threat Defense classifies mobile threats of various types. Klasyfikacje zagrożeń w usłudze Lookout mają domyślne poziomy ryzyka, które są z nimi skojarzone.The Lookout threat classifications have default risk levels associated with them. Można je zmienić w dowolnym momencie zależnie od potrzeb firmy.These can be changed at any time to suit your company requirements.

Zrzut ekranu przedstawiający stronę zasad wraz z zagrożeniem i klasyfikacjami

Ważne

Poziomy ryzyka są istotnym elementem usługi Mobile Threat Defense, ponieważ podczas integracji usługi Intune na ich podstawie jest określana zgodność urządzenia w czasie wykonywania.Risk levels are an important aspect of Mobile Threat Defense because the Intune integration calculates device compliance according to these risk levels at runtime. Administrator usługi Intune ustawia regułę w zasadach, aby uznawać urządzenie za niezgodne, jeśli zawiera ono aktywne zagrożenie z wysokim, średnim lub niskim poziomem ryzyka.The Intune administrator sets a rule in policy to identify a device as non-compliant if the device has an active threat with a minimum level of High, Medium, or Low. Obliczanie zgodności urządzenia w usłudze Intune zależy bezpośrednio od zasad klasyfikacji zagrożeń w usłudze Lookout Mobile Threat Defense.The threat classification policy in Lookout Mobile Threat Defense directly drives the device compliance calculation in Intune.

Obserwowanie rejestracjiWatching enrollment

Po zakończeniu konfiguracji usługa Lookout Mobile Threat Defense rozpoczyna sondowanie usługi Azure AD pod kątem urządzeń, które odpowiadają określonym grupom rejestracji.Once the setup is complete, Lookout Mobile Threat Defense starts to poll Azure AD for devices that correspond to the specified enrollment groups. Informacje o zarejestrowanych urządzeniach znajdują się w module Devices (Urządzenia).You can find information about the devices enrolled on the Devices module. Początkowy stan urządzeń jest wyświetlany jako oczekujący.The initial status for devices is shown as pending. Stan urządzenia ulega zmianie po zainstalowaniu, otwarciu i aktywowaniu aplikacji Lookout for Work na danym urządzeniu.The device status changes once the Lookout for Work app is installed, opened, and activated on the device. Aby uzyskać szczegółowe informacje na temat sposobu wypychania aplikacji Lookout for Work do urządzenia, zobacz temat Configure and deploy Lookout for work apps (Konfigurowanie i wdrażanie aplikacji Lookout for Work).For details on how to get the Lookout for Work app pushed to the device, see the Configure and deploy Lookout for work apps topic.

Następne krokiNext steps

Włączanie połączenia Lookout MTP dla usługi IntuneEnable Lookout MTP connection Intune