Configurar a integração de segurança de ponto de extremidade móvel do Lookout com o Intune

Com um ambiente que atende a pré-requisitos, você pode integrar a segurança de ponto de extremidade móvel do Lookout com o Intune. As informações neste artigo podem guiá-lo na configuração da integração e na configuração de configurações importantes no Lookout para uso com Intune.

Importante

Um locatário existente do Lookout Mobile Endpoint Security que ainda não está associado ao locatário Microsoft Entra não pode ser usado para a integração com Microsoft Entra ID e Intune. Contate o suporte do Lookout para criar um novo locatário do Lookout Mobile Endpoint Security. Use o novo locatário para integrar seus usuários Microsoft Entra.

Coletar informações Microsoft Entra

Para integrar o Lookout ao Intune, você associe o locatário do Lookout Mobility Endpoint Security à sua assinatura Microsoft Entra.

Para habilitar a integração da assinatura do Lookout Mobile Endpoint Security com Intune, forneça as seguintes informações ao suporte ao Lookout (enterprisesupport@lookout.com):

• Microsoft Entra ID do locatário

• Microsoft Entra grupo ID do objeto para o grupo com acesso completo ao console do MeS (Lookout Mobile Endpoint Security).

  Você cria esse grupo de usuários no Microsoft Entra ID para conter os usuários que têm acesso total para entrar no console do Lookout. Os usuários devem ser membros desse grupo ou do grupo opcional de acesso restrito, para entrar no console do Lookout.

• Microsoft Entra grupo ID do objeto para o grupo com acesso restrito ao Console MES do Lookout (grupo opcional).

  Você cria esse grupo de usuários opcional no Microsoft Entra ID para conter usuários que não devem ter acesso a vários módulos relacionados à configuração e ao registro do console lookout. Em vez disso, esses usuários têm acesso somente leitura ao módulo Política de Segurança do console do Lookout. Os usuários devem ser membros desse grupo opcional ou do grupo de acesso completo obrigatório, para entrar no console do Lookout.

Coletar informações de Microsoft Entra ID

1. Entre no portal do Azure com uma conta de administrador global.

2. Vá para Microsoft Entra ID>Properties e localize sua ID do Locatário. Use o botão Copiar para copiar a ID de diretório e, em seguida, salve-a em um arquivo de texto.

   

3. Em seguida, localize a ID do grupo Microsoft Entra para as contas que você usa para conceder aos usuários Microsoft Entra acesso ao Console do Lookout. Um grupo é para acesso completo e o segundo, para acesso restrito, é opcional. Para obter a ID de objeto, para cada conta:

   1. Acesse Microsoft Entra ID>Groups para abrir o painel Grupos – Todos os grupos.

   2. Selecione o grupo que você criou para acesso completo para abrir seu painel Visão geral.

   3. Use o botão Copiar para copiar a ID de objeto e, em seguida, salve-a em um arquivo de texto.

   4. Repita o processo para o grupo de acesso restrito se você usar esse grupo.

      

   Depois de coletar essas informações, entre em contato com o suporte do Lookout (email: enterprisesupport@lookout.com). O suporte ao lookout funciona com seu contato principal para integrar sua assinatura e criar sua conta do Lookout Enterprise, usando as informações fornecidas.

Configurar sua assinatura do Lookout

As etapas a seguir devem ser concluídas no console de administração do Lookout Enterprise e habilitar uma conexão com o serviço do Lookout para dispositivos registrados Intune (via conformidade do dispositivo) e dispositivos não registrados (por meio de políticas de proteção de aplicativo).

Depois que o suporte do Lookout criar sua conta Lookout Enterprise, o suporte do Lookout enviará um email para o contato principal de sua empresa com um link para a URL de conexão: https://aad.lookout.com/les?action=consent.

Conexão inicial

A primeira entrada no Console do Lookout MES exibe uma página de consentimento (https://aad.lookout.com/les?action=consent). Como administrador global Microsoft Entra, entre e aceite. Uma entrada subsequente não exige que o usuário tenha esse nível de privilégio de Microsoft Entra ID.

Uma página de consentimento é exibida. Escolha Aceitar para concluir o registro.

Depois de aceitar e autorizar, você será redirecionado para o console do Lookout.

Depois que a conexão inicial e o consentimento estiver concluído, os usuários que entrarem pelo https://aad.lookout.com serão redirecionados para o console do MES. Se o consentimento ainda não tiver sido dado, todas as tentativas de conexão resultarão em Erro de conexão inválida.

Configurar o conector do Intune

O procedimento a seguir pressupõe que você tenha criado anteriormente um grupo de usuários no Microsoft Entra ID para testar sua implantação do Lookout. A prática recomendada é iniciar com um pequeno grupo de usuários para permitir que os administradores do Lookout e do Intune se familiarizem com as integrações de produtos. Depois que elas estiverem familiarizadas, você poderá estender a inscrição para grupos de usuários adicionais.

1. Entre no Console do Lookout MES e vá paraConectores do Sistema> e selecione Adicionar Conector. Selecione Intune.

   

2. No painel Microsoft Intune, selecione Configurações de Conexão e especifique a Frequência de Pulsação em minutos.

   

3. Selecione Gerenciamento de Registro e para Usar os seguintes grupos de segurança Microsoft Entra para identificar dispositivos que devem ser registrados no Lookout for Work, especifique o nome do grupo de Microsoft Entra a ser usado com o Lookout e selecione Salvar alterações.

   

   Sobre os grupos que você usa:

   • Como prática recomendada, comece com um grupo de segurança Microsoft Entra que contém apenas alguns usuários para testar a integração do Lookout.
   • O nome do grupo é sensível a maiúsculas de maiúsculas e minúsculas, conforme mostrado nas propriedades do grupo de segurança no portal do Azure.
   • Os grupos especificados para o Gerenciamento de Registro definem o conjunto de usuários cujos dispositivos serão registrados com o Lookout. Quando um usuário está em um grupo de registro, seus dispositivos em Microsoft Entra ID são registrados e qualificados para ativação no Lookout MES. Na primeira vez que um usuário abre o aplicativo Lookout for Work em um dispositivo com suporte, ele será solicitado a ativá-lo.

4. Selecione Sincronização de Estado e verifique se o status do dispositivo e o status da ameaça estão definidos como Ativado. Ambos são necessários para que a integração do Lookout com o Intune funcione corretamente.

5. Selecione Gerenciamento de Erros, especifique o endereço de email que deve receber os relatórios de erros e, em seguida, selecione Salvar alterações.

   

6. Selecione Criar conector para concluir a configuração do conector. Em seguida, quando estiver satisfeito com os resultados, você pode estender o registro para grupos de usuários adicionais.

Configurar o Intune para usar o Lookout como um provedor de Defesa contra Ameaças Móveis

Depois de configurar o Lookout MES, você deverá configurar uma conexão com o Lookout no Intune.

Configurações adicionais no console do Lookout MES

A seguir estão as configurações adicionais que você pode definir no console do Lookout MES.

Definir configurações de registro

No console do Lookout MES, selecione Sistema>Gerenciar Registro>Configurações de Registro.

• Para Status Desconectado, especifique o número de dias antes que um dispositivo não conectado seja marcado como desconectado.

  Os dispositivos desconectados são considerados não compatíveis e são impedidos de acessar aplicativos da empresa com base nas políticas de acesso condicional Intune. Você pode especificar valores entre 1 e 90 dias.

  

Configurar notificações por email

Para receber alertas de ameaças por email, conecte-se ao console do Lookout MES com a conta de usuário que deverá receber as notificações.

• Vá até Preferências e, em seguida, defina as notificações que você deseja receber como ATIVADO e Salve as alterações.

• Se não quiser receber notificações por email, defina as notificações como DESATIVADO e salve as alterações.

  

Configurar as classificações de ameaças

O Lookout Mobile Endpoint Security classifica ameaças móveis de vários tipos. As classificações de ameaças do Lookout têm níveis de risco padrão associados a elas. Os níveis de risco podem ser alterados a qualquer momento para atender aos requisitos da empresa.

Para saber mais sobre as classificações de nível de ameaça e como gerenciar os níveis de risco associados a elas, confira Referência de ameaças do Lookout.

Importante

Os níveis de risco são um aspecto importante da segurança de ponto de extremidade móvel do Lookout, porque a integração com o Intune calcula a conformidade do dispositivo de acordo com esses níveis de risco em runtime.

O administrador do Intune define uma regra na política para identificar um dispositivo como não compatível, se ele tiver uma ameaça ativa com um nível mínimo igual a Alto, Médio ou Baixo. A política de classificação de ameaças na segurança de ponto de extremidade móvel do Lookout alimenta diretamente o cálculo de conformidade no Intune.

Monitorar registros

Após a conclusão da instalação, o Lookout Mobile Endpoint Security começa a sondar Microsoft Entra ID para dispositivos que correspondem aos grupos de registro especificados. Você pode encontrar informações sobre os dispositivos registrados acessando Dispositivos no console do Lookout MES.

• O status inicial dos dispositivos é pendente.
• O status do dispositivo será atualizado depois que o aplicativo Lookout for Work estiver instalado, aberto e ativado no dispositivo.

Para ver detalhes de como fazer o aplicativo Lookout for Work ser implantado em um dispositivo, confira Adicionar aplicativos Lookout for Work com o Intune.

Próximas etapas

• Configurar aplicativos do Lookout para dispositivos registrados
• Configurar aplicativos do Lookout para dispositivos não registrados