Configurar a sua subscrição para proteção contra ameaças do Lookout dispositivoSet up your subscription for Lookout device threat protection

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Para preparar a sua subscrição para o serviço de proteção de ameaças de dispositivo Lookout, suporte de Lookout (enterprisesupport@lookout.com) tem as seguintes informações sobre a sua subscrição do Azure Active Directory (Azure AD).To get your subscription ready for the Lookout device threat protection service, Lookout support (enterprisesupport@lookout.com) needs the following information about your Azure Active Directory (Azure AD) subscription. O inquilino de segurança de ponto final de mobilidade Lookout será associado a sua subscrição do Azure AD para integrar o Lookout com o Intune.Your Lookout Mobility Endpoint Security tenant will be associated with your Azure AD subscription to integrate Lookout with Intune.

  • ID de inquilino do Azure ADAzure AD Tenant ID
  • ID de objeto de grupo do Azure AD para completa o acesso à consola LookoutAzure AD Group Object ID for full Lookout console access
  • ID de objeto de grupo do Azure AD para restrito Lookout acesso à consola (opcional)Azure AD Group Object ID for restricted Lookout console access (optional)

Importante

Não é possível utilizar um inquilino de segurança de ponto final de Mobile Lookout existente que já não está associado ao inquilino do Azure AD para a integração com o Azure AD e o Intune.An existing Lookout Mobile Endpoint Security tenant that is not already associated with your Azure AD tenant cannot be used for the integration with Azure AD and Intune. Contacte o suporte de Lookout para criar um novo inquilino de segurança de ponto final do Lookout Mobile.Contact Lookout support to create a new Lookout Mobile Endpoint Security tenant. Utilize o novo inquilino para carregar os utilizadores do Azure AD.Use the new tenant to onboard your Azure AD users.

Utilize a secção seguinte para recolher as informações que necessárias para lhe dar à equipa de suporte de Lookout.Use the following section to gather the information you need to give to the Lookout support team.

Obter as informações do Azure ADGet your Azure AD information

ID de inquilino do Azure ADAzure AD tenant ID

Iniciar sessão para o portal de gestão do Azure AD e selecione a sua subscrição.Sign in to the Azure AD management portal and select your subscription.

captura de ecrã da página do Azure AD que mostra o nome do inquilino quando escolher o nome da sua subscrição, o URL resultante inclui o ID da subscrição.screenshot of the Azure AD page showing the name of the tenant When you choose the name of your subscription, the resulting URL includes the subscription ID. Se tiver algum problema ao localizar o seu ID de subscrição, consulte este artigo de suporte da Microsoft para dicas sobre ao localizar o seu ID de subscrição.If you have any issues finding your subscription ID, see this Microsoft support article for tips on finding your subscription ID.

ID de grupo do Azure ADAzure AD Group ID

A consola Lookout suporta 2 níveis de acesso:The Lookout console supports 2 levels of access:

  • Acesso total: O administrador do Azure AD, pode criar um grupo de utilizadores que têm acesso total e, opcionalmente, criar um grupo de utilizadores que terão acesso restrito.Full Access: The Azure AD admin can create a group for users that will have Full Access and optionally create a group for users that will have Restricted Access. Apenas os utilizadores nestes grupos conseguirá iniciar sessão para o consola Lookout.Only users in these groups will be able to login to the Lookout console.
  • Acesso restrito: Os utilizadores deste grupo terão sem acesso a vários configuração e inscrição relacionadas com módulos da consola Lookout e têm acesso só de leitura para o política de segurança módulo da consola Lookout.Restricted Access: The users in this group will have no access to several configuration and enrollment related modules of the Lookout console, and have read-only access to the Security Policy module of the Lookout console.

Para obter mais detalhes sobre as permissões, leia o artigo neste artigo no Web site da Lookout.For more details on the permissions, read this article on the Lookout website.

O ID de objeto de grupo no propriedades página do grupo no consola de gestão do Azure AD.The Group Object ID is on the Properties page of the group in the Azure AD management console.

captura de ecrã da página de propriedades com o campo de GroupID realçado

Assim que recolhemos estas informações, contacte o suporte de Lookout (e-mail: enterprisesupport@lookout.com).Once you have gathered this information, contact Lookout support (email: enterprisesupport@lookout.com).

O suporte de lookout irá trabalhar com o seu contacto principal para carregar a sua subscrição e criar a sua conta de empresa Lookout, utilizando as informações que recolheu.Lookout Support will work with your primary contact to onboard your subscription and create your Lookout Enterprise account, using the information that you collected.

Configurar a subscrição com a proteção contra ameaças do Lookout dispositivoConfigure your subscription with Lookout device threat protection

Passo 1: Configurar a proteção contra ameaças do dispositivoStep 1: Set up your device threat protection

Depois do suporte de Lookout cria a conta de empresa Lookout, pode iniciar sessão na consola de Lookout.After Lookout support creates your Lookout Enterprise account, you can sign in to the Lookout console. É enviado um e-mail de Lookout para contacto principal da sua empresa com uma ligação para o url de início de sessão: https://aad.lookout.com/les?action=consentAn email from Lookout is sent to the primary contact for your company with a link to the login url:https://aad.lookout.com/les?action=consent

Tem de utilizar uma conta de utilizador com a função do Azure AD de Administrador Global quando que primeiro inicie sessão consola do Lookout, uma vez que o Lookout necessita que esta informação para registar o inquilino do Azure AD.You must use a user account with the Azure AD role of Global Admin when you first log in to the Lookout console, since Lookout requires this information to register your Azure AD tenant. Início de sessão subsequente serão requer que o utilizador tem este nível de privilégio do Azure AD.Subsequent sign in will not require the user to have this level of Azure AD privilege. Neste primeiro início de sessão, é apresentada uma página de consentimento.In this first login, a consent page is displayed. Escolha aceitar para concluir o registo.Choose Accept to complete the registration.

captura de ecrã da primeira página de início de sessão de tempo da consola Lookout

Assim que aceite e autorizado, são redirecionados para a consola Lookout.Once you have accepted and consented, you are redirected to the Lookout Console. Inícios de sessão subsequentes após o registo inicial pode ser feito utilizando o URL: https://aad.lookout.comSubsequent logins after the initial registration can be done using the URL: https://aad.lookout.com

Consulte o artigo de resolução de problemas caso se depare com problemas de início de sessão.See the troubleshooting article if you run into login issues.

Os passos seguintes descrevem as tarefas que terá de efetuar para concluir o Lookout configurar dentro de Lookout consola.The next steps outline the tasks that you must do to complete the Lookout set up within the Lookout Console.

Passo 2: Configurar o conector do IntuneStep 2: Configure the Intune connector

  1. Na consola do Lookout, do sistema módulo, escolha o conectores separador e selecione Intune.In the Lookout console, from the System module, choose the Connectors tab, and select Intune.

    captura de ecrã da consola Lookout o separador de conectores abrir e, opção Intune realçado

  2. A opção de definições de ligação, configure a frequência de heartbeat em minutos.In the connection settings option, configure the heartbeat frequency in minutes. O conector do Intune agora está pronto.Your Intune connector is now ready.

    captura de ecrã do separador de definições de ligação com a frequência de heartbeat configuradas a mostrar

Passo 3: Configurar grupos de inscriçãoStep 3: Configure enrollment groups

No inscrição gestão opção, definir um conjunto de utilizadores cujos dispositivos devem estar inscrito no Lookout.On the Enrollment Management option, define a set of users whose devices should be enrolled with Lookout. A melhor prática é começar a utilizar um pequeno grupo de utilizadores para testar e se familiarize com como funciona a integração.The best practice is to start with a small group of users to test and become familiar with how the integration works. Quando estiver satisfeito com os resultados do teste, pode expandir a inscrição para os grupos adicionais de utilizadores.Once you are satisfied with your test results, you can extend the enrollment to additional groups of users.

Para começar com grupos de inscrições, defina primeiro um grupo de segurança do Azure AD que seria um boa primeiro conjunto de utilizadores para se inscrever na proteção contra ameaças do Lookout dispositivo.To get started with enrollments groups, first define an Azure AD security group that would be a good first set of users to enroll in Lookout device threat protection. Assim que tiver o grupo criado no Azure, AD, na consola do Lookout, vá para o inscrição gestão opção e adicione o grupo de segurança do Azure AD apresentar nomes para inscrição.Once you have the group created in Azure, AD, in the Lookout Console, go to the Enrollment Management option and add the Azure AD security group Display Name(s) for enrollment.

Quando um utilizador é um grupo de inscrição, qualquer um dos respetivos dispositivos que são identificados e suportados no Azure AD são elegíveis para ativação na proteção contra ameaças do Lookout dispositivo e inscritos.When a user is in an enrollment group, any of their devices that are identified and supported in Azure AD are enrolled and eligible for activation in Lookout device threat protection. Na primeira vez que abrem o Lookout para a aplicação de trabalho nos respetivos dispositivos suportados, o dispositivo está ativado no Lookout.The first time they open the Lookout for Work app on their supported device, the device is activated in Lookout.

captura de ecrã da página de inscrição do conector do Intune

A melhor prática consiste em utilizar a predefinição (5 minutos) para o incremento de tempo para verificar a existência de novos dispositivos.The best practice is to use the default (5 minutes) for the increment of time to check for new devices.

Importante

O nome a apresentar é sensível às maiúsculas e minúsculas.The display name is case sensitive. Utilize o nome a apresentar conforme mostrado no propriedades página do grupo de segurança no portal do Azure.Use the Display Name as shown the in the Properties page of the security group in the Azure portal. Tenha em atenção na imagem abaixo que o propriedades página do grupo de segurança, o nome a apresentar é camel case.Note in the picture below that the Properties page of the security group, the Display Name is camel case. No entanto, o título é apresentado em todos os minúsculas e não deve ser utilizado para introduzir na consola do Lookout.The title however is displayed in all lower case and should not be used to enter into the Lookout console. captura de ecrã do portal do Azure, o serviço de Azure Active Directory, a página de propriedadesscreenshot of the Azure portal, Azure Active Directory service, properties page

A versão atual tem as seguintes limitações:The current release has the following limitations:

  • Não há nenhuma validação para os nomes a apresentar o grupo.There is no validation for the group display names. Certifique-se de que utiliza o valor no nome a apresentar campo apresentado no portal do Azure para o grupo de segurança do Azure AD.Make sure to use the value in the DISPLAY NAME field shown in the Azure portal for the Azure AD security group.
  • Criar grupos de grupos não é atualmente suportado.Creating groups within groups is not currently supported. Grupos de segurança do Azure AD especificada só pode conter utilizadores e grupos não aninhados.Azure AD security groups specified may only contain users and not nested groups.

Passo 4: Configurar a sincronização de estadoStep 4: Configure state sync

No sincronização de estado opção, especifique o tipo de dados que devem ser enviados para o Intune.In the State Sync option, specify the type of data that should be sent to Intune. Atualmente, tem de ativar o estado do dispositivo e o estado de ameaça por ordem para a integração do Lookout Intune funcione corretamente.Currently, you must enable both device status and threat status in order for the Lookout Intune integration to work correctly. Estas estão ativadas por predefinição.These are enabled by default.

Passo 5: Configurar informações de destinatários de e-mail de relatório de erroStep 5: Configure error report email recipient information

No erro gestão opção, introduza o endereço de correio eletrónico que deve receber os relatórios de erros.In the Error Management option, enter the email address that should receive the error reports.

captura de ecrã da página Gestão de erro de conector do Intune

Passo 6.Step 6. Configurar definições de inscriçãoConfigure enrollment settings

No sistema módulo, o conectores página, especifique o número de dias antes de um dispositivo é considerado como desligada.In the System module, on the Connectors page, specify the number of days before a device is considered as disconnected. Dispositivos desligados são considerados como não conformes e serão impedidos de aceder a aplicações da empresa com as políticas de acesso condicional do SCCM.Disconnected devices are considered as non-compliant and will be blocked from accessing your company applications based on the SCCM conditional access policies. Pode especificar valores entre 1 e 90 dias.You can specify values between 1 and 90 days.

Passo 7: Configurar notificações por e-mailStep 7: Configure email notifications

Se pretende receber alertas de e-mail para ameaças, inicie sessão no consola Lookout com a conta de utilizador que deve receber as notificações.If you want to receive email alerts for threats, sign in to the Lookout console with the user account that should receive the notifications. No preferências separador do sistema módulo, escolha as notificações pretendidas e configure-os ON.On the Preferences tab of the System module, choose the desired notifications and set them to ON. Guarde as alterações.Save your changes.

captura de ecrã da página de preferências com a conta de utilizador apresentada se já não pretender receber notificações por e-mail, como as notificações OFF e guarde as alterações.screenshot of the preferences page with the user account displayed If you no longer want to receive email notifications, set the notifications to OFF and save your changes.

Passo 8: Configurar a classificação de ameaçaStep 8: Configure threat classification

Proteção contra ameaças do lookout dispositivo classifica móveis ameaças de vários tipos.Lookout device threat protection classifies mobile threats of various types. O classificações de ameaça Lookout têm níveis de risco predefinidos associados aos mesmos.The Lookout threat classifications have default risk levels associated with them. Estes podem ser alteradas em qualquer altura para suite requisitos da sua empresa.These can be changed at any time to suite your company requirements.

captura de ecrã da página de política que mostra ameaça e classificações

Importante

Os níveis de risco especificado que aqui são um aspeto importante de proteção contra ameaças do dispositivo, porque a integração do Intune calcula a conformidade do dispositivo, de acordo com estes níveis de risco no tempo de execução.The risk levels specified here are an important aspect of device threat protection because the Intune integration calculates device compliance according to these risk levels at runtime. Por outras palavras, o administrador do Intune define uma regra de política para identificar um dispositivo como não conforme se o dispositivo tem uma ameaça Active Directory com um mínimo ao nível do: alta, média ou baixa.In other words, the Intune administrator sets a rule in policy to identify a device as non-compliant if the device has an active threat with a minimum level of: high, medium, or low. A política de classificação de ameaça na proteção contra ameaças do Lookout dispositivo unidades diretamente o cálculo de conformidade do dispositivo no Intune.The threat classification policy in Lookout device threat protection directly drives the device compliance calculation in Intune.

Observar inscriçãoWatching enrollment

Assim que a configuração estiver concluída, proteção contra ameaças do Lookout dispositivo é iniciado consultar o Azure AD para dispositivos que correspondem aos grupos de inscrição especificado.Once the setup is complete, Lookout device threat protection starts to poll Azure AD for devices that correspond to the specified enrollment groups. Pode encontrar informações sobre os dispositivos inscritos no módulo de dispositivos.You can find information about the devices enrolled on the Devices module. O estado inicial de dispositivos é mostrado como pendente.The initial status for devices is shown as pending. As alterações de estado de dispositivo depois do Lookout for Work aplicação é instalada, abrir e ativado no dispositivo.The device status changes once the Lookout for Work app is installed, opened, and activated on the device. Para obter mais informações sobre como obter o Lookout para a aplicação de trabalho instalada no dispositivo, consulte o configurar e implementar o Lookout para aplicações de trabalho tópico.For details on how to get the Lookout for Work app pushed to the device, see the Configure and deploy Lookout for work apps topic.

Passos seguintesNext steps

Ativar ligação Lookout MTP IntuneEnable Lookout MTP connection Intune