Configurar a sua subscrição do defesa de ameaça móveis LookoutSet up your subscription for Lookout mobile threat defense

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Os seguintes passos são necessários para configurar a subscrição de defesa Lookout ameaça móveis:The following steps are required to set up Lookout mobile threat defense subscription:

# PassoStep
11 Recolher informações do Azure ADCollect Azure AD information
22 Configurar a sua subscriçãoConfigure your subscription
33 Configurar grupos de inscriçãoConfigure enrollment groups
44 Configurar a sincronização de estadoConfigure state sync
55 Configurar informações de destinatários de e-mail de relatório de erroConfigure error report email recipient information
66 Configurar definições de inscriçãoConfigure enrollment settings
77 Configurar notificações por e-mailConfigure email notifications
88 Configurar a classificação de ameaçaConfigure threat classification
99 Observar inscriçãoWatching enrollment

Importante

Não é possível utilizar um inquilino existente da segurança de ponto final de Mobile Lookout ainda não estiver associado ao inquilino do Azure AD para a integração com o Azure AD e o Intune.An existing Lookout Mobile Endpoint Security tenant that's not already associated with your Azure AD tenant can't be used for the integration with Azure AD and Intune. Contacte o suporte de Lookout para criar um novo inquilino de segurança de ponto final do Lookout Mobile.Contact Lookout support to create a new Lookout Mobile Endpoint Security tenant. Utilize o novo inquilino para carregar os utilizadores do Azure AD.Use the new tenant to onboard your Azure AD users.

Recolher informações do Azure ADCollect Azure AD information

O inquilino de segurança de ponto final de mobilidade Lookout será associado a sua subscrição do Azure AD para integrar o Lookout com o Intune.Your Lookout Mobility Endpoint Security tenant will be associated with your Azure AD subscription to integrate Lookout with Intune. Para ativar a sua subscrição do serviço de defesa do Lookout ameaça móveis, o suporte de Lookout (enterprisesupport@lookout.com) tem as seguintes informações:To enable your Lookout mobile threat defense service subscription, Lookout support (enterprisesupport@lookout.com) needs the following information:

  • ID de inquilino do Azure ADAzure AD Tenant ID
  • ID de objeto de grupo do Azure AD para completa o acesso à consola LookoutAzure AD Group Object ID for full Lookout console access
  • ID de objeto de grupo do Azure AD para restrito Lookout acesso à consola (opcional)Azure AD Group Object ID for restricted Lookout console access (optional)

Utilize os seguintes passos para reunir as informações que necessárias para lhe dar à equipa de suporte de Lookout.Use the following steps to gather the information you need to give to the Lookout support team.

  1. Iniciar sessão para o portal do Azure e selecione a sua subscrição.Sign in to the Azure portal and select your subscription.

  2. Quando escolher o nome da sua subscrição, o URL resultante inclui o ID da subscrição.When you choose the name of your subscription, the resulting URL includes the subscription ID. Se tiver algum problema ao localizar o seu ID de subscrição, consulte este artigo de suporte da Microsoft para dicas sobre ao localizar o seu ID de subscrição.If you have any issues finding your subscription ID, see this Microsoft support article for tips on finding your subscription ID.

  3. Localizar o ID de grupo do Azure AD.Find your Azure AD Group ID.

    Nota

    O ID de objeto de grupo no propriedades página do grupo no painel do Azure AD do portal do Azure.The Group Object ID is on the Properties page of the group in the Azure AD blade of the Azure portal.

    A consola Lookout suporta dois níveis de acesso:The Lookout console supports two levels of access:

    • Acesso total: O administrador do Azure AD pode criar um grupo de utilizadores que têm acesso total e, opcionalmente, criar um grupo de utilizadores que terão acesso restrito.Full Access: The Azure AD admin can create a group for users that have Full Access and optionally create a group for users that will have Restricted Access. Apenas os utilizadores nestes grupos podem iniciar sessão para o consola Lookout.Only users in these groups can sign in to the Lookout console.
    • Acesso restrito: Os utilizadores deste grupo não terá acesso a vários configuração e módulos relacionadas com a inscrição da consola Lookout e têm acesso só de leitura para o política de segurança módulo da consola Lookout.Restricted Access: The users in this group will have no access to several configuration and enrollment-related modules of the Lookout console, and have read-only access to the Security Policy module of the Lookout console.

      Dica

      Para obter mais informações sobre as permissões, consulte este artigo de suporte Lookout.For more information on the permissions, see this Lookout support article.

  4. Assim que recolhemos estas informações, contacte o suporte de Lookout (e-mail: enterprisesupport@lookout.com).Once you have gathered this information, contact Lookout support (email: enterprisesupport@lookout.com). O suporte de lookout irá trabalhar com o seu contacto principal para carregar a sua subscrição e criar a sua conta de empresa Lookout, utilizando as informações que recolheu.Lookout Support will work with your primary contact to onboard your subscription and create your Lookout Enterprise account, using the information that you collected.

Configurar a sua subscriçãoConfigure your subscription

  1. Depois do suporte de Lookout cria a conta de empresa Lookout, é enviado um e-mail de Lookout para contacto principal da sua empresa com uma ligação para o url de início de sessão.After Lookout support creates your Lookout Enterprise account, an email from Lookout is sent to the primary contact for your company with a link to the login url.

  2. O início de sessão primeiro para a consola Lookout tem de ser com uma conta de utilizador com a função do Azure AD de Administrador Global para registar o inquilino do Azure AD.The first login to the Lookout console must be by with a user account with the Azure AD role of Global Admin to register your Azure AD tenant. Posteriormente, o início de sessão não requer este nível de privilégio do Azure AD.Later, sign in doesn't require this level of Azure AD privilege. É apresentada uma página de consentimento.A consent page is displayed. Escolha aceitar para concluir o registo.Choose Accept to complete the registration. Depois de aceite e o consentimento, são redirecionados para a consola Lookout.Once you accept and consent, you are redirected to the Lookout Console.

    captura de ecrã da página tempo primeiro início de sessão da consola Lookout

  3. No Lookout consola, do sistema módulo, escolha o conectores separador e selecione Intune.In the Lookout Console, from the System module, choose the Connectors tab, and select Intune.

    captura de ecrã da consola Lookout o separador de conectores abrir e, opção Intune realçado

  4. Aceda a conectores > as definições de ligação e especifique o Heartbeat frequência em minutos.Go to Connectors > Connection Settings and specify the Heartbeat Frequency in minutes.

    captura de ecrã do separador de definições de ligação com a frequência de heartbeat configuradas a mostrar

Configurar grupos de inscriçãoConfigure enrollment groups

  1. Como melhor prática, crie um grupo de segurança do Azure AD no portal do Azure que contenha um pequeno número de utilizadores a integração de Lookout de teste.As a best practice, create an Azure AD security group in the Azure portal containing a small number of users to test Lookout integration.

    Nota

    Todos os Lookout suportados, inscritos no Intune dispositivos dos utilizadores num grupo de inscrição no Azure AD que são identificados e inscrito e elegível para ativação na consola de Lookout MTD são suportados.All the Lookout-supported, Intune-enrolled devices of users in an enrollment group in Azure AD that are identified and supported are enrolled and eligible for activation in Lookout MTD console.

  2. No Lookout consola, do sistema módulo, escolha o conectores separador e selecione inscrição gestão para definir um conjunto de utilizadores cujos dispositivos devem estar inscrito no Lookout.In the Lookout Console, from the System module, choose the Connectors tab, and select Enrollment Management to define a set of users whose devices should be enrolled with Lookout. Adicione o grupo de segurança do Azure AD nome a apresentar para inscrição.Add the Azure AD security group Display Name for enrollment.

    captura de ecrã da página de inscrição do conector do Intune

    Importante

    O nome a apresentar diferencia maiúsculas de minúsculas conforme mostrado no propriedades do grupo de segurança no portal do Azure.The Display Name is case-sensitive as shown the in the Properties of the security group in the Azure portal. Conforme mostrado na imagem abaixo, o nome a apresentar a segurança de grupo é camel case enquanto o título é todas as letras maiúsculas e minúsculas.As shown in the image below, the Display Name of the security group is camel case while the title is all lower case. Na correspondência de consola Lookout o nome a apresentar maiúsculas para o grupo de segurança.In the Lookout console match the Display Name case for the security group. captura de ecrã do portal do Azure, o serviço de Azure Active Directory, a página de propriedadesscreenshot of the Azure portal, Azure Active Directory service, properties page

    Nota

    A melhor prática é utilizar a predefinição cinco minutos para que o incremento de tempo para verificar a existência de novos dispositivos.The best practice is to use the default five minutes for the increment of time to check for new devices. Limitações atuais, Lookout não é possível validar os nomes a apresentar grupo: Certifique-se a nome a apresentar campo no portal do Azure corresponde exatamente ao grupo de segurança do Azure AD.Current limitations, Lookout cannot validate group display names: Ensure the DISPLAY NAME field in the Azure portal exactly matches the Azure AD security group. Não é suportada a criação de aninhamento de grupos: Segurança do Azure AD grupos utilizados no Lookout tem de conter apenas os utilizadores.Creating nest groups is not supported: Azure AD security groups used in Lookout must contain users only. Não podem conter outros grupos.They cannot contain other groups.

  3. Assim que é adicionado um grupo, da próxima vez que um utilizador abre o Lookout para a aplicação de trabalho nos respetivos dispositivos suportados, o dispositivo se encontra ativado numa Lookout.Once a group is added, the next time a user opens the Lookout for Work app on their supported device, the device is activated in Lookout.

  4. Quando estiver satisfeito com os resultados, expanda a inscrição para grupos de utilizadores adicionais.Once you are satisfied with your results, extend enrollment to additional user groups.

Configurar a sincronização de estadoConfigure state sync

No sincronização de estado opção, especifique o tipo de dados que devem ser enviados para o Intune.In the State Sync option, specify the type of data that should be sent to Intune. Estado do dispositivo e o estado de ameaça são necessários para a integração do Lookout Intune funcione corretamente.Both device status and threat status are required for the Lookout Intune integration to work correctly. Estas definições estão ativadas por predefinição.These settings are enabled by default.

Configurar informações de destinatários de e-mail de relatório de erroConfigure error report email recipient information

No erro gestão opção, introduza o endereço de correio eletrónico que deve receber os relatórios de erros.In the Error Management option, enter the email address that should receive the error reports.

captura de ecrã da página Gestão de erro de conector do Intune

Configurar definições de inscriçãoConfigure enrollment settings

No sistema módulo, o conectores página, especifique o número de dias antes de um dispositivo é considerado como desligada.In the System module, on the Connectors page, specify the number of days before a device is considered as disconnected. Dispositivos desligados são considerados como não conforme e serão impedidos de aceder a aplicações da empresa com as políticas de acesso condicional do SCCM.Disconnected devices are considered as noncompliant and will be blocked from accessing your company applications based on the SCCM conditional access policies. Pode especificar valores entre 1 e 90 dias.You can specify values between 1 and 90 days.

Definições de registo lookout

Configurar notificações por e-mailConfigure email notifications

Se pretende receber alertas de e-mail para ameaças, inicie sessão no consola Lookout com a conta de utilizador que deve receber as notificações.If you want to receive email alerts for threats, sign in to the Lookout console with the user account that should receive the notifications. No preferências separador do sistema módulo, escolha os níveis de ameaças que devem receber notificações e colocá-los ON.On the Preferences tab of the System module, choose the threat levels that should receive notifications, and set them to ON. Guarde as alterações.Save your changes.

captura de ecrã da página de preferências com a conta de utilizador apresentada se já não pretender receber notificações por e-mail, definir as notificações como OFF e guarde as alterações.screenshot of the preferences page with the user account displayed If you no longer want to receive email notifications, set the notifications to OFF, and save your changes.

Configurar a classificação de ameaçaConfigure threat classification

Defesa de ameaça móveis lookout classifica móveis ameaças de vários tipos.Lookout mobile threat defense classifies mobile threats of various types. O classificações de ameaça Lookout têm níveis de risco predefinidos associados aos mesmos.The Lookout threat classifications have default risk levels associated with them. Estas definições podem ser alteradas em qualquer altura, de acordo com os requisitos da sua empresa.These settings can be changed at any time to suit your company requirements.

captura de ecrã da página de política que mostra ameaça e classificações

Importante

Níveis de risco são um aspeto importante de defesa ameaça móveis.Risk levels are an important aspect of mobile threat defense. A integração do Intune calcula a conformidade do dispositivo, de acordo com estes níveis de risco no tempo de execução.The Intune integration calculates device compliance according to these risk levels at runtime. O administrador do Intune define uma regra de política para identificar um dispositivo como não conforme se o dispositivo tem uma ameaça Active Directory com um mínimo ao nível do elevada, média, ou baixa.The Intune administrator sets a rule in policy to identify a device as noncompliant if the device has an active threat with a minimum level of High, Medium, or Low. A política de classificação de ameaça defesa de ameaça móveis Lookout unidades diretamente o cálculo de conformidade do dispositivo no Intune.The threat classification policy in Lookout mobile threat defense directly drives the device compliance calculation in Intune.

Observar inscriçãoWatching enrollment

Assim que a configuração estiver concluída, defesa de ameaça móveis Lookout for iniciado consultar o Azure AD para dispositivos que correspondem aos grupos de inscrição especificado.Once the setup is complete, Lookout mobile threat defense starts to poll Azure AD for devices that correspond to the specified enrollment groups. Pode encontrar informações sobre os dispositivos inscritos no módulo de dispositivos.You can find information about the devices enrolled on the Devices module. O estado inicial de dispositivos é mostrado como pendente.The initial status for devices is shown as pending. As alterações de estado de dispositivo depois do Lookout for Work aplicação é instalada, abrir e ativado no dispositivo.The device status changes once the Lookout for Work app is installed, opened, and activated on the device. Para obter mais informações sobre como obter o Lookout para a aplicação de trabalho instalada no dispositivo, consulte configurar e implementar o Lookout para aplicações de trabalho.For more information on how to get the Lookout for Work app pushed to the device, see Configure and deploy Lookout for work apps.

Passos seguintesNext steps

Ativar ligação Lookout MTP IntuneEnable Lookout MTP connection Intune