Настройка интеграции Lookout Mobile Endpoint Security с Intune
Интегрировать Lookout Mobile Endpoint Security с Intune можно при наличии отвечающей требованиям среды. Сведения, приведенные в этой статье, помогут вам настроить интеграцию и настроить важные параметры в Lookout для использования с Intune.
Важно!
Существующий клиент Lookout Mobile Endpoint Security, который еще не связан с клиентом Microsoft Entra, нельзя использовать для интеграции с Microsoft Entra ID и Intune. Свяжитесь со службой поддержки Lookout, чтобы создать новый клиент Lookout Mobile Endpoint Security. Используйте новый клиент для подключения пользователей Microsoft Entra.
Сбор сведений о Microsoft Entra
Чтобы интегрировать Lookout с Intune, необходимо связать клиент Lookout Mobility Endpoint Security с Microsoft Entra подпиской.
Чтобы включить интеграцию подписки Lookout Mobile Endpoint Security с Intune, укажите в службу поддержки Lookout следующие сведения ([email protected]):
идентификатор клиента Microsoft Entra
Microsoft Entra идентификатор объекта группы с полным доступом к консоли Lookout Mobile Endpoint Security (MES).
Вы создаете эту группу пользователей в Microsoft Entra ID, чтобы она содержала пользователей с полным доступом для входа в консоль Lookout. Для входа в консоль Lookout пользователи должны быть участниками этой группы или необязательной группы с ограниченным доступом.
Microsoft Entra идентификатор объекта группы с ограниченным доступом к консоли Lookout MES (необязательная группа).
Эта необязательная группа пользователей создается в Microsoft Entra ID, чтобы содержать пользователей, которые не должны иметь доступ к нескольким модулям, связанным с конфигурацией и регистрацией, консоли Lookout. Вместо этого эти пользователи получают доступ только для чтения к модулю политики безопасности консоли Lookout. Чтобы войти в консоль Lookout, пользователи должны быть участниками этой необязательной группы или обязательной группы с полным доступом.
Сбор сведений из Microsoft Entra ID
Войдите на портал Azure с помощью учетной записи глобального администратора.
Перейдите в Microsoft Entra ID>Свойства и найдите свой идентификатор клиента. Нажмите кнопку Копировать, чтобы скопировать идентификатор каталога, а затем сохраните его в текстовом файле.
Затем найдите идентификатор группы Microsoft Entra для учетных записей, которые вы используете для предоставления Microsoft Entra пользователям доступа к консоли Lookout. Одна группа предназначена для полного доступа, а вторая — для ограниченного доступа и является необязательной. Чтобы получить идентификатор объекта для каждой учетной записи:
Перейдите > к Microsoft Entra ID Группы чтобы открыть панель Группы — Все группы.
Выберите группу, которую вы создали для полного доступа, чтобы открыть ее панель Обзор.
Нажмите кнопку Копировать, чтобы скопировать идентификатор объекта, а затем сохраните его в текстовом файле.
Повторите процесс для группы с ограниченным доступом, если вы ее используете.
После сбора этих сведений обратитесь в службу поддержки Lookout. Служба поддержки Lookout работает с вашим основным контактом, чтобы подключить подписку и создать учетную запись Lookout Enterprise, используя предоставленные вами сведения.
Настройка подписки Lookout
Следующие действия необходимо выполнить в консоли администрирования Lookout Enterprise и включить подключение к службе Lookout для Intune зарегистрированных устройств (через соответствие устройств) и незарегистрированных устройств (с помощью политик защиты приложений).
После того как служба поддержки Lookout создаст учетную запись Lookout для организации, основному контактному лицу организации отправляется сообщение электронной почты Lookout со ссылкой на URL-адрес для входа: https://aad.lookout.com/les?action=consent.
Изначальный вход
При первом входе в консоль Lookout MES отображается страница согласия (https://aad.lookout.com/les?action=consent). Как глобальный администратор Microsoft Entra войдите и примите. Для последующего входа не требуется, чтобы у пользователя был этот уровень Microsoft Entra ID привилегий.
Выводится страница подтверждения. Чтобы завершить регистрацию, нажмите Принять.
Приняв условия, вы будете перенаправлены в консоль Lookout.
После завершения изначального входа и процесса согласия пользователи, которые входят в систему из https://aad.lookout.com, перенаправляются в консоль MES. Если согласие еще не было предоставлено, все попытки входа будут приводить к ошибке неверного входа.
Настройка соединителя Intune
В следующей процедуре предполагается, что вы ранее создали группу пользователей в Microsoft Entra ID для тестирования развертывания Lookout. Лучше всего начинать с небольшой группы пользователей, чтобы ваши администраторы Lookout и Intune могли ознакомиться с интеграциями продуктов. Когда они ознакомятся с ними, можно расширить регистрацию для дополнительных групп пользователей.
Войдите в консоль Lookout MES, перейдите в раздел Соединители системы>, а затем выберите Добавить соединитель. Выберите Intune.
В области Microsoft Intune выберите Connection Settings (Параметры подключения) и укажите значение Heartbeat Frequency (Частота пульса) в минутах.
Выберите Управление регистрацией, а в поле Использовать следующие Microsoft Entra группы безопасности для определения устройств, которые должны быть зарегистрированы в Lookout for Work, укажите имя группы Microsoft Entra группы для использования с Lookout, а затем нажмите кнопку Сохранить изменения.
О группах, которые вы используете:
- Рекомендуется начать с Microsoft Entra группы безопасности, которая содержит только несколько пользователей для тестирования интеграции Lookout.
- Имя группы учитывает регистр, как показано в разделе Свойства группы безопасности в портал Azure.
- Группы, указанные для управления регистрацией , определяют набор пользователей, устройства которых будут регистрироваться в Lookout. Если пользователь входит в группу регистрации, его устройства в Microsoft Entra ID регистрируются и имеют право на активацию в Lookout MES. Когда пользователь впервые запускает приложение Lookout for Work на поддерживаемом устройстве, ему предлагается активировать его.
Выберите State Sync (Состояние синхронизации) и убедитесь, что для состояния устройства и состояния угрозы установлено значение On (Вкл.). Для правильного функционирования интеграции Lookout и Intune требуются оба этих состояния.
Щелкните Error Management (Управление ошибками), укажите адрес электронной почты, на который должны приходить отчеты об ошибках, а затем выберите Save changes (Сохранить изменения).
Щелкните Create connector (Создать соединитель), чтобы завершить настройку соединителя. Позже, когда вы будете удовлетворены результатами, вы можете расширить регистрацию для дополнительных групп пользователей.
Настройка Intune для использования Lookout в качестве поставщика Mobile Threat Defense
После настройки Lookout MES необходимо установить соединение с Lookout в Intune.
Дополнительные параметры в консоли Lookout MES
Ниже приведены дополнительные параметры, которые можно настроить в консоли Lookout MES.
Настройка параметров регистрации
В консоли Lookout MES выберите System (Система)>Manage Enrollment (Управление регистрацией)>Enrollment settings (Параметры регистрации).
Для параметра Disconnected Status (Отключенное состояние) укажите количество дней, по истечении которых неподключенное устройство будет помечено как отключенное.
Отключенные устройства считаются несоответствующими и заблокированы для доступа к корпоративным приложениям на основе политик условного доступа Intune. Можно указать значение от 1 до 90 дней.
Настройка уведомлений по электронной почте
Чтобы получать оповещения об угрозах по электронной почте, войдите в консоль Lookout MES с помощью учетной записи того пользователя, который должен получать уведомления.
Перейдите в раздел предпочтений, установите для уведомлений, которые вы хотите получать, значение ON (ВКЛ.), а затем сохраните изменения.
Если вы больше не хотите получать уведомления по электронной почте, задайте для уведомлений значение OFF (ОТКЛ.) и сохраните изменения.
Настройка классификации угроз
Lookout Mobile Endpoint Security классифицирует мобильные угрозы различных типов. В классификации угроз Lookout с ними связаны разные уровни риска по умолчанию. Уровни риска можно в любой момент изменить в соответствии с требованиями организации.
Сведения о классификациях уровней угроз и о том, как управлять связанными с ними уровнями риска, см. в руководстве по угрозам Lookout.
Важно!
Уровни риска — это важный аспект службы Mobile Endpoint Security, так как функция интеграции с Intune во время выполнения определяет соответствие устройства требованиям на основе этих уровней рисков.
Администратор Intune задает правило в политике, которое определяет устройство как не соответствующее требованиям, если на нем есть активная угроза с одним из минимальных уровней: Высокий, Средний или Низкий. Политика классификации угроз в службе Lookout Mobile Endpoint Security непосредственно влияет на оценку соответствия устройств системой Intune.
Мониторинг регистрации
После завершения настройки Lookout Mobile Endpoint Security начинает опрашивать Microsoft Entra ID устройств, соответствующих указанным группам регистрации. Сведения о зарегистрированных устройствах можно найти, перейдя в раздел Devices (Устройства) в консоли Lookout MES.
- Начальное состояние для устройств указывается как состояние ожидания.
- Состояние устройства изменится после установки, открытия и активации приложения Lookout for Work на устройстве.
Сведения о развертывании приложения Lookout for Work на устройство см. в статье Добавление и назначение приложений Mobile Threat Defense (MTD) в Intune.