Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

[Intune] Lookout : Déploiement de l’application Lookout

Microsoft s’est associé avec Lookout pour fournir une solution de sécurité visant à détecter les menaces sur les périphériques mobiles. Cette dernière s’intègre à Microsoft Intune pour remonter le niveau de menaces et l’utiliser notamment pour l’accès conditionnel aux ressources de l’entreprise.

Lookout propose une solution prédictive basée sur des patterns. La solution dispose de plus de 100 millions de sondes (comprendre périphériques personnels ou d’entreprise) qui remontent des informations sur les applications, les systèmes, les menaces. Les données remontées sont ensuite traitées via un mécanisme de Big Data et des experts qui analysent ces données. Lookout sépare les attaques en trois grandes catégories :

  • Système d’exploitation avec le Jailbreak/Root, les vulnérabilités exploitées du système (Pegasus, Trident, etc.), les fuites de données.
  • Application avec les applications malicieuses, à risque, vulnérables et les fuites de données.
  • Réseau avec les interceptions de données (Man-In-The-Middle) et les configurations malicieuses.

Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Lookout avec les phases de mise en œuvre et d’exploitation.

Si vous n’avez pas vu la première partie de cette série, voici comment configurer la solution.

Vous pouvez maintenant passer au déploiement de l’application Lookout. Lookout fournit différentes applications. Certaines sont à destination du grand public. C’est le cas notamment de l’application Lookout, des applications détectant certaines failles de sécurité (Pegasus, Trident, etc.). L’application à destination des entreprises s’appelle Lookout for Work. Cette dernière est disponible sur iOS et Android. Elles ont chacun leur mode de déploiement.

 

Déploiement sur les périphériques Android

L’application Lookout for Work pour Android peut être téléchargée et déployée directement depuis le Google Play store. Vous pouvez alors la déployer via Microsoft Intune de manière obligatoire. L’utilisateur est alors invité à installer l’application dans le store ou alors l’application est installée automatiquement si le périphérique est géré par Android for Work. Pour Android for Work, je vous renvoie à mon article sur le sujet. Vous pouvez approuver l’application dans le Google Play for Work.

Dans le portail Azure et le service Microsoft Intune, vous pouvez ensuite déployer l’application Lookout for Work à partir de l’espace Mobile Apps – Apps :

Sélectionnez l’application puis cliquez sur Assignments. Choisissez un groupe et le type de déploiement souhaité. D’une, il est recommandé de déployer l’application de manière obligatoire :

 

Déploiement sur les périphériques iOS

L’application pour iOS est aussi disponible sur l’AppStore mais ne permet pas l’intégration dans Microsoft Intune. En effet, l’association du périphérique entre Intune et Lookout ne se fait pas. Vous devez pour cela télécharger une version spécifique de l’application qui doit être signées par vos soins. Ceci provient d’une limitation appliquée par Apple pour les applications proposées dans son Store. L’application du store ne permet pas non plus d’inventorier les applications présentes sur le store.

Création de l’application dans Azure AD

Avant de signer l’application commencez par autoriser l’authentification Azure AD pour les utilisateurs iOS. Connectez-vous au portail Azure et naviguez dans More Services > Azure Active Directory. Choisissez App registrations puis Add.

Renseignez le nom de l’application, le type Native et la redirection URI suivante : lookoutwork:// com.lookout.enterprise.<NOM DE L’ENTREPRISE>.

Une fois crée, sélectionnez l’application puis naviguez dans General – Redirect URIs. Ajoutez l’URI suivant : companyportal://code/lookoutwork.%3A%2F%2Fcom.lookout.enterprise.<NOM DE L’ENTREPRISE> 

Dans les propriétés de l’application, conservez l’identifiant pour l’utiliser dans la stratégie de configuration de l’application :

 

Il est ensuite nécessaire de configure des permissions. Cliquez sur Required permissions et sélectionnez Add. Ajoutez les deux APIs et permissions suivantes :

  • API : Microsoft Graph
  • Permissions: Sign in and read user profile
  • API : Lookout MTP
  • Permissions: Access Lookout MTP

Validez ensuite que vous avez les trois APIs suivantes :

  • Windows Azure Active Directory
  • Microsoft Graph
  • Lookout MTP

 

Préparation des prérequis à la signature

Afin de signer l’application, vous devez disposer des prérequis suivants :

  • Un Mac avec Xcode
  • Un abonnement iOS Enterprise Developer avec le certificat associé.

Une fois ces prérequis validés, connectez-vous au portail iOS Enterprise Developer et dirigez-vous dans la partie Certificates pour récupérer un certificat de type In-House and Ad Hoc certificate.

Procédez ensuite à la création d’un identifiant d’application (Identifiers – App IDs). Renseignez le nom de l’application ainsi que l’identifiant explicite de l’application en utilisant le format : com.lookout.enterprise.<NOM DE L’ENTREPRISE>. Enregistrez l’application.

 

Enfin, procédez à la création d’un profil de distribution iOS en naviguant dans Provisioning Profiles – Distribution – In House. Spécifiez l’identifiant de l’application ainsi que le certificat de distribution iOS que vous avez créé plus haut.

 

Signature de l’application

Connectez-vous au portail Lookout et naviguez dans System – iOS Configuration. Récupérez le fichier .ipa.

Sur le Mac, utilisez l’outil de signature Lookout en sélectionnant le fichier IPA que vous avez téléchargé et le profil de provisionnement que vous avez créé. Renseignez aussi l’identifiant du bundle que vous avez défini (com.lookout.enterprise.<NOM DE L’ENTREPRISE>).

Sélectionnez ensuite le certificat de signature et enregistrez le fichier IPA fraichement signé. Une fois signé, uploader le fichier signé sur le portail Lookout dans System – iOS Configuration.

 

Ajout de l’application dans Microsoft Intune

Maintenant que l’application est signée, vous devez l’ajouter à Microsoft Intune pour pouvoir ensuite la déployer. Ouvrez le portail d’administration Azure puis dans le service Intune et naviguez dans Mobile Apps – Apps. Cliquez sur Add. Choisissez le type d’application Line-of-business app.
Dans App package file, sélectionnez le fichier ipa que vous avez signé puis renseignez les informations de l’application dans App information : Nom, Description, Fabricant, Logo, etc.

 

Configuration de l’application

Commencez par créer une stratégie de configuration de l’application mobile en naviguant dans Mobile apps – App configuration policies. Cliquez sur Add.

Cette opération permettra de préconfigurer l’application pour l’utilisateur. Renseignez les éléments suivants :

  • Le nom de la stratégie de configuration applicative. Par exemple : Lookout for Work iOS App
  • La description
  • Le type d’enregistrement : Enrolled with Intune
  • La plateforme : iOS
  • L’application associée : Lookout for Work que vous avez ajouté
  • Dans la partie Configuration Settings, renseignez le fichier XML suivant en remplaçant l’identifiant de l’application par celui défini dans Azure Active Directory :

<dict>
<key>MDM</key>
<string>INTUNE</string>
<key>DEVICE_UDID</key>
<string>{{deviceid}}</string>
<key>EMAIL</key>
<string>{{userprincipalname}}</string>
<key>AAD_CLIENT_APP_ID</key>
<string><IDENTIFIANT AAD DE L’APPLICATION></string>
</dict>

 

Déploiement de l’application et de la stratégie de configuration

Vous pouvez ensuite déployer l’application en naviguant dans Mobile Apps – Apps. Sélectionnez l’application Lookout for Work pour iOS. Dans la partie Assignments, sélectionnez le groupe Azure Active Directory de périphériques ou d’utilisateurs. Associez le type de déploiement souhaité. Il est préférable de déployer l’application de manière obligatoire (Required). Cliquez sur Save.

 

Répétez l’opération pour la stratégie de configuration d’applications en naviguant dans Mobile apps – App configuration policies. Sélectionnez la stratégie Lookout for Work iOS App et cliquez sur Assignments. Sélectionnez le groupe Azure Active Directory de périphériques ou d’utilisateurs précédemment utilisé. Cliquez sur Save.

 

Vous pouvez ensuite suivre l’état de déploiement de l’application et de la stratégie via la partie Monitor – Device/user install status sur l’application ou la stratégie.

 

Maintenant que les applications Lookout sont déployées sur iOS et Android, nous pouvons ensuite passer à l’exploitation de la solution.

Facebook Like
Anonymous