HELP FILE


Wie konfiguriere ich mein Azure-AD-Konto, dass ich die LastPass-MFA-App zur Authentifizierung verwenden kann?

    Sie können sowohl Ihr Azure Active Directory-Konto als auch Ihr LastPass Business Konto so konfigurieren, dass die LastPass Authenticator-App für die Authentifizierung verwendet werden kann, wenn Sie sich bei einer beliebigen Single-Sign-On-App anmelden, bei der Sie Ihr Azure Active Directory-Konto verwenden.

    Hinweis: Diese Funktion erfordert ein Konto mit LastPass Business + Advanced MFA Add-on. Wie kann ich mein LastPass-Business-Konto um ein Add-on erweitern?

    Kontoanforderungen

    • Ein Premium-Abo für Microsoft Azure-Active-Directory (für bedingten Zugriff erforderlich – weitere Informationen)
    • Aktive Testversion oder kostenpflichtig LastPass Business + Erweitert MFA add-on Konto
    • Ein aktiver Administrator für LastPass Business + Advanced MFA-Add-on (wird beim Aktivieren Ihrer Testversion oder des kostenpflichtigen Abos benötigt)

    Einrichten und konfigurieren

    Hinweis: Richtlinien werden von LastPass in dieser Konfiguration nicht erzwungen. Alle Richtlinien müssen in Azure AD mit Hilfe der Richtlinie für den bedingten Zugriff konfiguriert werden (z. B. Standortbeschränkung, biometrische Daten usw.).
    Vorab: Öffnen Sie einen Texteditor, der in den späteren Schritten zum Speichern von kopierten Werten verwendet wird.
    • Fügen Sie die App Microsoft Azure AD hinzu.
      1. Melden Sie sich mit Ihrer E-Mail-Adresse und dem Master-Passwort an, um auf die neue Administrationskonsole unter https://admin.lastpass.com zuzugreifen.
      2. Führen Sie nach der entsprechenden Aufforderung die Schritte für die Multifaktor-Authentifizierung durch, falls diese für Ihr Konto aktiviert ist.
      3. Wählen Sie Anwendungen > MFA-Apps.
      4. Wenn Sie noch keine MFA-Apps hinzugefügt haben, wählen Sie Jetzt loslegen. Wählen Sie andernfalls im Navigationsbereich oben rechts App hinzufügen.
      5. Wählen Sie Microsoft Azure AD > Speichern und fortfahren.
    • Speichern Sie den Integrationsschlüssel und die Integrationsgeheimnis.
      1. Optional: In einem anderen Webbrowser-Fenster oder Tab können Sie Ihren LastPass-Vault öffnen und eine neue sichere Notiz zum Speichern des Integrationsschlüssels und des Integrationsgeheimnisses erstellen.
      2. Kopieren Sie im Fenster Integration einrichten den Integrationsschlüssel, speichern Sie ihn in Ihre Zwischenablage und fügen Sie ihn dann in Ihre Texteditor-Anwendung ein, d. h. die Client-ID.
      3. Klicken Sie auf Fertigstellen.
      4. Kopieren Sie die JSON-Datei unten und fügen Sie sie in Ihren Texteditor ein. Ersetzen Sie  durch den Client-ID-Wert, den Sie zuvor in Ihren Texteditor kopiert haben.

        {

        "AppId": "002a1c97-1381-4f73-a9c9-c049e8ef3a82",

        "ClientId": " ",

        "Controls": [

        {

        "ClaimsRequested": [{"Type": "amr","Value": "2fa","Values": null

        }],

        "Id": "LastPassIdentityMFALogin",

        "Name": " LastPass Identity MFA Login "

        }

        ],

        "DiscoveryUrl": "https://identity.lastpass.com/oauth/.well-known/openid-configuration",

        "Name": "LastPass Identity MFA"

        }

    • Konfigurieren des bedingten Zugriffs für Azure AD.
      1. Melden Sie sich bei Ihrem Azure-AD-Konto unter https://portal.azure.com an.
      2. Gehen Sie zu Azure-Active-Directory > Sicherheit > Bedingter Zugriff.
      3. Wählen sie Benutzerdefinierte Steuerelemente aus.
      4. Wählen Sie Neues benutzerdefiniertes Steuerelement .
      5. Kopieren Sie das JSON aus Schritt 9 und fügen Sie es in das benutzerdefinierte Steuerungsfenster ein.

        Hinweis: Sie müssen Ihre eindeutige Client-ID angeben.
        Neues benutzerdefiniertes Steuerelement im Azure-AD-Portal

      6. Wählen Sie Erstellen > Neue Richtlinie.
      7. Geben Sie einen Namen für Ihre Richtlinie ein (z. B. LastPass-Multifaktor-Authentifizierung).
      8. Wählen Sie Benutzer und Gruppen und wählen Sie dann die gewünschten Benutzer und Gruppen aus (z. B. Alle Benutzer).

        Benutzer und Gruppen im Azure-AD-Portal zuweisen

        Tipp: Um zu vermeiden, dass Sie beim Einrichten des bedingten Zugriffs als Administrator ausgesperrt werden, erstellen Sie eine AD-Testgruppe, die keine Administratoren enthält.

      9. Wählen Sie Cloud-Apps oder -Aktionen, dann wählen Sie die Cloud-Anwendung(en), für die Sie die Multifaktor-Authentifizierung mit der LastPass Authenticator-App verlangen möchten (z. B. Alle Cloud-Apps).

        Cloud-Apps im Azure-AD-Portal zuweisen

      10. Wählen Sie unter „Zugriffssteuerung“ Zulassen.
      11. Wählen Sie die Option Zugriff gewähren.
      12. Aktivieren Sie das Kontrollkästchen, um die Anmeldeoption für LastPass Identity MFA zu aktivieren.
      13. Klicken Sie nach Abschluss des Vorgangs auf Auswählen.

        Zugriff im Azure-AD-Portal gewähren

      14. Setzen Sie unter dem Abschnitt „Richtlinie aktivieren“ den Schalter auf Ein.

        Wichtig: Wenn Sie die Integration später bearbeiten oder löschen möchten, deaktivieren Sie die Zugriffsberechtigung auf Azure, bevor Sie Änderungen in LastPass vornehmen.

      15. Wählen Sie Erstellen aus.

        Richtlinie im Azure-AD-Portal aktivieren

        Ergebnis: Sie haben die Einrichtungsschritte im Azure AD-Portal abgeschlossen, und Ihre Benutzer müssen nun die LastPass Authenticator-App zur Authentifizierung verwenden.

    • Senden Sie die Aktivierungs-E-Mail der LastPass Authenticator-App an die Benutzer.
      1. Senden Sie eine Aktivierungs-E-Mail an alle Benutzer, die ihr Konto noch nicht für die Nutzung der LastPass Authenticator-App aktiviert haben (Anweisungen hier).

        Ergebnis: An alle erforderlichen Benutzer wird eine neue Aktivierungs-E-Mail mit Anweisungen zur Aktivierung der passwortlosen Authentifizierung gesendet.

    Ergebnisse: Wenn sich Ihre Benutzer künftig mit ihrem Azure AD-Kontopasswort bei Azure AD SSO anmelden, werden sie aufgefordert, sich mit der LastPass Authenticator-App zu authentifizieren.
    LastPass Authenticator Push-Benachrichtigung auf iOS
    Abbildung 1: iOS LastPass Authenticator Push-Benachrichtigung auf iOS
    LastPass Authenticator Push-Benachrichtigung auf Android
    Abbildung 2. Android LastPass Authenticator Push-Benachrichtigung auf Android