HELP FILE


Welche Einschränkungen gelten für LastPass-Benutzer mit Verbundanmeldung?

    Es gibt Funktionseinschränkungen, die für LastPass Business Benutzer gelten, deren Konten für föderierte Anmeldung mit AD FS, Azure AD, Okta, Google Workspace, PingOne, PingFederate oder OneLogin konfiguriert sind.

    Hinweis: In diesem Anleitungssatz wäre der für die Authentifizierung verwendete Identitätsanbieter (IdP) entweder AD FS, Azure AD, Okta, Google Workspace, PingOne, PingFederate oder OneLogin.

    Kompatibilität

    Unterstützte Komponenten:

    Nicht unterstützte Komponenten:

    • Android-Wearables/Apple Watch
    • Wenn die LastPass-Desktopanwendungen oder die mobilen „LastPass Password Manager“-Apps über MDM-Lösungen von Drittanbietern (Nicht Intune) verwaltet werden
    • Nutzung des Online-Vaults über mobile Browser
    • Verwenden des Online-Web-Vaults (LastPass-Website) ohne Installation der LastPass-Erweiterung

    Einschränkungen

    • Mehrere Domains werden nicht unterstützt - Bei der Implementierung von Verbundanmeldungen oder Verzeichnisintegrationen unterstützt LastPass nicht die Verwendung mehrerer Domains.
    • Kein Offline-Zugriff: Die Clientseite (Browsererweiterung) muss immer online sein, um den Verschlüsselungsschlüssel des Benutzers abzurufen und den LastPass-Vault des Benutzers zu entsperren. Die Anmeldung im Offline-Modus ist daher nicht verfügbar.
    • Kein Einmalpasswort - Diese Funktion ist nicht verfügbar, da das Master-Passwort aus der Active Directory-Umgebung des Benutzers stammt (AD FS, Azure AD, Okta, Google Workspace, PingOne, PingFederate oder OneLogin).
    • Eingeschränkte Optionen für die Kontowiederherstellung – Für Verbundbenutzer ermöglicht der Identity-Provider (IdP) des Unternehmens die Authentifizierung. Die Passwortwiederherstellung kann daher auf eine der folgenden Arten durchgeführt werden:
      • Passwortrücksetzung über die Active-Directory-Benutzerverwaltung (falls zutreffend)
      • Passwortrücksetzung über Azure AD, Okta, Google Workspace, PingOne, PingFederate oder OneLogin (falls zutreffend)
      • Beim Zurücksetzen des Passworts über die Richtlinie „Zurücksetzen von Master-Passwörtern durch Superadministratoren erlauben“ in LastPass allerdings wird der Status des Benutzers von einem Verbundbenutzer in einen Nicht-Verbundbenutzer geändert. Weitere Informationen finden Sie unter Master-Passwort eines Benutzers zurücksetzen (Superadministrator).
    • Keine Multifaktor-Authentifizierung in LastPass aktiviert: Die Multifaktor-Authentifizierung muss auf der Ebene des Identitätsanbieters eingerichtet werden, nicht auf LastPass-Ebene. Sie muss in der Administrationskonsole von LastPass (Anleitung) und in den Kontoeinstellungen des Endbenutzers (Anleitung) deaktiviert werden. Wenn die Multifaktor-Authentifizierung in LastPass aktiviert ist, hat das zur Folge, dass Verbundbenutzer nicht auf ihren Vault zugreifen können.
      Wichtig: Da es erforderlich ist, dass Sie während des Einrichtungsprozesses mindestens einen nicht-verbündeten LastPass-Administrator anlegen (der auch mit der Richtlinie "Zurücksetzen von Master-Passwörtern durch Superadministratoren erlauben" aktiviert ist), kann dieser spezielle Administrator die Multifaktor-Authentifizierung für sein Konto auf der LastPass-Ebene aktivieren.
      Einschränkung: Workstation-MFA kann nicht gleichzeitig mit der föderierten Anmeldung verwendet werden (da die föderierte Anmeldung nur die Multifaktor-Authentifizierung auf der Ebene des Identitätsanbieters unterstützt und Workstation-MFA die Multifaktor-Authentifizierung auf der LastPass-Ebene erfordert).
    • Keine Richtlinien für die verpflichtende Multifaktor-Authentifizierung in LastPass: Sie müssen alle Richtlinien für die Multifaktor-Authentifizierung in der LastPass-Administrationskonsole deaktivieren (Anleitung hier), da diese Authentifizierung auf Ebene des Identitätsanbieters erfolgt. Selbst wenn nur eine Richtlinie für die Multifaktor-Authentifizierung in LastPass aktiviert ist, hat das zur Folge, dass Verbundbenutzer nicht auf ihren Vault zugreifen können.
      Hinweis: Benutzer mit föderierter Anmeldung erhalten eine automatische Erhöhung ihrer Sicherheitsbewertung um 10 %, da die Multifaktor-Authentifizierung auf der Ebene des Identitätsanbieters (in den Einstellungen von AD FS, Azure AD, Okta, PingOne, PingFederate, Google Workspace oder OneLogin) und nicht auf der Ebene von LastPass (auf der Registerkarte Multifaktor-Optionen in den Kontoeinstellungen ihres Vaults) eingerichtet werden muss.
    • Es wird nur Single Sign-On (SSO) des Dienstanbieters unterstützt: Das bedeutet, dass Sie den Anmeldevorgang immer von einer LastPass-Komponente (z. B. einer Browsererweiterung, einer mobilen App oder einer Desktopanwendung) aus starten müssen, um zur Anmeldeseite des Identitätsanbieters Ihres Unternehmens weitergeleitet zu werden. Die Anmeldung über die LastPass-Website unter https://lastpass.com/?ac=1 wird für Verbundbenutzer nicht unterstützt.
    • Über verknüpfte persönliche Konten - Verknüpfte persönliche Konten müssen auf jedem neuen Gerät (Desktop oder Mobilgerät) verifiziert werden, das ein Benutzer mit föderierter Anmeldung für die Anmeldung bei LastPass verwendet. Dieser Verifizierungsprozess muss von jedem Browser, jeder Desktop-Anwendung und/oder jeder mobilen Anwendung aus erfolgen, die für die föderierte Anmeldung auf dem/den neuen Gerät(en) verwendet werden soll.
    • Über die Richtlinie „Keine Begrüßungsmail senden“: Diese Richtlinie hat keine Auswirkungen auf Verbundbenutzer, da diese Benutzer eine Begrüßungsmail erhalten müssen, um ihr LastPass-Verbundkonto zu aktivieren.
    • Für AD FS und PingFederate - Automatische E-Mail-Änderungen und die Anpassung von Begrüßungs-E-Mails werden nicht für Benutzer unterstützt, die über Federated Login mit AD FS (sowohl die traditionelle als auch die vereinfachte Version) oder PingFederate bereitgestellt werden.
    • Sonstige Richtlinienbeschränkungen: Alle Richtlinien zur Stärke des Master-Passworts und/oder Regeln zum Master-Passwort haben keine Auswirkungen auf Verbundbenutzer und sollten für diese Benutzer grundsätzlich deaktiviert sein. So können Sie Ihre Richtlinien verwalten.

    Beachten Sie, dass die oben aufgeführten Einschränkungen aufgehoben werden, wenn sich der Status eines Benutzers von „Verbundbenutzer“ in „Nicht-Verbundbenutzer“ ändert (z. B. wegen Zurücksetzen eines Master-Passworts). Der Benutzer muss jedoch dennoch weiterhin die Unternehmensrichtlinien einhalten, die auf sein LastPass-Business-Konto angewendet wurden. Sie können diese Benutzer aber ohne Datenverlust auch wieder in Verbundbenutzer umwandeln. Lesen Sie hierzu die Anleitung für Ihre Verbundanmeldungskonfiguration: