HELP FILE

Welche Einschränkungen gelten für LastPass-Benutzer mit Verbundanmeldung?

    Für LastPass-Business-Benutzer, deren Konten für die Verbundanmeldung mit AD FS, Azure AD, Okta, Google Workspace, PingOne oder PingFederate konfiguriert sind, gelten einige Funktionseinschränkungen.

    Hinweis: In dieser Anleitung ist der für die Authentifizierung verwendete Identitätsanbieter entweder AD FS, Azure AD, Okta, Google Workspace, PingOne oder PingFederate.

    Kompatibilität

    Unterstützte Komponenten:

    Nicht unterstützte Komponenten:

    • Android-Wearables/Apple Watch
    • Wenn die LastPass-Desktopanwendungen oder die mobilen „LastPass Password Manager“-Apps über MDM-Lösungen von Drittanbietern (Nicht Intune) verwaltet werden
    • Nutzung des Online-Vaults über mobile Browser
    • Verwenden des Online-Web-Vaults (LastPass-Website) ohne Installation der LastPass-Erweiterung

    Einschränkungen

    • Kein Offline-Zugriff: Die Clientseite (Browsererweiterung) muss immer online sein, um den Verschlüsselungsschlüssel des Benutzers abzurufen und den LastPass-Vault des Benutzers zu entsperren. Die Anmeldung im Offline-Modus ist daher nicht verfügbar.
    • Kein Einmalpasswort: Diese Funktion ist nicht verfügbar, da das Master-Passwort aus der Active-Directory-Umgebung (AD FS, Azure AD, Okta, Google Workspace, PingOne oder PingFederate) des Benutzers stammt.
    • Eingeschränkte Optionen für die Kontowiederherstellung – Für Verbundbenutzer ermöglicht der Identity-Provider (IdP) des Unternehmens die Authentifizierung. Die Passwortwiederherstellung kann daher auf eine der folgenden Arten durchgeführt werden:
      • Passwortrücksetzung über die Active-Directory-Benutzerverwaltung (falls zutreffend)
      • Passwortrücksetzung über Azure AD, Okta, Google Workspace, PingOne oder PingFederate (falls zutreffend)
      • Beim Zurücksetzen des Passworts über die Richtlinie „Zurücksetzen von Master-Passwörtern durch Superadministratoren erlauben“ in LastPass allerdings wird der Status des Benutzers von einem Verbundbenutzer in einen Nicht-Verbundbenutzer geändert. Weitere Informationen finden Sie unter Master-Passwort eines Benutzers zurücksetzen (Superadministrator).
    • Keine Multifaktor-Authentifizierung in LastPass aktiviert: Die Multifaktor-Authentifizierung muss auf der Ebene des Identitätsanbieters eingerichtet werden, nicht auf LastPass-Ebene. Sie muss in der Administrationskonsole von LastPass (Anleitung) und in den Kontoeinstellungen des Endbenutzers (Anleitung) deaktiviert werden. Wenn die Multifaktor-Authentifizierung in LastPass aktiviert ist, hat das zur Folge, dass Verbundbenutzer nicht auf ihren Vault zugreifen können.
      Einschränkung: Workstation MFA kann nicht gleichzeitig mit der Verbundanmeldung verwendet werden (da die Verbundanmeldung nur die Multifaktor-Authentifizierung auf der Ebene des Identitätsanbieters unterstützt und Workstation MFA die Multifaktor-Authentifizierung auf der LastPass-Ebene erfordert).
    • Keine Richtlinien für die verpflichtende Multifaktor-Authentifizierung in LastPass: Sie müssen alle Richtlinien für die Multifaktor-Authentifizierung in der LastPass-Administrationskonsole deaktivieren (Anleitung hier), da diese Authentifizierung auf Ebene des Identitätsanbieters erfolgt. Selbst wenn nur eine Richtlinie für die Multifaktor-Authentifizierung in LastPass aktiviert ist, hat das zur Folge, dass Verbundbenutzer nicht auf ihren Vault zugreifen können.
      Hinweis: Verbundanmeldungsbenutzer erhalten ein automatisches Plus von 10 % auf ihre Sicherheitsbewertung, da die Multifaktor-Authentifizierung auf der Ebene des Identitätsanbieters (in den Einstellungen für AD FS, Azure AD, Okta, PingOne, PingFederate oder Google Workspace) und nicht auf der Ebene von LastPass (in der Registerkarte „Multifaktor-Optionen“ in den Kontoeinstellungen des Vaults) eingerichtet werden muss.
    • Es wird nur Single Sign-On (SSO) des Dienstanbieters unterstützt: Das bedeutet, dass Sie den Anmeldevorgang immer von einer LastPass-Komponente (z. B. einer Browsererweiterung, einer mobilen App oder einer Desktopanwendung) aus starten müssen, um zur Anmeldeseite des Identitätsanbieters Ihres Unternehmens weitergeleitet zu werden. Die Anmeldung über die LastPass-Website unter https://lastpass.com/?ac=1 wird für Verbundbenutzer nicht unterstützt.
    • Über verknüpfte private Konten: Verknüpfte private Konten müssen auf jedem neuen Gerät verifiziert werden, das ein Verbundbenutzer mit AD FS, Azure AD, Okta, Google Workspace, PingOne oder PingFederate für die Anmeldung zum Zugriff auf seinen LastPass-Vault verwendet.
    • Über die Richtlinie „Keine Begrüßungsmail senden“: Diese Richtlinie hat keine Auswirkungen auf Verbundbenutzer, da diese Benutzer eine Begrüßungsmail erhalten müssen, um ihr LastPass-Verbundkonto zu aktivieren.
    • Für AD FS und PingFederate: Automatische E-Mail-Änderungen und die Anpassung von Begrüßungs-E-Mails werden nicht für Benutzer unterstützt, die über Verbundanmeldung mit AD FS (sowohl die klassische als auch die vereinfachte Version) oder PingFederate bereitgestellt wurden.
    • Sonstige Richtlinienbeschränkungen: Alle Richtlinien zur Stärke des Master-Passworts und/oder Regeln zum Master-Passwort haben keine Auswirkungen auf Verbundbenutzer und sollten für diese Benutzer grundsätzlich deaktiviert sein. So können Sie Ihre Richtlinien verwalten.

    Beachten Sie, dass die oben aufgeführten Einschränkungen aufgehoben werden, wenn sich der Status eines Benutzers von „Verbundbenutzer“ in „Nicht-Verbundbenutzer“ ändert (z. B. wegen Zurücksetzen eines Master-Passworts). Der Benutzer muss jedoch dennoch weiterhin die Unternehmensrichtlinien einhalten, die auf sein LastPass-Business-Konto angewendet wurden. Sie können diese Benutzer aber ohne Datenverlust auch wieder in Verbundbenutzer umwandeln. Lesen Sie hierzu die Anleitung für Ihre Verbundanmeldungskonfiguration: