MFA - Monivaiheinen tunnistautuminen - Usein kysytyt kysymykset

    Ongelmatilanteita

    Puhelintunnistautuminen ei onnistu

    Puhelintunnistuksen yrittäminen antaa ilmoituksen "Request failed due to exceeding the number of allowed attempts". Puhelintunnistus sallii viisi epäonnistunutta yritystä tunnin sisällä, jonka jälkeen tunnistusmuoto menee lukkoon 24 tunnin ajaksi. Ainoa keino kirjautua tänä aikana on käyttää muita tunnistusmenetelmiä, kuten Authenticator-sovellusta.

    Suosittelemme lisäämään vähintään kaksi erilaista tunnistautumistapaa eri laitteilla. Puhelintunnistautuminen voi olla vaihtoehtoinen tapa. Valitse joku toimintavarmempi tapa. Katso ohje oletusarvoisen tunnistautumistavan vaihtamiseen käyttöönottosivulta.

    Minulla ei ole enää pääsyä käyttämääni tunnisteeseen. Mitä teen?

    Huom! Muista rekisteröidä vähintään kaksi erillistä tunnistustapaa kahdella erillisellä laitteella, jolloin yhden hukkuessa toinen on edelleen käytettävissä.

    Rekisteröityminen tai kirjautuminen ei onnistu, koska selain jää odottamaan johonkin kohtaan eikä mitään tapahdu

    Kokeile selaimen yksityisyystilassa (privacy, incognito) ja/tai toisella selaimella. Jos tämä toimii, johtuu ongelma joko selaimen lisäosasta tai välimuistissa olevista tiedoista. Tällöin selainlisäosien poisto käytöstä tai selaimen välimuistin tyhjennys todennäköisesti auttavat. 

    Palvelu ilmoittaa, ettei puheluun vastattu, vaikka puhelin ei soinut ollenkaan

    Tarkista puhelulokista oletko saanut puhelua ja että numero ei ole estolistalla.
    MFA-pyynnöt tulevat yhdysvaltalaisista numeroista +1 866 539 4191, +1 855 330 8653 ja +1 877 668 6536.

    Joissain Tupla-SIM-puhelimissa on ongelmana, että toinen SIM-kortti tipahtaa välillä pois puhelinverkosta ja puhelu ohjautuu vastaajaan. Nämä ovat yleensä älypuhelimia, joissa tunnistautumiseen kannattaa ensisijaisesti käyttää Microsoft Authenticator-sovellusta.

    Tilanteeseen voi auttaa myös käyttämällä sen liittymän numeroa tunnistautumiseen, jossa puhelimen mobiilidata on aktiivisena.

    Palvelu valittaa väärästä TOTP-koodista, vaikka koodi on oikein

    TOTP-koodit ovat aikaperusteisia, joten jo muutaman sekunnin heitto estää koodia toimimasta koko puolen minuutin voimassaoloaikaansa. Tarkista koodin antavan laitteen kellonaika.

    Tunnistusmenetelmän rekisteröinti antaa virheilmoituksen "You are blocked from performing this operation. Please contact your administrator for help"

    Tunnistusmenetelmien hallinta on estetty epäilyttävän käytöksen vuoksi, joka johtuu yleensä useista epäonnistuneista yrityksistä rekisteröidä tunnistusmenetelmä. Ole yhteydessä Helpdeskiin esteen poistamiseksi.

    En ole kirjautumassa mihinkään, mutta saan silti ilmoituksia Authenticator-sovelluksesta

    Mikäli et ole kirjautumassa mihinkään palveluun ja saat kehotuksen kirjautua sisään Microsoft Authenticator -sovelluksesta toimi seuraavasti:

    • Tarkista kaikilta käytössäsi olevilta laitteilta sovellukset, joille olet kirjautunut yliopiston tunnuksellasi (mobiililaitteet, kannettavat). Tunnistautumisesta johonkin sovellukseen on saattanut kulua 90 päivää edellisestä tunnistautumisesta ja se haluaa nyt uutta tunnistautumista.

    Huomaa, ettei sinun tarvitse tehdä tunnistautumista pakolla, eli voit myös sulkea Microsoft Authenticator -sovelluksen vastaamatta. 

    Mikäli kävit laitteillasi olevat sovellukset läpi, mutta et löytänyt tunnistautumista odottavaa laitetta tai sovellusta, valitse Ei, se en ole minä (No, it's not me). Tällöin asiasta lähtee ilmoitus eteenpäin. Tämä ilmoitus yksistään ei aiheuta mitään toimia, mutta jos epäilet, että olet joutunut kalastelun uhriksi, niin ole välittömästi yhteydessä IT-Helpdeskiin.

    Sähköpostisovellus antaa MFA:n käyttöönoton jälkeen viestin "Saat tämän viestin, koska IT-osastosi on estänyt sähköpostisi käytön."

    Sovellus ei tue MFA:n vaatimaa OAuth2/Modernia kirjautumistapaa tai ei pysty vaihtamaan siihen automaattisesti. Jos sovelluksen pitäisi tukea tätä kirjautumistapaa (esim. iOS Mail) voi ongelmaan auttaa tilin poistaminen ja määrittäminen uudelleen. Muussa tapauksessa joudut käyttämään toista sovellusta. Suosittelemme Microsoft Outlook-sovelluksen käyttöä sähköpostin lukuun kännykällä.

    Muut kuin edellä mainitut ongelmat

    Kokeile selaimen yksityisyystilassa (private, incognito, InPrivate) ja/tai toisella selaimella. Jos tämä toimii, johtuu ongelma joko selaimen lisäosasta tai välimuistissa olevista tiedoista. Tällöin selainlisäosien poisto käytöstä tai selaimen välimuistin tyhjennys todennäköisesti auttavat.
    Jos tämäkään ei auta, ole yhteydessä IT-Helpdeskiin ongelman selvittämiseksi.

    Yleiset

    Kuinka usein monivaiheista tunnistautumista kysytään?

    • Monivaiheista tunnistautumista kysytään aina uudella laitteella tai sovelluksella kirjautuessa.
    • Sovelluksilla kuten Microsoft Outlook tai Teams kirjautuessa tieto tunnistautumisesta muistetaan automaattisesti 30 vuorokautta.
    • Kirjautuessasi Web-palveluihin kuten Outlook for Web voit vahvaa tunnistautumista kysyttäessä asettaa selaimen muistamaan kirjautumisesi. Tieto muistetaan käytetyn selaimen evästeessä.
      • Kirjautuminen muistetaan opiskelijoilla enintään 30 vrk, henkilökunnalla 5 vrk. Riskiperusteisesti sitä voidaan kysyä myös useammin.
      • Huom. jos poistut M365-palvelusta "Kirjaudu ulos" -linkillä, poistetaan tämä eväste muiden kirjautumistietojen mukana ja monivaiheinen tunnistautuminen kysytään uudestaan seuraavalla kerralla kirjautuessa.

    Miksi lisätunnistautumista kysytään koko ajan monivaiheisen tunnistautumisen käyttöönoton yhteydessä?

    Monivaiheisen tunnistautumisen tarkoitus on estää vääriin käsiin joutuneella tunnuksella kirjautuminen. Tästä johtuen lisävahvistus kysytään aina uudella sovelluksella kirjautuessa. Alussa kyselyitä tulee enemmän, koska eri selaimet, älypuhelinten tai tietokoneiden sähköpostisovellukset tai muut tunnistautumista vaativat sovellukset vaativat oman kirjautumisensa. Lisävahvistus muistetaan jokaisen sovelluksen osalta erikseen enintään 30 vuorokautta.

    Tieto lisävahvistuksesta tallennetaan selaimissa evästeeseen, jolloin yksityisyystilaa käytettäessä tai selaushistorian tyhjennyksen jälkeen vahvistus kysytään uudelleen. Samoin M365-palvelusta poistuminen "Kirjaudu ulos" -linkillä johtaa tunnistautumistiedon poistamiseen ja vahvistuksen kysymiseen uudelleen seuraavalla kirjautumiskerralla. Jos sama sovellus kysyy lisävahvistusta jatkuvasti uudelleen, olethan yhteydessä IT-Helpdeskiin ongelman ratkaisemiseksi.

    Onko sähköpostisovellus X tuettu?

    Suositeltu sovellus sekä mobiililaitteilla että työpöytäkäytössä on Microsoft Outlook ja selaimella Outlook for Web.

    Monivaiheinen tunnistautuminen vaatii sähköpostisovellukselta tukea OAuth2-kirjautumiselle (käytetään myös termiä Modern Authentication). Tätä tukevat vaihtelevasti myös monet muut sähköpostisovellukset. Tiedossa on, että sähköposti on saatu toimimaan esim. seuraavilla sovelluksilla:

    Huom! Monissa tilanteissa sähköpostitili pitää poistaa ja asentaa uudelleen, jotta se siirtyy käyttämään uutta kirjautumistapaa.

    Tunnistusmenetelmät

    Kuinka voin vaihtaa oletusmenetelmän?

    Suosittelemme vahvasti käyttämään Microsoft Authenticator -sovellusta oletusmenetelmänä. Oletusmenetelmän voi vaihtaa Turvatieto-sivustolla.

    Valinta oletusmenetelmän vaihtamiseen ilmestyy Add method (Lisää menetelmä)-napin päälle, kunhan olet lisännyt toisen tunnistusmenetelmän ja ladannut sen jälkeen Turvatieto-sivuston uudelleen (paina F5). Ohjeet tunnistusmenetelmien lisäämiseen löydät sivulta: MFA - Monivaiheisen tunnistumisen käyttöönotto.

    Mitä tunnistautumismenetelmiä tuetaan?

    Käytettävät tunnistusmenetelmät on listattu tässä siinä järjestyksessä, jossa niiden käyttöä suositellaan. Suosittelemme, että otat useamman tunnistautumistavan käyttöön kahdella eri laitteella, jotta sinulla on käytössä myös vaihtoehtoinen tapa tunnistautua, mikäli yksi tavoista ei olekaan saatavilla (esim. puhelin ei ole mukana tai hajoaa). Voit siis lisätä useampia tapoja varmuuden vuoksi ja valita tunnistautumisvaiheessa vaihtoehtoisen tavan, mikäli tulee tilanne, ettei sinulla ole mahdollisuutta käyttää päätunnistautumistapaa. Puhelintunnistusta tulisi käyttää aina vain varamenetelmänä.


    Minulla on käytössäni vanha työpuhelin, jolle ei enää voi asentaa uusinta Microsoft Authenticator -sovellusta. Mitä minun täytyy tehdä?

    Jos käytössäsi on vanha työpuhelin, jonka käyttöjärjestelmää ei enää tueta (vanhempi kuin Android 8 tai iOS 14), etkä voi siten asentaa puhelimelle sovelluskaupastasi uusinta Microsoft Authenticator -sovellusta, tee hankintapyyntö uudesta työpuhelimesta puhelinten hankintaohjeiden mukaisesti (linkki Flammaan, vaatii kirjautumisen)

    Minulla ei ole työpuhelinta, kuinka saan monivaiheisen tunnistautumisen käyttööni?

    Minulla ei ole puhelinta, mitä muita vaihtoehtoja tunnistautumiseen on?

    Monivaiheinen tunnistautuminen tarvitsee aina teknisen apuvälineen. Suositeltu väline on älypuhelimella käytettävä Microsoft Authenticator -sovellus. Jos älypuhelinta ei ole tai sen käyttö on esimerkiksi terveydellisistä syistä mahdotonta, tunnistautuminen on mahdollista myös henkilökohtaisen matkapuhelimen puhelinnumeroon tulevalla vahvistussoitolla. Mikäli puhelinta ei ole käytössä, se voidaan korvata esimerkiksi edullisella FIDO2-standardin mukaisella USB-avaimella.

    Lisäksi on saatavilla TOTP-koodeja tarjoavia sovelluksia eri käyttöjärjestelmille. Näille ei ole yliopiston puolelta virallista tukea, ja käyttö on käyttäjän omalla vastuulla. 

    Tällaisia sovelluksia ovat esimerkiksi:

    TOTP-koodia käyttävä sovellus lisätään Turvatieto-sivustolla valitsemalla Add method > Authenticator App > I want to use a different authenticator app.

    Yliopisto ei korvaa opiskelijoille kirjautumisessa vaadittavia teknisiä apuvälineitä, vaan ne tulee hankkia itse.

    Mitkä ovat turvallisimmat tunnistautumismenetelmät?

    Turvallisimpina menetelminä pidetään Passkey/FIDO2 -tekniikoita eli Passkey Microsoft Authenticatorissa ("Passkey in Microsoft Authenticator") tai FIDO2-yhteensopiva USB-turva-avainta PIN-koodin kanssa. Nämä välineet täyttävät yksinään monivaiheisen tunnistautumisen määritelmän, ja niillä saatetaan sallia kirjautuminen ilman salasanaa tulevaisuudessa.

    Anna palautetta

    Helsingin yliopiston IT-Helpdeskin ohjesivusto auttaa sinua työhösi liittyvissä IT-aiheisissa kysymyksissä. Kerro meille, miten voisimme parantaa ohjeitamme. Arvostamme suuresti palautettasi!

    Kuinka parantaisit ohjeistusta?
    Takaisin ylös