MFA - Monivaiheinen tunnistautuminen - Usein kysytyt kysymykset

Microsoft 365 -palveluiden (esim. Outlook, Teams, OneDrive) monivaiheinen tunnistautuminen (MFA) otettiin käyttöön yliopistolla vuoden 2021 aikana.

Lue lisätietoja MFA-käyttöönotosta Flamma-uutisesta. Avoimen yliopiston käyttöönottoaikataulusta tiedotamme erikseen.

    Ongelmatilanteita

    Puhelintunnistautuminen ei onnistu

    Puhelintunnistuksen yrittäminen antaa ilmoituksen "Request failed due to exceeding the number of allowed attempts". Puhelintunnistus sallii viisi epäonnistunutta yritystä tunnin sisällä, jonka jälkeen tunnistusmuoto menee lukkoon 24 tunnin ajaksi. Ainoa keino kirjautua tänä aikana on käyttää muita tunnistusmenetelmiä, kuten Authenticator-sovellusta.

    Minulla ei ole enää pääsyä käyttämääni tunnisteeseen. Mitä teen?

    Huom! Muista rekisteröidä vähintään kaksi erillistä tunnistustapaa, jolloin yhden hukkuessa toinen on edelleen käytettävissä.

    • Voit palauttaa kaikki tunnisteet sivustolla https://mfa.it.helsinki.fi, jossa vahvistat henkilöllisyytesi Suomi.fi -tunnistuksella. Tämän jälkeen sinulta vaaditaan tunnistusmenetelmän rekisteröinti seuraavalla kirjautumiskerralla.
    • Jos sinulla ei ole mahdollisuutta Suomi.fi -tunnistukseen, ota yhteyttä IT-Helpdeskiin tunnisteiden palautusta varten.
    • Tunnisteiden palauttamisen jälkeen vanhat tunnisteesi näkyvät edelleen Turvatieto-sivulla, mutta ne eivät enää toimi. Voit ottaa tunnisteet uudelleen käyttöön valitsemalla tunnisteen kohdalla “Enable two-step verification” tai rekisteröimällä tunnisteen muuten uudelleen.
    • Huom! Tunnisteiden palautus ei kirjaa sinua ulos ohjelmista tai käyttäjäsessioista. Jos tunnisteesi on joutunut vääriin käsiin, tulee sessiot kirjata ulos erikseen Turvatieto-sivustolla https://mysignins.microsoft.com/security-info.

    Rekisteröityminen tai kirjautuminen ei onnistu, koska selain jää odottamaan johonkin kohtaan eikä mitään tapahdu

    Kokeile selaimen yksityisyystilassa (privacy, incognito) ja/tai toisella selaimella. Jos tämä toimii, johtuu ongelma joko selaimen lisäosasta tai välimuistissa olevista tiedoista. Tällöin selainlisäosien poisto käytöstä tai selaimen välimuistin tyhjennys todennäköisesti auttavat. Lue IT-Helpdeskin ohjeet välimuistin tyhjennykseen.

    Palvelu ilmoittaa, ettei puheluun vastattu, vaikka puhelin ei soinut ollenkaan

    Tarkista puhelulokista oletko saanut puhelua ja että numero ei ole estolistalla.
    MFA-pyynnöt tulevat yhdysvaltalaisista numeroista +1 866 539 4191, +1 855 330 8653 ja +1 877 668 6536.

    Joissain Tupla-SIM-puhelimissa on ongelmana, että toinen SIM-kortti tipahtaa välillä pois puhelinverkosta ja puhelu ohjautuu vastaajaan. Nämä ovat yleensä älypuhelimia, joissa tunnistautumiseen kannattaa ensisijaisesti käyttää Microsoft Authenticator-sovellusta.

    Tilanteeseen voi auttaa myös käyttämällä sen liittymän numeroa tunnistautumiseen, jossa puhelimen mobiilidata on aktiivisena.

    Palvelu valittaa väärästä TOTP-koodista, vaikka koodi on oikein

    TOTP-koodit ovat aikaperusteisia, joten jo muutaman sekunnin heitto estää koodia toimimasta koko puolen minuutin voimassaoloaikaansa. Tarkista koodin antavan laitteen kellonaika.

    Tunnistusmenetelmän rekisteröinti antaa virheilmoituksen "You are blocked from performing this operation. Please contact your administrator for help"

    Tunnistusmenetelmien hallinta on estetty epäilyttävän käytöksen vuoksi, joka johtuu yleensä useista epäonnistuneista yrityksistä rekisteröidä tunnistusmenetelmä. Ole yhteydessä Helpdeskiin esteen poistamiseksi.

    Sähköpostisovellus antaa MFA:n käyttöönoton jälkeen viestin "Saat tämän viestin, koska IT-osastosi on estänyt sähköpostisi käytön."

    Sovellus ei tue MFA:n vaatimaa OAuth2/Modernia kirjautumistapaa tai ei pysty vaihtamaan siihen automaattisesti. Jos sovelluksen pitäisi tukea tätä kirjautumistapaa (esim. iOS Mail) voi ongelmaan auttaa tilin poistaminen ja määrittäminen uudelleen. Muussa tapauksessa joudut käyttämään toista sovellusta. Suosittelemme Microsoft Outlook-sovelluksen käyttöä sähköpostin lukuun kännykällä.

    Muut kuin edellä mainitut ongelmat

    Kokeile selaimen yksityisyystilassa (privacy, incognito) ja/tai toisella selaimella. Jos tämä toimii, johtuu ongelma joko selaimen lisäosasta tai välimuistissa olevista tiedoista. Tällöin selainlisäosien poisto käytöstä tai selaimen välimuistin tyhjennys todennäköisesti auttavat.
    Jos tämäkään ei auta, ole yhteydessä Helpdeskiin ongelman selvittämiseksi.

    Yleiset

    Kuinka usein monivaiheista tunnistautumista kysytään?

    • Monivaiheista tunnistautumista kysytään aina uudella laitteella tai sovelluksella kirjautuessa.
    • Sovelluksilla kuten Microsoft Outlook tai Teams kirjautuessa tieto tunnistautumisesta muistetaan automaattisesti 90 vuorokautta.
    • Kirjautuessasi Web-palveluihin kuten Outlook for Web voit vahvaa tunnistautumista kysyttäessä asettaa selaimen muistamaan kirjautumisesi seuraavan 90 vuorokauden ajan. Tieto muistetaan käytetyn selaimen evästeessä.
      • Huom. jos poistut M365-palvelusta "Kirjaudu ulos" -linkillä, poistetaan tämä eväste muiden kirjautumistietojen mukana ja monivaiheinen tunnistautuminen kysytään uudestaan seuraavalla kerralla kirjautuessa.

    Miksi lisätunnistautumista kysytään koko ajan monivaiheisen tunnistautumisen käyttöönoton yhteydessä?

    Monivaiheisen tunnistautumisen tarkoitus on estää vääriin käsiin joutuneella tunnuksella kirjautuminen. Tästä johtuen lisävahvistus kysytään aina uudella sovelluksella kirjautuessa. Alussa kyselyitä tulee enemmän, koska eri selaimet, älypuhelinten tai tietokoneiden sähköpostisovellukset tai muut tunnistautumista vaativat sovellukset vaativat oman kirjautumisensa. Lisävahvistus muistetaan jokaisen sovelluksen osalta erikseen 90 vuorokautta.

    Tieto lisävahvistuksesta tallennetaan selaimissa evästeeseen, jolloin yksityisyystilaa käytettäessä tai selaushistorian tyhjennyksen jälkeen vahvistus kysytään uudelleen. Samoin M365-palvelusta poistuminen "Kirjaudu ulos" -linkillä johtaa tunnistautumistiedon poistamiseen ja vahvistuksen kysymiseen uudelleen seuraavalla kirjautumiskerralla. Jos sama sovellus kysyy lisävahvistusta jatkuvasti uudelleen, olethan yhteydessä IT-Helpdeskiin ongelman ratkaisemiseksi.

    Onko sähköpostisovellus X tuettu?

    Suositeltu sovellus sekä mobiililaitteilla että työpöytäkäytössä on Microsoft Outlook ja selaimella Outlook for Web.

    Monivaiheinen tunnistautuminen vaatii sähköpostisovellukselta tukea OAuth2-kirjautumiselle (käytetään myös termiä Modern Authentication). Tätä tukevat vaihtelevasti myös monet muut sähköpostisovellukset. Tiedossa on, että sähköposti on saatu toimimaan esim. seuraavilla sovelluksilla:

    Huom! Monissa tilanteissa sähköpostitili pitää poistaa ja asentaa uudelleen, jotta se siirtyy käyttämään uutta kirjautumistapaa.

    Tunnistusmenetelmät

    Kuinka voin vaihtaa oletusmenetelmän?

    Suosittelemme vahvasti käyttämään Microsoft Authenticator-sovellusta oletusmenetelmänä. Oletusmenetelmän voi vaihtaa Turvatieto-sivustolla.

    Valinta oletusmenetelmän vaihtamiseen ilmestyy Add method (Lisää menetelmä)-napin päälle, kunhan olet lisännyt toisen tunnistusmenetelmän ja ladannut sen jälkeen Turvatieto-sivuston uudelleen (paina F5). Ohjeet tunnistusmenetelmien lisäämiseen löydät sivulta: Tunnistusmenetelmien käyttö ja hallinta.

    Mitä tunnistautumismenetelmiä tuetaan?

    Tällä hetkellä tuettuja tunnistautumismenetelmiä ovat:

    • Microsoft Authenticator-sovellus. Suositeltu ensisijainen menetelmä. Vahvistat kirjautumisen antamalla sovellukseen selaimen näytöllä näytetyt numerot.
    • Muut Authenticator-sovellukset tai TOTP-koodeja luovat laitteet. Nämä luovat puolen minuutin välein vaihtuvan numerokoodin, jonka syöttämällä pääsee järjestelmään sisään ja ne toimivat myös laitteissa ilman verkkoyhteyttä.
    • FIDO2-avaimet. USB/NCF -avaimet, jotka käyttävät varmennepohjaista ratkaisua yhdessä PIN-koodin kanssa.
    • Puhelinsoitto. Käyttöönoton yhteydessä määritettyyn numeroon tuleva automaattinen puhelinsoitto, jossa kerrotaan ohjeet käyttöön. Painamalla #-merkkiä, vastaanottaja hyväksyy kirjautumisen.

    Minulla ei ole työpuhelinta, kuinka saan monivaiheisen tunnistautumisen käyttööni?

    • Ohjeet työpuhelimen hankintaan löytyvät Flammasta.
    • Jos et halua työpuhelinta, voit käyttää Microsoft Authenticator-sovellusta ja soittotunnistautumista myös omalla puhelimellasi.
    • Katso myös kohta "Minulla ei ole puhelinta, mitä muita vaihtoehtoja tunnistautumiseen on?".

    Minulla ei ole puhelinta, mitä muita vaihtoehtoja tunnistautumiseen on?

    Suositellut tunnistautumismenetelmät ovat Microsoft Authenticator -sovellus ja varalla puhelinsoitto. Jos nämä eivät ole mahdollisia, on TOTP-koodeja tarjoavia sovelluksia saatavilla myös eri käyttöjärjestelmille. Näille ei ole yliopiston puolelta virallista tukea, ja käyttö on käyttäjän omalla vastuulla. Yleisesti käytettyjä sovelluksia ovat mm.

    TOTP-koodia käyttävä sovellus lisätään Turvatieto-sivustolla valitsemalla Add method > Authenticator App > I want to use a different authenticator app.

    Mitkä ovat turvallisimmat tunnistautumismenetelmät?

    Turvallisimpina menetelminä pidetään Microsoft Authenticator -sovellusta, kun sovelluksessa käytetään näppäinlukitusta tai biometristä tunnistusta, sekä FIDO2-avaimia PIN-koodin kanssa. Nämä välineet täyttävät yksinään monivaiheisen tunnistautumisen määritelmän, ja niillä saatetaan sallia kirjautuminen ilman salasanaa tulevaisuudessa.

    Anna palautetta

    Helsingin yliopiston IT-Helpdeskin ohjesivusto auttaa sinua työhösi liittyvissä IT-aiheisissa kysymyksissä. Kerro meille, miten voisimme parantaa ohjeitamme. Arvostamme suuresti palautettasi!

    Kuinka parantaisit ohjeistusta?
    Takaisin ylös