MFA - Usein kysytyt kysymykset

Microsoft Office 365 -palveluiden (esim. Outlook, Teams, OneDrive) monivaiheinen tunnistautuminen tulee asteittain käyttöön koko yliopistolla vuoden 2021 aikana. Monivaiheinen tunnistautuminen otettiin ensin yliopistolla käyttöön vuoden 2021 keväällä ja kesällä tietotekniikkakeskuksessa, henkilöstöpalveluissa ja yliopistopalveluissa, sekä 29.9.2021 yliopiston kirjastossa ja Kansalliskirjastossa.

Monivaiheinen tunnistautuminen on vakiintunut ja tietoturvaa merkittävästi lisäävä käytäntö, joka auttaa turvaamaan sinun tietojasi – lue Flamma-juttu monivaiheisen tunnistautumisen käyttöönotosta Helsingin yliopistollaSen avulla yliopisto vankistaa merkittävästi yliopiston tietoturvaa. Tiedotamme käyttöönottoajankohdista tiedekunta- ja yksikkökohtaisesti hyvissä ajoin.

Monivaiheinen tunnistautuminen yliopiston O365-palveluissa tulee käyttöön seuraavan aikataulun mukaisesti.:

  • MLTDK, FTDK, BYTDK: käyttöönottoaikataulu siirtyy myöhemmäksi Microsoftin vikatilanteen vuoksi. Tiedotamme uudesta aikataulusta hyvissä ajoin.
  • LUOMUS, Kielikeskus, Tutkijakollegium: käyttöönottoaikataulu siirtyy myöhemmäksi Microsoftin vikatilanteen vuoksi. Tiedotamme uudesta aikataulusta hyvissä ajoin.
  • MMTDK, TTDK, LTDK: 3.11.2021
  • HiLIFE, Unisport: 10.11.2021
  • ELTDK, OIKTDK, HUMTDK: 17.11.2021
  • KTDK, VALTTDK, SSKH: 1.12.2021
  • Avoimen yliopiston ja muiden yksiköiden osalta käyttöönottoaikataulu tarkentuu myöhemmin.

 

Monivaiheinen tunnistautuminen tulee käyttöösi yliopiston Office-palveluissa vasta käyttöönoton määräpäivänä, mutta voit helpottaa käyttöönottoa määrittämällä tunnistautumistapasi hyvissä ajoin etukäteen.

Käyttöönoton määräpäivästä alkaen et pääse ilman lisätunnistautumista kirjautumaan Office 365-palveluihin, mukaan lukien sähköpostiisi.

Suosittelemme lisäämään vähintään kaksi tunnistautumismenetelmää (Microsoft Authenticator -mobiilisovelluksen ja varatunnistautumisena automaattisen puhelinsoiton). Varatunnistautuminen mahdollistaa monivaiheisen kirjautumisen, mikäli ensisijainen tunnistautumistapa ei jostain syystä ole käytettävissä.

Monivaiheista tunnistautumista vaaditaan vain 90 päivän välein tai kirjautuessasi uusilla laitteilla, joten tunnistautuminen ei tarpeettomasti kuormita kirjautumistasi yliopiston Office-palveluihin.
 

Yleiset

Kuinka usein monivaiheista tunnistautumista kysytään?

  • Monivaiheista tunnistautumista kysytään aina uudella laitteella tai sovelluksella kirjautuessa.
  • Sovelluksilla kuten Microsoft Outlook tai Teams kirjautuessa tieto tunnistautumisesta muistetaan automaattisesti 90 vuorokautta.
  • Kirjautuessasi Web-palveluihin kuten Outlook for Web voit vahvaa tunnistautumista kysyttäessä asettaa selaimen muistamaan kirjautumisesi seuraavan 90 vuorokauden ajan. Tieto muistetaan käytetyn selaimen evästeessä.
    • Huom. jos poistut O365-palvelusta "Kirjaudu ulos" -linkillä, poistetaan tämä eväste muiden kirjautumistietojen mukana ja monivaiheinen tunnistautuminen kysytään uudestaan seuraavalla kerralla kirjautuessa.

 

Miksi lisätunnistautumista kysytään koko ajan monivaiheisen tunnistautumisen käyttöönoton yhteydessä?

Monivaiheisen tunnistautumisen tarkoitus on estää vääriin käsiin joutuneella tunnuksella kirjautuminen. Tästä johtuen lisävahvistus kysytään aina uudella sovelluksella kirjautuessa. Alussa kyselyitä tulee enemmän, koska eri selaimet, älypuhelinten tai tietokoneiden sähköpostisovellukset tai muut tunnistautumista vaativat sovellukset vaativat oman kirjautumisensa. Lisävahvistus muistetaan jokaisen sovelluksen osalta erikseen 90 vuorokautta.

Tieto lisävahvistuksesta tallennetaan selaimissa evästeeseen, jolloin yksityisyystilaa käytettäessä tai selaushistorian tyhjennyksen jälkeen vahvistus kysytään uudelleen. Samoin O365-palvelusta poistuminen "Kirjaudu ulos" -linkillä johtaa tunnistautumistiedon poistamiseen ja vahvistuksen kysymiseen uudelleen seuraavalla kirjautumiskerralla. Jos sama sovellus kysyy lisävahvistusta jatkuvasti uudelleen, olethan yhteydessä IT-Helpdeskiin ongelman ratkaisemiseksi.

Onko sähköpostisovellus X tuettu?

Suositeltu sovellus sekä mobiililaitteilla että työpöytäkäytössä on Microsoft Outlook ja selaimella Outlook for Web.

Monivaiheinen tunnistautuminen vaatii sähköpostisovellukselta tukea OAuth2-kirjautumiselle (käytetään myös termiä Modern Authentication). Tätä tukevat vaihtelevasti myös monet muut sähköpostisovellukset. Tiedossa on, että sähköposti on saatu toimimaan esim. seuraavilla sovelluksilla:

Huom! Monissa tilanteissa sähköpostitili pitää poistaa ja asentaa uudelleen, jotta se siirtyy käyttämään uutta kirjautumistapaa.

Tunnistusmenetelmät

Kuinka voin vaihtaa oletusmenetelmän?

Suosittelemme vahvasti käyttämään Authenticator-sovellusta oletusmenetelmänä. Oletusmenetelmän voi vaihtaa Turvatieto-sivustolla.

Valinta oletusmenetelmän vaihtamiseen ilmestyy Add method (Lisää menetelmä)-napin päälle, kunhan olet lisännyt toisen tunnistusmenetelmän ja ladannut sen jälkeen Turvatieto-sivuston uudelleen (paina F5). Ohjeet tunnistusmenetelmien lisäämiseen löydät sivulta Tunnistusmenetelmien käyttö ja hallinta.

 

Mitä tunnistautumismenetelmiä tuetaan?

Tällä hetkellä tuettuja tunnistautumismenetelmiä ovat:

  • Microsoft Authenticator-sovellus. Suositeltu ensisijainen menetelmä, jolla puhelimeen saa Kyllä/Ei-kysymyksen kirjautumisen vahvistamiseen.
  • Muut Authenticator-sovellukset tai TOTP-koodeja luovat laitteet. Nämä luovat puolen minuutin välein vaihtuvan numerokoodin, jonka syöttämällä pääsee järjestelmään sisään ja ne toimivat myös laitteissa ilman verkkoyhteyttä.
  • FIDO2-avaimet. USB/NCF -avaimet, jotka käyttävät varmennepohjaista ratkaisua yhdessä PIN-koodin kanssa. Huom: kirjoitushetkellä avaimen käyttöönotto ei toimi Linuxissa, mutta käyttö onnistuu, jos käyttöönoton tekee toisella laitteella.
  • Puhelinsoitto. Käyttöönoton yhteydessä määritettyyn numeroon tuleva automaattinen puhelinsoitto, jossa kerrotaan ohjeet käyttöön. Painamalla #-merkkiä, vastaanottaja hyväksyy kirjautumisen.

 

Minulla ei ole työpuhelinta, kuinka saan monivaiheisen tunnistautumisen käyttööni?

  • Ohjeet työpuhelimen hankintaan löytyvät Flammasta.
  • Jos et halua työpuhelinta, voit käyttää Microsoft Authenticator-sovellusta ja soittotunnistautumista myös omalla puhelimellasi.
  • Katso myös kohta "Minulla ei ole puhelinta, mitä muita vaihtoehtoja tunnistautumiseen on?".
     

 

Minulla ei ole puhelinta, mitä muita vaihtoehtoja tunnistautumiseen on?

Suositellut tunnistautumismenetelmät ovat Microsoft Authenticator -sovellus ja varalla puhelinsoitto. Jos nämä eivät ole mahdollisia, on TOTP-koodeja tarjoavia sovelluksia saatavilla myös eri käyttöjärjestelmille. Näille ei ole yliopiston puolelta virallista tukea, ja käyttö on käyttäjän omalla vastuulla. Yleisesti käytettyjä sovelluksia ovat mm.

 

TOTP-koodia käyttävä sovellus lisätään Turvatieto-sivustolla valitsemalla Add method > Authenticator App > I want to use a different authenticator app.

 

Mitkä ovat turvallisimmat tunnistautumismenetelmät?

Turvallisimpina menetelminä pidetään Microsoft Authenticator -sovellusta, kun sovelluksessa käytetään näppäinlukitusta tai biometristä tunnistusta, sekä FIDO2-avaimia PIN-koodin kanssa. Nämä välineet täyttävät yksinään monivaiheisen tunnistautumisen määritelmän, ja niillä saatetaan sallia kirjautuminen ilman salasanaa tulevaisuudessa.

Ongelmatilanteita

Minulla ei ole enää pääsyä käyttämääni tunnisteeseen. Mitä teen?

Huom! Muista rekisteröidä vähintään kaksi erillistä tunnistustapaa, jolloin yhden hukkuessa toinen on edelleen käytettävissä.

  • Voit palauttaa kaikki tunnisteet sivustolla https://mfa.it.helsinki.fi, jossa vahvistat henkilöllisyytesi Suomi.fi -tunnistuksella. Tämän jälkeen sinulta vaaditaan tunnistusmenetelmän rekisteröinti seuraavalla kirjautumiskerralla.
  • Jos sinulla ei ole mahdollisuutta Suomi.fi -tunnistukseen, ota yhteyttä IT-Helpdeskiin tunnisteiden palautusta varten.
  • Tunnisteiden palauttamisen jälkeen vanhat tunnisteesi näkyvät edelleen Turvatieto-sivulla, mutta ne eivät enää toimi. Voit ottaa tunnisteet uudelleen käyttöön valitsemalla tunnisteen kohdalla “Enable two-step verification” tai rekisteröimällä tunnisteen muuten uudelleen.
  • Huom! Tunnisteiden palautus ei kirjaa sinua ulos ohjelmista tai käyttäjäsessioista. Jos tunnisteesi on joutunut vääriin käsiin, tulee sessiot kirjata ulos erikseen Turvatieto-sivustolla https://mysignins.microsoft.com/security-info.

Rekisteröityminen tai kirjautuminen ei onnistu, koska selain jää odottamaan johonkin kohtaan eikä mitään tapahdu

Kokeile selaimen yksityisyystilassa (privacy, incognito) ja/tai toisella selaimella. Jos tämä toimii, johtuu ongelma joko selaimen lisäosasta tai välimuistissa olevista tiedoista. Tällöin selainlisäosien poisto käytöstä tai selaimen välimuistin tyhjennys todennäköisesti auttavat. Lue IT-Helpdeskin ohjeet välimuistin tyhjennykseen.

Palvelu ilmoittaa ettei puheluun vastattu, vaikka puhelin ei soinut ollenkaan

Tarkista puhelulokista oletko saanut puhelua ja että numero ei ole estolistalla.
MFA-pyynnöt tulevat yhdysvaltalaisista numeroista +1 866 539 4191, +1 855 330 8653 ja +1 877 668 6536.

Joissain Tupla-SIM-puhelimissa on ongelmana, että toinen SIM-kortti tipahtaa välillä pois puhelinverkosta ja puhelu ohjautuu vastaajaan. Nämä ovat yleensä älypuhelimia, joissa tunnistautumiseen kannattaa ensisijaisesti käyttää Microsoft Authenticator-sovellusta.

Tilanteeseen voi auttaa myös käyttämällä sen liittymän numeroa tunnistautumiseen, jossa puhelimen mobiilidata on aktiivisena.

Palvelu valittaa väärästä TOTP-koodista, vaikka koodi on oikein

TOTP-koodit ovat aikaperusteisia, joten jo muutaman sekunnin heitto estää koodia toimimasta koko puolen minuutin voimassaoloaikaansa. Tarkista koodin antavan laitteen kellonaika.

Puhelintunnistuksen yrittäminen antaa ilmoituksen "Request failed due to exceeding the number of allowed attempts".

Puhelintunnistus sallii viisi epäonnistunutta yritystä tunnin sisällä, jonka jälkeen tunnistusmuoto menee lukkoon 24 tunnin ajaksi. Ainoa keino kirjautua tänä aikana on käyttää muita tunnistusmenetelmiä, kuten Authenticator-sovellusta.

Tunnistusmenetelmän rekisteröinti antaa virheilmoituksen "You are blocked from performing this operation. Please contact your administrator for help"

Tunnistusmenetelmien hallinta on estetty epäilyttävän käytöksen vuoksi, joka johtuu yleensä useista epäonnistuneista yrityksistä rekisteröidä tunnistusmenetelmä. Ole yhteydessä Helpdeskiin esteen poistamiseksi.

Sähköpostisovellus antaa MFA:n käyttöönoton jälkeen viestin "Saat tämän viestin, koska IT-osastosi on estänyt sähköpostisi käytön."

Sovellus ei tue MFA:n vaatimaa OAuth2/Modernia kirjautumistapaa tai ei pysty vaihtamaan siihen automaattisesti. Jos sovelluksen pitäisi tukea tätä kirjautumistapaa (esim. iOS Mail) voi ongelmaan auttaa tilin poistaminen ja määrittäminen uudelleen. Muussa tapauksessa joudut käyttämään toista sovellusta. Suosittelemme Microsoft Outlook-sovelluksen käyttöä sähköpostin lukuun kännykällä.

Muut kuin edellä mainitut ongelmat

Kokeile selaimen yksityisyystilassa (privacy, incognito) ja/tai toisella selaimella. Jos tämä toimii, johtuu ongelma joko selaimen lisäosasta tai välimuistissa olevista tiedoista. Tällöin selainlisäosien poisto käytöstä tai selaimen välimuistin tyhjennys todennäköisesti auttavat.
Jos tämäkään ei auta, ole yhteydessä Helpdeskiin ongelman selvittämiseksi.

Anna palautetta

Helsingin yliopiston IT-Helpdeskin ohjesivusto auttaa sinua työhösi liittyvissä IT-aiheisissa kysymyksissä. Kerro meille, miten voisimme parantaa ohjeitamme. Arvostamme suuresti palautettasi!

Kuinka parantaisit ohjeistusta?
Takaisin ylös