MFA - Vanliga frågor

Flerstegsautentisering för Microsoft Office 365-tjänsterna (t.ex. Outlook, Teams, OneDrive) kommer gradvis att bli obligatoriskt för hela universitetet under året 2021. På Helsingfors universitet togs flerstegsautentisering först i bruk på Centret för informationsteknologi, personaltjänster och universitetsservicen, samt 29.9.2021 på Helsingfors universitets bibliotek och Nationalbiblioteket.

På det viset kan vi på universitetet försäkra användarkonton bättre än tidigare, och samtidigt märkbart förbättra datasäkerheten på universitetet. Vi informerar om tidpunkten för ibruktagandet i god tid under hösten 2021. Flerstegsautentisering är en nuförtiden etablerad praxis som märkbart förbättrar datasäkerheten, och på det sättet skyddar din information –  Läs Flamma-nyheten om ibruktagandet av flerstegsautentisering på Helsingfors universitet.

Flerstegsautentisering i universitetets O365-tjänster tas i bruk enligt följande tidtabell:

  • Helsingfors universitets matematisk-naturvetenskapliga, farmaceutiska och bio- och miljövetenskapliga fakulteter inför flerstegsautentisering från och med onsdagen den 20 oktober 2021.
  • Luomus, Språkcentrum och Forskarkollegiet inför flerstegsautentisering från och med onsdagen den 27 oktober 2021.
  • Helsingfors universitets medicinska, agrikultur-forstvetenskapliga och teologiska fakulteter inför flerstegsautentisering från och med onsdagen den 3 november 2021.
  • HiLIFE och Unisport inför flerstegsautentisering från och med onsdagen den 10 november 2021.
  • Helsingfors universitets veterinärmedicinska, juridiska och humanistiska fakulteter inför flerstegsautentisering från och med onsdagen den 17 november 2021.
  • Helsingfors universitets pedagogiska fakulteten, statsvetenskapliga fakulteten och Svenska social- och kommunalhögskolan inför flerstegsautentisering från och med onsdagen den 1 december 2021.
  • Angående Öppna universitetet och andra enheter klarnar tidtabellen för ibruktagningen senare.

 

Flerstegsautentiseringen kommer att tas i bruk i universitetets Office-tjänster först på den utsatta dagen, men du kan underlätta ibruktagandet genom att definiera din identifieringsmetod i förväg.

Efter tidsfristen för ibruktagandet kan du inte logga in i Office 365-tjänsterna, inklusive din e-post, utan tilläggsautentisering.

Vi rekommenderar att du lägger till minst två identifieringsmetoder (mobilappen Microsoft Authenticator och ett automatiskt telefonsamtal som reservmetod). Reservmetoden möjliggör flerstegsautentisering även om din huvudsakliga metod av någon orsak inte är användbar.

Flerstegsautentisering krävs endast med 90 dagars mellanrum eller när du loggar in med nya apparater, så autentiseringen belastar inte din inloggning till universitetets Office-tjänster i onödan.

 

Allmänt

Hur ofta begärs flerstegsautentisering?

  • Flerstegsautentisering krävs alltid när du loggar in med en ny enhet eller app.
  • Med appar som Microsoft Outlook eller Teams minns informationen om autentiseringen automatiskt i 90 dagar.
  • När du loggar in på webbtjänster som Outlook for Web kan du ställa in din webbläsare så att den kommer ihåg din inloggning under de kommande 90 dagarna om du begärs en stark autentisering. Cookien minns informationen i den webbläsare som används.
    • Obs! Om du lämnar O365-tjänsten med länken ”Logga ut” kommer denna cookie att raderas tillsammans med de andra inloggningsuppgifterna och flerstegsautentisering kommer att begäras igen nästa gång du loggar in.

 

Varför krävs ständigt ytterligare autentisering i samband med införandet av flerstegsautentisering?

Syftet med flerstegsautentisering är att förhindra inloggning med ett användarnamn som fallit i fel händer. Därför begärs en ytterligare bekräftelse varje gång du loggar in med en ny app. I början kommer det att finnas fler begäran eftersom olika webbläsare, e-postapplikationer i smarttelefoner eller datorer eller andra appar som kräver autentisering förutsätter sin egen inloggning. Den ytterligare bekräftelsen kommer att sparas separat för varje applikation i 90 dagar.

Informationen om ytterligare bekräftelse sparas i en cookie i webbläsare, då du kommer att bli tillfrågad om bekräftelse igen när du använder inkognitoläget eller efter att ha rensat din webbhistorik. Om du lämnar O365-tjänsten via länken "Logga ut" kommer autentiseringsinformationen att raderas och du begärs en bekräftelse igen nästa gång du loggar in. Om samma applikation ständigt begär en ny bekräftelse, vänligen kontakta IT-Helpdesk för att lösa problemet.

 

Stöds e-postapplikationen X?

Den rekommenderade appen för både mobila och skrivbordsenheter är Microsoft Outlook, och Outlook for Web för webbläsaren.

Flerstegsautentisering kräver stöd från e-postapplikationen för OAuth2-inloggning (även kallat Modern Authentication). Detta stöds också i varierande grad av många andra e-postapplikationer. Det är känt att e-posten har lyckats få att fungera t.ex. med följande appar:

 

Obs! I många fall måste e-postkontot raderas och installeras igen så att det börjar använda den nya inloggningsmetoden.

Identifieringsmetoder

Hur kan jag ändra standardmetoden?

Vi rekommenderar starkt att använda Authenticator-applikationen som standardmetod. Standardmetoden kan ändras på sidan Säkerhetsinformation.

Alternativet för att ändra standardmetoden framkommer ovanpå knappen Add method (Lägg till metod) när du först har lagt till en annan identifieringsmetod och sedan laddat om sidan Säkerhetsinformation (tryck på F5). Instruktioner om hur du lägger till identifieringsmetoder hittar du på sidan Användning och hantering av identifieringsmetoder.

 

Vilka identifieringsmetoder stöds?

De identifieringsmetoder som för närvarande stöds inkluderar:

  • Microsoft Authenticator-applikation. Den rekommenderade metoden, där du får Ja/Nej-frågor till din mobiltelefon för att bekräfta en inloggning.
  • Andra Authenticator-applikationer eller enheter som genererar TOTP-koder. Dessa genererar en alternerande sifferkod var 30 sekunder, vilken du kan använda för att logga in i systemet och de fungerar även i enheterna utan en nätverksanslutning.
  • FIDO2-nycklar. USB/NCF-nycklar som använder en certifikatbaserad lösning i kombination med en PIN-kod. Obs: När du anger nyckeln fungerar dess ibruktagande inte på Linux, men den kan användas om nyckeln tas i bruk på en annan enhet.
  • Telefonsamtal. Ett automatiskt telefonsamtal till det nummer som anges vid ibruktagandet. Bruksanvisningar anges vid samtalet. Genom att trycka på #-tecknet ¨godkännes mottagaren inloggningen

Jag har ingen arbetstelefon, hur får jag tillgång till multifaktorautentisering?

Jag har ingen telefon, vilka andra alternativ har jag för autentisering?

De rekommenderade identifieringsmetoderna inkluderar Microsoft Authenticator-appen och ett telefonsamtal som reservmetod. Om detta inte är möjligt, det finns även appar som kan generera TOTP-koder för olika operativsystem. Det finns inget officiellt stöd från universitetet för dessa, och användningen sker på användarens egen risk. Några vanliga applikationer inkluderar bl.a..

 

En applikation som använder TOTP-koden tilläggs på sidan Säkerhetsinformation genom att välja Add method > Authenticator App > I want to use a different authenticator app.

 

Vilka är de säkraste identifieringsmetoderna?

De säkraste metoderna anses vara Microsoft Authenticator-appen när appen använder ett knapplås eller en biometrisk autentisering, samt FIDO2-nycklar med en PIN-kod. Enbart dessa instrument uppfyller definitionen av flerstegsautentisering och kan möjliggöra inloggning utan lösenord i framtiden.

Problemsituationer

Jag har inte längre tillgång till den identifierare jag använde. Vad ska jag göra?

Obs! Kom ihåg att registrera minst två separata identifieringsmetoder, så att om du tappar en, är den andra fortfarande tillgänglig.

  • Du kan återställa alla identifierare på https://mfa.it.helsinki.fi, där du bekräftar din identitet med Suomi.fi-identifikation. Sedan måste du registrera en identifieringsmetod nästa gång du loggar in.
  • Om du inte har tillgång till Suomi.fi-identifikationen, kontakta IT-Helpdesk för att återställa identifierare.
  • Efter att identifierarna har återställts syns dina gamla identifierare fortfarande på sidan Säkerhetsinformation, men de fungerar inte längre. Du kan aktivera identifierarna igen genom att välja “Enable two-step verification” under identifieraren eller genom att registrera identifieraren på nytt på ett annat sätt.
  • Obs! Återställning av identifierare loggar inte ut dig från program eller användarsessioner. Om din identifierare har hamnat i fel händer måste du logga ut från sessionerna separat på sidan Säkerhetsinformationhttps://mysignins.microsoft.com/security-info.

Registrering eller inloggning lyckas inte eftersom webbläsaren stoppar och väntar i någon punkt och ingenting händer

Försök att använda webbläsarens inkognitoläge (privacy, incognito) och/eller en annan webbläsare. Om detta fungerar, beror problemet antingen på webbläsarens insticksprogram eller cacheminnets data. I detta fall kommer det sannolikt att hjälpa att inaktivera webbläsarens insticksprogram eller rensa webbläsarens cacheminne. Läs IT-Helpdesks instruktioner om hur cacheminnet rensas.

Tjänsten informerar om att samtalet inte besvarades trots att telefonen inte ringde alls

Kontrollera i samtalsloggen om du har fått ett samtal och att numret inte finns på spärrlistan. Varje MFA-begäran kommer från de amerikanska numren +1 866 539 4191, +1 855 330 8653 och +1 877 668 6536.

I vissa Dual-SIM telefoner finns det ett problem att det andra SIM-kortet ibland faller av telefonnätet och samtalet styrs till svararen. Dessa är vanligtvis smarttelefoner där autentisering lönar sig att göras i första hand med Microsoft Authenticator-appen.

Du kan kanske också lösa situationen genom att göra autentiseringen med abonnemangets nummer där telefonens mobildata är aktiv.

Tjänsten klagar på fel TOTP-kod, fast koden är korrekt

TOTP-koderna är tidsbaserade, så bara en några sekunders avvikelse förhindrar koden från att fungera under den hela giltigheten av 30 sekunder. Kontrollera tiden för den enhet som anger koden.

Telefonidentifieringen ger meddelandet Request failed due to exceeding the number of allowed attempts".

Telefonidentifieringen tillåter fem misslyckade försök inom en timme, varefter identifieringsmetoden läser sig i 24 timmar. Det enda sättet att logga in under denna tid är genom att använda andra identifieringsmetoder, till exempel Authenticator-appen.

Registrering eller inloggning lyckas inte eftersom webbläsaren stoppar och väntar i någon punkt och ingenting händer

Försök att använda webbläsarens inkognitoläge (privacy, incognito) och/eller en annan webbläsare. Om detta fungerar, beror problemet antingen på webbläsarens insticksprogram eller cacheminnets data. I detta fall kommer det sannolikt att hjälpa att inaktivera webbläsarens insticksprogram eller rensa webbläsarens cacheminne. Läs IT-Helpdesks instruktioner om hur cacheminnet rensas.

Registrering av en identifieringsmetod ger ett felmeddelande "You are blocked from performing this operation. Please contact your administrator for help"

Hanteringen av identifieringsmetoder har blockerats på grund av misstänkt beteende, vanligen till följd av flera misslyckade försök att registrera en identifieringsmetod. Kontakta Helpdesk för att ta bort hindret.

När MFA har aktiverats, skickar e-postapplikationen meddelandet "Du får det här meddelandet eftersom din e-post har blockerats av din IT-avdelning."

Applikationen stöder inte inloggningsmetoden OAuth2/Modern som krävs av MFA eller kan inte byta till den automatiskt. Om applikationen borde stöda denna inloggningsmetod (t.ex. iOS Mail) kan det hjälpa att radera kontot och konfigurera om det.
Annars måste du använda en annan app. Vi rekommenderar att du använder Microsoft Outlook-appen för att läsa e-post på din mobil.

Andra problem än de ovannämnda

Försök att använda webbläsarens inkognitoläge (privacy, incognito) och/eller en annan webbläsare. Om detta fungerar, beror problemet antingen på webbläsarens insticksprogram eller cacheminnets data. I detta fall kommer det sannolikt att hjälpa att inaktivera webbläsarens insticksprogram eller rensa webbläsarens cacheminne. Läs IT-Helpdesks instruktioner om hur cacheminnet rensas. Om detta inte heller hjälper ska du kontakta IT-Helpdesk för att lösa problemet.

Ge respons

Webbplatsen med anvisningar från IT-Helpdesk vid Helsingfors universitet hjälper dig i dina jobbrelaterade IT-frågor. Berätta för oss hur vi skulle kunna förbättra våra anvisningar. Vi uppskattar verkligen din respons!

Hur skulle du förbättra denna instruktion?
Tillbaka upp