Multifaktorautentisering, MFA – Vanliga frågor

Flerstegsautentisering (MFA) för Microsoft 365-tjänster (t.ex. Outlook, Teams, OneDrive) introducerades vid universitetet under 2021. 

Läs mer om MFA i Flamma-nyheterna. Vi kommer att informera dig separat om öppna universitetets tidtabell.

    Problemsituationer

    Telefonidentifiering misslyckas

    Jag får meddelandet ”Request failed due to exceeding the number of allowed attempts” när jag försöker använda telefonidentifiering. Telefonidentifieringen tillåter fem misslyckade försök inom en timme, varefter identifieringsmetoden låser sig i 24 timmar. Det enda sättet att logga in under denna tid är genom att använda andra identifieringsmetoder, till exempel Authenticator-appen.

    Jag har inte längre tillgång till den identifierare jag använde. Vad ska jag göra?

    Obs! Kom ihåg att registrera minst två separata identifieringsmetoder, så att om du tappar en, är den andra fortfarande tillgänglig.

    • Du kan återställa alla identifierare på https://mfa.it.helsinki.fi där du bekräftar din identitet med Suomi.fi-identifikation. Sedan måste du registrera en identifieringsmetod nästa gång du loggar in.
    • Om du inte har tillgång till Suomi.fi-identifikation, kontakta IT-Helpdesk för att återställa identifierarna.
    • När du har återställt identifierarna syns dina gamla identifierare fortfarande på sidan Säkerhetsinformation, men de fungerar inte längre. Du kan aktivera identifierarna igen genom att välja ”Enable two-step verification” under identifieraren eller genom att registrera identifieraren på nytt på ett annat sätt.
    • Obs! Återställning av identifierare loggar inte ut dig från program eller användarsessioner. Om din identifierare har hamnat i fel händer måste du logga ut från sessionerna separat på sidan Säkerhetsinformation https://mysignins.microsoft.com/security-info.

    Registrering eller inloggning lyckas inte eftersom webbläsaren stoppar och väntar i någon punkt och ingenting händer

    Försök att använda webbläsarens inkognitoläge (privacy, incognito) och/eller en annan webbläsare. Om detta fungerar, beror problemet antingen på webbläsarens insticksprogram eller cacheminnets data. I detta fall kommer det sannolikt att hjälpa att inaktivera webbläsarens insticksprogram eller rensa webbläsarens cacheminne. Läs IT-Helpdesks instruktioner om hur cacheminnet rensas.

    Tjänsten informerar om att samtalet inte besvarades trots att telefonen inte ringde alls

    Kontrollera i samtalsloggen om du har fått ett samtal och att numret inte finns på spärrlistan.
    Varje MFA-begäran kommer från de amerikanska numren +1 866 539 4191, +1 855 330 8653 och +1 877 668 6536.

    I vissa Dual-SIM telefoner finns det ett problem att det andra SIM-kortet ibland faller av telefonnätet och samtalet styrs till svararen. Dessa är vanligtvis smarttelefoner där det lönar sig att i första hand göra autentiseringar med Microsoft Authenticator-appen.

    Du kan kanske också lösa situationen genom att göra autentiseringen med abonnemangets nummer där telefonens mobildata är aktiv.

    Tjänsten klagar på fel TOTP-kod, fast koden är korrekt

    TOTP-koderna är tidsbaserade, så bara en några sekunders avvikelse förhindrar koden från att fungera under den hela giltigheten av 30 sekunder. Kontrollera tiden för den enhet som anger koden.
     

    Registrering av en identifieringsmetod ger ett felmeddelande "You are blocked from performing this operation. Please contact your administrator for help"

    Hanteringen av identifieringsmetoder har blockerats på grund av misstänkt beteende, vanligen till följd av flera misslyckade försök att registrera en identifieringsmetod. Kontakta Helpdesk för att ta bort hindret.

    När MFA har aktiverats, skickar e-postapplikationen meddelandet "Du får det här meddelandet eftersom din e-post har blockerats av din IT-avdelning."

    Applikationen stöder inte inloggningsmetoden OAuth2/Modern som krävs av MFA eller kan inte byta till den automatiskt. Om applikationen borde stöda denna inloggningsmetod (t.ex. iOS Mail) kan det hjälpa att radera kontot och konfigurera om det. Annars måste du använda en annan app. Vi rekommenderar att du använder Microsoft Outlook-appen för att läsa e-post på din mobil.

    Andra problem än de ovannämnda

    Försök att använda webbläsarens inkognitoläge (privacy, incognito) och/eller en annan webbläsare. Om detta fungerar, beror problemet antingen på webbläsarens insticksprogram eller cacheminnets data. I detta fall kommer det sannolikt att hjälpa att inaktivera webbläsarens insticksprogram eller rensa webbläsarens cacheminne.
    Om detta inte heller hjälper ska du kontakta Helpdesk för att lösa problemet.

    Allmänt

    Hur ofta begärs multifaktorautentisering?

    • Multifaktorautentisering krävs alltid när du loggar in med en ny enhet eller app.
    • Med appar som Microsoft Outlook eller Teams sparas informationen om autentiseringen automatiskt i 90 dagar.
    • När du loggar in på webbtjänster som Outlook for Web kan du ställa in din webbläsare så att den kommer ihåg din inloggning under de kommande 90 dagarna om en stark autentisering begärs av dig. Cookien minns informationen i den webbläsare som används.
      • Obs! Om du lämnar tjänsten O365 med länken ”Logga ut” kommer denna cookie att raderas tillsammans med de andra inloggningsuppgifterna och multifaktorautentisering kommer att begäras igen nästa gång du loggar in.

     

    Varför krävs ständigt ytterligare autentisering i samband med införandet av multifaktorautentisering?

    Syftet med multifaktorautentisering är att förhindra inloggning med ett användarnamn som fallit i fel händer. Därför begärs en ytterligare bekräftelse varje gång du loggar in med en ny app. I början kommer fler begäranden eftersom olika webbläsare, e-postapplikationer i smarttelefoner eller datorer eller andra appar som kräver autentisering förutsätter sin egen inloggning. Den ytterligare bekräftelsen kommer att sparas separat för varje applikation i 90 dagar.

    Informationen om ytterligare bekräftelse sparas i en cookie i webbläsaren, så du kommer att bli tillfrågad om bekräftelse igen när du använder inkognitoläget eller efter att ha rensat din webbhistorik. Om du lämnar O365 via länken "Logga ut" kommer autentiseringsinformationen att raderas och en bekräftelse begärs igen nästa gång du loggar in. Om samma applikation ständigt begär en ny bekräftelse, vänligen kontakta IT-Helpdesk för att lösa problemet.

    Stöds e-postapplikationen X?

    Den rekommenderade appen för både mobila och skrivbordsenheter är Microsoft Outlook, samt Outlook for Web för webbläsaren.

    Multifaktorautentisering kräver stöd från e-postapplikationen för OAuth2-inloggning (även kallat Modern Authentication). Detta stöds också i varierande grad av många andra e-postapplikationer. Det är känt att e-posten har fåtts att fungera t.ex. med följande appar:

    Obs! I många fall måste e-postkontot raderas och installeras igen så att det börjar använda den nya inloggningsmetoden.

    Identifieringsmetoder

    Hur kan jag ändra standardmetoden?

    Vi rekommenderar starkt att använda Authenticator-applikationen som standardmetod. Standardmetoden kan ändras på sidan Säkerhetsinformation.

    Alternativet för att ändra standardmetoden framkommer ovanpå knappen Add method (Lägg till metod) när du först har lagt till en annan identifieringsmetod och sedan laddat om sidan Säkerhetsinformation (tryck på F5). Instruktioner om hur du lägger till identifieringsmetoder hittar du på sidan Användning och hantering av identifieringsmetoder.

    Vilka identifieringsmetoder stöds?

    De identifieringsmetoder som för närvarande stöds inkluderar:

    • Appen Microsoft Authenticator. Rekommenderad primär metod. Bekräfta inloggningen genom att ange de siffror som visas i webbläsaren i appen.
    • Andra Authenticator-applikationer eller enheter som genererar TOTP-koder. Dessa genererar en ny sifferkod var 30:e sekund, som du kan använda för att logga in i systemet och de fungerar även i enheterna utan en nätverksanslutning.
    • FIDO2-nycklar. USB/NCF-nycklar som använder en certifikatbaserad lösning i kombination med en PIN-kod.
    • Telefonsamtal. Ett automatiskt telefonsamtal till det nummer som anges vid ibruktagandet. Bruksanvisningar anges vid samtalet. Genom att trycka på #-tecknet godkänner mottagaren inloggningen.

    Jag har ingen arbetstelefon, hur får jag tillgång till multifaktorautentisering?

    Jag har ingen telefon, vilka andra alternativ har jag för autentisering?

    De rekommenderade identifieringsmetoderna inkluderar Microsoft Authenticator-appen och ett telefonsamtal som reservmetod. Om detta inte är möjligt, det finns även appar som kan generera TOTP-koder för olika operativsystem. Det finns inget officiellt stöd från universitetet för dessa, och användningen sker på användarens egen risk. Några vanliga applikationer inkluderar bl.a.

    En applikation som använder TOTP-koden tilläggs på sidan Säkerhetsinformation genom att välja Add method > Authenticator App > I want to use a different authenticator app.

    Vilka är de säkraste identifieringsmetoderna?

    De säkraste metoderna anses vara Microsoft Authenticator-appen när appen använder ett knapplås eller en biometrisk autentisering, samt FIDO2-nycklar med en PIN-kod. Enbart dessa instrument uppfyller definitionen av multifaktorautentisering och kan möjliggöra inloggning utan lösenord i framtiden.

    Ge respons

    Webbplatsen med anvisningar från IT-Helpdesk vid Helsingfors universitet hjälper dig i dina jobbrelaterade IT-frågor. Berätta för oss hur vi skulle kunna förbättra våra anvisningar. Vi uppskattar verkligen din respons!

    Hur skulle du förbättra denna instruktion?
    Tillbaka upp