Vahvan tunnistautumisen (MFA) käyttöönotto

Jamkissa käytetään vahvaa tunnistautumista useissa eri palveluissa. Vahva tunnistautuminen, eli MFA mahdollistaa turvallisemman kirjautumisen palveluihin, koska sen avulla estetään tunnuksen käyttö, vaikka se päätyisi vääriin käsiin. Käyttäjätunnuksen ja salasanan lisäksi tarvitaan vahvistus puhelimen sovelluksella. Tarkemmat perustelut MFA:n toiminnalle ja tarpeellisuudelle.

Huomioitavia asioita

Käyttöönoton jälkeen osa vanhoista, yhteensopimattomista sovelluksista ei toimi. Tällaisia voivat olla mm. joidenkin puhelinvalmistajien omat sähköpostisovellukset.

Jamkin ICT-palvelut suosittelee seuraavia tuettuja ja testattuja sovelluksia:

  • Windows: Office 2016 tai uudempi, Microsoft 365 Apps for enterprise (entinen Office 365 proplus)
  • Android: Microsoft Outlook
  • MacOS: Apple Mail 12 tai uudempi, Office 2016 tai uudempi, Microsoft 365 for Mac
  • iOS: Microsoft Outlook

Yleistä käyttöönotosta

  • Käyttöönotto kestää vain muutaman minuutin.
  • Tarvitset vähintään yhden mobiililaitteen johon vahvistusviestit halutaan toimittaa.
  • Aloituksen jälkeen sinulla on muutama minuutti aikaa hoitaa prosessi loppuun. Jos tätä ei tee riittävän ripeästi, ei käyttöönotto mahdollisesti onnistu ja prosessi pitää aloittaa alusta.

Ohjeet MFA:n käyttöönottoon:

Voit ottaa vahvan tunnistautumisen käyttöön tunnuksellesi kirjautumalla Microsoft 365-palveluun ja seuraamalla sieltä tulevia ohjeita. Vilkaise myös ”usein kysytyt kysymykset” tämän sivun lopusta.

Alla on kuvattu toimenpiteitä tarkemmin. Voit tehdä käyttöönoton joko pelkästään puhelimella, tai käyttäen puhelimen ja tietokoneen yhdistelmää. Ohjeet molemmille menetelmille alla.

Käyttöönotto puhelimella -ohjeet

  1. Lataa puhelimeesi Microsoft Authenticator -sovellus.
  2. Siirry puhelimen selaimella osoitteeseen https://aka.ms/MFASetup
    • Kirjaudu sisään sähköpostiosoitteella ja salasanalla
  3. Valitse ”More information required” -ruudussa Next
  4. Valitse linkki ”Pair your account to the app by clicking this link” (kuva 1)
Pair your account to the app by clicking this link
kuva 1
  • Authenticator -sovellus avautuu ja tiedot ilmestyvät hetken kuluttua. Sulje Authenticator-sovellus ja palaa takaisin selaimeen (kuva 2).
    • Authenticator -sovellus
    kuva 2
  • Valitse selaimessa Next, jolloin saat hyväksymispyynnön puhelimeen. Hyväksymällä pyynnön (approve) varmistat yhteyden toimivuuden (kuva 3). Huom! 12.12.2022 jälkeen edellytetään kirjautumissivulla näytettävän numerokoodin kirjoittamista Authenticatoriin.
    • hyväksymispyyntö puhelimeen
    kuva 3
  • Saat ”Notification approved” -ilmoituksen, paina Next
  • Saat vielä ”Success” -ilmoituksen ja määrittely on nyt valmis
  • Voit sulkea selaimen tässä vaiheessa. Jos painat ”Done”, selain siirtyy hallintasivulle.

    • Käyttöönotto puhelimella ja tietokoneella

    1. Lataa puhelimeesi Microsoft Authenticator -sovellus.
    2. Käynnistä asentamasi Microsoft Authenticator -sovellus
      • Jos käynnistät ohjelman ensimmäistä kertaa, valitse ”ohita” kaikkiin mahdollisesti esitettäviin kysymyksiin
      • Sovelluslistassa nimi on ”Authenticator”
    3. Valitse ”Lisää tili
      • Jos ohjelma on ollut käytössä jo aiemmin, valitse oikean yläkulman valikosta ”Lisää tili
    4. Valitse ”Työ- tai koulutili” (Work or school account)
      • QR-koodin lukemista varten puhelin saattaa pyytää lupaa kuvien käsittelyyn, valitse ”Salli
      • HUOMI! Muut valittavissa olevat tilityypit eivät voi voimia.
    5. Laita puhelin hetkeksi syrjään ja siirry tietokoneen selaimella osoitteeseen https://m365.jamk.fi
      • Sinulle esitetään kirjautumisruutu, syötä sähköpostiosoitteesi ja paina ”Next
      • Syötä salasanasi ja paina ”Sign In”
    6. Saat alla olevan ilmoituksen lisätietojen pakollisuudesta
      • Varmista, että Jamkin sähköpostiosoitteesi näkyy jamk.fi -logon alla (kuva 1) ja paina ”Next
    More information required
    Kuva 1
  • Valitse ”Keep your account secure” -ruudussa (kuva 2) Next
    • Mikäli et halua käyttää Authenticator -sovellusta (suositus), voit valita alareunasta ”I want to set up a different method”. Tämä ohje ei kata muita menetelmiä. Mahdollisesti Microsoft poistaa muut menetelmät käytöstä myöhemmin.
    • Keep your accoutn secure
    kuva 2
  • Kohdassa ”Microsoft Authenticator – Set up your account” (kuva 3) paina Next
    • Set up your account
    kuva 3
  • Skannaa puhelimella tiliä lisättäessä tietokoneen ruudulla nyt näkyvä QR-koodi, jonka avulla tunnuksesi liitetään sovellukseen.
    • Huom, jos kuvan skannaus ei onnistu, paina ”can’t scan image”, jolloin voit syöttää selaimessa näkyvän koodin puhelimen sovellukseen käsin.
  • Kun koodi on luettu tai syötetty sovellukseen onnistuneesti, valitse tietokoneen selaimessa ”Next
  • Palvelu varmistaa sovelluksen toimivuuden ja saat siitä hyväksymispyynnön puhelimeen, valitse ”Approve
    • Mikäli sovellus pyytää puhelimen lukituskoodia, syötä se. Tämän lisävaatimuksen voit halutessasi poistaa Authenticatorin asetuksista.
    • Jos saat jonkin virheilmoituksen, poista lisätty tili puhelimesta ja aloita prosessi alusta (todennäköisesti palvelu totesi, että et ollut tarpeeksi ripeä). Voit tarvittaessa nollata kaikki tunnuksellesi aiemmin tehdyt vahvan tunnistuksen asetukset osoitteessa https://tunnistus.jamk.fi/
    • 12.12.2022 jälkeen edellytetään kirjautumissivulla näytettävän numerokoodin kirjoittamista Authenticatoriin.
  • Mikäli yhdistäminen on onnistunut, saat ilmoituksen ”Notification approved”. Valitse vielä Next.
  • Saat lopuksi ilmoituksen liittämisestä. Onneksi olkoon, käyttöönotto on nyt valmis.
    Usein kysytyistä kysymyksistä voit katsoa lisäohjeita ja muita vinkkejä.

    • Eikö Authenticator -sovellus toimi tai vaihdoitko puhelinta?

    Jos vaihdat puhelimen, tulee uuden puhelimen Authenticator -sovellus lisätä tunnistusmenetelmäksi osoitteessa https://aka.ms/mfasetup

    Kirjaudu sisään sähköpostiosoitteella ja hyväksy kirjautuminen vanhalla puhelimella. Valitse sitten ”Add Sign-in method” ja valitse menetelmäksi ”Authenticator app”. Jatka määritystä ylemmän ”Ohjeet MFA:n käyttöönottoon” mukaisesti. Uuden menetelmän lisäämisen jälkeen kannattaa vanha puhelin poistaa tunnistusmenetelmien joukosta, mikäli et käytä molempia laitteita.

    Mikäli vanha puhelin on kadonnut tai se ei toimi, noudata näitä ohjeita.

    Alle on koottu muutamia käyttöön liittyviä yleisiä kysymyksiä ja vastauksia (UKK).

    • Kuinka kirjautuminen tapahtuu, kun vahva tunnistautuminen on käytössä?
      • Kirjaudut palveluun normaalisti käyttäjätunnuksella ja salasanalla ja saat puhelimeen ilmoituksen joka pitää hyväksyä. Mikäli ilmoitusta ei tule automaattisesti, avaa Microsoft Authenticator -sovellus. Pyynnön pitäisi näkyä sovelluksessa hyväksyttävänä. Tunnuksen syöttämisen jälkeen on noin minuutti aikaa hyväksyä se puhelimessa.
    • Sain tunnistautumispyynnön puhelimeen vaikka en ollut itse kirjautumassa mihinkään, mitä teen?
      • Tuntematonta pyyntöä ei pidä hyväksyä! On mahdollista että joku ulkopuolinen on saanut käsiinsä käyttäjätunnuksesi ja salasanasi ja hyväksymällä pyynnön päästät hyökkääjän sisään.
      • Varmista ettei esim. jokin käytössä olevista laitteistasi yritä kirjautua palveluun (esim. puhelimen sähköpostisovellus).
      • Voit tehdä epäilyttävästä tilanteesta ilmoituksen ICT-palveluille, jossa ylläpito voi tarkistaa mistä kirjautumisyritys tuli.
    • Puhelimeni on vaihtumassa, miten toimin?
      • Ota uusi puhelin käyttöön ja toimi tämän saman ohjeen mukaisesti. Kun uuteen puhelimeen on määritetty Microsoft authenticator -sovellus ja tilisi on liitetty siihen, voit tyhjentää vanhan puhelimen ja luopua siitä.
    • Puhelimeni varastettiin/katosi/hajosi, kuinka nollaan MFA-asetukset?
    • Haluan käyttää kirjautumisen hyväksymisessä henkilökohtaista puhelinta, miten se onnistuu?
      • Voit lisätä Authenticator -sovelluksen myös henkilökohtaiseen puhelimeen. Mene osoitteeseen https://aka.ms/MFASetup ja klikkaa ”Set up Authenticator app” -kuvaketta. Set up authenticator app Onnistuneen lisäyksen jälkeen vahvistusviestit tulevat kaikkiin lisättyihin laitteisiin (ei ole merkitystä millä niistä hyväksyt kirjautumisen).
    • Mistä näen mitä laitteita olen liittänyt tunnukseeni MFA-kirjautumisia varten?
      • Voit tarkastella, lisätä ja poistaa tunnukseesi liitettyjä mobiililaitteita osoitteessa https://aka.ms/MFASetup
    • Miksi hyväksymistä ei vaadita joka kerta ja miksi se toisaalta tapahtuu joskus useammin kuin haluaisin?
      • Tähän ei ole olemassa yksiselitteistä vastausta, mutta tiivistetysti voi sanoa että taustalla tehdään monentasoista riskiarviointia, jonka perusteella lisävarmennusta saatetaan joskus edellyttää ja toisinaan taas ei.
    • Miksi saan varmennuskyselyn puhelimeen kirjautuessani palveluun X, vaikka se ei ole M365:ssä?
      • Joitakin Jamkissa käytettyjä kolmannen osapuolen palveluita on liitetty M365-kirjautumiseen ja niitä koskevat silloin samat vaatimukset myös vahvan tunnistuksen osalta. Tällaisia ovat mm. jotkin henkilöstö/taloushallinnon palvelut ja sähköinen allekirjoitus. Myös HAKA-kirjautumista käyttävät palvelut, kuten Peppi ja Moodle edellyttävät vahvaa tunnistusta.
    • Miksi sähköpostien/kalenterin synkronointi ei toimi puhelimessa vahvan tunnistuksen käyttöönoton jälkeen? Miksi sain ilmoituksen että IT-osasto on estänyt sähköpostin käytön?
      • Osa sähköpostisovelluksista saattaa edellyttää, että synkronoinnissa käytetty tili poistetaan ja lisätään sitten uudestaan. Vasta tämän jälkeen sovellus ymmärtää käyttää vahvaa tunnistusta.
      • Vastaavasti osa vanhoista, yhteensopimattomista sovelluksista ei toimi muutoksen jälkeen enää lainkaan. Tällaisia voivat olla mm. joidenkin puhelinvalmistajien omat sähköpostisovellukset. Asenna siinä tapauksessa sovelluskaupasta Outlook.
    • Miksi Authenticator näyttää kirjautumispaikan sijainnin väärin?
      • Authenticatorin mahdollisesti näyttämä karttatieto kirjautumispaikan sijainnista perustuu käytetyn verkkoyhteyden ns. julkiseen verkko-osoitteeseen, joka ole tarkka. Se on tarkoitettu vain apuvälineeksi, jonka avulla voit yrittää päätellä onko kirjautumispyyntö omasi. Jos olet kirjautumassa esim. Jyväskylästä ja kartalla kirjautumispaikka näyttää olevan Tampereella, se ei välttämättä tarkoita mitään, mutta jos olet Suomessa ja kirjautumispaikka on jossakin toisella mantereella, pitäisi hälytyskellojen soida.