Vahvan tunnistautumisen (MFA) käyttöönotto

Vahva tunnistautuminen, eli MFA mahdollistaa turvallisemman kirjautumisen palveluihin, koska sen avulla estetään O365-tilin käyttö, vaikka tunnus päätyisi vääriin käsiin. Käyttäjätunnuksen ja salasanan lisäksi tarvitaan vahvistus puhelimen sovelluksella. Vaihtoehtoisia tapoja sovellukselle ovat kertakäyttökoodi, tekstiviesti tai soitto. Tarkempia perusteluita MFA:n toiminnalle ja tarpeellisuudelle löydät täältä.

Huom! 15.3.2021 jälkeen vahva tunnistautuminen on JAMKin henkilökunnalla pakollinen. Opiskelijoille ominaisuuden käyttäminen on vapaaehtoista.

Voit ottaa MFA:n käyttöön tunnuksellesi tämän sivun ohjeilla. Vilkaise myös ”usein kysytyt kysymykset” sivun lopusta.

Huomioitavia asioita

Käyttöönoton jälkeen osa vanhoista, yhteensopimattomista sovelluksista ei toimi. Tällaisia voivat olla mm. joidenkin puhelinvalmistajien omat sähköpostisovellukset.

JAMKin ICT-palvelut suosittelee seuraavia tuettuja ja testattuja sovelluksia:

  • Windows: Office 2016 tai uudempi, Microsoft 365 Apps for enterprise (entinen Office 365 proplus)
  • Android: Microsoft Outlook
  • MacOS: Apple Mail 12 tai uudempi, Office 2016 tai uudempi, Microsoft 365 for Mac
  • iOS: Microsoft Outlook

Yleistä käyttöönotosta

  • Käyttöönotto kestää vain muutaman minuutin.
  • Tarvitset tietokoneen lisäksi mobiililaitteen johon vahvistusviestit halutaan toimittaa.
  • Aloituksen jälkeen sinulla on muutama minuutti aikaa hoitaa prosessi loppuun. Jos tätä ei tee riittävän ripeästi, ei käyttöönotto onnistu ja prosessi pitää aloittaa alusta.
  • Asetukset tulevat voimaan 15 minuutin sisällä käyttöönoton viimeisestä vaiheesta.

Vaiheittaiset ohjeet MFA:n käyttöönottoon:

1.) Avaa alkuvalmisteluiden ohjeet

  1. Lataa puhelimeesi Microsoft Authenticator -sovellus.
  2. Laita sovelluksen lataamisen jälkeen puhelin hetkeksi syrjään ja siirry tietokoneen selaimella osoitteeseen https://aka.ms/MFASetup
    • Jos sinulle esitetään kirjautumisruutu, syötä sähköpostiosoitteesi ja paina ”Next
  3. Varmista, että JAMKin sähköpostiosoitteesi näkyy jamk.fi -logon alla (kuva 1) ja paina ”Next

    More information required
    Kuva 1
  4. Valitse seuraavalla sivulla näkyvässä Step 1 -kohdassa ”Notify through mobile app” ja ”Receive notifications for verification” ja sen jälkeen ”Set up” (kuva 2).  Sivulla näkyvät tekstit eivät välttämättä ole täsmälleen samat kuin esimerkkikuvassa, mutta idea ei ole muuttunut.
    • Jätä selain ja siinä Set Up -painikkeen painamisen jälkeen näkyvä QR-koodi odottamaan jatkotoimenpiteitä.

      Additional security verification
      kuva 2

2.) Avaa puhelimen ohjeet

  1. Käynnistä puhelimeen aiemmin asentamasi Microsoft Authenticator -sovellus
    • Jos käynnistät ohjelman nyt ensimmäistä kertaa, valitse ”ohita” kaikkiin mahdollisesti esitettäviin kysymyksiin
    • Sovelluslistassa nimi on ”Authenticator”
  2. Valitse ”Lisää tili
    • Jos ohjelma on ollut käytössä jo aiemmin, valitse oikean yläkulman valikosta ”Lisää tili
  3. Valitse ”Työ- tai koulutili” (Work or school account)
    • QR-koodin lukemista varten puhelin saattaa pyytää lupaa kuvien käsittelyyn, valitse ”Salli
  4. Skannaa tietokoneen ruudulla näkyvä QR-koodi, jonka avulla tunnuksesi liitetään sovellukseen.
    • Huom, jos kuvan skannus ei onnistu, voit syöttää selaimessa näkyvän koodin puhelimen sovellukseen käsin.
  5. Kun koodi on syötetty sovellukseen onnistuneesti, valitse tietokoneen selaimessa ”Next
  6. Odota kunnes tietokoneen selaimeen tulee ilmoitus ”Mobile app has been configured for notifications and verification codes” ja valitse ”Next
  7. Palvelu varmistaa sovelluksen toimivuuden ja saat siitä hyväksymispyynnön puhelimeen, valitse ”Approve
    • Mikäli sovellus pyytää puhelimen lukituskoodia, syötä se. Tämän lisävaatimuksen voit halutessasi myöhemmin poistaa Authenticatorin asetuksista.
    • Jos saat tässä vaiheessa jonkin virheilmoituksen, poista lisätty tili puhelimesta ja aloita prosessi alusta (todennäköisesti palvelu totesi, että et ollut tarpeeksi ripeä).

3.) Avaa tietokoneen ohjeet

  1. Varmista tietokoneen ”Additional security verification” -sivulla, että valittuna on oikea maa ja että siinä on oma puhelinnumerosi (kuva 3).
    • Huom! Ensimmäistä nollaa (0) ei kirjoiteta.

      Additional security verification
      kuva 3

       

  2. Valitse ”Done
  3. Selain kirjautuu Office 365 -tilillesi. Jos saat tässä vaiheessa uuden kirjautumisvahvistuksen puhelimeesi, hyväksy se (”Approve”).
    • Sinut siirretään sivulle, josta näet tilillesi määritellyt asetukset.
    • Voit halutessasi lisätä myös toisen puhelimen (Alternate authentication phone), jolloin kirjautuminen onnistuu siihen tulevan tekstiviestin avulla.
  4. Asetukset on nyt määritelty. Jos ei ole tarvetta muuttaa mitään, voit sulkea selaimen.
    • Huom! Asetukset tulevat voimaan 15 minuutin sisällä, jonka jälkeen jokainen kirjautuminen O365-palveluun JAMKin verkon ulkopuolella edellyttää tunnuksen syöttämisen lisäksi hyväksyntää puhelimessa.

 

Käyttöönotto on nyt valmis.

Alle on koottu muutamia käyttöön liittyviä yleisiä kysymyksiä ja vastauksia.

Avaa Usein kysytyt kysymykset

  • Kuinka kirjautuminen tapahtuu, kun vahva tunnistautuminen on käytössä?
    • Kirjaudut palveluun normaalisti käyttäjätunnuksella ja salasanalla ja saat puhelimeen ilmoituksen joka pitää hyväksyä. Mikäli ilmoitusta ei tule automaattisesti, avaa Microsoft Authenticator -sovellus. Pyynnön pitäisi näkyä sovelluksessa hyväksyttävänä. Tunnuksen syöttämisen jälkeen on noin minuutti aikaa hyväksyä se puhelimessa.
  • Sain tunnistautumispyynnön puhelimeen vaikka en ollut itse kirjautumassa mihinkään, mitä teen?
    • Tuntematonta pyyntöä ei pidä koskaan hyväksyä! On mahdollista että joku ulkopuolinen on saanut käsiinsä käyttätunnuksesi ja salasanasi ja hyväksymällä päästät hyökkääjän sisään.
    • Varmista kuitenkin, ettei esim. jokin käytössä olevista laitteistasi yritä kirjautua palveluun (esim. puhelimen sähköpostisovellus).
    • Voit tehdä epäilyttävästä tilanteesta ilmoituksen ICT-palveluille, jossa ylläpito voi tarkistaa mistä kirjautumisyritys tuli.
  • Puhelimeni on vaihtumassa, miten toimin?
    • Ota uusi puhelin käyttöön ja toimi tämän saman ohjeen mukaisesti. Kun uuteen puhelimeen on määritetty Microsoft authenticator -sovellus ja tilisi on liitetty siihen, voit tyhjentää vanhan puhelimen ja luopua siitä.
  • Puhelimeni varastettiin/katosi/hajosi, mitä teen?
    • Ota yhteyttä ICT-palveluihin, yhteystiedot löytyvät Helpdeskin etusivulta.
  • Haluan käyttää kirjautumisen hyväksymisessä henkilökohtaista puhelinta, miten se onnistuu?
    • Ei ongelmaa, voit lisätä Authenticator -sovelluksen myös henkilökohtaiseen puhelimeen. Mene osoitteeseen https://aka.ms/MFASetup ja klikkaa ”Set up Authenticator app” -kuvaketta.
      Set up authenticator app
      Lisäys tapahtuu samalla tavalla kuin ensimmäisellä kerralla, katso ohjeen kohta ”2. Avaa puhelimen ohjeet”. Onnistuneen lisäyksen jälkeen vahvistusviestit tulevat kaikkiin lisättyihin laitteisiin (ei ole merkitystä millä niistä hyväksyt kirjautumisen).
  • Mistä näen mitä laitteita olen liittänyt tunnukseeni MFA-kirjautumisia varten?
    • Voit tarkastella, lisätä ja poistaa tunnukseesi liitettyjä mobiililaitteita osoitteessa https://aka.ms/MFASetup
  • Miksi hyväksymistä ei vaadita joka kerta ja miksi se toisaalta tapahtuu joskus useammin kuin haluaisin?
    • Tähän ei ole olemassa yksiselitteistä vastausta, mutta tiivistetysti voi sanoa että taustalla tehdään monentasoista riskiarviointia, jonka perusteella lisävarmennusta saatetaan joskus edellyttää ja toisinaan taas ei.
    • JAMKin oma verkko on määritelty luotetuksi, jossa riittää pelkän tunnuksen/salasanan käyttäminen.
  • Miksi saan varmennuskyselyn puhelimeen kirjautuessani palveluun X, vaikka se ei ole O365:ssä?
    • Joitakin JAMKissa käytettyjä kolmannen osapuolen palveluita on liitetty O365-kirjautumiseen ja niitä koskevat silloin samat vaatimukset myös vahvan tunnistuksen osalta. Tällaisia voivat olla mm. jotkin henkilöstö/taloushallinnon palvelut ja sähköinen allekirjoitus.
  • Miksi sähköpostien/kalenterin synkronointi ei toimi puhelimessa vahvan tunnistuksen käyttöönoton jälkeen? Miksi sain ilmoituksen että IT-osasto on estänyt sähköpostin käytön?

    • Osa sähköpostisovelluksista saattaa edellyttää, että synkronoinnissa käytetty tili poistetaan ja lisätään sitten uudestaan. Vasta tämän jälkeen sovellus ymmärtää käyttää vahvaa tunnistusta.
    • Vastaavasti osa vanhoista, yhteensopimattomista sovelluksista ei toimi muutoksen jälkeen enää lainkaan. Tällaisia voivat olla mm. joidenkin puhelinvalmistajien omat sähköpostisovellukset. Asenna siinä tapauksessa sovelluskaupasta Outlook.