MFA - Usein kysyttyjä kysymyksiä

MFA-asetusten hallinta vierailijatunnuksella 

Jos sinun tarvitsee muuttaa lisätunnistautumiseen käytettäviä menetelmiä tai haluat asettaa ne ennakkoon, toimi seuraavasti: 

• Kirjaudu tunnuksellasi osoitteessa https://myaccount.microsoft.com/ 
• Valitse portaalin oikeasta yläreunasta kuvakepainike Organisaatiot (Organizations), josta aukeaa lista kaikista organisaatioista, joihin sinut on kutsuttu vieraana.
• Valitse listalta Oulun yliopisto kohdasta Muut organisaatiot, joihin kuulut (Other organizations you belong to).
• Tämän jälkeen valitse vasemmalta valikosta Turvatieto (Security info).
• Nyt näet vierasorganisaatioon rekisteröidyt tunnistautumismenetelmät ja voit päivittää niitä tai lisätä uuden tunnistautumistavan kohdasta +Lisää menetelmä. 
• Voit palata oman organisaatiosi näkymään valitsemalla ensin vasemmalta valikosta Yleiskatsaus/Yhteenveto (Overview) -sivunäkymän ja sen jälkeen organisaatiosi oikean ylälaidan Organisaatiot -valikosta (tai valitse yksityinen tunnuksesi, jos sinut on kutsuttu käyttäjäksi jollain muulla kuin organisaation tunnuksella).

Poistuminen organisaatiosta

• Jos et enää tee yhteistyötä Oulun yliopiston kanssa, voit poistua itse organisaatiosta. Valitse Organisaatiot-valikosta kohta Organisaatioiden hallinta (Manage organizations) ja valitse Oulun yliopiston kohdalta Poistu organisaatiosta (Leave organization).  Tämän jälkeen sinulla ei enää ole pääsyä Oulun yliopiston Microsoft 365-ympäristöihin tai tiedostoihin, jotka sinulle on jaettu.

Vaaditaanko MFAn käyttöä, kun käytän Office 365 -sovelluksia mobiilissa?

Kyllä. MFA vaaditaan myös mobiilisovelluksissa ja se vaaditaan yliopiston verkon ulkopuolelta kirjauduttaessa tai jos käytössä ei ole VPN-yhteys.

Voinko kieltäytyä MFA:n käytöstä?

Kaksivaiheisen tunnistautuminen (MFA) on otettu käyttöön kaikille Oulun yliopiston käyttäjätunnuksille ja se koskee automaattisesti kaikkia opiskelija-, henkilökunta- ja UFO-tunnuksia, kun käytetään Microsoftin O365-kirjautumista vaativia palveluita tai järjestelmiä.

Mitä tunnistustapoja voin käyttää MFA:n kanssa, eli tarvitsenko välttämättä älypuhelimen?

• MFA:n käyttö on helpointa älypuhelimeen asennetulla sovelluksella, mutta muitakin vaihtoehtoja on.
• Voit vastaanottaa kirjautumisessa käytettävän varmistuskoodin myös tekstiviestinä tai robotin soittaman puhelun kautta.

Mitä jos käytössäni on sekä henkilöstötunnus että opiskelijatunnus?

• Kyseessä on täysin erilliset tunnukset, joilla on erilliset asetukset.
• MFA voi olla käytössä joko toisella tunnuksella tai molemmilla. Huom. MFA tulee pakolliseksi kaikille yliopiston O365-tunnuksille vuoden 2021 aikana.
• Molemmille tunnuksille täytyy määritellä omat MFA:n todennusasetukset.
• Kummallakin tunnuksella voi olla käytössä Authenticator-sovellus ja se yhdistää molemmille tunnuksille erikseen. Silloin sovelluksessa näkyy erikseen tunnukset (tunnus@student.oulu.fi ja tunnus@univ.yo.oulu.fi) ja niille on omat koodinsa.
• Voit asetaa myös saman puhelinnumeron molemmille tunnuksille, mikäli haluat käyttää tekstiviesti- tai puhelinsoittotunnistusta.
• Jos otat käyttöön MFA:n itse, käyttöönottolomakkeessa on ruksit erikseen henkilökuntatunnuksille ja opiskelijatunnuksille.

Laajeneeko MFA:n käyttö muihin kirjautumistapoihin?

Suunnitelmana on laajentaa käyttö tulevaisuudessa mahdollisesti työasemalle kirjautumiseen ja HAKA-kirjautumiseen.

Lisätietoja tarvitaan

• Jos et ole valinnut ja asettanut Microsoft-tilisi turvatietoon todennusmenetelmää, saat kirjautumisvaiheessa ilmoituksen "Lisätietoja tarvitaan" ja sinut ohjataan asettamaan todennusmenetelmäsi viipymättä. Seuraa näytöllä näkyviä ohjeita ja aseta MS-tilin turvatietoon sen puhelimen tiedot, jolla jatkossa todennat kirjautumiset.

Miksi lisätunnistusta kysytään useita kertoja?

• Eri järjestelmät/sovellukset voivat kysyä ensimmäisellä kerralla MFA:n käyttöönoton jälkeen erikseen kirjautumista, jonka vuoksi ilmoituksia voi tulla useampia.
• Vähennät pyyntöjä valitsemalla kirjautumisen yhteydessä ”Haluatko pysyä sisäänkirjautuneena” tai valitsemalla 60 vrk:n tauon kyseiselle laitteelle.

Kun yritän kirjautua yliopiston palveluihin, minulle ehdotetaan toista O365-tiliäni. Mitä teen?

• Selaimen muistissa on kirjautuminen toisella tunnuksella.
• Käytä toista selainta tai avaa selaimessa ns. Yksityinen selaus-ikkuna ja kirjaudu palveluun siinä ikkunassa yliopiston tunnuksellasi.
• Yksityinen selaus -ikkunan voi avata selaimen oikean ylänurkan kolmen pisteen/viivan takaa. Eri selaimissa käytetään yksityine selaus -ikkunasta eri termejä: Firefox - Private, Chome - Incognito tai Edge -  InPrivate.
• Ongelmaan voi auttaa myös selaimen välimuistin tyhjentäminen ja lisäksi voi joutua poistamaan myös selaimen evästeet ja historiatieto.

Authenticator ei lähetä ilmoitusta kirjautumispyynnöstä

• Ilmoitus ei välttämättä näy, jos puhelin on lukittuna. Avaa tarvittaessa puhelimen lukitus.
• Voit kokeilla toista tunnistautumismenetelmää valitsemalla ”Kirjaudu sisään toisella tavalla”.
• Poista Authenticator-sovellus tunnistautumismenetelmistä ja lisää se uudestaan sivustolla https://mysignins.microsoft.com/security-info

Voiko Authenticator-sovellus olla  usealla eri laitteella tai puhelimella?

• Kyllä, voit asentaa sovelluksen usealle laitteelle. Laite tai puhelin täytyy määritää tunnistamistavan valintatapoihin sivustolla https://mysignins.microsoft.com/security-info.

Authenticator-sovelluksen käyttöönotto ei onnistu

• Sovellusta asennettaessa täytyy sallia kameran käyttö. Jos valitsit ensin, että kameran käyttöä ei sallita, poista sovellus ja asenna se uudelleen, ja salli kameran käyttö, kun sitä kysytään.
• Kirjaudu ulos tai poista tili ja lisää uudestaan.

QR-koodin lukeminen ei onnistu puhelimessa tai sovelluksessa

Voit yhdistää tilisi ja tunnistuksen manuaalisesti, jos QR-koodin lukeminen sovelluksessa ei onnistu.

• Tee kuten ohjeessa MFA:n todentamismenetelmän valinta, siihen vaiheeseen asti kunnes kysytään QR-koodia
• Klikkaa tietokoneella näkyvän QR-koodin alapuolella olevaa linkkiä: Eikö kuvaa voi skannata? (Can’t scan image?).
• Sivulle tulee esiin Koodi (code) ja URL-osoite, jotka annetaan Microsoft Authenticator -sovelluksessa.
• Jatka kuten ohjeessa.

Puhelimen autentikaattorisovellus kysyy jotakin koodia

• Sovelluksessa voi olla lukitus. Ennen kuin pääset hyväksymään lisätunnistuksen, sinun pitää antaa puhelimen oma pääsykoodi (PIN-koodi), jotta pääset hyväksymään kirjautumisen itse sovelluksessa.
• Authenticator-sovelluksen asetuksista voit poistaa sovelluksen lukituksen: Avaa sovellus > avaa kolmen pisteen valikko tai hampurilaisvalikko sovelluksen yläreunasta > valitse "Asetukset"/"Settings"-> laita "App lock" pois päältä.

Mitä pitää tehdä, kun saan puhelinsoiton?

• Jos valitset puhelinsoiton lisätunnistustavaksi, saat vahvistuksen puhelinsoitton.
• Kun Microsoftin robotti soittaa ja antaa lisäohjeita, hyväksyt kirjautumisen painamalla risuaita-painiketta (#).
• Puhelu voi tulla suomeksi tai englanniksi. Jos puhelu on englanniksi, robotti pyytää painamaan "pound key” -merkkiä, joka tarkoittaa meillä risuaitaa #.
• Jos et ehdi tehdä todentamista ajoissa, voit kirjautumisikkunassa tilata todentamisen uudestaan.
• Jos et huomaa puhelun tuloa, tarkista puhelimen asetuksista, että ilmoitukset saapuvista puheluista tulevat näytölle ja lisäksi äänimerkkinä, etteivät ne jää sinulta huomaamatta.
• Joissakin malleissa (Samsung) on estetty tietyntyyppiset (koneelliset) tekstiviestit ja puhelut: tarkista asetukset, jos et saa soittoa.
• Voi käyttää todennusmenetelmänä puhelinsoittoa, jos käytössäsi ei ole älypuhelinta tai et halua käyttää ilmaista mobiilisovellusta. Todentamiseen käyttämäsi puhelin voi olla yliopiston tai sinun omasi, kunhan se on sinulla yleensä mukana.
• Soittopalvelusta ei synny sinulle kuluja ja puhelimessa ei tarvitse olla datayhteyttä.

Miten voin ottaa tekstiviestitunnistuksen käyttöön, jos olen jo asentanut sovelluksen?

1. Avaa tietokoneen selaimessa osoite: https://mysignins.microsoft.com/security-info
2. Tarvittaessa kirjaudu yliopiston käyttäjätunnuksella (jos olet jo kirjautuneena O365-palveluun selaimeessa, kirjautumista ei välttämättä kysytä).
3. Turvatieto-sivulla napsauta + Lisää menetelmä -painiketta (+ Add a method).
4. Valitse alasvetovalikosta Puhelin (Phone) ja napsauta Lisää.
5. Valitse maakoodi ja näppäile puhelinnumerosi siinä muodossa, jonka olet operaattorilta saanut
6. Valitse, haluatko koodin tekstiviestinä tai soittona. Napsauta Seuraava.
7. Palvelu lähettää testitodennuksen puhelimeen äsken valitsemallasi tavalla; viestinä tai soittona (saapuminen voi kestää useita minuutteja). Jos varmennekoodi tuli tekstiviestinä, näppäile saamasi kuusinumeroinen koodi tietokoneella näkyvään ikkunaan ja napauta Seuraava. Jos valitsit puhelun, soittaa robotti antamaasi numeroon. Paina puhelimen ruutu-painiketta (#).
8. Klikkaa selaimessa Valmis-painiketta (Done).

Tarkemmat ohjeet kuvien kanssa näet ohjesivuston liitteestä Aseta MFA:n todentamismenetelmä, kohdasta B. Valitse menetelmäksi Puhelin.

• Ohjeet henkilöstölle Patiossa
• Ohjeet opiskelijalle oulu.fi-sivustolla

Kuinka voin kirjautua sisään, jos en voi käyttää puhelintani?

• MFA tarvitaan vain silloin, kun kirjaudut palveluihin yliopiston verkon ulkopuolelta ilman VPN:ää. MFA vaaditaan yleensä aina kun kirjaudut Microsoft-tilillesi muuttamaan turvatietoa.
• Suosittelemme, että asetat käyttöönoton yhteydessä toisijaisen tunnistusmenetelmän eri puhelimeen/laitteeseen, kuin missä ensisijaisesti käytttämäsi tunnistusmenetelmä on, jos se on mahdollista.

Minulla on uusi puhelin, enkä voi käyttää vanhaa puhelintani kirjatumisen vahvistamiseen

• MFA:n käyttöönoton yhteydessä on suositeltavaa asettaa toisijaiseksi tunnistusmenetelmänä tekstiviestitunnistus tai puhelinsoitto eri puhelimeen/laitteeseen, jos se on mahdollista. Tällöin puhelimen vaihtuessa, voit vaihtaa tunnistamistavan käyttämällä toissijaista tunnistamistapaa.
• Jos toissijaista tunnistuspaa ei ole määritelty tai sekin on liitetty vanhaan puhelimeesi, ole yhteydessä ICT:n asiakastukeen.

Mitä minun pitää tehdä, jos puhelimeni vaihtuu?

• Ota ensin kaksivaiheinen tunnistus käyttöön uudessa puhelimessasi käyttöönotto-ohjeen mukaisesti.
• Poista vasta tämän jälkeen vanha puhelin tunnistuspalvelusta delete-painikkeella.
• Mikäli palvelussa on toimintahäiriöitä, ota yhteys ICT;n asiakaspalveluun. MFA voidaan kytkeä pois päältä väliaikaisesti.

Puhelimeni meni rikki, mitä voi tehdä?

• Jos puhelin menee rikki, O365-palveluiden käyttö ei esty välittömästi, koska MFA ei tee tunnistuskyselyitä jatkuvasti. Varotoimena on hyvä asettaa toisijaiseksi tunnistusmenetelmäksi tekstiviestitunnistus tai puhelinsoitto ja mieluiten eri puhelimeen/laitteeseen, jos mahdollista. Tällöin puhelimen mennessä rikki, voit vaihtaa tunnistamistavan käyttämällä toissijaista tunnistamistapaa tai siirtää SIM-kortin toiseen puhelimeen, jolla on mahdollista vastaanottaa tekstiviestejä tekstiviestitunnistusta varten. Jos tämä ei kuitenkaan ole mahdollista, ole yhteydessä ICT:n asiakastukeen.

Outlook kysyy jatkuvasti kirjautumista mobiililaitteessa

• Asenna samaan laitteeseen Microsoft Authenticator-sovellus

Mobiililaitteeni sähköposti ei enää toimi MFA:n käyttöönoton jälkeen

• Asenna Outlook for Android tai Outlook for iOS ja lisää siihen työ- tai opiskelijasähköpostitilisi.
• Asenna myös Microsoft Authenticator -sovellus samalle laitteelle.

Mobiililaitteeni kalenteri ei enää päivity MFA:nkäyttöönoton jälkeen

• Lataa mobiililaitteeseesi Outlook for Android tai Outlook for iOS laitteen sovelluskaupasta.