Monivaiheinen tunnistautuminen

Monivaiheinen tunnistautuminen – Mikä se on?

  • Monivaiheinen tunnistautuminen (MFA, eli multi-factor authentication) on tietoturvaan liittyvä työkalu Microsoft 365 -tileille.
  • Monivaiheisen tunnistautumisen käyttöönotolla parannetaan organisaation tietoturvaa ja estetään tietoturvarikkomusten ja väärinkäytön mahdollisuuksia. 
  • Tunnistautuminen tuo kirjautumiseen yhden portaan lisää perinteisen käyttäjätunnuksen ja salasanan syöttämisen lisäksi. 
  • Tällä voidaan muun muassa tunnistaa tunnusten väärinkäyttöyrityksiä ja estää ulkopuolisen tahon pääsy yksityisiin tietoihin, tiedostoihin tai Diakin järjestelmiin käyttäjätietojen päädyttyä vääriin käsiin, esimerkiksi tietojenkalasteluviestin välityksellä.

Kun monivaiheinen tunnistautuminen on lisätty käyttäjälle, kirjautumisen vahvistaminen voidaan tehdä kolmella eri tavalla:

  • Microsoft Authenticator –mobiilisovellus (Suositeltu tapa, ilmainen sovelluskaupoissa (Google play, Apple App Store))
  • Tekstiviesti määritettyyn puhelinnumeroon
  • Puhelu määritettyyn puhelinnumeroon.

Käyttöönotto

Tarvitset käyttöönottoon tietokoneen sekä mobiililaitteen.

Seuraava osuus tehdään tietokoneella / mobiililaitteen selaimella

  • Siirry tietokoneesi selaimella osoitteeseen https://aka.ms/mfasetup
  • Kirjautuessa sivusto pyytää lisätietoja tunnistautumiseen, valitse ”Seuraava”
  • "Vaihe 1" –kohtaan voit suoraan määrittää sovelluksen valitsemalla alasvetovalikosta kohdan "Mobiilisovellus". Tämän jälkeen valitse kohta ”Vastaanota vahvistusilmoituksia” ja valitse ”Määritys”

Seuraava osuus tehdään mobiililaitteella / Authenticator-sovelluksella

  • Lataa matkapuhelimeesi sovelluskaupasta (Androidilla Google Play tai Applella App Store) sovellus Microsoft Authenticator (kuva 1) ja avaa se.
  • Avaa mobiilisovellus ja valitse ”Lisää tili” (Kuva 2).
  • Sovellus voi pyytää lupaa käyttää kameraa. Valitse tähän ”Salli”.
  • Valitse tämän jälkeen ”Työ- tai koulutili” (Kuva 3).
  • Valitse "Skannaa QR-koodi"
  • Skannaa puhelimen kameralla selaimessasi auki olevan sovelluksen määrityssivun QR-koodi.
  • Jos et voi skannata koodia, seuraa sivulla olevia asennusohjeita
    • Valitse puhelimen näytöltä ”Voit myös antaa koodin manuaalisesti”
    • Syötä sovellukseen työasemalla näkyvä koodi ja URL-osoite.

Seuraava osuus tehdään tietokoneella / mobiililaitteen selaimella, paitsi hyväksymispyynnöt hyväksytään mobiililaitteella / Authenticator-sovelluksella

  • Jatka sivulla https://aka.ms/mfasetup
  • "Vaihe 2” –kohdassa testataan tunnistautuminen. Mobiililaitteen Authenticator-sovellus ilmoittaa tällöin tunnistautumispyynnöstä (kuva 1), josta valitaan ”Hyväksy”.
  • Lisää ”Vaihe 3” –kohtaan puhelinnumerosi (kuva 2), jotta voit kirjautua sisään myös jos sovellus ei ole käytettävissäsi (esim. jos puhelimesi ei ole yhdistetty mobiiliverkkoon).
  • Valitse ”Vaihe 4” –kohdasta ”Valmis”.

Tunnistautumisen käyttö

Microsoft Authenticator –mobiilisovellus

  • Puhelin hälyttää hyväksymisen tarpeesta ilmoituksella.
  • Ilmoituksesta voi tunnistautua painamalla kohtaa ”Hyväksy”.
  • Authenticator pyytää avaamaan sovelluksen lukituksen. Lukitus avataan mobiililaitteen pääsykoodilla.

Tekstiviestillä

  • Suojauksen hallintasivustolla määrittelemääsi numeroon tulee tekstiviesti Microsoftilta.
  • Viestissä on numerokoodi, joka pitää syöttää kirjautumisikkunan tekstikenttään.

Puhelulla

  • Suojauksen hallintasivustolla määrittelemääsi numeroon tulee puhelu Microsoftin automaatista.
  • Puhelussa luetellaan koodi, joka pitää syöttää kirjautumisikkunan tekstikenttään.
  • Soittaja ei koskaan ole oikea ihminen Microsoftilta, Microsoftin teknikko tai vastaava. Jos sinulle soittaa henkilö joka ilmoittaa olevansa Microsoftin edustaja, kyseessä on yleensä aina huijauspuhelu.

Tuetut sähköpostiohjelmat ja -sovellukset

  • Microsoft Outlook (Suositeltu sovellus, toimii kaikilla yleisimmillä alustoilla (Android, Apple, Windows))
  • Apple Mail (Versio 11 tai uudempi)

Järjestelmä pyytää lupaa kirjautumiseen aina O365-järjestelmään kirjautuessa uudella laitteella, sovelluksella tai selaimella.

Muistissa olevien laitteiden ja selainten kirjautumiseen sovellus pyytää kirjautumislupaa 30 vuorokauden välein, kun valitset kirjautuessa kohdan ”Älä kysy uudelleen 30 päivään”

 

Jos saat ilmoituksen Authenticator-sovelluksessa, tekstiviestillä tai puhelulla, jossa pyydetään hyväksymään kirjautuminen, mutta et ole itse kirjautumassa sillä hetkellä mihinkään järjestelmään tunnuksillasi, paina aina kohtaa ”Hylkää”.

Jos tällaista tapahtuu, vaihda viipymättä salasanasi Diakin Tunnistautumispalvelun kautta sekä ota aina yhteys ICT-palveluihin ([email protected]). 

Määrityksen jälkeen voit aina muuttaa halutessasi eri asetuksia tunnistautumisen osalta sivulla https://aka.ms/mfasetup

  • Tunnistautumistavan muuttaminen
  • Puhelinnumeron muuttaminen
  • Tilin määrittäminen sovellukseen eri laitteella tai uudelleenmääritys
    • Tili voi olla määritetty usean mobiililaitteen Authenticator -sovellukseen (esim. työ- ja henkilöhotainen puhelin)