Vahvan tunnistautumisen (MFA) käyttöönotto

Jamkin tunnuksissa on käytössä vahva tunnistautuminen (MFA), jonka tarkoitus on suojata tiliäsi väärinkäytöltä. Kirjautuessa Jamkin tilille, tarvitsee siis käyttäjätunnuksen ja salasanan lisäksi vahvistaa kirjautuminen Authenticator-sovelluksella.

Ohjeet MFA:n käyttöönottoon:

Voit ottaa vahvan tunnistautumisen käyttöön tunnuksellesi kirjautumalla Microsoft 365-palveluun ja seuraamalla sieltä tulevia ohjeita. Vilkaise myös ”usein kysytyt kysymykset” tämän sivun lopusta.

!

Microsoft Authenticator -sovellus tulee asentaa mobiililaitteelle, sitä ei voi asentaa tietokoneelle. Sovellukseen ei kirjauduta, vaan Jamkin tili lisätään siihen QR-koodin tai URL-linkin avulla. Katso tarkemmat ohjeet alta.

Microsoft Authenticator -sovellus asennetaan mobiililaitteelle (esim. älypuhelin). Käyttöönotto tapahtuu, kun ensimmäisen kerran kirjaudut johonkin Jamkin palveluun, esimerkiksi M365 -palveluun. Käyttöönotto tapahtuu hieman eri tavalla riippuen siitä, millä laitteella kirjaudut. Alla on kuvattu toimenpiteitä tarkemmin, valitse vaihtoehdoista sen mukaan, millä laitteella suoritat ensimmäisen kirjautumisen. Voit tehdä käyttöönoton joko pelkästään puhelimella, tai käyttäen puhelimen ja tietokoneen yhdistelmää. Ohjeet molemmille menetelmille alla.

  1. Lataa puhelimeesi Microsoft Authenticator -sovellus.
  2. Käynnistä asentamasi Microsoft Authenticator -sovellus
    • Jos käynnistät ohjelman ensimmäistä kertaa, valitse ”ohita” kaikkiin mahdollisesti esitettäviin kysymyksiin
    • Sovelluslistassa nimi on ”Authenticator”
  3. Valitse ”Lisää tili
    • Jos ohjelma on ollut käytössä jo aiemmin, valitse oikean yläkulman valikosta ”Lisää tili
  4. Valitse ”Työ- tai koulutili” (Work or school account)
    • QR-koodin lukemista varten puhelin saattaa pyytää lupaa kuvien käsittelyyn, valitse ”Salli
    • HUOMI! Muut valittavissa olevat tilityypit eivät voi toimia.
  5. Laita puhelin hetkeksi syrjään ja siirry tietokoneen selaimella osoitteeseen https://m365.jamk.fi
    • Sinulle esitetään kirjautumisruutu, syötä sähköpostiosoitteesi ja paina ”Next
    • Syötä salasanasi ja paina ”Sign In”
  6. Saat alla olevan ilmoituksen lisätietojen pakollisuudesta
    • Varmista, että Jamkin sähköpostiosoitteesi näkyy jamk.fi -logon alla (kuva 1) ja paina ”Next

      Saat ilmoituksen Lisätietoja tarvitaan, koska organisaatio vaatii sinulta kaksivaiheisen tunnistautumisen. Jatka eteenpäin painamalla sinistä "Seuraava" -painiketta
      Kuva 1
  7. Valitse ”Keep your account secure” -ruudussa (kuva 2) Nex
  8. Mikäli et halua käyttää Authenticator -sovellusta (suositus), voit valita alareunasta ”I want to set up a different method”. Tämä ohje ei kata muita menetelmiä. Mahdollisesti Microsoft poistaa muut menetelmät käytöstä myöhemmin.

    Saat linkin, jonka avaamalla Authenticator sovellus avautuu ja Jamkin tili voidaan lisätä sovellukseen. Vaihtoehtoisesti voit valita myös "Näytä QR-koodi", jos olet lisäämässä tiliä toiselle laitteelle
    Kuva 2
  9. Kohdassa ”Microsoft Authenticator – Set up your account” (kuva 3) paina Next

    Ohjeistus pyytää sinua sallimaan puhelimesta Authenticator -sovelluksen lähettämät ilmoitukset ja lisäämään uusi "Työ- tai koulutili".
    Kuva 3
  10. Skannaa puhelimella tiliä lisättäessä tietokoneen ruudulla nyt näkyvä QR-koodi, jonka avulla tunnuksesi liitetään sovellukseen.
    • Huom, jos kuvan skannaus ei onnistu, paina ”can’t scan image”, jolloin voit syöttää selaimessa näkyvän koodin puhelimen sovellukseen käsin.
  11. Kun koodi on luettu tai syötetty sovellukseen onnistuneesti, valitse tietokoneen selaimessa ”Next
  12. Palvelu varmistaa sovelluksen toimivuuden ja saat siitä hyväksymispyynnön puhelimeen, valitse ”Approve
    • Mikäli sovellus pyytää puhelimen lukituskoodia, syötä se. Tämän lisävaatimuksen voit halutessasi poistaa Authenticatorin asetuksista.
    • Jos saat jonkin virheilmoituksen, poista lisätty tili puhelimesta ja aloita prosessi alusta (todennäköisesti palvelu totesi, että et ollut tarpeeksi ripeä). Voit tarvittaessa nollata kaikki tunnuksellesi aiemmin tehdyt vahvan tunnistuksen asetukset osoitteessa https://tunnistus.jamk.fi/
    • 12.12.2022 jälkeen edellytetään kirjautumissivulla näytettävän numerokoodin kirjoittamista Authenticatoriin.
  13. Mikäli yhdistäminen on onnistunut, saat ilmoituksen ”Notification approved”. Valitse vielä Next.

    Ilmoitus siitä, että olet onnistuneesti hyväksynyt kirjautumispyynnön puhelimen Authenticator -sovelluksesta. Jatka eteenpäin valitsemalla sininen painike "Seuraava"
    Kuva 4
  14. Saat lopuksi ilmoituksen liittämisestä. Onneksi olkoon, käyttöönotto on nyt valmis.
    Usein kysytyistä kysymyksistä voit katsoa lisäohjeita ja muita vinkkejä.

  1. Lataa puhelimeesi Microsoft Authenticator -sovellus.
  2. Siirry puhelimen selaimella osoitteeseen https://aka.ms/MFASetup
    • Kirjaudu sisään sähköpostiosoitteella ja salasanalla
  3. Valitse ”More information required” -ruudussa Next
  4. Valitse linkki ”Pair your account to the app by clicking this link” (kuva 1)

    Saat linkin, jonka avaamalla Authenticator sovellus avautuu ja Jamkin tili voidaan lisätä sovellukseen. Vaihtoehtoisesti voit valita myös "Näytä QR-koodi", jos olet lisäämässä tiliä toiselle laitteelle
    Kuva 1
  5. Authenticator -sovellus avautuu ja tiedot ilmestyvät hetken kuluttua. Sulje Authenticator-sovellus ja palaa takaisin selaimeen (kuva 2).

    Jamkin tili on saatavilla Authenticatori -soveluksesta merkiksi siitä, että laitetta voidaan käyttää kaksivaiheisessa tunnistamisessa ja kirjautumispyyntöjen hyväksymisessä
    Kuva 2
  6. Valitse selaimessa Next, jolloin saat hyväksymispyynnön puhelimeen. Hyväksymällä pyynnön (approve) varmistat yhteyden toimivuuden (kuva 3). Huom! 12.12.2022 jälkeen edellytetään kirjautumissivulla näytettävän numerokoodin kirjoittamista Authenticatoriin.

    Käyttöönoton viimeistelemiseksi, sinulle lähetetään hyväksymispyyntö puhelimeen. Selain pyytää sinua hyväksymään kirjautuminen avaamalla puhelimeen tullut ilmoitus. Hyväksymisilmoitus tulee yleensä puhelimen ruudun yläreunaan avattavaksi
    Kuva 3
  7. Saat ”Notification approved” -ilmoituksen, paina Next
  8. Saat vielä ”Success” -ilmoituksen ja määrittely on nyt valmis
  9. Voit sulkea selaimen tässä vaiheessa. Jos painat ”Done”, selain siirtyy hallintasivulle.

Eikö Authenticator -sovellus toimi tai vaihdoitko puhelinta?

Jos vaihdat puhelimen, tulee uuden puhelimen Authenticator -sovellus lisätä tunnistusmenetelmäksi osoitteessa aka.ms/mfasetup ennen kuin nollaat tai tyhjennät vanhan laitteen.

Kirjaudu sisään sähköpostiosoitteella ja hyväksy kirjautuminen vanhalla puhelimella. Valitse sitten ”Add Sign-in method” ja valitse menetelmäksi ”Authenticator app”. Jatka määritystä ylemmän ”Ohjeet MFA:n käyttöönottoon” mukaisesti. Uuden menetelmän lisäämisen jälkeen kannattaa vanha puhelin poistaa tunnistusmenetelmien joukosta, mikäli et käytä molempia laitteita.

Mikäli vanha puhelin on kadonnut tai se ei toimi, noudata näitä ohjeita.


Huomioitavia asioita

Käyttöönoton jälkeen osa vanhoista, yhteensopimattomista sovelluksista ei toimi. Tällaisia voivat olla mm. joidenkin puhelinvalmistajien omat sähköpostisovellukset.

Jamkin ICT-palvelut suosittelee seuraavia tuettuja ja testattuja sovelluksia:

  • Windows: Office 2016 tai uudempi, Microsoft 365 Apps for enterprise (entinen Office 365 proplus)
  • Android: Microsoft Outlook
  • MacOS: Apple Mail 12 tai uudempi, Office 2016 tai uudempi, Microsoft 365 for Mac
  • iOS: Microsoft Outlook

Alle on koottu muutamia käyttöön liittyviä yleisiä kysymyksiä ja vastauksia (UKK).

Kun kirjaudut johonkin Jamkin vahvaa tunnistautumista vaativaan palveluun sähköpostiosoitteella ja salasanalla, niin saat myös puhelimen Authenticator-sovelluksen ilmoituksen, joka täytyy hyväksyä syöttämällä siihen kaksinumeroinen varmennekoodi. Mikäli ilmoitusta ei tule automaattisesti, avaa Microsoft Authenticator -sovellus. Pyynnön pitäisi näkyä sovelluksessa hyväksyttävänä. Tunnuksen syöttämisen jälkeen on noin minuutti aikaa hyväksyä se puhelimessa.

  • Tuntematonta pyyntöä ei pidä hyväksyä! On mahdollista että joku ulkopuolinen on saanut käsiinsä käyttäjätunnuksesi ja salasanasi ja hyväksymällä pyynnön päästät hyökkääjän sisään.
  • Varmista ettei esim. jokin käytössä olevista laitteistasi yritä kirjautua palveluun (esim. puhelimen sähköpostisovellus).
  • Voit tehdä epäilyttävästä tilanteesta ilmoituksen ICT-palveluille, jossa ylläpito voi tarkistaa mistä kirjautumisyritys tuli.

Ota uusi puhelin käyttöön ja toimi tämän saman ohjeen mukaisesti. Kun uuteen puhelimeen on määritetty Microsoft authenticator -sovellus ja tilisi on liitetty siihen, voit tyhjentää vanhan puhelimen ja luopua siitä.

  • Voit lisätä Authenticator -sovelluksen myös henkilökohtaiseen puhelimeen. Mene osoitteeseen aka.ms/MFASetup ja klikkaa “Add sign-in method” -kuvaketta ja valitse menetelmäksi ”Authenticator app”
  • Onnistuneen lisäyksen jälkeen vahvistusviestit tulevat kaikkiin lisättyihin laitteisiin (ei ole merkitystä millä niistä hyväksyt kirjautumisen).

Voit tarkastella, lisätä ja poistaa tunnukseesi liitettyjä mobiililaitteita osoitteessa aka.ms/MFASetup

Tähän ei ole olemassa yksiselitteistä vastausta, mutta tiivistetysti voi sanoa että taustalla tehdään monentasoista riskiarviointia, jonka perusteella lisävarmennusta saatetaan joskus edellyttää ja toisinaan taas ei.

Joitakin Jamkissa käytettyjä kolmannen osapuolen palveluita on liitetty M365-kirjautumiseen ja niitä koskevat silloin samat vaatimukset myös vahvan tunnistuksen osalta. Tällaisia ovat mm. jotkin henkilöstö/taloushallinnon palvelut ja sähköinen allekirjoitus. Myös HAKA-kirjautumista käyttävät palvelut, kuten Peppi ja Moodle edellyttävät vahvaa tunnistusta.

Osa sähköpostisovelluksista saattaa edellyttää, että synkronoinnissa käytetty tili poistetaan ja lisätään sitten uudestaan. Vasta tämän jälkeen sovellus ymmärtää käyttää vahvaa tunnistusta.

Vastaavasti osa vanhoista, yhteensopimattomista sovelluksista ei toimi muutoksen jälkeen enää lainkaan. Tällaisia voivat olla mm. joidenkin puhelinvalmistajien omat sähköpostisovellukset. Asenna siinä tapauksessa sovelluskaupasta Outlook.

Authenticatorin mahdollisesti näyttämä karttatieto kirjautumispaikan sijainnista perustuu käytetyn verkkoyhteyden ns. julkiseen verkko-osoitteeseen, joka ole tarkka. Se on tarkoitettu vain apuvälineeksi, jonka avulla voit yrittää päätellä onko kirjautumispyyntö omasi. Jos olet kirjautumassa esim. Jyväskylästä ja kartalla kirjautumispaikka näyttää olevan Tampereella, se ei välttämättä tarkoita mitään, mutta jos olet Suomessa ja kirjautumispaikka on jossakin toisella mantereella, pitäisi hälytyskellojen soida.