Kaksivaiheinen tunnistus - Käyttöönotto

Huomioitavaa kaksivaiheisen tunnistuksen asennuksessa ja käytössä
Kaksivaiheisen tunnistuksen käyttöönotto älypuhelimella
TUNI kaksivaiheisen tunnistuksen käyttöönotto, jos käytössäsi ei ole älypuhelinta
Numerovarmistus (Number matching) ja salasanaton kirjautuminen

 

Korkeakouluyhteisön sähköiset palvelut edellyttävät kaksivaiheista tunnistautumista.

Kaksivaiheinen tai vahva tunnistus tarkoittaa puhelimella tai USB-turva-avaimella tehtävää lisätunnistusta verkkopalveluiden sisäänkirjautumisen yhteydessä. Se tuo lisäsuojaa TUNI sähköisten palveluiden käytössä varsinkin niissä tilanteissa, joissa salasana on päätynyt vääriin käsiin.

Puhelimella tehtävään kaksivaiheiseen tunnistukseen tarvitset älypuhelimen, jossa on verkkoyhteys ja mahdollisuus asentaa Microsoft Authenticator -tunnistussovellus, joka on ladattavissa Android- ja Apple-puhelimiin. Tunnistussovelluksen käyttö on maksutonta.

Tunnistussovelluksen voit asentaa useampaan eri puhelimeen ja samalla sovelluksella onnistuu tunnistautuminen myös muihin henkilökohtaisiin palveluihin kuten esimerkiksi Googlen palveluihin.

Lue myös ohje Puhelimen käyttöönotosta (henkilökunta)

Jos sinulla ei ole käytössäsi älypuhelinta, voit käyttää USB-turva-avainta (esim. Yubikey Security Key U2F FIDO2 NFC, joita on saatavissa useimmista elektroniikkaliikkeistä).
 

Huomioitavaa kaksivaiheisen tunnistuksen asennuksessa ja käytössä:

• TUNI henkilökunnan työkoneen tulee olla TUNI-STAFF verkossa tai etätyöskentelyssä TUNI VPN kytkettynä päällä. Käyttäessäsi omaa henkilökohtaista laitetta käytä eduVPN:ää. Ohjeet VPN-yhteyden käytöstä henkilökohtaisella tietokoneella (Windows, Linux tai macOS).
• Opiskelijat ja vierailijat (ml. ne, joilla on samat käyttövaltuudet kuin henkilökunnalla) eivät tarvitse kaksivaiheisen tunnistuksen käyttöönotossa VPN-yhteyttä.
• Jos puhelimesi vaihtuu, kaksivaiheinen tunnistus täytyy ottaa käyttöön uudessa puhelimessa. Poista vasta sen jälkeen vanha puhelin tunnistuspalvelusta aka.ms/mfasetup  -sivustolla Delete-painikkeella.
• Kaikki sähköpostisovellukset (esim. Samsung-puhelimien omat sähköpostisovellukset) eivät vielä tässä vaiheessa tue kaksivaiheista tunnistusmenetelmää, ja turvallisuussyistä johtuen TUNI-sähköpostin ja -kalenterin käyttö tällaisella sovelluksella ei ole mahdollista. Muistathan siis ottaa käyttöön Outlook-sovelluksen puhelimeesi, jota käytät TUNI-sähköpostin ja -kalenterin hallintaan. Lista tuetuista sähköpostisovelluksista ja asennusohjeista
• Kun käytät jotain muuta kuin henkilökohtaista laitettasi, niin muista vastata kirjautumisnäkymän Stay signed in -ikkunassa kysymykseen "No", jotta kukaan muu ei pääse kirjautumaan tunnuksellasi tietoihisi ja käyttämiisi TUNIn sähköisiin palveluihin.
• Kaksivaiheinen tunnistus ei kosketa vielä tässä vaiheessa palveluiden omia paikallisia tunnuksia.
• Kaksivaiheinen tunnistus ei ole käytössä:
  • Linux SSH- ja etätyöpöytäpalvelimilla (henkilökunnan SSH-palvelimilla käytetään erillistä kaksivaiheista tunnistusta)
  • TUNI eduVPN -kirjautumisessa
  • Sähköisessä tentissä käytettävissä järjestelmissä (Exam, Plussa, Älyoppi-moodle).

TUNI kaksivaiheisen tunnistuksen käyttöönotto älypuhelimella

Kaksivaiheinen tunnistus otetaan käyttöön älypuhelimella kolmessa eri vaiheessa, joissa tarvitset älypuhelinta sekä tietokonetta, jossa on asennettuna selain esimerkiksi Edge tai Google Chrome.

DownloadTUNI Kaksivaiheisen tunnistuksen käyttöönotto (pdf)

Microsoft Authenticator -sovelluksen asennus puhelimeesi

1. Hae ja asenna Microsoft Authenticator -sovellus puhelimeesi puhelimen sovelluskaupasta.
2. Avaa Microsoft Authenticator -sovellus puhelimessasi asennuksen jälkeen.
3. Hyväksy ensimmäisellä käyttökerralla kehote anonyymin käyttödatan keräämisestä.
4. Jos sovellus kysyy lupaa lähettää ilmoituksia (Notification), valitse Salli (Allow).
5. Valitse Lisää uusi tili ja valitse Työ- tai koulutili.
6. Valitse Skannaa QR-koodi (Scan QR code).
7. Anna sovellukselle käyttöoikeus käyttää puhelimen kameraa, jotta sovellus voi lukea QR-koodeja.
8. Sovellus jää nyt odottamaan QR-koodia, jolla yhdistetään sinun TUNI-tilisi ja puhelimen sovellus.
9. Laita puhelin hetkeksi sivuun ja siirry vaiheeseen 2.

HUOM! Jos tunnistussovellus ilmoittaa, että se on lukittu ja pyytää syöttämään lukituskoodia, niin kyseessä on puhelimen näytön lukituskoodi.

TUNI-tilin ja puhelimen tunnistussovelluksen yhdistäminen

1. Avaa tietokoneen selaimessa osoite: https://aka.ms/mfasetup 
2. Kirjaudu sisään käyttäen TUNI -sähköpostiosoitetta ja salasanaa.
3. Tietokoneen selain kysyy kirjautumisen tallentamista, voit valita Ei (No).
4. Selain antaa ilmoituksen lisätietojen määrityksestä, valitse Seuraava (Next).
5. Selain esittelee seuraavaksi Microsoft Authenticator -sovelluksen käyttöä.
6. Siirry selaimessa eteenpäin klikkaamalla Seuraava-painiketta (Next) kohtaan, jossa tulee näkyviin QR-koodi.
7. Ota nyt puhelin ja lue puhelimen Microsoft Authenticator -sovelluksessa avoimena olevalla QR-koodilukijalla tietokoneen selaimessa oleva QR-koodi. Jos puhelimesi tunnistussovellus on mennyt lukkoon, aukaise sovellus puhelimesi näytön lukituskoodilla.
8. Kun Microsoft Authenticator -puhelinsovellus on lukenut QR-koodin, voit tietokoneen selaimessa klikata Seuraava-painiketta (Next).
9. Saat puhelimeesi testitunnistuksen hyväksymispyynnön, joka sinun tulee Hyväksyä (Approve).
10. Voit siirtyä tietokoneen selaimessa eteenpäin klikkaamalla Seuraava-painiketta (Next).
11. Klikkaa selaimessa Valmis-painiketta (Done).
12. TUNI-tilin ja puhelimen sovelluksen yhdistäminen on nyt valmis.
13. Suosittelemme myös ottamaan käyttöön kaksivaiheisen tekstiviestitunnistuksen toissijaisena tunnistusmenetelmänä, jos esim. vahingossa poistat tunnistussovelluksen puhelimesta. Jätä selaimessa Tietoturva -sivu auki (Security info) ja siirry vaiheeseen 3.

Kaksivaiheisen tekstiviestitunnistuksen käyttöönotto

Tekstiviestitunnistus on hyvä ottaa käyttöön varmistamaan kaksivaiheisen tunnistautumisen toimivuutta, jos esim. puhelimesi menee epäkuntoon, riittää SIM-kortin sijoittaminen toimivaan puhelimeen ja tunnistus toimii. Emme kuitenkaan suosittele, että se toimii sinulla ainoana tunnistautumistapana, sillä se on haavoittuvainen esim. tietoturvahyökkäyksille.

1. Avaa tietokoneen selaimessa uudestaan osoite: https://aka.ms/mfasetup, jos ehdit jo sulkemaan selaimen.
2. Kirjaudu sisään käyttäen TUNI -sähköpostiosoitetta ja salasanaa.
3. Jos sinulla on älypuhelin ja olet jo asentanut Authenticator-sovelluksen, niin klikkaa turvatieto-sivulla (Security info) + Lisää menetelmä -painiketta (+ Add method) ja hyppää kohtaan 5.
4. Jos sinulla ei ole älypuhelinta, etkä ole pystynyt asentamaan Authenticator-sovellusta, niin klikkaa Haluan käyttää toista metodia – linkkiä laatikon alalaidassa (I want to set up a different method).
5. Valitse alasvetovalikosta Puhelin (Phone) ja klikkaa Vahvista-painiketta (Confirm).
6. Valitse alasvetovalikosta maakoodi ja lisää loppuosa puhelinnumerostasi tekstikenttään.
7. Klikkaa Seuraava-painiketta (Next).
8. Tunnistautuminen testataan lähettämällä antamaasi puhelinnumeroon tekstiviesti, jossa on 6-numeroinen numerokoodi. Syötä numerokoodi tietokoneen selaimessa olevaan tekstikenttään.
9. Klikkaa selaimessa Valmis-painiketta (Done).
10. TUNI-tilin ja tekstiviestitunnistuksen yhdistäminen on nyt valmis.
11. Kaksivaiheinen tunnistus on nyt asennettu.

Hienoa! Kaksivaiheinen tunnistus on nyt onnistuneesti otettu käyttöön.

Aktivoinnin jälkeen saat aluksi hyväksymispyyntöjä, mutta niiden määrä vähenee, kun olet kirjautunut eri TUNI sähköisiin palveluihin käyttäen kaksivaiheista tunnistusta.

Seuraavan kerran hyväksymispyynnöt tehdään noin kahden kuukauden kuluttua, jos käytät aina samaa laitetta tai selainta. Jos käytät toista laitetta tai selainta, hyväksymispyyntö lähetetään uudestaan. Sovelluksen käyttö ulkomailla saattaa myös aiheuttaa hyväksymispyynnön.

 

TUNI kaksivaiheisen tunnistuksen käyttöönotto, jos käytössäsi ei ole älypuhelinta

Jos sinulla ei ole käytössäsi älypuhelinta, voit ottaa käyttöösi tietokoneesi USB-portissa käytettävän tietoturva-avaimen. USB-turva-avain on ensisijaisesti tarkoitettu tietokonekäyttöön, mutta toimii myös rajoitetusti mobiililaitteissa. TUNI-kirjautuminen toimii selainkäytössä iOS-mobiililaitteissa, mutta Android-mobiililaitteet eivät toistaiseksi ole tuettuja. Lisätietoa yhteensopivuudesta: Browser support of FIDO2 passwordless authentication | Microsoft Learn  

USB-turva-avain liitetään tietokoneen USB-porttiin. Niitä on saatavilla kahdella eri USB-liitännällä: USB-A tai USB-C. Tarkista tietokoneesi USB-liitäntävaihtoehdot.

USB-turva-avaimella tehtävä kaksivaiheinen tunnistus otetaan käyttöön kahdessa eri vaiheessa. Tarvitset siihen puhelimen, USB-turva-avaimen sekä tietokoneen, johon on asennettuna selain esim. Edge tai Google Chrome.

USB-turva-avaimen käyttöönotto

Seuraavat käyttöönotto-ohjeet pohjautuvat Yubicon valmistamaan Yubikey Security Key U2F FIDO2 NFC-avaimen käyttöön. Voit käyttää myös muiden valmistajien turva-avaimia, mutta me emme tarjoa tukea niiden käyttöön.

1. Avaa tietokoneen selaimessa osoite: https://aka.ms/mfasetup
2. Kirjaudu sisään käyttäen TUNI-sähköpostiosoitetta ja salasanaa.
3. Tietokoneen selain kysyy kirjautumisen tallentamista, voit valita Ei (No).
4. Selain antaa ilmoituksen lisätietojen määrityksestä, valitse Seuraava (Next).
5. Selain esittelee seuraavaksi Microsoft Authenticator -sovelluksen käyttöä.
6. Klikkaa turvatieto-sivulla (Security info) + Lisää menetelmä -painiketta (+ Add method).
7. Valitse alasvetovalikosta Suojausavain (Security key) ja klikkaa Lisää-paniketta (Add) 
8. Valitse omistamasi USB-turva-avaimen (käyttöoikeusavain) tyypiksi USB-laite.
9. Saat ilmoituksen, jossa sinua kehotetaan liittämään suojausavaimesi USB-porttiisi, kun valitset seuraava. Joten laita USB-tietoturva-avain tietokoneesi USB-porttiin.
10. Klikkaa tietokoneesi Suojausavain-ilmoituksen ikkunasta Seuraava-painiketta (Next).
11. Voit sulkea näytöllesi ilmaantuneen QR-koodin valitsemalla Use a different device
12. Valitse avautuvasta Create a passkey -ikkunasta Windows Hello or external security key
13. Valitse Security key setup -ikkunasta Ok 
14. Syötä itse valitsemasi security key PIN-koodi  
15. Suojausavain: To set up a security key, you need to sign in with two-factor authentication -> Seuraava 
16. Tee kaksivaiheinen tunnistus 
17. Valitse USB-laite
18. Selain avaa uuden pienen ikkunan, josta pääset asettamaan USB-tieturva-avaimelle PIN-koodin. PIN-koodi on oltava vähintään neljä numeroa pitkä. Jos olet asettanut tietoturva-avaimelle jo aiemmin koodin, syötä aiemmin asettamasi koodi normaalisti.
19. USB-tietoturva-avaimen valo syttyy vilkkumaan. Paina vilkkuvaa valoa.  
20. Nimeä USB-tietoturva-avain. Nimeämisen jälkeen USB-tietoturva-avaimen käyttöönotto on valmis. 
21. Klikkaa OK-painiketta (Next). 
22. Klikkaa selaimessa Valmis-painiketta (Done). 
23. Kaksivaiheinen tunnistus on nyt asennettu. 

USB-turva-avaimen käyttö

Käyttöönoton jälkeen saadessasi kaksivaiheisen tunnistautumisen hyväksymispyyntöjä, älä syötä  TUNI-sähköpostiosoitetta sisäänkirjautuessasi, vaan valitse sisäänkirjautumisikkunan alalaidasta Muut sisäänkirjautumisvaihtoehdot (Sign-in options) ja sieltä Kirjaudu sisään käyttäen suojausavainta (Sign in with a Security Key).  

Tämän jälkeen syötä PIN ja kosketa USB-turva-avainta. Avain ei lue sormenjälkiä, ainoastaan kosketuksen.
 

Numerovarmistus (Number matching) ja salasanaton kirjautuminen

Numerovarmistus tuo lisäturvaa tunnusten kalasteluyrityksiä vastaan. Numerovarmistus on otettu automaattisesti käyttöön 14.2.2023.

Kun olet kirjoittanut kirjautumisikkunaan TUNI-tunnuksesi ja salasanasi, kirjautumisikkunaan tulee sen jälkeen lisävarmistuksen numero, jonka syötät puhelimen Authenticator-sovellukseen. Henkilökunnan työpuhelimissa tämä koskee työprofiilin Authenticator-sovellusta.

DownloadNumerovarmistus (pdf)

Numerovarmistuksen käyttöönoton jälkeen voit halutessasi ottaa käyttöön myös salasanattoman kirjautumisen. Sen jälkeen voit kirjautua palveluihin ilman TUNI-salasanaa vahvasti tunnistautuneena.

DownloadSalasanaton kirjautuminen (pdf)

 

IT Helpdesk
0294 520 500
it-helpdesk [at] tuni.fi
helpdesk.tuni.fi