Hyppää pääsisältöön
In English
Haku

Kaksivaiheinen tunnistus - Käyttöönotto

Huomioitavaa kaksivaiheisen tunnistuksen asennuksessa ja käytössä
Kaksivaiheisen tunnistuksen käyttöönotto älypuhelimella
Todentamisavaimen luonti
TUNI kaksivaiheisen tunnistuksen käyttöönotto, jos käytössäsi ei ole älypuhelinta
Luo väliaikainen käyttölupa
Salasanaton kirjautuminen

 

Korkeakouluyhteisön sähköiset palvelut edellyttävät kaksivaiheista tunnistautumista.

Kaksivaiheinen tai vahva tunnistus tarkoittaa puhelimella tai USB-turva-avaimella tehtävää lisätunnistusta verkkopalveluiden sisäänkirjautumisen yhteydessä. Se tuo lisäsuojaa TUNI sähköisten palveluiden käytössä varsinkin niissä tilanteissa, joissa salasana on päätynyt vääriin käsiin.

Puhelimella tehtävään kaksivaiheiseen tunnistukseen tarvitset älypuhelimen, jossa on verkkoyhteys ja mahdollisuus asentaa Microsoft Authenticator -tunnistussovellus, joka on ladattavissa Android- ja Apple-puhelimiin. Tunnistussovelluksen käyttö on maksutonta.

Tunnistussovelluksen voit asentaa useampaan eri puhelimeen ja samalla sovelluksella onnistuu tunnistautuminen myös muihin henkilökohtaisiin palveluihin kuten esimerkiksi Googlen palveluihin.

Lue myös ohje Puhelimen käyttöönotosta (henkilökunta)

Jos sinulla ei ole käytössäsi älypuhelinta, voit käyttää USB-turva-avainta (esim. Yubikey Security Key U2F FIDO2 NFC, joita on saatavissa useimmista elektroniikkaliikkeistä). TUNI henkilökunta voi tilata USB-turva-avaimen  helpdesk.tuni.fi -palvelukanavan IT-Pientarvikkeet-tilauslomakkeella suoraan kotiosoitteeseen.

Huomioitavaa kaksivaiheisen tunnistuksen asennuksessa ja käytössä:

  • Kaksivaiheisen tunnistuksen rekisteröintiin ei vaadita enää VPN-yhteyttä. Riittää, että sen tekee Suomesta.
  • Mutta mikäli et ole Suomessa, TUNI henkilökunnan työkoneen tulee olla TUNI VPN kytkettynä päällä. Käyttäessäsi omaa henkilökohtaista laitetta käytä eduVPN:ää. Ohjeet VPN-yhteyden käytöstä henkilökohtaisella tietokoneella (Windows, Linux tai macOS).
  • Opiskelijat ja vierailijat (ml. ne, joilla on samat käyttövaltuudet kuin henkilökunnalla) eivät tarvitse kaksivaiheisen tunnistuksen käyttöönotossa VPN-yhteyttä.
  • Jos puhelimesi vaihtuu, kaksivaiheinen tunnistus täytyy ottaa käyttöön uudessa puhelimessa. Poista vasta sen jälkeen vanha puhelin tunnistuspalvelusta aka.ms/mfasetup  -sivustolla Delete-painikkeella.
  • Kaikki sähköpostisovellukset (esim. Samsung-puhelimien omat sähköpostisovellukset) eivät vielä tässä vaiheessa tue kaksivaiheista tunnistusmenetelmää, ja turvallisuussyistä johtuen TUNI-sähköpostin ja -kalenterin käyttö tällaisella sovelluksella ei ole mahdollista. Muistathan siis ottaa käyttöön Outlook-sovelluksen puhelimeesi, jota käytät TUNI-sähköpostin ja -kalenterin hallintaan. Lista tuetuista sähköpostisovelluksista ja asennusohjeista
  • Kun käytät jotain muuta kuin henkilökohtaista laitettasi, niin muista vastata kirjautumisnäkymän Stay signed in -ikkunassa kysymykseen "No", jotta kukaan muu ei pääse kirjautumaan tunnuksellasi tietoihisi ja käyttämiisi TUNIn sähköisiin palveluihin.
  • Kaksivaiheinen tunnistus ei kosketa vielä tässä vaiheessa palveluiden omia paikallisia tunnuksia.
  • Kaksivaiheinen tunnistus ei ole käytössä:

TUNI kaksivaiheisen tunnistuksen käyttöönotto älypuhelimella (uusi TUNI-tunnus)

Kaksivaiheinen tunnistus otetaan käyttöön älypuhelimella kahdessa eri vaiheessa, joissa tarvitset älypuhelinta sekä tietokonetta, jossa on asennettuna selain esimerkiksi Edge tai Google Chrome.

  1. 1

    Asenna Microsoft Authenticator -sovellus puhelimeesi sovelluskaupasta

    Avaa Authenticator -sovellus asennuksen jälkeen ja toimi ohjeiden mukaisesti

  2. 2

    Yhdistä TUNI-tili ja puhelimen tunnistussovellus

    Avaa tietokoneen selaimessa osoite: https://aka.ms/mfasetup ja toimi ohjeen mukaisesti

  3. 3

    Suositeltava lisäturva

    Luo todentamisavain Microsoft Authenticatoriin ohjeiden mukaisesti

Huom!

Jos sinulla oli käytössä aiemmin käytöstä poistettu tekstiviestitunnistus, niin tässä ohjeet Microsoft Authenticator -sovelluksen käyttöönottoon

Microsoft Authenticator -sovelluksen asennus puhelimeesi

  1. Hae ja asenna Microsoft Authenticator -sovellus puhelimeesi puhelimen sovelluskaupasta.
  2. Avaa Microsoft Authenticator -sovellus puhelimessasi asennuksen jälkeen.
  3. Hyväksy ensimmäisellä käyttökerralla kehote anonyymin käyttödatan keräämisestä.
  4. Jos sovellus kysyy lupaa lähettää ilmoituksia (Notification), valitse Salli (Allow).
  5. Valitse Lisää uusi tili ja valitse Työ- tai koulutili.
  6. Valitse Skannaa QR-koodi (Scan QR code).
  7. Anna sovellukselle käyttöoikeus käyttää puhelimen kameraa, jotta sovellus voi lukea QR-koodeja.
  8. Sovellus jää nyt odottamaan QR-koodia, jolla yhdistetään sinun TUNI-tilisi ja puhelimen sovellus.
  9. Laita puhelin hetkeksi sivuun ja siirry vaiheeseen 2.

HUOM! Jos tunnistussovellus ilmoittaa, että se on lukittu ja pyytää syöttämään lukituskoodia, niin kyseessä on puhelimen näytön lukituskoodi.

TUNI-tilin ja puhelimen tunnistussovelluksen yhdistäminen

  1. Avaa tietokoneen selaimessa osoite: https://aka.ms/mfasetup
  2. Kirjaudu sisään käyttäen TUNI -sähköpostiosoitetta ja salasanaa.
  3. Tietokoneen selain kysyy kirjautumisen tallentamista, voit valita Ei (No).
  4. Selain antaa ilmoituksen lisätietojen määrityksestä, valitse Seuraava (Next).
  5. Selain esittelee seuraavaksi Microsoft Authenticator -sovelluksen käyttöä.
  6. Siirry selaimessa eteenpäin klikkaamalla Seuraava-painiketta (Next) kohtaan, jossa tulee näkyviin QR-koodi.
  7. Ota nyt puhelin ja lue puhelimen Microsoft Authenticator -sovelluksessa avoimena olevalla QR-koodilukijalla tietokoneen selaimessa oleva QR-koodi. Jos puhelimesi tunnistussovellus on mennyt lukkoon, aukaise sovellus puhelimesi näytön lukituskoodilla.
  8. Kun Microsoft Authenticator -puhelinsovellus on lukenut QR-koodin, voit tietokoneen selaimessa klikata Seuraava-painiketta (Next).
  9. Saat puhelimeesi testitunnistuksen hyväksymispyynnön, joka sinun tulee Hyväksyä (Approve).
  10. Voit siirtyä tietokoneen selaimessa eteenpäin klikkaamalla Seuraava-painiketta (Next).
  11. Klikkaa selaimessa Valmis-painiketta (Done).
  12. TUNI-tilin ja puhelimen sovelluksen yhdistäminen on nyt valmis.

Hienoa! Kaksivaiheinen tunnistus on nyt onnistuneesti otettu käyttöön.

Aktivoinnin jälkeen saat aluksi hyväksymispyyntöjä, mutta niiden määrä vähenee, kun olet kirjautunut eri TUNI sähköisiin palveluihin käyttäen kaksivaiheista tunnistusta.

Seuraavan kerran hyväksymispyynnöt tehdään noin kahden kuukauden kuluttua, jos käytät aina samaa laitetta tai selainta. Jos käytät toista laitetta tai selainta, hyväksymispyyntö lähetetään uudestaan. Sovelluksen käyttö ulkomailla saattaa myös aiheuttaa hyväksymispyynnön.

Todentamisavaimen luonti

Microsoft Authenticatorissa toimiva Passkey-todentamisavain on salasanojen tilalle tarkoitettu vahva kirjautumistapa, jossa käyttäjä tunnistautuu laitteensa biometrisellä menetelmällä tai PIN-koodilla ilman salasanaa. Se toimii vain laitteessa, johon se on tallennettu, joten kukaan ei voi käyttää sitä toisella laitteella, vaikka saisikin sen kopioitua. Lisäksi Passkey suojaa kalastelulta, koska käyttäjän ei tarvitse syöttää salasanaa tai koodia, ja se toimii vain oikeilla verkkosivustoilla, ei huijaussivustoilla, jotka yrittävät jäljitellä aitoja palveluita. Mikäli käyttäjällä on TUNI-puhelin, sen on oltava hallittu Intune-järjestelmän kautta. 

Linkki Microsoftin ohjeeseen: Register passkeys in Authenticator on Android and iOS devices - Microsoft Entra ID | Microsoft Learn

1. Varmista, että Authenticator sallii salasanan automaattisen tallennuksen puhelimesi asetuksissa 

Avaa puhelimen Asetukset

Android (15):

  • Siirry kohtaan Tietoturva ja tietosuoja.
  • Valitse Lisää suojausasetuksia.
  • Siirry kohtaan Salasanat, todentamisavaimet ja automaattinen täyttö.
  • Valitse alhaalta Työ.
  • Tarkista, onko Microsoft Authenticator valittu ensisijaiseksi palveluksi.
    • Jos ei ole, klikkaa ratas-painiketta ja valitse Microsoft Authenticator ensisijaiseksi palveluksi ja varmista, että luotat sovellukseen klikkaamalla OK

iOS:

  • Siirry kohtaan Yleiset (General).
  • Valitse Automaattinen täyttö ja salasanat (AutoFill & Passwords).
  • Salli Täytä salasanat ja pääsyavaimet automaattisesti (Autofill).
  • Salli Authenticator.

 

2. Viimeistele määritykset puhelimesi Microsoft Authenticator -sovelluksessa 
  • Avaa puhelimessa työkuplan Microsoft Authenticator-sovellus.
  • Valitse tuni.fi -profiilisi ja sitten klikkaa Luo todentamisavain.  
  • Kirjaudu sisään käyttäen TUNI-sähköpostiosoitetta ja salasanaa.  
  • Saat puhelimeesi ilmoituksen, kun todentamisavain on luotu. Klikkaa Valmis
  • Tämän jälkeen klikkaa tietokoneesi näytöltä Seuraava, jonka jälkeen saat ilmoituksen, että Todentamisavain luotu. Ja lopuksi klikkaa vielä Valmis

  

3: Käyttöönoton testaus ja käyttö jatkossa  

  • Varmista, että puhelimessasi on Bluetooth käytössä. 
  • Valitse Kirjautumisvaihtoehdot /Sign-in options (Kirjautumisvaihtoehdot) ja tunnistusmetodiksi Face, fingerprint or security key (Kasvot, sormenjälki, PIN-koodi tai suojausavain).  
  • Valitse iPhone, iPad tai Android-laite ja paina Next (Seuraava).  
  • Saat QR-koodin, joka sinun pitää skannata työkuplan kameralla.  
  • Kameran ruutuun tulee teksti "Kirjaudu ...“. Klikkaa tätä tekstiä.
  • Haluatko luottaa – klikkaa yhdistä laitteet.
  • Tämän jälkeen vaaditaan vielä puhelimen lukituskoodi ja sitten klikkaa Kirjaudu sisään.
  • Authenticator-sovellus avautuu, jossa kirjaudut loppuun.  
  

Jos tulee ongelmia, tarkista seuraavat asiat:

  • Puhelimessa toimii internet-yhteys.
  • Molemmissa laitteissa on Bluetooth käytössä.
  • Henkilökunnalla on oltava TUNI Intune-järjestelmän kautta hallittu laite.
  • Android-laitteesta pitää olla vähintään versio 14 ja iOS-laitteesta versio 17. 

 

TUNI kaksivaiheisen tunnistuksen käyttöönotto, jos käytössäsi ei ole älypuhelinta

Jos sinulla ei ole käytössäsi älypuhelinta, voit ottaa käyttöösi tietokoneesi USB-portissa käytettävän tietoturva-avaimen. USB-turva-avain on ensisijaisesti tarkoitettu tietokonekäyttöön, mutta toimii myös rajoitetusti mobiililaitteissa. TUNI-kirjautuminen toimii selainkäytössä iOS-mobiililaitteissa, mutta Android-mobiililaitteet eivät toistaiseksi ole tuettuja. Lisätietoa yhteensopivuudesta: Browser support of FIDO2 passwordless authentication | Microsoft Learn  

USB-turva-avain liitetään tietokoneen USB-porttiin. Niitä on saatavilla kahdella eri USB-liitännällä: USB-A tai USB-C. Tarkista tietokoneesi USB-liitäntävaihtoehdot. TUNI henkilökunta voi tilata USB-turva-avaimen  helpdesk.tuni.fi -palvelukanavan IT-Pientarvikkeet-tilauslomakkeella suoraan kotiosoitteeseen.

USB-turva-avaimella tehtävä kaksivaiheinen tunnistus otetaan käyttöön kahdessa eri vaiheessa. Tarvitset siihen puhelimen, USB-turva-avaimen sekä tietokoneen, johon on asennettuna selain esim. Edge tai Google Chrome.

  1. 1

    Luo väliaikainen käyttölupa

            Ensin sinun on luotava väliaikainen käyttölupa päästäksesi turvatietosivulle

     

  2. 2

    USB-turva-avaimen käyttöönotto

            USB-turva-avaimen käyttöönotto-ohjeet alapuolella

Luo väliaikainen käyttölupa päästäksesi turvatieto-sivulle

  1. Avaa tietokoneen selaimessa osoite https://salasana.tuni.fi ja valitse Aloita tunnistautumalla
  2. Tunnistaudu käytössäsi olevalla tunnistusvälineellä. Lue lisää tunnistautumisesta. Jos sinulla ei ole mitään näistä, ole yhteydessä it-helpdeskiin.
  3. Valitse Aseta kaksivaiheinen tunnistautuminen uudelleen. Tämän jälkeen valitse Jatka
  4. Kopioi sinulle luotu kertakäyttökoodi talteen (vihreätaustaisessa laatikossa), sillä tarvitset sitä kohta kirjautumisessa. Tämän jälkeen valitse Jatka.
  5. Kirjaudu sisään käyttäen TUNI-sähköpostiosoitetta ja salasanaa.
  6. Nyt sinulta pyydetään tilapäistä käyttölupaa. Syötä/kopioi talteen ottamasi kertakäyttökoodi ja siirry eteenpäin valitsemalla Kirjaudu sisään (Sign in).
  7. Tämän jälkeen sinulta kysytään haluatko pysyä kirjautuneena.
  8. Olet päässyt turvatieto-sivulle.
  9. Tilapäinen käyttölupa on voimassa vain rajoitetun ajan. Jatka siis heti seuraavaan vaiheeseen - USB-turva-avaimen käyttöönotto.

USB-turva-avaimen käyttöönotto

Seuraavat käyttöönotto-ohjeet pohjautuvat Yubicon valmistamaan Yubikey Security Key U2F FIDO2 NFC-avaimen käyttöön. Voit käyttää myös muiden valmistajien turva-avaimia, mutta me emme tarjoa tukea niiden käyttöön.

  1. Avaa tietokoneen selaimessa osoite: https://aka.ms/mfasetup
  2. Kirjaudu sisään käyttäen TUNI-sähköpostiosoitetta ja salasanaa.
  3. Tietokoneen selain kysyy kirjautumisen tallentamista, voit valita Ei (No).
  4. Selain antaa ilmoituksen lisätietojen määrityksestä, valitse Seuraava (Next).
  5. Selain esittelee seuraavaksi Microsoft Authenticator -sovelluksen käyttöä.
  6. Klikkaa turvatieto-sivulla (Security info) + Lisää menetelmä -painiketta (+ Add method).
  7. Valitse alasvetovalikosta Suojausavain (Security key) ja klikkaa Lisää-paniketta (Add)
  8. Valitse omistamasi USB-turva-avaimen (käyttöoikeusavain) tyypiksi USB-laite.
  9. Saat ilmoituksen, jossa sinua kehotetaan liittämään suojausavaimesi USB-porttiisi, kun valitset seuraava. Joten laita USB-tietoturva-avain tietokoneesi USB-porttiin.
  10. Klikkaa tietokoneesi Suojausavain-ilmoituksen ikkunasta Seuraava-painiketta (Next).
  11. Voit sulkea näytöllesi ilmaantuneen QR-koodin valitsemalla Use a different device
  12. Valitse avautuvasta Create a passkey -ikkunasta Windows Hello or external security key
  13. Valitse Security key setup -ikkunasta Ok
  14. Syötä itse valitsemasi security key PIN-koodi
  15. Suojausavain: To set up a security key, you need to sign in with two-factor authentication -> Seuraava
  16. Tee kaksivaiheinen tunnistus
  17. Valitse USB-laite
  18. Selain avaa uuden pienen ikkunan, josta pääset asettamaan USB-tieturva-avaimelle PIN-koodin. PIN-koodi on oltava vähintään neljä numeroa pitkä. Jos olet asettanut tietoturva-avaimelle jo aiemmin koodin, syötä aiemmin asettamasi koodi normaalisti.
  19. USB-tietoturva-avaimen valo syttyy vilkkumaan. Paina vilkkuvaa valoa.
  20. Nimeä USB-tietoturva-avain. Nimeämisen jälkeen USB-tietoturva-avaimen käyttöönotto on valmis.
  21. Klikkaa OK-painiketta (Next).
  22. Klikkaa selaimessa Valmis-painiketta (Done).
  23. Kaksivaiheinen tunnistus on nyt asennettu. 

USB-turva-avaimen käyttö

Käyttöönoton jälkeen saadessasi kaksivaiheisen tunnistautumisen hyväksymispyyntöjä, älä syötä  TUNI-sähköpostiosoitetta sisäänkirjautuessasi, vaan valitse sisäänkirjautumisikkunan alalaidasta Muut sisäänkirjautumisvaihtoehdot (Sign-in options) ja sieltä Kirjaudu sisään käyttäen suojausavainta (Sign in with a Security Key).  

Tämän jälkeen syötä PIN ja kosketa USB-turva-avainta. Avain ei lue sormenjälkiä, ainoastaan kosketuksen.
 

Salasanaton kirjautuminen

Voit halutessasi ottaa käyttöön myös salasanattoman kirjautumisen. Sen jälkeen voit kirjautua palveluihin ilman TUNI-salasanaa vahvasti tunnistautuneena.

Salasanaton kirjautuminen (pdf) (PDF, 1.19 MB)

 

IT Helpdesk
0294 520 500
it-helpdesk [at] tuni.fi (it-helpdesk[at]tuni[dot]fi)
helpdesk.tuni.fi

Julkaistu: 19.2.2021
Päivitetty: 15.10.2025
Tulosta sivu