De fleste sikkerhedsbrud starter ikke med “hacking” i film-forstand, men med noget trivielt: et genbrugt password, en uheldig deling, en kompromitteret enhed eller en mail, der ligner en faktura. Denne artikel giver dig et praktisk overblik over MFA, conditional access, spamfilter, adgangspolitikker, sikker deling og “device management light” – og viser, hvordan delene spiller sammen i en moderne hverdag med Microsoft 365.
Du får konkrete valg, du kan træffe i dag, typiske faldgruber at undgå, og en enkel måde at prioritere på, hvis du ikke har et stort IT-team. Målet er ikke at købe mere teknologi, men at bruge det, du allerede har, klogere og mere konsekvent.
Overblik: Hvad er MFA og conditional access, og hvorfor betyder det noget?
MFA (multifaktorautentificering) betyder, at login kræver mindst to beviser: noget du ved (kodeord), noget du har (app, nøgle), eller noget du er (biometri). Det reducerer risikoen markant, fordi et stjålet password sjældent er nok. Conditional access er en overordnet metode til at styre, hvornår og hvordan brugere må logge ind, baseret på betingelser som placering, enhed, app, risiko og brugerrolle.
Pointen er, at identiteten bliver din nye firewall: Når du kan kontrollere adgangen, før data forlader skyen, får du et stærkere sikkerhedslag end klassiske netværksregler alene.
Mini-konklusion: Hvis du kun gør én ting, så gør login sværere at misbruge og lettere at kontrollere.
MFA i praksis: Metoder, brugeroplevelse og “hvad koster det?”
MFA kan rulles ud med forskellige metoder, og valget påvirker både sikkerhed og friktion. Mange starter med en authenticator-app, fordi den er relativt enkel at indføre og kan bruges med push-godkendelse eller engangskoder.
De mest brugte MFA-metoder (og hvad du skal vælge)
- Authenticator-app med nummer-match: høj sikkerhed og lav friktion.
- FIDO2-sikkerhedsnøgle: meget høj sikkerhed, god til admins og højrisikobrugere.
- SMS-koder: bedre end intet, men mere sårbar for SIM-swap og phishing.
- Telefonopkald: ofte upraktisk og ikke det bedste valg i dag.
- Biometri via enhed: god brugervenlighed, afhænger af korrekt enhedsbeskyttelse.
Pris og indsats: Hvad koster MFA reelt?
Licensmæssigt kan MFA være inkluderet i mange abonnementer, men den reelle omkostning ligger ofte i tid: kommunikation, support og oprydning i gamle konti. Budgettér med interne timer til forberedelse, pilot, og håndtering af brugere, der skifter telefon eller mister adgang.
Mini-konklusion: MFA er sjældent dyrt i licenser, men det er dyrt at springe planlægningen over.
Conditional access: Enkle regler, der stopper de typiske angreb
Conditional access er der, hvor du går fra “alle skal have MFA” til “de rigtige skal have den på det rigtige tidspunkt”. Du kan fx kræve stærkere login, når nogen er uden for landet, når de bruger en ukendt enhed, eller når der logges ind i administrative portaler.
Start med tre politikker, de fleste har brug for
- Blokér legacy authentication (gammel login-teknologi) for at lukke en klassisk bagdør.
- Kræv MFA for alle brugere, men undtag nødkonti med ekstremt stramme kontroller.
- Kræv “compliant device” eller godkendt app for adgang til følsomme data.
Faldgruber: Sådan undgår du at låse jer selv ude
Den mest almindelige fejl er at aktivere for brede regler uden test. Brug “report-only” eller en pilotgruppe, og hav mindst to break-glass-konti, der er beskyttet med stærke, offline opbevarede credentials og klare procedurer. Undgå også at undtage for mange brugere “midlertidigt” – undtagelser bliver sjældent midlertidige.
Mini-konklusion: Conditional access virker bedst, når du tænker i små, tydelige regler og tester dem systematisk.
Spamfilter og mail-sikkerhed: Mindre støj, færre kompromitteringer
Et godt spamfilter handler ikke kun om at fjerne irriterende nyhedsbreve, men om at stoppe phishing, falske login-sider og ondsindede vedhæftninger. Mange kompromitteringer starter med en mail, der skaber hastværk: “din konto bliver lukket”, “betal nu”, eller “se dokumentet”.
Gå efter en opsætning, der kombinerer filtrering, politikker og brugeradfærd. Sørg for karantæneflow, så brugere kan anmode om frigivelse, men ikke selv kan omgå kontroller. Aktivér beskyttelse mod spoofing og lookalike-domæner, og overvej sikkerhed for links og vedhæftninger, hvis det er tilgængeligt i jeres plan.
- Indfør tydelig markering af eksterne afsendere i emnelinje eller banner.
- Blokér risikable filtyper og makroer, hvor det giver mening.
- Opsæt DMARC, SPF og DKIM for at reducere misbrug af jeres domæne.
- Lav en enkel “rapporter phishing”-knap og en fast proces.
Mini-konklusion: Et spamfilter er stærkt, men det er først rigtig effektivt, når det kombineres med proces og tydelige signaler til brugerne.
Adgangspolitikker og roller: Mindst mulige rettigheder uden at bremse arbejdet
Adgangspolitikker handler om at bestemme, hvem der må hvad, hvor, og under hvilke betingelser. Mange organisationer ender med for brede rettigheder, fordi det er nemmere på kort sigt. På lang sigt betyder det, at en enkelt kompromitteret konto kan give adgang til for meget.
Sådan designer du adgang med mindst mulig kompleksitet
Start med at klassificere data i få niveauer, fx “almindeligt”, “internt” og “fortroligt”. Knyt derefter politikker til niveauerne: Hvem må dele, hvem må downloade, og kræves der en compliant enhed? Brug rollebaseret adgang i stedet for personbaseret, og hold styr på, hvem der er ejer af Teams, SharePoint-sites og fællespostkasser.
Best practices for admin-adgang
Administrative konti bør have ekstra beskyttelse: separat konto til admin-arbejde, stærk MFA (gerne sikkerhedsnøgle), og begrænset brug af globale administratorrettigheder. Overvej tidsbegrænset privilegieadgang, hvis I har muligheden, så rettigheder ikke står åbne hele tiden.
Mini-konklusion: God adgangsstyring er mere proces end teknologi, og den betaler sig ved at begrænse skaden, når noget går galt.
Sikker deling i Microsoft 365: Samarbejde uden at miste kontrol
Deling er nødvendig, men det er også en af de største kilder til datasivning: links, der kan videresendes, gæstebrugere uden udløb, og mapper, der pludselig er “alle med linket”. Målet er at gøre den sikre løsning til den nemmeste.
En praktisk tommelfingerregel er at styre deling efter risiko: Intern deling kan være friktionsfri, mens ekstern deling kræver mere kontrol, fx gæsteadgang, udløb på links og begrænset download.
Hvis du vil dykke ned i konkrete principper og sammenhængen mellem identitet, deling og politikker, kan du tage udgangspunkt i Microsoft 365 IT-sikkerhed som en ramme for at tænke helheden igennem.
- Brug links med udløb til eksterne parter, især ved fortrolige filer.
- Foretræk “specifikke personer” frem for anonyme links.
- Gennemgå gæstebrugere kvartalsvist og fjern inaktive.
- Definér ejerskab: Hvem godkender nye delingsscenarier?
Mini-konklusion: Sikker deling handler om standarder, der guider brugerne, så de ikke skal opfinde løsninger selv.
Device management light: Når du vil sikre enheder uden fuld MDM
Ikke alle er klar til fuld device management, men du kan stadig hæve niveauet med “device management light”: et minimum af krav til enheder, der får adgang til mail og dokumenter. Det kan være krav om skærmlås, kryptering, opdateret OS og at enheden er registreret eller vurderet som compliant.
Hvilke krav giver mest sikkerhed for mindst indsats?
- Skærmlås med kort timeout og stærk PIN/biometri.
- Aktivér kryptering og kræv opdateret styresystem.
- Begræns adgang til kun godkendte apps, hvor muligt.
- Fjern adgang ved mistet enhed via remote wipe af firmadata.
En typisk fejl er at rulle krav ud uden at tænke på BYOD (private telefoner og pc’er). Vær tydelig om, hvad I kan se og styre, og hold jer til firmadata frem for hele enheden, hvis det er muligt. Det øger accepten og reducerer modstand.
Mini-konklusion: Light management kan give 80% af gevinsten, hvis du fokuserer på lås, opdateringer og kontrolleret adgang.
Implementering: En prioriteret plan på 30 dage
Det største spørgsmål er ofte “hvordan kommer vi i gang uden at forstyrre driften?”. Svaret er at arbejde i små iterationer, hvor hver ændring kan måles og rulles tilbage. Her er en realistisk plan, der typisk passer til små og mellemstore organisationer.
- Uge 1: Ryd op i brugere, fjern gamle konti, og kortlæg admin-roller.
- Uge 2: Pilotér MFA med en lille gruppe, vælg standardmetode, og skriv en kort guide.
- Uge 3: Aktivér conditional access i “report-only”, ret undtagelser, og blokér legacy authentication.
- Uge 4: Stram deling, opsæt phishing-rapportering, og indfør minimumskrav til enheder.
Undervejs bør du føre en simpel log over supporthenvendelser: Hvad går igen, hvilke brugere rammes, og hvad skal forklares bedre? Det gør næste udrulning mere glidende og reducerer træthed i organisationen.
Mini-konklusion: Den bedste sikkerhedsplan er den, der faktisk bliver gennemført, og små trin slår store spring.
Typiske spørgsmål og fejl: FAQ i praksis
Hvad hvis brugerne hader MFA? Gør det nemt: vælg nummer-match, forklar hvorfor, og giv en kort selvhjælpsvejledning til ny telefon. Hvorfor ikke bare et stærkt password? Fordi phishing og datalæk gør selv gode passwords utilstrækkelige. Hvordan håndterer vi rejsende medarbejdere? Brug conditional access med betingelser, men undgå at blokere hele lande uden plan; brug i stedet risikobaserede krav og ekstra verifikation.
Hvad er de mest almindelige fejl? For brede undtagelser, manglende test, og ingen ejerskab af Teams/SharePoint. En anden fejl er at tro, at spamfilter alene stopper phishing; brugerne skal have en tydelig måde at rapportere på, og I skal reagere hurtigt på kompromitterede konti. Endelig: at glemme livscyklussen for gæster og delingslinks, så gamle adgangsveje bliver hængende.
Mini-konklusion: Når du kombinerer MFA, conditional access, mailbeskyttelse, stram deling og let enhedskontrol, får du et sammenhængende forsvar, der både sænker risiko og giver ro i driften.