Guides, Viden & Værktøjer

Microsoft 365 sikkerhed: 8 indstillinger der giver mest effekt pr. minut

Simon Bendtsen
Simon Bendtsen
Redaktør, Shopfi
 · 16. marts 2026 · 10 min læsning

De fleste sikkerhedsbrud i små og mellemstore virksomheder starter ikke med “hacking” i Hollywood-stil — de starter med et stjålet password, en overivrig admin-konto eller en fil delt lidt for bredt.

I denne artikel får du en praktisk, lav-friktions guide til de sikkerhedsgreb, der giver høj effekt i SMB: MFA, stærke admin-konti, sikker deling, mailbeskyttelse, device-krav, rollebaseret adgang og logning. Du får konkrete anbefalinger, typiske faldgruber og en realistisk måde at implementere det på uden at gøre hverdagen tungere.

Tidligt får du også en kort definition af, hvad “baseline-sikkerhed” betyder i Microsoft 365-kontekst, og senere får du en handlingsplan, så du kan sætte det op rigtigt første gang.

Hvad betyder “lav friktion, høj effekt” i IT-sikkerhed?

“Lav friktion, høj effekt” betyder, at du prioriterer sikkerhedstiltag, som markant sænker risikoen, men kun ændrer minimalt på medarbejdernes arbejdsdag. For SMB er det ofte smartere end tunge, dyre projekter, fordi de fleste angreb udnytter helt basale svagheder: genbrugte passwords, manglende MFA, for brede rettigheder og manglende overblik.

En kort definition: I praksis handler det om at etablere en sikkerheds-baseline i Microsoft 365/Entra, hvor identiteter (brugere), enheder og data beskyttes med standardiserede kontroller (fx MFA, betinget adgang, adgangsroller og logging). Det betyder noget, fordi identitet er den nye perimeter: Hvis en angriber får adgang til en konto, kan de ofte bevæge sig videre til mail, Teams, SharePoint og økonomisystemer.

Mini-konklusion: Hvis du kun har tid til få tiltag, så vælg dem, der stopper de mest almindelige angreb uden at bremse arbejdet.

1) MFA: Det største løft med mindst bøvl

Multi-Factor Authentication (MFA) er stadig det mest effektive enkeltgreb for de fleste SMB. Det tilføjer et ekstra bevis (fx app-godkendelse) ud over password. I praksis betyder det, at et stjålet password sjældent er nok til at logge ind.

Hvad skal du vælge: SMS, app eller FIDO2?

For lav friktion bør du typisk starte med authenticator-app (push eller engangskode). SMS er bedre end ingenting, men mere sårbart (SIM-swap og social engineering). FIDO2-nøgler er meget stærke, men kræver mere udrulning og indkøb.

  • Authenticator-app: God balance mellem sikkerhed og brugeroplevelse.
  • SMS: Kun som nødløsning eller overgang.
  • FIDO2/security keys: Høj sikkerhed, god til admins og økonomiroller.
  • Backup-metode: Sørg for kontrolleret recovery (se admin-afsnittet).

Typiske fejl med MFA (og hvordan du undgår dem)

Den mest almindelige fejl er at “slå MFA til” uden at sikre, at den også gælder de rigtige scenarier. En anden klassiker er at give undtagelser til hele kontorer eller “betroede IP’er” uden at forstå konsekvensen.

  1. Undgå permanente MFA-undtagelser; brug tidsbegrænsede undtagelser ved behov.
  2. Kræv stærkere login ved risikoadfærd (fx ny enhed/ny lokation) via betinget adgang.
  3. Hav en plan for tabt telefon, så support ikke ender med at “slukke sikkerheden”.
  4. Træn medarbejdere i at afvise uventede MFA-push (push fatigue).

Mini-konklusion: MFA er lav friktion, når den rulles ud med klare standarder og en enkel recovery-proces.

2) Stærke admin-konti: Færre superbrugere, bedre kontrol

Admin-konti er en magnet for angreb, fordi de giver nøglerne til hele miljøet. I SMB ser jeg ofte “én admin-konto til alt” eller at IT-leverandørens login lever i årevis uden kontrol. Begge dele er unødigt risikabelt.

Praktisk model: Separat admin-identitet

Lav en separat admin-bruger til dem, der administrerer (fx “navn-admin”), og brug en almindelig konto til mail og Teams. Det reducerer risikoen for, at phishing i mail ender som fuld tenant-adgang.

  • Admin-konto må ikke have mailbox/Teams-licens, hvis den kan undværes.
  • Kræv stærk MFA (gerne FIDO2 eller app med nummermatching).
  • Giv kun de roller, der er nødvendige (se RBAC).
  • Log og alarmér på admin-login uden for normal adfærd.

Break-glass: Nødadgang uden at åbne en bagdør

En “break-glass”-konto er en nød-konto, hvis MFA-systemet fejler, eller hvis alle admins er låst ude. Den skal designes med ekstrem omtanke: stærkt password, opbevares sikkert offline, meget begrænset brug og overvåges.

Mini-konklusion: Separat admin-identitet + nødprocedure giver høj effekt uden at påvirke medarbejderne.

3) Sikker deling i SharePoint/OneDrive: Stop “alle med linket” som standard

Deling er dér, produktivitet og sikkerhed støder sammen. “Alle med linket kan se” føles hurtigt, men kan være et datalæk i slowmotion, især når links videresendes eller lander i en privat indbakke.

Standarder der virker i praksis

En god SMB-standard er: del internt som udgangspunkt, og del eksternt med navngivne gæster, hvor det giver mening. Hvis jeres forretning kræver mange eksterne samarbejder, kan I stadig holde lav friktion ved at bruge gæsteadgang og simple politikker.

  • Brug deling med “Specifikke personer” til følsomme filer.
  • Sæt udløb på delingslinks til eksterne.
  • Undgå at dele fra medarbejderes private OneDrive som “projektplatform”.
  • Overvej labels/klassificering for kontrakter, HR og økonomi.

Hvad koster “forkert deling” i praksis?

Omkostningen er sjældent en enkelt stor regning; det er tid, oprydning og tillidstab. Et realistisk SMB-scenarie: En tidligere leverandør har stadig adgang til en delt mappe med tilbud og prisark, fordi gæsteadgang aldrig blev ryddet op. Det kan påvirke forhandlinger i måneder.

Mini-konklusion: Sikker deling handler om at ændre standarden — ikke om at forbyde samarbejde.

4) Mailbeskyttelse: Det er stadig den primære angrebsvej

Phishing og Business Email Compromise (BEC) rammer ofte SMB, fordi processer er hurtige, og roller overlapper. Mailbeskyttelse bør derfor være en kombination af teknik og adfærd.

Tekniske minimumstiltag med høj effekt

  • SPF, DKIM og DMARC for jeres domæne, så andre ikke kan spoofe jer lige så let.
  • Bloker eller flag “lookalike domains” og mistænkelige afsendernavne.
  • Brug link- og vedhæftningsscanning, hvis jeres licens understøtter det.
  • Slå ekstern afsender-markering til, så “Ekstern” er tydeligt for alle.

Procesgreb: Gør svindel sværere end at arbejde korrekt

En enkel praksis, der virker: ændringer i betalingsoplysninger skal bekræftes via en anden kanal (fx telefonnummer fra CRM/kontrakt, ikke fra mailen). Det skaber minimal friktion og stopper mange BEC-forsøg.

Mini-konklusion: Kombinér domænebeskyttelse og en lille procesændring — det giver stor effekt mod mailsvindel.

5) Device-krav (Conditional Access): Tillid til enheder, ikke kun passwords

Hvis en konto kan logge ind fra “hvilken som helst” enhed, er MFA alene ikke altid nok. Device-krav (ofte via betinget adgang) betyder, at I kan kræve, at enheder er administrerede, krypterede og opdaterede, før de må åbne mail og filer.

Lav-friktions minimum: Kræv skærmlås og opdateringer

Start med det, der næsten ikke mærkes i hverdagen: skærmlås med PIN/biometri, kryptering (BitLocker på Windows, FileVault på Mac), og en basal opdateringspolitik. For mange SMB er det en større risikoreduktion end avancerede værktøjer.

Eksempel: To niveauer af adgang

Et praktisk setup kan være:

  • Standard adgang: Mail/Teams på mobil kræver MFA og enhedsskærmlås.
  • Fuld adgang: Download/synk af SharePoint kræver administreret og compliant enhed.

Det giver fleksibilitet: medarbejdere kan stadig læse beskeder, men følsomme data flyttes ikke ukontrolleret.

Mini-konklusion: Enheds-krav er ofte den hurtigste vej til at gøre datalæk markant sværere — uden at ændre arbejdsgange dramatisk.

6) Rollebaseret adgang (RBAC): Fjern “alle er lidt admin”

Rollebaseret adgang (RBAC) betyder, at brugere kun får de rettigheder, de har brug for til deres opgaver — hverken mere eller mindre. I Microsoft 365/Entra handler det typisk om at bruge indbyggede roller (fx User Administrator, Exchange Administrator) i stedet for Global Administrator til alt.

Best practice: Mindste privilegium i praksis

En tommelfingerregel fra virkeligheden: Hvis en rolle kun bruges én gang om måneden, skal den enten være tidsbegrænset eller ligge hos få personer. Når alt kører som Global Admin “for nemheds skyld”, ender en enkelt fejl eller phishing med maksimal skade.

Typiske RBAC-faldgruber

  • Rettigheder gives til personer i stedet for grupper, så ingen ved hvem der har hvad.
  • Gamle roller fjernes aldrig, når folk skifter jobfunktion.
  • Der findes ingen godkendelsesflow for “kan du lige give mig admin?”.

Mini-konklusion: RBAC er høj effekt, fordi det begrænser skaden, når noget går galt — og det vil noget gå galt på et tidspunkt.

7) Logning og alarmer: Hvis du ikke kan se det, kan du ikke stoppe det

Logning er ofte det mest oversete i SMB, men det er det, der gør jer i stand til at opdage angreb tidligt og dokumentere hændelser. Du behøver ikke en fuld SOC for at få værdi: start med at logge de vigtigste signaler og sæt få, men relevante alarmer.

Hvad skal du som minimum kunne se?

  • Mislykkede logins og “impossible travel”.
  • Ændringer i MFA-metoder og password resets.
  • Rolleændringer (især admin-roller).
  • Oprettelse af forwarding-regler i mail og nye “inbox rules”.

Neutral reference: Microsofts anbefalinger til Conditional Access

Microsofts dokumentation om betinget adgang og relaterede mønstre er et godt, neutralt sted at tjekke begreber og muligheder, især når I vil balancere sikkerhed og brugeroplevelse: https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview.

Mini-konklusion: Logning er ikke “nice to have”; det er jeres sikkerhedsnet, når (ikke hvis) noget sker.

8) Få det sat rigtigt op første gang: En lav-friktions implementeringsplan

Den største omkostning ved sikkerhed i SMB er sjældent licensen — det er fejlopsætninger, afbrudt drift og tid brugt på at rette ting bagefter. Hvis du vil minimere friktion, så implementér i små, målbare trin og test undervejs. Hvis du vil have sparring til at få fundamentet rigtigt fra start, kan det give mening at bruge en specialist i Microsoft 365 support til at gennemgå jeres setup, så politikker, roller og recovery spiller sammen.

Trin-for-trin (kan køres over 2–4 uger)

  1. Uge 1: Kortlæg admin-konti, slå separat admin-identitet til, og etabler break-glass.
  2. Uge 1–2: Rul MFA ud til alle, start med pilotgruppe, og fastlæg recovery-proces.
  3. Uge 2: Stram delingsstandarder (internt default, eksternt med navngivne gæster + udløb).
  4. Uge 3: Indfør device-krav for følsomme scenarier (fx download/synk).
  5. Uge 3: Implementér RBAC, fjern Global Admin hvor det ikke er nødvendigt.
  6. Uge 4: Sæt logning og 3–5 alarmer op (admin-ændringer, forwarding, MFA-ændringer).

Hvad koster det typisk?

Det afhænger af licenser og kompleksitet, men mange SMB kan nå langt med de funktioner, de allerede betaler for i Microsoft 365. Den reelle “pris” er typisk 1) tid til beslutninger om standarder, 2) tid til brugerkommunikation, og 3) et par målrettede tests. Til gengæld sparer I ofte mange timers incident-håndtering senere, fordi I reducerer de mest almindelige angrebsveje.

Mini-konklusion: En trinvist planlagt udrulning holder friktionen nede og giver hurtige sikkerhedsgevinster allerede i uge 1.

9) De mest almindelige fejl (og de hurtige rettelser)

Selv gode intentioner kan give dårlig sikkerhed, hvis opsætningen bliver uensartet. Her er de fejl, jeg oftest ser i praksis — og hvordan du retter dem med mindst mulig indgriben.

  • MFA er ikke på for alle: Sikr at også ledelse, økonomi og eksterne konti er dækket, og fjern “midlertidige” undtagelser.
  • For mange admins: Reducér antallet, brug separate admin-konti, og tilføj kun nødvendige roller.
  • Deling uden udløb: Slå udløb på eksterne links til, og gennemgå gæsteadgange kvartalsvist.
  • Ingen kontrol med enheder: Kræv som minimum skærmlås og kryptering for adgang til data.
  • Ingen overvågning: Start med få alarmer på de mest kritiske hændelser (admin, MFA, forwarding).
  • Alt ændres på én gang: Kør pilot, kommunikér tydeligt, og rul ud i etaper.

Mini-konklusion: De hurtige rettelser handler sjældent om “mere værktøj” — de handler om klare standarder og konsekvent håndhævelse.

Simon Bendtsen
Simon Bendtsen
Skribent & redaktør · Shopfi
Simon er digital strateg og e-handelskonsulent med over 10 års erfaring inden for webshop-udvikling og online salg. Han hjælper danske virksomheder med at skalere deres digitale forretning gennem praktisk indsigt og beprøvede metoder.

Relaterede artikler