Microsoft 365 implementering: 5 standardindstillinger der truer jeres sikkerhed
·
Kategori: IT-sikkerhed
I har lige fået jeres Microsoft 365 tenant op at køre. Alt virker. Men under overfladen ligger fem standardindstillinger, der giver angribere en åben invitation. Ifølge Nudge Security (2026) mangler over 99 % af kompromitterede M365-konti MFA. Denne guide viser jer præcis, hvilke indstillinger I skal ændre ved enhver Microsoft 365 implementering – og hvor I finder dem.
Det vigtigste fra denne artikel
- Standardindstillinger ≠ sikre indstillinger. M365 er designet til hurtig adoption, ikke hærdning. Hærdning er jeres ansvar.
- Fem konkrete ændringer lukker de mest udnyttede angrebsvektorer – fra legacy-protokoller til anonyme delingslinks.
- NIS2 og cyberforsikringer kræver dokumenteret hærdning. “Vi bruger skyen” er ikke nok.
- Secure Score giver jer et målbart udgangspunkt – men kun hvis I handler på anbefalingerne.
- Business Premium er den licens, der gør hærdningen mulig for SMV’er uden enterprise-budget.

Hvorfor standardindstillingerne i M365 er farlige for SMV’er
Microsoft prioriterer friktionsfri onboarding. Det betyder, at en ny tenant tillader legacy-protokoller, åbne delingslinks og bred OAuth-adgang fra dag 1. For en virksomhed med 20–200 ansatte og begrænset IT-kapacitet er det en tikkende bombe.
Problemet forstærkes af, at mange IT-sikkerhedsløsninger sælges som add-ons oven på en allerede usikker baseline. Det svarer til at installere en alarm i et hus, hvor hoveddøren står åben.
Før: IT-afdelingen klikker “next-next-finish” og går i drift med standardindstillinger. Tre måneder senere rammer et password-spray-angreb via IMAP.
Efter: Tenant hærdes inden første bruger logger på. Legacy auth er blokeret, MFA er påkrævet, og Secure Score stiger fra ~30 til 70+ inden for den første uge.
Indstilling 1: MFA er ikke gennemtvunget for alle brugere
Mange tenants har kun MFA aktiveret for administratorer – eller slet ikke. Det er den mest udnyttede svaghed i M365-miljøer.
Sådan fikser I det
- Åbn Entra admin center → Identity → Protection → Conditional Access → Policies.
- Opret en politik: “Require MFA for all users”.
- Tildel den til alle brugere – undtag kun 2 break-glass-konti (cloud-only nødkonti med lange passwords).
- Vælg Grant access → Require multifactor authentication.
- Aktivér politikken.
Har I ikke Entra ID P1 (inkluderet i Business Premium), kan I som minimum slå Security Defaults til under Entra → Identity → Overview → Properties. Det gennemtvinger MFA og blokerer legacy auth i ét trin.
Indstilling 2: Legacy authentication er stadig tilladt
POP, IMAP og SMTP Basic Auth kan omgå MFA fuldstændigt. Angribere bruger disse protokoller til automatiserede password-spray-angreb. CISA’s SCuBA-baselines anbefaler at blokere dem ved enhver ny implementering.
Sådan fikser I det
- Opret en Conditional Access-politik: “Block legacy authentication”.
- Under Conditions → Client apps: vælg “Other clients” og “Legacy authentication clients”.
- Sæt Grant til Block access.
- Deaktivér desuden POP3, IMAP og SMTP AUTH pr. postkasse i Exchange admin center → Recipients → Mailboxes → Mailbox features.

Indstilling 3: For mange Global Admins uden dedikerede konti
En typisk SMV-tenant har 4–6 Global Admins, som også bruger kontoen til daglig mail og Teams. Hver eneste er et mål for credential theft.
Sådan fikser I det
- Reducer til maks 2–4 Global Admins (Microsoft Entra ID-dokumentation).
- Giv alle andre least-privilege-roller: Exchange Administrator, SharePoint Administrator, User Administrator.
- Opret dedikerede admin-konti der ikke bruges til mail eller browsing.
- Opret 2 break-glass-konti (cloud-only, undtaget fra Conditional Access, med overvågning).
Kender I jeres Secure Score?
Vi gennemgår jeres Microsoft 365 tenant og identificerer de indstillinger, der udgør den største risiko. Ingen salgstale – bare en konkret rapport med prioriterede handlinger.
Indstilling 4: SharePoint og OneDrive deler frit med anonyme links
Som standard kan brugere oprette “Anyone”-links, der giver adgang uden login. Linkene udløber ikke, og de kan videresendes frit. Det er en direkte vej til datalækage – og et problem, der eksploderer, når I aktiverer Copilot, fordi AI’en arver de samme rettigheder.
Sådan fikser I det
- Åbn SharePoint admin center → Policies → Sharing.
- Sæt SharePoint external sharing til “New and existing guests” eller strengere.
- Sæt OneDrive til samme eller mere restriktivt end SharePoint.
- Under File and folder links: skift standardlinktype til “Specific people”.
- For følsomme sites (HR, Finans, Ledelse): sæt deling til “Only people in your organization”.
Før: En medarbejder deler et budget-ark via “Anyone”-link. Linket ender i en ekstern mail-tråd og lever videre i måneder.
Efter: Standardlinket kræver login og udløber efter 30 dage. Følsomme sites tillader kun intern deling.
Indstilling 5: E-mail-sikkerhed kører på standardpolitikker uden SPF, DKIM og DMARC
Uden korrekt mailautentificering kan angribere sende mails, der ser ud som om de kommer fra jeres domæne. Microsofts anbefalede indstillinger for Defender for Office 365 kræver alle tre protokoller plus aktivering af Standard- eller Strict-presets.
Sådan fikser I det
- SPF: Opret en TXT-record i jeres DNS med
include:spf.protection.outlook.com. - DKIM: Aktivér DKIM-signering pr. domæne i Exchange admin center → Protection → DKIM.
- DMARC: Start med
p=nonefor at monitorere, og skru op tilp=quarantineellerp=rejectinden for 30 dage. - Aktivér Standard preset security policy i Microsoft 365 Defender → Threat policies for alle brugere.
- Blokér ekstern auto-forwarding via Mail flow → Remote domains.

Tjekliste: Hærdning af M365 tenant ved implementering
| # | Indstilling | Hvor | Krav til licens | Prioritet |
|---|---|---|---|---|
| 1 | MFA for alle brugere | Entra → Conditional Access | Business Premium (Entra ID P1) | Kritisk |
| 2 | Blokér legacy auth | Entra → Conditional Access + EAC | Business Premium | Kritisk |
| 3 | Reducer Global Admins | Entra → Roles & administrators | Alle licenser | Høj |
| 4 | Stram SharePoint/OneDrive-deling | SharePoint admin center → Sharing | Alle licenser | Høj |
| 5 | SPF + DKIM + DMARC + presets | DNS + Defender portal | Business Premium (Defender) | Høj |
Tre af fem punkter kræver Microsoft 365 Business Premium. Det er grunden til, at CIAOPS (2025) anbefaler Premium som standardlicens for SMV’er: Conditional Access, Intune og Defender for Business er inkluderet.
Hvorfor NIS2 og cyberforsikringer kræver dokumenteret hærdning
NIS2-direktivet stiller krav om, at virksomheder kan dokumentere deres sikkerhedsforanstaltninger – herunder adgangskontrol og hændelseshåndtering. En dansk DPIA-vurdering af M365 (Streamlex, 2025) viser, at risikovurdering af cloud-tjenester er en forventning, ikke en bonus.
Cyberforsikringsselskaber stiller tilsvarende krav. Kan I ikke dokumentere MFA, Conditional Access og mailautentificering, risikerer I afslag eller forhøjet præmie. Hærdning er ikke kun compliance – det er en forretningsbetingelse.
Ofte stillede spørgsmål om M365 sikkerhed ved implementering
Hvad er en god Microsoft Secure Score for en SMV?
Sigt efter minimum 70 %. De fleste nye tenants starter omkring 25–35 %. De fem indstillinger i denne artikel alene kan løfte scoren markant inden for den første uge.
Er Security Defaults nok, eller skal vi bruge Conditional Access?
Security Defaults er et godt minimum for virksomheder under 10 brugere uden Business Premium. Har I Premium, brug Conditional Access – det giver granulær kontrol over enheder, lokationer og risiko-niveauer.
Hvorfor er legacy authentication farligt?
Protokoller som POP og IMAP understøtter ikke MFA. Angribere bruger dem til automatiserede password-spray-angreb, der tester tusindvis af kombinationer uden at udløse MFA-prompts.
Kan vi hærde vores tenant uden at forstyrre brugerne?
Ja, hvis I kommunikerer ændringerne og udruller MFA med en 14-dages registreringsperiode. Blokering af legacy auth kræver, at I først verificerer, at ingen bruger POP/IMAP-klienter.
Hvad koster det at hærde en Microsoft 365 tenant?
Selve indstillingerne koster intet ud over licensen. Arbejdstiden til korrekt opsætning og test ligger typisk på 8–16 timer for en tenant med 20–100 brugere – afhængigt af kompleksitet.
Hvordan hænger hærdning sammen med Copilot-readiness?
Copilot arver brugerens rettigheder. Har I åbne SharePoint-links og brede delingsindstillinger, kan Copilot eksponere data, som brugeren teknisk set har adgang til – men aldrig burde se. Stram deling før I aktiverer AI.
Skal vi hærde, selvom vi har en ekstern IT-partner?
Ja. Ansvaret for konfigurationen ligger hos jer som dataansvarlig. Sørg for, at jeres IT-partner kan dokumentere, hvilke baselines der er implementeret, og at de følger CISA SCuBA eller tilsvarende rammeværk.
Næste skridt: Hærd jeres tenant denne uge
- Tjek jeres Secure Score i Microsoft 365 Defender-portalen og notér udgangspunktet.
- Aktivér MFA for alle brugere via Conditional Access eller Security Defaults.
- Blokér legacy auth med en Conditional Access-politik og deaktivér POP/IMAP i Exchange.
- Auditér Global Admins – reducer til maks 4 og opret dedikerede admin-konti.
- Stram delingsindstillinger i SharePoint og OneDrive til “Specific people” som standard.
- Konfigurér SPF, DKIM og DMARC i jeres DNS og aktivér Defender-presets.
- Dokumentér ændringerne – I får brug for det til NIS2-compliance og cyberforsikring.