Fejlfinding MFA: Stop login-kaos og sænk jeres helpdesk-regning

IT-administrator fejlfinder MFA-problemer i Microsoft Entra ID på skærm

Fejlfinding MFA: Stop login-kaos og sænk jeres helpdesk-regning

Af Sten Albert Person A-one Solutions ·
·
Kategori: IT-sikkerhed

Jeres MFA virker — indtil den ikke gør. En medarbejder har fået ny telefon, en anden sidder låst ude af Teams midt i et kundemøde, og IT bruger formiddagen på at nulstille logins i stedet for at løse reelle opgaver. Ifølge JumpCloud’s 2025 IT Trends Report har kun 34 % af virksomheder med 26–100 ansatte fuld MFA-adoption — og dem, der har det, kæmper ofte med fejlkonfiguration. Denne guide giver jer en konkret plan til at kortlægge MFA-problemer, reducere support-tickets og styrke sikkerheden samtidig.

Det vigtigste I tager med

  • 20–40 % af alle helpdesk-tickets handler om adgang og login — kortlæg jeres egne tal, og I finder den skjulte omkostning (Gartner/HDI branchetal).
  • MFA fatigue er et reelt angrebsmønster: 28 % af MFA-brugere rammes af prompt bombing eller AiTM-angreb (JumpCloud, 2025). Number Matching i Microsoft Authenticator stopper det.
  • Conditional Access fjerner unødvendige MFA-prompts — færre prompts betyder færre fejl og færre tickets.
  • SMS-baseret MFA er på vej ud: Både NIST og CISA fraråder SMS/Voice. FIDO2-nøgler og Passkeys er den anbefalede erstatning.
  • Self-service password/MFA-reset i Entra ID kan halvere antallet af manuelle resets — og frigøre IT til strategisk arbejde.

Oversigt over typiske MFA-fejl og deres løsninger i Microsoft 365

Hvorfor MFA-fejl koster mere end I tror

Hver gang en medarbejder ringer til IT med et login-problem, koster det mellem $20 og $70 i IT-tid og tabt produktivitet (Gartner/HDI branchetal). Gang det med 10–15 tickets om ugen, og I har en årlig udgift, der let løber op i sekscifrede beløb.

Men den økonomiske smerte er kun halvdelen. Cyber Readiness Institute (2024) dokumenterer, at fejlkonfigureret MFA fører til Shadow IT: medarbejdere finder omveje for at undgå login-bøvl. De logger ind via private enheder, deler konti eller springer MFA over, hvor det er muligt. Resultatet er en sikkerhedsmodel, der ser god ud på papiret, men har huller i praksis.

Før: IT-afdelingen bruger 8–12 timer om ugen på manuelle MFA-resets og password-nulstillinger. Medarbejdere venter 15–30 minutter på at komme ind i systemerne.
Efter: Self-service reset via Entra ID + Conditional Access reducerer manuelle tickets med 50–70 %. Medarbejdere løser selv de fleste login-problemer på under 2 minutter.

Tjekliste: De 5 hyppigste MFA-problemer og hvad I gør

Problem Typisk årsag Løsning
Medarbejder har fået ny telefon Authenticator-app ikke overført til ny enhed Aktivér self-service MFA-registrering i Entra ID. Dokumentér overførselsproces i onboarding-materiale.
Login blokeret uden tydelig grund Conditional Access-politik rammer forkert (lokation, enhedstype) Brug “What-If”-værktøjet i Entra ID Sign-in Logs til at identificere hvilken politik der blokerer.
MFA-prompt dukker op konstant Manglende token-levetid eller trusted locations Konfigurér “Sign-in frequency” og tilføj kontorets IP/lokation som trusted location.
SMS-kode ankommer ikke Telefonudbyder-forsinkelse eller nummer ændret Migrér til Microsoft Authenticator eller FIDO2-nøgle. SMS er den mindst pålidelige MFA-metode.
Medarbejder godkender ukendte MFA-prompts MFA fatigue / prompt bombing-angreb Aktivér Number Matching (standard i Authenticator). Overvåg “Suspicious activity”-rapporter i Entra ID.

Conditional Access What-If værktøj i Microsoft Entra ID til fejlfinding af blokerede logins

Sådan bruger I Conditional Access til at fjerne MFA-frustrationer

Den største fejl vi ser hos danske SMV’er: MFA kræves ved hvert eneste login, uanset kontekst. Det skaber friktion, og friktion skaber workarounds.

Conditional Access i Microsoft 365 Business Premium (Entra ID P1) giver jer mulighed for at styre MFA baseret på signaler:

  1. Lokation: Kræv kun MFA uden for kontorets netværk eller kendte lokationer.
  2. Enhedsstatus: Compliant enheder (Intune-managed) kan få reduceret MFA-krav.
  3. Risikoniveau: Entra ID Protection vurderer login-risiko i realtid. Lav risiko = ingen ekstra prompt. Høj risiko = MFA + evt. blokering.
  4. Applikation: Differentier mellem følsomme apps (SharePoint med kundedata) og lavrisiko-apps.

Før: Alle medarbejdere får MFA-prompt 6–8 gange dagligt, uanset om de sidder på kontoret med en managed laptop.
Efter: Conditional Access reducerer prompts til 1–2 dagligt for lavrisiko-scenarier. Helpdesk-tickets om “MFA virker ikke” falder markant.

Bruger jeres IT-afdeling for meget tid på MFA-resets og login-problemer? Book et 30-minutters Entra ID Security Check hos A-one Solutions. Vi kortlægger jeres nuværende opsætning, identificerer de politikker der skaber unødvendige tickets, og leverer en konkret plan til at automatisere adgangskontrollen. Kontakt os her.

Hvorfor SMS-baseret MFA skal udfases nu

NIST SP 800-63B fraråder eksplicit SMS og voice som MFA-metode. CISA anbefaler udfasning af push-notifikationer uden kontekst. Grunden er enkel: SMS kan opsnappes via SIM-swapping, og kontekstløse push-notifikationer udnyttes til prompt bombing.

Erstatningen er phishing-resistant MFA:

  • FIDO2-sikkerhedsnøgler (fx YubiKey) — fysisk nøgle, der ikke kan phishes.
  • Passkeys (device-bound) — biometrisk login via fingeraftryk eller ansigtsgenkendelse, bundet til enheden.
  • Microsoft Authenticator med Number Matching — et minimum, der stopper prompt bombing.

For virksomheder under NIS2-krav er phishing-resistant MFA på privilegerede konti (Global Admin, Exchange Admin) ikke længere valgfrit. Det er en forventning fra revisorer og myndigheder.

FIDO2-sikkerhedsnøgle og Passkey som phishing-resistant MFA-metode

Fejlfinding MFA: Trin-for-trin med Entra ID Sign-in Logs

Når en medarbejder melder et login-problem, starter fejlfindingen her:

  1. Åbn Entra ID → Sign-in logs. Filtrer på brugerens UPN og tidsrummet for fejlen.
  2. Tjek “Authentication Details”-fanen. Den viser præcis hvilken MFA-metode der blev forsøgt, og om den lykkedes eller fejlede.
  3. Tjek “Conditional Access”-fanen. Se hvilke politikker der blev evalueret, og om nogen blokerede adgangen.
  4. Brug “What-If”-værktøjet. Simulér login-scenariet med brugerens parametre (lokation, enhed, app) for at finde den blokerende politik.
  5. Dokumentér og justér. Hvis politikken er for restriktiv, tilpas den. Hvis MFA-metoden fejler konsistent, migrér brugeren til en anden metode.

Denne proces tager 5–10 minutter for en trænet administrator. Uden Sign-in Logs tager den samme fejlfinding 30–60 minutter med gætværk og genstart af enheder.

FAQ: Fejlfinding af MFA i Microsoft 365

Hvad gør vi, når en medarbejder mister sin telefon med Authenticator?

IT-admin nulstiller MFA-registreringen i Entra ID under brugerens “Authentication methods”. Medarbejderen registrerer Authenticator på den nye enhed ved næste login. Har I self-service aktiveret, kan medarbejderen selv starte processen via aka.ms/mysecurityinfo.

Hvorfor bliver medarbejdere bedt om MFA hele tiden, selv på kontoret?

Sandsynligvis mangler I “Named Locations” i Conditional Access. Tilføj kontorets offentlige IP-adresse som trusted location, og opret en politik der reducerer MFA-krav for logins derfra.

Er SMS-koder stadig sikre nok som MFA?

Nej. Både NIST og CISA fraråder SMS som MFA-metode. SMS kan opsnappes via SIM-swapping, og koderne kan phishes. Migrér til Microsoft Authenticator med Number Matching som minimum, og overvej FIDO2-nøgler til privilegerede konti.

Hvad er MFA fatigue, og hvordan beskytter vi os?

MFA fatigue (prompt bombing) er et angreb, hvor hackeren sender gentagne MFA-prompts, indtil brugeren godkender af træthed. Number Matching i Authenticator stopper det, fordi brugeren skal indtaste et specifikt tal fra login-skærmen — ikke bare trykke “Godkend”.

Hvad koster det at ignorere MFA-problemer?

Direkte: 20–40 % af jeres helpdesk-tickets handler om login. Indirekte: fejlkonfigureret MFA fører til Shadow IT og øget risiko for databrud. IBM (2024) sætter gennemsnitsprisen for et brud i virksomheder under 500 ansatte til $3,31 millioner.

Kan vi bruge Conditional Access uden Microsoft 365 Business Premium?

Nej. Conditional Access kræver Entra ID P1, som er inkluderet i Microsoft 365 Business Premium. Med lavere licenser har I kun “Security Defaults”, som giver MFA uden mulighed for at tilpasse politikker. For de fleste SMV’er er opgraderingen en af de mest omkostningseffektive sikkerhedsinvesteringer.

Hvordan forbereder vi os på et globalt Entra ID-nedbrud?

Opret mindst én “break-glass”-konto: en Global Admin uden MFA og Conditional Access, med et langt, komplekst password, gemt fysisk i en safe. Overvåg kontoen med alerts, så I opdager uautoriseret brug. Test proceduren kvartalsvist.

Næste skridt: Sådan får I styr på MFA-fejlfinding

  1. Kortlæg jeres nuværende MFA-tickets. Træk en rapport fra jeres helpdesk: hvor mange tickets handler om login/MFA de seneste 90 dage? Sæt et tal på omkostningen.
  2. Auditér MFA-metoder i Entra ID. Hvor mange brugere kører stadig på SMS? Hvor mange har slet ikke registreret en sekundær metode? Brug “Authentication methods activity”-rapporten.
  3. Aktivér Number Matching i Microsoft Authenticator, hvis det ikke allerede er standard.
  4. Konfigurér Conditional Access med Named Locations og enhedsbaserede politikker. Start med en “Report-only”-politik, så I kan se effekten før håndhævelse.
  5. Planlæg udfasning af SMS-MFA. Sæt en dato. Migrér brugere til Authenticator eller FIDO2 i hold over 4–6 uger.
  6. Opret en break-glass-konto og dokumentér proceduren for MFA-nedbrud.
  7. Book en gennemgang med A-one Solutions, hvis I mangler kapacitet eller ekspertise til at gennemføre trinnene selv. Vi hjælper danske SMV’er med drift, Entra ID-governance og Microsoft 365-optimering hver dag.

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

IT support firma medarbejder hjælper erhvervskunde med teknisk løsning

Skal vi tage et kig på jeres IT?

Skriv jer op — vi kontakter dig inden for én arbejdsdag med en uforpligtende vurdering?