Mistet firmatelefon? Sådan aktiverer I jeres kill-switch på 5 minutter
·
Kategori: IT-sikkerhed
En medarbejder glemmer sin firmatelefon på en café. Telefonen har adgang til Outlook, Teams, SharePoint og kundedata. Uden en klar proces kan der gå timer, før nogen reagerer — og i mellemtiden ligger jeres data åbent. Med Microsoft Intune og Entra ID kan I lukke adgangen ned på under fem minutter og dokumentere det hele.
Det vigtigste fra denne artikel
- En mistet enhed er et databrud, indtil I beviser det modsatte. Behandl det sådan fra minut ét.
- Intune giver jer to handlinger: “Wipe” (slet alt) og “Retire” (slet kun firmadata). Vælg den rigtige afhængigt af, om enheden er firmaejet eller BYOD.
- Continuous Access Evaluation (CAE) i Entra ID tilbagekalder aktive sessioner næsten øjeblikkeligt — i stedet for at vente op til en time.
- NIS2 kan kræve rapportering inden 24 timer, hvis enheden har adgang til kritisk infrastruktur og I ikke kan dokumentere, at data er slettet.
- Passwordskifte alene stopper ikke aktive sessioner. I skal tilbagekalde tokens via Entra ID.

Hvorfor et passwordskifte ikke er nok ved en mistet firmatelefon
Mange IT-afdelinger reagerer på en mistet enhed ved at nulstille brugerens password. Det lyder logisk, men det løser kun halvdelen af problemet.
Når en bruger logger ind i Microsoft 365, udsteder Entra ID et adgangstoken. Det token er gyldigt i op til en time — uanset om passwordet ændres bagefter. Uden Continuous Access Evaluation (CAE) kan en person med den mistede enhed fortsætte med at læse mails og downloade filer, indtil tokenet udløber.
Før: IT nulstiller passwordet og håber på det bedste. Aktive sessioner kører videre i op til 60 minutter.
Efter: IT tilbagekalder alle tokens via Entra ID og aktiverer CAE. Sessioner afbrydes inden for minutter, ifølge Microsofts CAE-dokumentation.
Wipe vs. Retire: Vælg den rigtige handling i Intune
Intune giver jer to forskellige handlinger, og forskellen er afgørende — især hvis medarbejderen bruger sin egen telefon (BYOD).
| Handling | Hvad sker der | Hvornår I bruger den |
|---|---|---|
| Wipe (fuld sletning) | Fabriksnulstiller enheden. Alt data fjernes — privat og professionelt. | Firmaejet enhed, der er mistet eller stjålet. |
| Retire (selektiv sletning) | Fjerner kun firmadata, apps og profiler. Private billeder og apps forbliver. | BYOD-enhed, eller når medarbejderen forlader virksomheden. |
| App selective wipe | Fjerner kun firmadata fra Intune-beskyttede apps (fx Outlook, Teams). | Uenrollede BYOD-enheder med App Protection Policies. |
Ifølge Microsofts Intune-dokumentation kan en wipe-kommando eksekveres inden for sekunder, hvis enheden er online. Er den offline, køres kommandoen ved næste check-in.
Tjekliste: Jeres kill-switch i 6 trin
Brug denne tjekliste, når en medarbejder melder en enhed mistet. Hvert trin har et konkret mål og en ansvarlig.
- Modtag meldingen (0–2 min): Medarbejderen kontakter IT (eller jeres MSP-partner). Log tidspunkt og enhedstype.
- Tilbagekald alle tokens (2–3 min): Gå til Entra ID → Brugere → Vælg bruger → “Revoke sessions”. Med CAE aktiveret afbrydes aktive sessioner i Exchange, SharePoint og Teams næsten øjeblikkeligt.
- Bloker login midlertidigt (3–4 min): Sæt brugerens konto til “Block sign-in” i Entra ID. Det forhindrer nye logins fra alle enheder.
- Udfør Wipe eller Retire i Intune (4–5 min): Gå til Intune → Devices → Vælg enheden → “Wipe” (firmaejet) eller “Retire” (BYOD). Bekræft handlingen.
- Dokumentér handlingerne: Gem audit-loggen fra Intune og Entra ID. Notér tidspunkt for hver handling.
- Vurdér NIS2-rapportering: Havde enheden adgang til kritisk infrastruktur eller følsomme persondata? Hvis ja, og I ikke kan dokumentere en succesfuld wipe, kan NIS2-direktivets 24-timers rapporteringspligt blive udløst.

Sådan virker Continuous Access Evaluation i praksis
CAE er en funktion i Entra ID, der gør det muligt for Microsoft 365-tjenester (Exchange Online, SharePoint, Teams) at reagere på sikkerhedshændelser i realtid. Uden CAE er et adgangstoken gyldigt i op til en time. Med CAE kan tjenesten afvise tokenet øjeblikkeligt, når en af disse hændelser opstår:
- Brugerkontoen deaktiveres
- Passwordet ændres eller nulstilles
- En administrator tilbagekalder alle refresh tokens
- Entra ID Protection registrerer høj brugerrisiko
Ifølge Microsofts dokumentation kan der i sjældne tilfælde gå op til 15 minutter, men for de fleste hændelser sker det inden for få minutter. Det er en markant forbedring i forhold til den traditionelle model.
Før: Tokenet lever i op til 60 minutter efter en sikkerhedshændelse. Data kan tilgås fra den mistede enhed.
Efter: CAE afbryder sessionen inden for minutter. Den mistede enhed mister adgang til Exchange, SharePoint og Teams.
Er jeres kill-switch klar? Mange virksomheder opdager først hullerne, når en enhed faktisk forsvinder. Book 30 minutters sparring om Intune og Entra ID — så gennemgår vi jeres opsætning og laver en konkret handlingsplan.
Fejl der koster: Tre ting virksomheder overser
1. Ingen Conditional Access-politikker for enheder
Uden Conditional Access kan en bruger logge ind fra enhver enhed — også en, der ikke er enrolled i Intune. Sæt som minimum et krav om, at enheden skal være “compliant” eller “hybrid joined” for at tilgå firmadata. Det er et kernekrav i CISAs Zero Trust Maturity Model.
2. BYOD uden App Protection Policies
Hvis medarbejdere bruger egne telefoner uden Intune App Protection Policies (MAM), kan I ikke fjerne firmadata uden at slette alt. MAM giver jer mulighed for at slette kun firmakonti og -data i apps som Outlook og Teams — uden at røre private billeder og apps.
3. Ingen øvelse af processen
En kill-switch virker kun, hvis folk ved, den eksisterer. Test processen kvartalsvist. Mål tiden fra melding til token-tilbagekaldelse. Ifølge Anunta (2025) reducerer remote wipe og tvungen kryptering mobilt datalæk med op til 40 % — men kun hvis processerne faktisk bruges.

Hvordan hænger det sammen med NIS2?
Under NIS2-direktivet skal virksomheder, der leverer væsentlige eller vigtige tjenester, rapportere sikkerhedshændelser inden 24 timer. En mistet enhed med adgang til kritisk infrastruktur kan udløse den pligt — medmindre I kan dokumentere, at data er slettet eller adgangen er lukket.
Intune-loggen og Entra ID-audit-loggen fungerer som jeres bevis. De viser præcis hvornår tokens blev tilbagekaldt, og hvornår enheden blev wipet. Uden den dokumentation står I svagere over for Datatilsynet. Læs mere om compliance og NIS2-krav.
FAQ: Mistet firmatelefon og sikkerhed
Hvad gør jeg, hvis jeg mister min firmatelefon?
Kontakt jeres IT-afdeling eller MSP-partner med det samme. Jo hurtigere I melder det, jo hurtigere kan adgangen lukkes. Vent ikke til næste morgen.
Kan min arbejdsgiver slette min private telefon på afstand?
Kun hvis telefonen er enrolled i Intune med en MDM-profil. Bruger I MAM (App Protection Policies), kan arbejdsgiveren kun slette firmadata i beskyttede apps — ikke private billeder eller apps.
Hvad er forskellen på Intune Wipe og Retire?
Wipe fabriksnulstiller hele enheden. Retire fjerner kun firmadata, profiler og managed apps. Brug Wipe til firmaejede enheder og Retire til BYOD.
Skal en mistet firmatelefon meldes til Datatilsynet?
Det afhænger af, om enheden indeholdt persondata, og om I kan dokumentere, at data er slettet. Kan I vise en succesfuld wipe i Intune-loggen, er risikoen for et anmeldelsespligtigt brud væsentligt lavere.
Hvordan logger jeg ud af alle enheder i Microsoft 365?
En administrator kan tilbagekalde alle sessioner via Entra ID (“Revoke sessions”). Med CAE aktiveret mister CAE-kompatible apps adgang inden for minutter.
Virker remote wipe, hvis telefonen er offline?
Wipe-kommandoen sættes i kø og eksekveres, når enheden næste gang forbinder til internettet og checker ind hos Intune.
Hvad koster det at sætte Intune op til remote wipe?
Intune er inkluderet i Microsoft 365 Business Premium og E3/E5-licenser. Der er ingen ekstra licensomkostning — det kræver blot korrekt opsætning og politikker.
Tre skridt I kan tage i dag
- Auditér jeres Intune-enrollment: Tjek hvor mange enheder der faktisk er enrolled og compliant. Enheder uden enrollment kan I ikke wipe.
- Aktivér Continuous Access Evaluation: Verificér at CAE er slået til i jeres Conditional Access-politikker. Det er standard for nye tenants, men ældre opsætninger kan mangle det.
- Test jeres kill-switch: Simulér en mistet enhed med en testkonto. Mål tiden fra melding til token-tilbagekaldelse og wipe. Dokumentér processen, så alle i IT-teamet kender den.