7 Microsoft 365-indstillinger din IT-partner glemmer at aktivere
I betaler for Microsoft 365 Business Premium. Jeres IT-partner har sat det op. Men har de faktisk aktiveret de sikkerhedsfunktioner, I betaler for? I de fleste SMV-tenants vi auditerer, er svaret nej. Denne tjekliste giver jer 7 konkrete indstillinger, I kan kræve dokumenteret på jeres næste statusmøde med IT-leverandøren.
Det vigtigste fra denne artikel
- Secure Score som KPI: Tjek jeres Microsoft Secure Score i dag – ligger den under 65 %, mangler der basisopsætning (CoreView, 2026).
- SMS-MFA er ikke nok: Hackere omgår SMS-koder via AiTM-angreb. Kræv phishing-resistent MFA med Authenticator eller Passkeys.
- Standard ≠ sikker: Microsofts default-indstillinger i Defender for Office 365 lukker avanceret phishing igennem. Skift til “Strict”-profilen.
- Legacy auth er en åben bagdør: POP og IMAP omgår MFA fuldstændigt. Blokér det via Conditional Access.
- Stil krav: Brug tjeklisten nedenfor som en objektiv SLA over for jeres IT-partner.
Hvorfor Microsoft 365 sikkerhed for SMV’er kræver mere end standardopsætning
Når en IT-partner sætter Microsoft 365 op for jer, følger de typisk en “next-next-finish”-proces. Licenser tildeles, mails virker, Teams kører. Færdig.
Problemet: Business Premium indeholder Entra ID P1, Defender for Business, Intune og Purview. Funktioner der koster jer penge hver måned. Men i en standardopsætning er de enten slet ikke aktiveret eller sat til de svageste indstillinger.
Før: I betaler for Business Premium, men jeres IT-partner har kun konfigureret det, der svarer til Business Standard. Sikkerhedsfunktionerne står ubrugte hen.
Efter: I aktiverer alle 7 indstillinger og løfter jeres Secure Score fra under 50 % til over 75 % – uden at købe en eneste ekstra licens.
Tjekliste: 7 indstillinger I skal kræve aktiveret
Print denne liste. Tag den med til jeres næste møde med IT-leverandøren. Bed dem dokumentere status på hvert punkt.
| # | Indstilling | Hvad I kigger efter | Risiko hvis det mangler |
|---|---|---|---|
| 1 | Phishing-resistent MFA | Microsoft Authenticator med number matching eller FIDO2/Passkeys er aktiveret for alle brugere. SMS-MFA er udfaset for admin-konti. | Hackere omgår SMS-koder via AiTM-angreb og stjæler session-tokens (Blumira, 2026). |
| 2 | Conditional Access-politikker | Minimum 3 politikker: Kræv MFA for alle, blokér legacy auth, blokér logins fra lande uden for EU. | Uden Conditional Access kan en hacker logge ind fra et vilkårligt land via POP/IMAP – helt uden MFA (CISA SCuBA, 2025). |
| 3 | Defender for Office 365: Strict-profil | Safe Links og Safe Attachments er sat til “Strict” – ikke “Default” eller “Standard”. | Default-profilen lukker avancerede phishing-mails igennem, som Strict fanger (Microsoft, 2026). |
| 4 | Legacy authentication blokeret | POP, IMAP og Basic Auth er blokeret via Conditional Access – ikke kun via Security Defaults. | Legacy auth omgår MFA fuldstændigt. Det er en af de mest udnyttede angrebsvektorer mod SMV’er. |
| 5 | Intune Device Compliance | Adgang til M365-data kræver, at enheden er “Compliant” i Intune (BitLocker aktiv, antivirus opdateret, OS-patches installeret). | Medarbejdere tilgår virksomhedsdata fra usikre, private enheder uden kryptering. |
| 6 | Break-glass admin-konti | 1-2 nødadgangskonti oprettet med lange passwords (30+ tegn), uden MFA, men med fuld overvågning og alerts. | I bliver låst ude af jeres egen tenant, hvis MFA fejler eller Conditional Access er forkonfigureret. |
| 7 | Sensitivity Labels og DLP-regler | Purview Sensitivity Labels er aktiveret. Minimum én DLP-regel forhindrer deling af CPR-numre og finansdata eksternt. | Medarbejdere deler følsomme filer via Teams og OneDrive uden klassificering – et direkte NIS2-problem (GCS Technologies, 2026). |
Sådan bruger I Secure Score som SLA for jeres IT-partner
Microsoft Secure Score er en gratis, indbygget måling af jeres tenants sikkerhedsniveau. Scoren går fra 0 til 100 % og opdateres automatisk, når I aktiverer eller deaktiverer indstillinger.
Brug den sådan:
- Mål nu: Log ind på security.microsoft.com → Secure Score. Notér jeres nuværende procent.
- Sæt et mål: En score under 65 % indikerer mangelfuld basisopsætning. Kræv minimum 75 % inden for 90 dage.
- Gør det til en KPI: Bed jeres IT-partner rapportere Secure Score månedligt. Hvis scoren ikke stiger, mangler der handling.
Før: I spørger jeres IT-partner “er vi sikre?” og får svaret “ja, det ser fint ud”.
Efter: I åbner Secure Score, ser 52 %, og har en objektiv dokumentation for, at opsætningen er mangelfuld.
Få en gratis Secure Score-analyse
Vi gennemgår jeres Microsoft 365-tenant og identificerer de indstillinger, der mangler. I får en konkret handlingsplan – uanset om I vælger os eller jeres nuværende partner til at løse det. Book 30 minutters uforpligtende sparring her.
Hvorfor SMS-MFA ikke længere beskytter jer
De fleste SMV’er har slået MFA til. Det er godt. Men typen af MFA afgør, om det faktisk virker.
SMS-baseret MFA er sårbart over for to angrebstyper:
- SIM-swapping: Hackeren overtager jeres telefonnummer via teleselskabet og modtager SMS-koden.
- AiTM (Adversary-in-the-Middle): Hackeren placerer en falsk login-side mellem jer og Microsoft. I indtaster kode og password – hackeren opsnapper begge dele i realtid og stjæler jeres session-token.
NIST fraråder nu officielt SMS-MFA til privilegerede konti og anbefaler FIDO2/Passkeys som standard (NIST SP 800-63B). Microsoft har fuldt udrullet Passkey-support i Entra ID, og det kræver ingen ekstra licens ud over Business Premium.
Kræv som minimum: Microsoft Authenticator med number matching for alle brugere. Passkeys eller FIDO2-nøgler for alle admin-konti.
Fejl der koster: Business Premium uden aktiverede funktioner
Business Premium koster ca. 50 % mere end Business Standard pr. bruger pr. måned. Forskellen er sikkerhedsfunktionerne: Defender for Business, Entra ID P1 med Conditional Access, Intune til enhedsstyring og Purview til datakontrol.
Hvis jeres IT-partner ikke har aktiveret disse funktioner, betaler I Premium-pris for Standard-sikkerhed. Tjek det konkret:
- Er der oprettet Conditional Access-politikker i Entra ID? (Ikke bare Security Defaults.)
- Er Defender for Office 365 sat til Strict – eller står den stadig på Default?
- Er enheder enrolled i Intune med compliance-politikker?
- Er der oprettet Sensitivity Labels i Purview?
Kan jeres IT-partner ikke svare klart på disse spørgsmål, har I et problem. Ikke et teknisk problem – et leverandørproblem. Læs mere om hvordan vi arbejder med M365-sikkerhed.
FAQ: Microsoft 365 sikkerhed for SMV’er
Hvordan sikrer man Microsoft 365 bedst muligt?
Aktivér phishing-resistent MFA, opsæt Conditional Access-politikker, skift Defender til Strict-profilen, blokér legacy authentication og kræv device compliance via Intune. Disse fem tiltag dækker de mest kritiske angrebsflader.
Hvad er en god Microsoft Secure Score?
Over 75 % indikerer en solid basisopsætning. Under 65 % betyder, at grundlæggende sikkerhedsfunktioner mangler. Scoren er relativ – fokusér på de anbefalinger, Microsoft selv markerer som “high impact”.
Er Microsoft 365 Business Premium pengene værd for en SMV?
Ja, hvis funktionerne faktisk aktiveres. Premium inkluderer Defender for Business, Entra ID P1 og Intune – funktioner der enkeltvis koster mere som add-ons. Betaler I allerede for Premium uden at bruge dem, spilder I penge.
Hvad er Conditional Access i Entra ID?
Conditional Access er regelbaseret adgangskontrol. I definerer betingelser som “kræv MFA fra ukendte enheder”, “blokér login fra lande uden for EU” eller “tillad kun adgang fra Intune-compliant enheder”. Det kræver Entra ID P1, som er inkluderet i Business Premium.
Kan hackere omgå MFA?
Ja – hvis I bruger SMS-MFA. AiTM-angreb opsnapper SMS-koder i realtid via falske login-sider. Phishing-resistent MFA (Passkeys, FIDO2, Authenticator med number matching) er markant sværere at omgå.
Hvilke krav skal man stille til sin IT-leverandør om M365-sikkerhed?
Kræv månedlig rapportering af Secure Score, dokumentation for aktive Conditional Access-politikker, bekræftelse af Defender Strict-profil og en plan for udfasning af SMS-MFA. Brug tjeklisten i denne artikel som udgangspunkt.
Løser Microsofts danske datacentre mine sikkerhedsproblemer?
Nej. Danske datacentre løser data residency – altså hvor jeres data fysisk opbevares. Men adgangskontrol, kryptering og trusselsbeskyttelse skal I stadig konfigurere selv eller via jeres IT-partner (Docupoint, 2026).
Sådan kommer I i gang: 5 konkrete skridt
- Tjek jeres Secure Score i dag: Log ind på security.microsoft.com og notér scoren. Det tager 2 minutter.
- Send tjeklisten til jeres IT-partner: Bed dem dokumentere status på alle 7 indstillinger inden for 14 dage.
- Prioritér Conditional Access og MFA: Blokér legacy auth og udfas SMS-MFA som de første to tiltag – de lukker de største huller.
- Sæt Defender til Strict: Bed jeres partner skifte fra Default/Standard til Strict-profilen i Defender for Office 365.
- Mål igen om 30 dage: Sammenlign Secure Score før og efter. Hvis scoren ikke er steget markant, tag en snak med os om en uvildig gennemgang.
