BYOD uden Big Brother: Sikr firmadata på private enheder med Intune
·
Kategori: IT-sikkerhed
Jeres sælgere tjekker firmamails på private iPhones. Konsulenter åbner SharePoint-filer på deres egen laptop derhjemme. Og IT har ingen idé om, hvilke enheder der tilgår jeres Microsoft 365-data lige nu. Ifølge Microsofts Digital Defense Report (2025) involverer over 80 % af succesfulde ransomware-angreb mod M365-miljøer netop uadministrerede enheder. Denne guide viser, hvordan I bruger Microsoft Intune til SMV-BYOD – uden at medarbejderne føler sig overvåget.
Det vigtigste fra denne guide
- MAM frem for MDM på private enheder: Beskyt firmadata i Outlook, Teams og OneDrive uden at overtage hele telefonen.
- Bloker copy/paste til private apps: Intune App Protection Policies forhindrer, at firmadata ender i WhatsApp eller privat Gmail.
- Conditional Access som dørmand: Kun enheder med opdateret OS og aktiv beskyttelse får adgang til M365-data.
- Selektiv sletning ved offboarding: Slet firmadata på en medarbejders private iPad – uden at røre private fotos.
- Multi-admin approval: Ny funktion der kræver to IT-admins til kritiske handlinger som fjernsletning af hele enhedsflåden.

Hvorfor BYOD er en sikkerhedsrisiko I ikke kan ignorere
BYOD er ikke noget, I vælger. Det sker allerede. Hver gang en medarbejder logger ind på Outlook fra sin private telefon, har I BYOD – bare uden governance. ENISA’s Threat Landscape-rapport (2024) peger på, at tyveri af session-tokens fra inficerede private enheder nu er en af de primære vektorer til at omgå MFA. Det betyder: selv med multifaktor-login kan en kompromitteret privat telefon give en angriber fuld adgang til jeres M365-miljø.
Problemet er dobbelt. IT vil have kontrol. Medarbejderne vil ikke have “Big Brother” på deres private telefon. Løsningen hedder MAM – Mobile Application Management.
Sådan vælger I mellem MDM og MAM til BYOD
De to tilgange løser forskellige problemer. Vælg forkert, og I enten mister medarbejdernes tillid eller mister kontrollen over firmadata.
MDM (Mobile Device Management) overtager hele enheden. IT kan håndhæve kryptering, blokere apps, kræve PIN-kode og fjernsletning af alt. Det giver mening på firmaejet hardware – laptops, tablets og telefoner, som virksomheden ejer og udleverer.
MAM (Mobile Application Management) beskytter kun firmaapps. IT styrer Outlook, Teams, OneDrive og andre M365-apps via App Protection Policies. Medarbejderens private apps, fotos og browserhistorik er helt usynlige for IT. NIST SP 800-124 Rev. 2 anbefaler netop denne containerization-tilgang til private enheder.
Tommelfingerregel: Firmaejet hardware → MDM. Privat hardware → MAM. Blandede scenarier → MAM som minimum, MDM som tilvalg.
Før → Efter: Fra skygge-IT til styret BYOD
Før: Medarbejdere logger ind på Outlook fra private telefoner uden nogen form for politik. IT ved ikke, hvilke enheder der tilgår firmadata. En mistet telefon betyder potentielt datalæk.
Efter: MAM-politikker krypterer firmadata i apps, blokerer copy/paste til private apps og tillader selektiv sletning. IT behøver ikke røre den private del af telefonen. Onboarding af en ny BYOD-enhed tager under 5 minutter for medarbejderen selv.

Tjekliste: 7 Intune-politikker jeres SMV skal have på plads
Mange SMV’er har Intune via Microsoft 365 Business Premium, men bruger kun en brøkdel af funktionerne. Gennemgå denne tjekliste og identificér jeres huller.
| # | Politik | Hvad den gør | Hvad I kigger efter |
|---|---|---|---|
| 1 | App Protection Policy (MAM) | Krypterer firmadata i apps, blokerer copy/paste til private apps | Tjek at politikken dækker Outlook, Teams, OneDrive, Edge og evt. branchemæssige apps |
| 2 | Conditional Access – enhedscompliance | Blokerer adgang fra enheder med forældet OS eller manglende antivirus | Definér minimums-OS-version og krav om aktiv Defender/antivirus |
| 3 | Conditional Access – lokation/risiko | Blokerer eller kræver ekstra godkendelse fra ukendte lokationer | Konfigurér “named locations” for kontor og kendte lande |
| 4 | Device Compliance Policy | Markerer enheder som “non-compliant” hvis de ikke lever op til krav | Sæt krav til kryptering, PIN-længde, jailbreak/root-detektion |
| 5 | Windows Autopilot-profil | Zero-touch opsætning af nye firmalaptops | Registrér hardware-hashes hos jeres leverandør, så enheder auto-enrolles |
| 6 | Selective Wipe-procedure | Fjerner kun firmadata ved offboarding – privat data forbliver | Test proceduren på en testenhed, og dokumentér den i jeres offboarding-tjekliste |
| 7 | Multi-admin approval | Kræver godkendelse fra to admins ved kritiske handlinger som fuld fjernsletning | Aktivér i Intune-portalen under Tenant Administration – ny funktion i Service Release 2505 |
Er jeres BYOD-politik kun et stykke papir? Book et gratis Intune-tjek, og se hvilke af de 7 politikker I mangler – uden forpligtelser. Kontakt A-one Solutions her.
Sådan beskytter Conditional Access mod token-tyveri
MFA alene stopper ikke alt. Angribere stjæler session-tokens fra inficerede enheder og genbruger dem uden at skulle taste kode. CISA’s Mobile Device Security-guide anbefaler, at adgang til cloud-data betinges af enhedens sundhedstilstand. I Intune gør I det med Conditional Access-politikker, der kræver:
- Enhedscompliance: OS skal være opdateret inden for jeres definerede tærskel (fx maks. 30 dage efter seneste sikkerhedsopdatering).
- App Protection Policy: Brugeren skal tilgå data via en Intune-beskyttet app – ikke en vilkårlig browser.
- Risiko-baseret login: Entra ID Identity Protection vurderer login-risiko og kan kræve re-autentificering ved mistænkelig adfærd.
Før → Efter: Fra åben ladeport til kontrolleret adgang
Før: Enhver enhed med korrekt brugernavn og password (+ MFA) får fuld adgang til SharePoint, Exchange og Teams. En stjålet session-token giver angriberen samme adgang.
Efter: Conditional Access verificerer enhedens tilstand ved hvert login. En enhed med forældet OS eller manglende antivirus blokeres automatisk – uanset om brugernavn og MFA er korrekt. Token-tyveri fra en non-compliant enhed giver ingen adgang.

Fra papkasse til produktiv: Zero-touch onboarding med Autopilot
Manuel klargøring af laptops er en tidsrøver i SMV’er, hvor IT-afdelingen ofte er én person. Windows Autopilot og Intune ændrer det. Ifølge Forresters Total Economic Impact-analyse sparer virksomheder i gennemsnit 45 minutter pr. ny medarbejder med zero-touch provisioning.
Sådan fungerer det: Jeres hardwareleverandør registrerer laptoppens hardware-hash i Intune. Medarbejderen modtager laptopen hjemme, tænder den, logger ind med sit Entra ID – og Intune installerer automatisk apps, sikkerhedspolitikker og VPN-profiler. Ingen IT-afdeling behøver røre maskinen.
Samme princip gælder for Apple-enheder via Apple Business Manager og Android via Zero-touch Enrollment. Intunes udvidede cross-platform inventory (Service Release 2505) indsamler nu 74 datapunkter for Apple-enheder og 32 for Android – direkte i ét dashboard.
Offboarding: Slet firmadata uden at røre private fotos
En sælger siger op og skifter til konkurrenten. Vedkommende har brugt sin private iPad til at tilgå kundelister i SharePoint og mails i Outlook. Hvad gør I?
Med Intune MAM kører I en “Selective Wipe”. Den fjerner alle firmadata og -konti fra enheden. Outlook-profilen, Teams-data, OneDrive-cache og gemte filer – væk. Private fotos, apps og indstillinger forbliver urørte. Medarbejderen mærker kun, at firmaapps kræver nyt login – som ikke længere virker.
For firmaejede enheder kan I køre fuld fjernsletning. Men med den nye multi-admin approval kræver det godkendelse fra to IT-admins. Det forhindrer, at én kompromitteret admin-konto kan slette hele jeres enhedsflåde.
FAQ: Microsoft Intune og BYOD for SMV’er
Kan IT se mine private fotos og apps, hvis jeg tilmelder min telefon?
Nej – ikke med MAM (App Protection Policies). IT styrer kun firmaapps som Outlook og Teams. Private apps, fotos og browserhistorik er usynlige for IT. Vælger I fuld MDM-enrollment, får IT mere kontrol – men det anbefales kun til firmaejede enheder.
Hvad er forskellen på MDM og MAM i Intune?
MDM styrer hele enheden (kryptering, PIN, app-restriktioner, fjernsletning af alt). MAM styrer kun specifikke apps og data. Brug MDM til firmaejede enheder og MAM til private BYOD-enheder.
Kræver Microsoft Intune en særskilt licens for SMV’er?
Intune er inkluderet i Microsoft 365 Business Premium, som de fleste SMV’er allerede har. Har I kun Business Basic eller Standard, kræver det en opgradering eller et Intune Plan 1-tillæg.
Hvordan håndterer vi medarbejdere, der nægter at installere Intune?
Med MAM behøver medarbejderen ikke at “enrolle” enheden. De installerer blot Company Portal-appen og logger ind. Intune beskytter derefter kun firmaapps. Alternativt kan I via Conditional Access blokere adgang fra enheder uden App Protection – så er valget: acceptér politikken eller brug kun webmail fra en firmamaskine.
Hvad sker der med firmadata, hvis en medarbejder mister sin telefon?
IT kører en Selective Wipe fra Intune-portalen. Alle firmadata i beskyttede apps slettes inden for minutter. Private data forbliver. Har I Conditional Access, blokeres adgang fra enheden automatisk, hvis den markeres som mistet.
Virker Intune BYOD-opsætning på både iPhone, Android og Mac?
Ja. App Protection Policies understøtter iOS, Android, Windows og macOS. Dækningen varierer lidt: iOS og Android har den mest modne MAM-understøttelse. macOS og Windows kræver typisk MDM-enrollment for fuld funktionalitet.
Hvordan hænger Intune sammen med NIS2-krav om enhedsstyring?
NIS2 kræver dokumenteret styring af adgang og endpoints. Intune leverer compliance-rapporter, enhedsinventar og håndhævelse af sikkerhedspolitikker – alt sammen dokumenterbart. Det erstatter ikke en fuld NIS2-implementering, men dækker endpoint-delen.
Sådan kommer I i gang: 5 konkrete skridt
- Kortlæg jeres nuværende BYOD-landskab: Kør en rapport i Entra ID over alle enheder, der tilgår M365. Identificér uadministrerede enheder.
- Opret App Protection Policies for iOS og Android: Start med Outlook, Teams og OneDrive. Bloker copy/paste til private apps, kræv PIN til firmaapps, og aktivér selektiv sletning.
- Konfigurér Conditional Access: Kræv enten enhedscompliance (MDM) eller App Protection Policy (MAM) for adgang til M365-tjenester. Bloker adgang fra enheder med forældet OS.
- Test Selective Wipe på en testenhed: Verificér at firmadata slettes korrekt, og at private data forbliver. Dokumentér proceduren i jeres offboarding-tjekliste.
- Aktivér multi-admin approval: Kræv godkendelse fra to admins ved fjernsletning og andre kritiske handlinger. Det tager 10 minutter at konfigurere og kan redde jer fra en katastrofe.
Har I brug for hjælp til opsætningen? Kontakt A-one Solutions for en uforpligtende gennemgang af jeres Intune-setup. Vi hjælper danske SMV’er med at få sikkerhed og drift til at spille sammen – uden at medarbejderne føler sig overvåget.