BYOD uden Big Brother: Sikr firmadata på private enheder med Intune

IT-ansvarlig styrer firmadata på private telefoner via Microsoft Intune dashboard

BYOD uden Big Brother: Sikr firmadata på private enheder med Intune

Af Sten Albert Person A-one Solutions ·
·
Kategori: IT-sikkerhed

Jeres sælgere tjekker firmamails på private iPhones. Konsulenter åbner SharePoint-filer på deres egen laptop derhjemme. Og IT har ingen idé om, hvilke enheder der tilgår jeres Microsoft 365-data lige nu. Ifølge Microsofts Digital Defense Report (2025) involverer over 80 % af succesfulde ransomware-angreb mod M365-miljøer netop uadministrerede enheder. Denne guide viser, hvordan I bruger Microsoft Intune til SMV-BYOD – uden at medarbejderne føler sig overvåget.

Det vigtigste fra denne guide

  • MAM frem for MDM på private enheder: Beskyt firmadata i Outlook, Teams og OneDrive uden at overtage hele telefonen.
  • Bloker copy/paste til private apps: Intune App Protection Policies forhindrer, at firmadata ender i WhatsApp eller privat Gmail.
  • Conditional Access som dørmand: Kun enheder med opdateret OS og aktiv beskyttelse får adgang til M365-data.
  • Selektiv sletning ved offboarding: Slet firmadata på en medarbejders private iPad – uden at røre private fotos.
  • Multi-admin approval: Ny funktion der kræver to IT-admins til kritiske handlinger som fjernsletning af hele enhedsflåden.

Sammenligning af MAM og MDM tilgange til BYOD-styring i Intune

Hvorfor BYOD er en sikkerhedsrisiko I ikke kan ignorere

BYOD er ikke noget, I vælger. Det sker allerede. Hver gang en medarbejder logger ind på Outlook fra sin private telefon, har I BYOD – bare uden governance. ENISA’s Threat Landscape-rapport (2024) peger på, at tyveri af session-tokens fra inficerede private enheder nu er en af de primære vektorer til at omgå MFA. Det betyder: selv med multifaktor-login kan en kompromitteret privat telefon give en angriber fuld adgang til jeres M365-miljø.

Problemet er dobbelt. IT vil have kontrol. Medarbejderne vil ikke have “Big Brother” på deres private telefon. Løsningen hedder MAM – Mobile Application Management.

Sådan vælger I mellem MDM og MAM til BYOD

De to tilgange løser forskellige problemer. Vælg forkert, og I enten mister medarbejdernes tillid eller mister kontrollen over firmadata.

MDM (Mobile Device Management) overtager hele enheden. IT kan håndhæve kryptering, blokere apps, kræve PIN-kode og fjernsletning af alt. Det giver mening på firmaejet hardware – laptops, tablets og telefoner, som virksomheden ejer og udleverer.

MAM (Mobile Application Management) beskytter kun firmaapps. IT styrer Outlook, Teams, OneDrive og andre M365-apps via App Protection Policies. Medarbejderens private apps, fotos og browserhistorik er helt usynlige for IT. NIST SP 800-124 Rev. 2 anbefaler netop denne containerization-tilgang til private enheder.

Tommelfingerregel: Firmaejet hardware → MDM. Privat hardware → MAM. Blandede scenarier → MAM som minimum, MDM som tilvalg.

Før → Efter: Fra skygge-IT til styret BYOD

Før: Medarbejdere logger ind på Outlook fra private telefoner uden nogen form for politik. IT ved ikke, hvilke enheder der tilgår firmadata. En mistet telefon betyder potentielt datalæk.

Efter: MAM-politikker krypterer firmadata i apps, blokerer copy/paste til private apps og tillader selektiv sletning. IT behøver ikke røre den private del af telefonen. Onboarding af en ny BYOD-enhed tager under 5 minutter for medarbejderen selv.

Conditional Access-flow der blokerer adgang fra enheder uden opdateret sikkerhed

Tjekliste: 7 Intune-politikker jeres SMV skal have på plads

Mange SMV’er har Intune via Microsoft 365 Business Premium, men bruger kun en brøkdel af funktionerne. Gennemgå denne tjekliste og identificér jeres huller.

# Politik Hvad den gør Hvad I kigger efter
1 App Protection Policy (MAM) Krypterer firmadata i apps, blokerer copy/paste til private apps Tjek at politikken dækker Outlook, Teams, OneDrive, Edge og evt. branchemæssige apps
2 Conditional Access – enhedscompliance Blokerer adgang fra enheder med forældet OS eller manglende antivirus Definér minimums-OS-version og krav om aktiv Defender/antivirus
3 Conditional Access – lokation/risiko Blokerer eller kræver ekstra godkendelse fra ukendte lokationer Konfigurér “named locations” for kontor og kendte lande
4 Device Compliance Policy Markerer enheder som “non-compliant” hvis de ikke lever op til krav Sæt krav til kryptering, PIN-længde, jailbreak/root-detektion
5 Windows Autopilot-profil Zero-touch opsætning af nye firmalaptops Registrér hardware-hashes hos jeres leverandør, så enheder auto-enrolles
6 Selective Wipe-procedure Fjerner kun firmadata ved offboarding – privat data forbliver Test proceduren på en testenhed, og dokumentér den i jeres offboarding-tjekliste
7 Multi-admin approval Kræver godkendelse fra to admins ved kritiske handlinger som fuld fjernsletning Aktivér i Intune-portalen under Tenant Administration – ny funktion i Service Release 2505

Er jeres BYOD-politik kun et stykke papir? Book et gratis Intune-tjek, og se hvilke af de 7 politikker I mangler – uden forpligtelser. Kontakt A-one Solutions her.

Sådan beskytter Conditional Access mod token-tyveri

MFA alene stopper ikke alt. Angribere stjæler session-tokens fra inficerede enheder og genbruger dem uden at skulle taste kode. CISA’s Mobile Device Security-guide anbefaler, at adgang til cloud-data betinges af enhedens sundhedstilstand. I Intune gør I det med Conditional Access-politikker, der kræver:

  1. Enhedscompliance: OS skal være opdateret inden for jeres definerede tærskel (fx maks. 30 dage efter seneste sikkerhedsopdatering).
  2. App Protection Policy: Brugeren skal tilgå data via en Intune-beskyttet app – ikke en vilkårlig browser.
  3. Risiko-baseret login: Entra ID Identity Protection vurderer login-risiko og kan kræve re-autentificering ved mistænkelig adfærd.

Før → Efter: Fra åben ladeport til kontrolleret adgang

Før: Enhver enhed med korrekt brugernavn og password (+ MFA) får fuld adgang til SharePoint, Exchange og Teams. En stjålet session-token giver angriberen samme adgang.

Efter: Conditional Access verificerer enhedens tilstand ved hvert login. En enhed med forældet OS eller manglende antivirus blokeres automatisk – uanset om brugernavn og MFA er korrekt. Token-tyveri fra en non-compliant enhed giver ingen adgang.

Medarbejder onboarder ny laptop via Windows Autopilot zero-touch opsætning

Fra papkasse til produktiv: Zero-touch onboarding med Autopilot

Manuel klargøring af laptops er en tidsrøver i SMV’er, hvor IT-afdelingen ofte er én person. Windows Autopilot og Intune ændrer det. Ifølge Forresters Total Economic Impact-analyse sparer virksomheder i gennemsnit 45 minutter pr. ny medarbejder med zero-touch provisioning.

Sådan fungerer det: Jeres hardwareleverandør registrerer laptoppens hardware-hash i Intune. Medarbejderen modtager laptopen hjemme, tænder den, logger ind med sit Entra ID – og Intune installerer automatisk apps, sikkerhedspolitikker og VPN-profiler. Ingen IT-afdeling behøver røre maskinen.

Samme princip gælder for Apple-enheder via Apple Business Manager og Android via Zero-touch Enrollment. Intunes udvidede cross-platform inventory (Service Release 2505) indsamler nu 74 datapunkter for Apple-enheder og 32 for Android – direkte i ét dashboard.

Offboarding: Slet firmadata uden at røre private fotos

En sælger siger op og skifter til konkurrenten. Vedkommende har brugt sin private iPad til at tilgå kundelister i SharePoint og mails i Outlook. Hvad gør I?

Med Intune MAM kører I en “Selective Wipe”. Den fjerner alle firmadata og -konti fra enheden. Outlook-profilen, Teams-data, OneDrive-cache og gemte filer – væk. Private fotos, apps og indstillinger forbliver urørte. Medarbejderen mærker kun, at firmaapps kræver nyt login – som ikke længere virker.

For firmaejede enheder kan I køre fuld fjernsletning. Men med den nye multi-admin approval kræver det godkendelse fra to IT-admins. Det forhindrer, at én kompromitteret admin-konto kan slette hele jeres enhedsflåde.

FAQ: Microsoft Intune og BYOD for SMV’er

Kan IT se mine private fotos og apps, hvis jeg tilmelder min telefon?

Nej – ikke med MAM (App Protection Policies). IT styrer kun firmaapps som Outlook og Teams. Private apps, fotos og browserhistorik er usynlige for IT. Vælger I fuld MDM-enrollment, får IT mere kontrol – men det anbefales kun til firmaejede enheder.

Hvad er forskellen på MDM og MAM i Intune?

MDM styrer hele enheden (kryptering, PIN, app-restriktioner, fjernsletning af alt). MAM styrer kun specifikke apps og data. Brug MDM til firmaejede enheder og MAM til private BYOD-enheder.

Kræver Microsoft Intune en særskilt licens for SMV’er?

Intune er inkluderet i Microsoft 365 Business Premium, som de fleste SMV’er allerede har. Har I kun Business Basic eller Standard, kræver det en opgradering eller et Intune Plan 1-tillæg.

Hvordan håndterer vi medarbejdere, der nægter at installere Intune?

Med MAM behøver medarbejderen ikke at “enrolle” enheden. De installerer blot Company Portal-appen og logger ind. Intune beskytter derefter kun firmaapps. Alternativt kan I via Conditional Access blokere adgang fra enheder uden App Protection – så er valget: acceptér politikken eller brug kun webmail fra en firmamaskine.

Hvad sker der med firmadata, hvis en medarbejder mister sin telefon?

IT kører en Selective Wipe fra Intune-portalen. Alle firmadata i beskyttede apps slettes inden for minutter. Private data forbliver. Har I Conditional Access, blokeres adgang fra enheden automatisk, hvis den markeres som mistet.

Virker Intune BYOD-opsætning på både iPhone, Android og Mac?

Ja. App Protection Policies understøtter iOS, Android, Windows og macOS. Dækningen varierer lidt: iOS og Android har den mest modne MAM-understøttelse. macOS og Windows kræver typisk MDM-enrollment for fuld funktionalitet.

Hvordan hænger Intune sammen med NIS2-krav om enhedsstyring?

NIS2 kræver dokumenteret styring af adgang og endpoints. Intune leverer compliance-rapporter, enhedsinventar og håndhævelse af sikkerhedspolitikker – alt sammen dokumenterbart. Det erstatter ikke en fuld NIS2-implementering, men dækker endpoint-delen.

Sådan kommer I i gang: 5 konkrete skridt

  1. Kortlæg jeres nuværende BYOD-landskab: Kør en rapport i Entra ID over alle enheder, der tilgår M365. Identificér uadministrerede enheder.
  2. Opret App Protection Policies for iOS og Android: Start med Outlook, Teams og OneDrive. Bloker copy/paste til private apps, kræv PIN til firmaapps, og aktivér selektiv sletning.
  3. Konfigurér Conditional Access: Kræv enten enhedscompliance (MDM) eller App Protection Policy (MAM) for adgang til M365-tjenester. Bloker adgang fra enheder med forældet OS.
  4. Test Selective Wipe på en testenhed: Verificér at firmadata slettes korrekt, og at private data forbliver. Dokumentér proceduren i jeres offboarding-tjekliste.
  5. Aktivér multi-admin approval: Kræv godkendelse fra to admins ved fjernsletning og andre kritiske handlinger. Det tager 10 minutter at konfigurere og kan redde jer fra en katastrofe.

Har I brug for hjælp til opsætningen? Kontakt A-one Solutions for en uforpligtende gennemgang af jeres Intune-setup. Vi hjælper danske SMV’er med at få sikkerhed og drift til at spille sammen – uden at medarbejderne føler sig overvåget.

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

IT support firma medarbejder hjælper erhvervskunde med teknisk løsning

Skal vi tage et kig på jeres IT?

Skriv jer op — vi kontakter dig inden for én arbejdsdag med en uforpligtende vurdering?