Delt postkasse Microsoft 365: sikker opsætning i praksis
I har en fælles indbakke som info@ eller faktura@, og pludselig kan ingen forklare, hvem der sendte et svar eller slettede en vigtig mail. Samtidig stiger postkassen, og I rammer en licensgrænse uden at opdage det. Og den værste: nogen har sat den delte postkasse op, så den kan logge ind som en “rigtig bruger”. Her får I en opskrift på at lukke hullerne og få styr på drift, sporbarhed og omkostninger.
- Blokér direkte login: Sikr at den delte postkasse ikke kan bruges til sign-in, så I stopper password-spraying på en “fælleskonto”.
- Skær rettigheder rigtigt: Giv Full Access og Send As kun hvor det er nødvendigt—og dokumentér hvem der har hvad.
- Auditér “hvem gjorde hvad”: Tjek at audit-logning kan spore handlinger ved Send As og sletninger, så I kan svare på compliance-krav.
- Undgå skjulte licenser: Overvåg 50 GB-grænsen; over 50 GB kræver licens (Exchange Online Plan 2).
- Få mobilen til at virke: Standardisér opsætning i Outlook-appen, så support-sager om delte postkasser på mobil falder.
Hvorfor bliver en delt postkasse en sikkerhedsrisiko?
En delt postkasse er lavet til delegeret adgang. Microsoft beskriver, at den ikke må bruges til direkte login; den skal tilgås via licenserede brugere med rettigheder (Microsoft Learn). Når en fællespostkasse alligevel får et password og kan logge ind, får I et klassisk problem: en identitet, flere mennesker, og typisk svagere kontrol.
Det konkrete angrebsscenarie I skal lukke
CISA’s SCuBA-anbefalinger peger på at blokere sign-in og deaktivere legacy authentication for at reducere risikoen for password-spraying mod cloudkonti. En delt postkasse med aktivt sign-in er et oplagt mål, fordi den ofte er “glemt” i governance.
Før → Efter (sikkerhed):
Før: kundeservice@ har eget password, flere kender det, og kontoen kan logge ind.
Efter: Sign-in er blokeret på identiteten, og adgang sker kun via delegerede rettigheder fra personlige brugere + MFA. Resultat: færre kompromitteringer og bedre sporbarhed.
Sådan skærer I rettigheder: “Full Access” vs. “Send As”
De fleste problemer starter med, at man giver “alle” for brede rettigheder. Microsoft skelner tydeligt mellem rettigheder (Microsoft Learn):
- Full Access: Brugeren kan læse, flytte og slette mail i den delte postkasse.
- Send As: Brugeren kan sende mail, så det ser ud som om den kommer fra
info@. - Send on Behalf: Modtageren ser “A på vegne af info@”. Det kan være bedre, når I vil vise, hvem der svarede.
Beslutningsregel (hurtig)
- Brug Send on Behalf, når I vil have tydeligt afsenderansvar ud mod kunder/leverandører.
- Brug Send As, når I har behov for én samlet afsender (fx faktura/ordre) og I samtidig håndhæver audit-logning.
- Giv Full Access til dem, der reelt håndterer indbakken. Alle andre får læseadgang via proces (fx videresend/triage), ikke fuld adgang.
Tjekliste: Sikker opsætning af delte postkasser (drift + compliance)
Brug tjeklisten som audit. Sæt en ejer på hver postkasse (navngiven person eller funktion) og dokumentér afvigelser.
| Kontrolpunkt | Hvad I kigger efter | Handling (tommelregel) |
|---|---|---|
| Direkte login | Kan postkassen logge ind i M365? | Blokér sign-in på identiteten. Ingen delte passwords. |
| Legacy authentication | Er gamle protokoller tilladt? | Håndhæv blokering via tenant-policies; især for “ikke-personlige” konti (SCuBA). |
| Rettigheder | Hvem har Full Access / Send As / Send on Behalf? | Minimer. Brug grupper til tildeling og kvartalsvis recertificering. |
| Audit-logning | Kan I se, hvem der sendte/slettede? | Bekræft audit i Exchange Online og at “Send As”-handlinger kan rapporteres (Microsoft Learn). |
| Dataejerskab & oprydning | Er postkassen blevet et arkiv? | Indfør mappe-/slettepolitik og månedlig triage af “ikke-sager”. |
| Størrelse & licens | Nærmer I jer 50 GB? | Planlæg før grænsen. Over 50 GB kræver licens (Exchange Online Plan 2). |
| Mobil adgang | Fejler synk/tilføjelse i Outlook app? | Standardisér opsætning og instruktion: tilføj delt postkasse korrekt i Outlook Mobile. |
Fejl der koster jer tid: mobil og “New Outlook”
Delte postkasser giver typisk support-tickets to steder: mobil og den nye Outlook-klient. Microsoft Tech Community-tråde peger ofte på, at mobiladgang kræver korrekt, manuel opsætning i Outlook-appen—og at små variationer i brugerens opsætning giver fejl.
Praktisk standard: sådan reducerer I tickets
- Lav én intern guide: “Delt postkasse på mobil” med screenshots for jeres valgte platform.
- Brug én metode konsekvent (fx tilføj som delt postkasse, ikke som separat konto).
- Test med 2–3 pilotbrugere før udrulning til hele afdelingen.
Tony Redmond (Office 365 IT Pros, 2025/2026) har peget på, at “New Outlook” håndterer delte postkasser anderledes. Hvis brugere oplever forsinkelse eller “mangler mapper”, skal I typisk fejlsøge cache/indstillinger for delte mapper og vælge en standardkonfiguration pr. device-type.
Før → Efter (support):
Før: Hver bruger sætter info@ op på sin egen måde. IT fejlsøger ad hoc.
Efter: Én godkendt opsætningsmetode + kort intern guide + pilot-test. Resultat: færre gentagne support-sager og hurtigere onboarding.
Vil I have et hurtigt sundhedstjek af jeres fællespostkasser?
Vi gennemgår: sign-in blokering, rettigheder (Full Access/Send As), audit-sporbarhed, 50 GB-risiko og mobil/New Outlook-smerter. Tag en kort dialog via /kontakt, så får I en konkret liste over det, der bør rettes først.
Hvornår skal I bruge en delt postkasse – og hvornår er Teams/Groups bedre?
Practical 365’s tommelfingerregel er nyttig: delte postkasser er stærke til indgående ekstern mail (kunder, leverandører, fakturaer). Microsoft 365 Groups/Teams er typisk bedre til internt samarbejde. Hvis I bruger en delt postkasse som intern “opgaveliste”, ender I ofte med datasiloer og uklare ejere.
Beslutningsregel
- Delt postkasse: Én fælles indbakke, mange korte eksterne dialoger, behov for fælles afsender.
- Teams/M365 Group: Interne tråde, filer, beslutninger, opgaver og søgning på tværs.
Sådan undgår I licens-overraskelser ved 50 GB
Microsofts regel er klar: en delt postkasse kan være uden licens op til 50 GB. Over 50 GB kræver licens, typisk Exchange Online Plan 2 (Microsoft Learn). Det er ikke kun en økonomi-ting; store postkasser bliver også tungere at arbejde i.
Praktisk styring
- Lav en månedlig rapport over størrelse pr. delt postkasse.
- Sæt en intern grænse (fx “reaktion ved 40 GB”), så I når at rydde op eller tage en licensbeslutning.
- Hvis postkassen er et arkiv: flyt den forkerte adfærd ud i en proces (retention, sagsmappe, DMS). Se også jeres politik for /compliance.
FAQ om delt postkasse Microsoft 365
Må man logge direkte ind på en delt postkasse i Microsoft 365?
Nej. En delt postkasse er lavet til delegeret adgang via licenserede brugere. Hvis I kan logge ind direkte, så blokér sign-in på identiteten og fjern delte passwords.
Hvad er grænsen for en delt postkasse uden licens?
Tommelfingerregel: 50 GB. Over 50 GB kræver licens, typisk Exchange Online Plan 2 (Microsoft Learn). Læg en intern tærskel ved ca. 40 GB, så I når at reagere.
Hvad er forskellen på “Send som” og “Send på vegne af”?
Send som skjuler den individuelle afsender og viser kun info@. Send på vegne af viser både personen og fællesadressen. Vælg “på vegne af” hvis I vil gøre ansvar tydeligt udadtil; vælg “som” når I vil have én fælles afsender og samtidig kan dokumentere via audit.
Kan vi se, hvem der slettede en mail i en fællespostkasse?
Ja, hvis audit-logning er korrekt sat op og I ved, hvilke hændelser I skal søge efter. Mailbox audit logging er typisk slået til, men I skal teste, at jeres rapportering faktisk kan udpege handlinger ved fx Send As og sletninger (Microsoft Learn).
Hvorfor virker vores delt postkasse ikke på mobil?
Ofte fordi brugeren har tilføjet postkassen som en separat konto eller på en måde, der ikke matcher jeres standard. Løs det ved at beslutte én opsætningsmetode i Outlook-appen, skrive en kort intern guide og pilot-teste før bred udrulning.
Hvornår bør vi bruge Teams i stedet for en delt postkasse?
Hvis formålet er intern koordinering, filer, opgaver og beslutninger, så vælg Teams/M365 Group. Brug delt postkasse til eksterne henvendelser og en fælles indbakke. Det reducerer datasiloer og gør ejerskab tydeligere.
Er en delt postkasse det samme som backup?
Nej. En delt postkasse er ikke en backup-strategi. Veeam Data Protection Report 2025/26 peger på, at mange misforstår dette; hvis nogen med Full Access tømmer “Deleted Items”, kan det skabe reelt datatab uden en separat backup/retention-plan.
Sådan implementerer I det på 7 dage
- Kortlæg: Lav en liste over alle delte postkasser, ejere, størrelse og hvem der har adgang.
- Blokér sign-in: Sikr at ingen delte postkasser kan logge ind direkte, og at legacy auth er blokeret.
- Ryd op i rettigheder: Fjern “alle har Full Access”. Tildel via grupper og dokumentér undtagelser.
- Vælg afsender-model: Beslut pr. postkasse om I bruger Send As eller Send on Behalf, og skriv én linje “hvorfor”.
- Test audit: Send en testmail med Send As og udfør en sletning. Bekræft at I kan finde hændelser i jeres audit-rapportering.
- Styr 50 GB: Sæt en overvågning/rapport og en intern tærskel ved 40 GB med fast opfølgningsansvar.
- Standardisér klienter: Udrul en kort mobilguide og en standard for New Outlook/klassisk Outlook, så I undgår “det virker kun på min pc”.
