Microsoft 365 governance politik: 1 side der stopper sprawl
Teams og SharePoint vokser hurtigere end jeres overblik. Pludselig ligger der “Zombie Teams” med gamle gæster, ukendt ejerskab og filer ingen længere ved, hvem der må se. Det er ikke bare rod – det er flere aktiver at beskytte og dokumentere. Her får I en Microsoft 365 governance politik på én side, som I kan udrulle uden at stoppe forretningen.
Key takeaways: sådan får I styring uden at kvæle samarbejdet
- Stop sprawl med “Controlled self-service”: Lad brugerne oprette Teams via skabeloner og faste regler – ikke fri leg eller IT-flaskehals.
- Undgå “orphaned groups”: Kræv mindst 2 ejere pr. Team/M365-gruppe og gør ejerskifte til en del af offboarding.
- Luk gæstehuller: Indfør 90-dages gæste-review og dokumentér det som en fast driftopgave (relevant for NIS2 asset management).
- Automatisk oprydning: Brug Group Expiration Policy i Microsoft Entra ID til at få ejere til at forny – ellers udløber og slettes gruppen med gendannelsesvindue.
- Gør Copilot sikrere: Når I arkiverer/sletter gammelt indhold og retter rettigheder, reducerer I risikoen for at Copilot finder og bruger forældede eller overdelte data.
Hvorfor en governance politik i Microsoft 365 også er sikkerhed og compliance
“Workspace sprawl” er en kendt sikkerhedsrisiko: flere arbejdsrum giver større angrebsflade, og glemte Teams kan blive til “ghost sites” med følsomme filer og gamle delinger. Centraleyes peger på SaaS sprawl som en konkret risiko, fordi det skaber uforvaltede områder, ingen kigger i.
NIS2 stiller samtidig krav til risikostyring og aktivstyring (Article 21). Et Team er ikke “bare en chat” – det er et aktiv med identiteter, tilladelser og data. En kort, håndhævelig politik gør det muligt at dokumentere, at I faktisk styrer livscyklus og adgang.
Micro “Før → Efter” #1: Oprettelse
Før: Alle kan oprette Teams, navne varierer, og ingen ved, hvilket Team der er “det rigtige”.
Efter: Brugerne opretter stadig selv, men kun via skabeloner + navngivning. IT håndhæver få regler og får færre support-sager.
Sådan vælger I styringsmodel: self-service, gatekeeper eller kontrolleret
I en dansk SMV er problemet sjældent, at ingen vil samarbejde. Problemet er, at der ikke er aftalt spilleregler, og at IT ikke har tid til manuelt at være “Teams-politi”.
- Ren self-service passer kun, hvis I accepterer sprawl og har stærk efterfølgende oprydning.
- Ren gatekeeper passer, hvis I har høj regulering – men den model skaber typisk skygge-IT, fordi folk finder andre veje.
- Controlled self-service passer til de fleste: brugere kan oprette, men inden for rammer (skabeloner, navngivning, ejerskab, udløb, gæster).
Tjekliste: 1-sides Microsoft 365 governance politik (copy/paste)
Brug teksten her som jeres politik på intranet/SharePoint. Hold den på én side og håndhæv den.
| Område | Regel (beslutningsregel) | Hvad I kigger efter i drift | Sådan håndhæver I (native M365) |
|---|---|---|---|
| Oprettelse | Teams oprettes som udgangspunkt via godkendte skabeloner. Ad hoc kun med tydeligt formål og ejer(e). | Antal nye Teams pr. uge, og hvor mange uden standard-navn/formål. | Begræns oprettelse til en sikkerhedsgruppe + brug skabeloner/processer i jeres Modern Work setup. |
| Navngivning | Navn = [Afdeling]-[Formål]-[Sagsnr/Projekt]. Ingen personnavne, ingen “Test”, ingen “Nyt Team”. | Teams med generiske navne, dubletter, eller “Projekt X (2)”. | Indfør navnestandarder og kommuniker dem i oprettelsesflowet. |
| Ejerskab | Minimum 2 ejere. Én skal være fastansat. Ejer er ansvarlig for medlemmer, gæster og struktur. | Teams med 0–1 ejer, eller ejere der er fratrådt. | Månedlig rapport/audit. Inkludér ejerskifte i offboarding. |
| Gæsteadgang | Gæster er tilladt kun ved konkret samarbejde. Review hver 90. dag; fjern gæster uden aktivt behov. | Gæster uden aktivitet/forretningstilknytning, eller gæster i Teams med følsomt indhold. | Planlagt review-opgave til ejere + IT-kontrol. Log beslutning i en enkel liste (dato, Team, ansvarlig). |
| Aktivitet | Et Team er “aktivt”, hvis der er filændringer eller kanalaktivitet i perioden. Login alene tæller ikke som aktivitet. | Teams uden fil-/kanalaktivitet i 90/180 dage. | Brug rapportering (fx SharePoint-rapportering/administration) til at finde inaktive sites/Teams. |
| Udløb | Alle Teams får udløb (fx 180 eller 365 dage). Ejer fornyer aktivt, ellers lukkes Teamet. | Teams der ikke bliver fornyet, og hvor ingen reagerer på ejermails. | Microsoft Entra ID Group Expiration Policy (Microsoft Learn beskriver flowet inkl. soft-delete gendannelse). |
| Arkiv vs. slet | Slet sociale/engangs-Teams. Arkivér projekter der kan få revisions-/driftsbehov. | Teams uden formål, eller projekter uden afslutningsdato. | Definér 2-3 kategorier og standard-håndtering. Brug retention hvor det er relevant. |
| Rettigheder | Standard = mindst mulige rettigheder. Del links med målgruppe, ikke “Alle med link”. | Overdelte mapper, mange unikke permissions, eksterne delinger uden owner-kontrol. | Brug M365/SharePoint indstillinger og løbende audits. SAM kan hjælpe med at finde oversharing-trends. |
Micro “Før → Efter” #2: Oprydning
Før: Årlig manuel “forårsrengøring”, som aldrig bliver færdig, fordi ingen kan finde ejere og formål.
Efter: Udløb og ejermails kører løbende. Kun undtagelser kræver IT-tid, og I får en dokumentérbar livscyklus.
Vil I have politikken gjort operationel på 30 dage?
Vi hjælper jer med en kort governance-workshop, opsætning af Group Expiration Policy i Entra ID og en driftstjekliste, så I kan håndhæve reglerne uden ekstra hovedpine. Start med 30 min sparring, eller se hvordan vi arbejder med drift/MSP og compliance.
Sådan sætter I Group Expiration op uden at skabe kaos
Group Expiration Policy er en af de mest effektive “set-and-forny”-mekanismer i Microsoft 365. Microsoft beskriver, at ejere får notifikationer før udløb, og at grupper kan gendannes i en periode efter sletning (soft-delete). Brug det som sikkerhedsnet – ikke som et våben.
Praktiske tommelfingerregler
- Start med 365 dage hvis I har lav modenhed. Skru ned til 180 dage, når navngivning og ejerskab sidder.
- Undtagelser skal være få: fx HR/ledelse, fælles driftsteams eller systemnære Teams.
- Kommunikér før I tænder: “Hvis ingen fornyer, bliver Teamet lukket.” Det skal ikke komme som en overraskelse.
- Test på en pilot: vælg én afdeling og 10–20 Teams, mål støj (hvor mange mails/spørgsmål) og justér.
Fejl der koster jer tid, risiko og Copilot-kvalitet
- “Ejerskab er IT’s ansvar”: IT kan ikke vurdere, hvem der må se en projektmappe. Ejerrollen skal ligge i forretningen.
- 1 ejer pr. Team: når personen stopper, ender I med oprydning uden beslutningstager.
- Gæster uden kalender: “vi husker det” bliver aldrig til review. Sæt en fast 90-dages rytme.
- Ingen forskel på arkiv og slet: I beholder støj for evigt, eller I sletter noget, der burde bevares.
- Copilot før oprydning: Work Trend Index 2025 peger på, at AI bliver en del af arbejdet. Hvis jeres data er rodet og overdelte, bliver svarene og risikoen derefter.
FAQ: Microsoft 365 governance i praksis
Hvad er governance i Microsoft 365?
Governance er de konkrete regler og kontroller, der styrer oprettelse, navngivning, ejerskab, adgang, livscyklus og oprydning i Microsoft 365 (Teams, SharePoint, grupper). Målet er færre risici og mindre driftstid.
Hvordan laver man en Microsoft 365 governance politik, som folk faktisk følger?
Hold den på én side, og bind den til handling: skabeloner ved oprettelse, krav om 2 ejere, fast gæste-review og automatisk udløb. Hvis reglerne ikke kan håndhæves i drift, bliver de ikke fulgt.
Hvordan sletter man inaktive Teams automatisk?
Brug Group Expiration Policy i Microsoft Entra ID til at sætte udløb på Microsoft 365-grupper (som Teams er bygget på). Ejerne får besked og skal forny. Hvis de ikke fornyer, udløber gruppen og kan typisk gendannes i en kort periode (soft-delete) ifølge Microsoft Learn.
Hvem skal kunne oprette Teams i en SMV?
Vælg typisk “Controlled self-service”: en udvalgt brugergruppe kan oprette Teams, men kun via godkendte skabeloner og navnestandard. Hvis I har høj risiko eller mange fejl, start small og udvid efter 4–8 uger.
Skal man have to ejere på et Team?
Ja som standard. To ejere er den billigste måde at undgå “orphaned groups” ved ferie, sygdom og fratrædelser. Regel: én ejer må gerne være faglig, den anden kan være teamleder/superbruger.
Er Microsoft Teams omfattet af NIS2?
NIS2 retter sig mod organisationers risikostyring og aktivstyring (Article 21). Et Team er et aktiv, der kan indeholde følsomme oplysninger og eksterne brugere. En livscyklus-politik og dokumenterede reviews hjælper jer med at vise kontrol.
Bedste praksis for SharePoint rettigheder i hverdagen?
Hold jer til standardgrupper (ejere/medlemmer/besøgende), undgå mange unikke tilladelser, og stop deling med “alle med link” på områder med intern eller følsom information. Auditér oversharing løbende, og brug rapportering til at prioritere de værste områder først.
Sådan implementerer I politikken de næste 10 arbejdsdage
- Kortlæg jeres nuværende Teams/SharePoint-sites: hvem ejer hvad, og hvor er der gæster?
- Beslut jeres navngivning og 2-ejer-regel. Skriv det ind i 1-sides politikken (brug tabellen ovenfor).
- Definér 2–3 kategorier for arkiv vs. slet (fx Social, Projekt, Drift) med klar standard-håndtering.
- Udrul 90-dages gæste-review: lav en simpel proces (liste + ansvar + dato) og læg den i driftkalenderen.
- Aktivér Group Expiration på en pilot (10–20 Teams). Test, mål støj, justér undtagelser.
- Skalér til resten af organisationen og kør månedlig audit: Teams uden 2 ejere, Teams med mange gæster, Teams uden aktivitet.
- Dokumentér beslutningerne (politik + audits). Det er jeres bevis for styring – både internt og ift. compliance.
Kilder: Microsoft Learn: Configure expiration policy for Microsoft 365 groups · NIS2 Directive, Article 21 · Microsoft Tech Community: Transforming Content Management 2024/25 · Centraleyes: SaaS Sprawl Security Risks · Microsoft: Work Trend Index 2025
