Tel: 70 26 48 50
Opret din support sag       Remote support 

Microsoft 365 shared mailbox: spar licens ved offboarding

Illustration af offboarding hvor en brugers postkasse konverteres til en Microsoft 365 shared mailbox og licensen fjernes

Microsoft 365 shared mailbox: spar licens ved offboarding

Af Sten Albert Person A-one Solutions ·
·
Kategori: Microsoft 365

Betaler I stadig Microsoft 365-licenser for medarbejdere, der er stoppet, fordi I vil beholde mailhistorik og kalender? Mange ender også med en “info@”-konto, der kan logges ind på med et delt password. Med en korrekt proces kan I bevare data, spare licens og lukke et typisk NIS2-problem på én gang.

Key takeaways

  • Spar licens uden datatab: Konvertér en brugers postkasse til en shared mailbox, og fjern licensen bagefter (Microsoft Learn, 2025).
  • Brug 50GB-reglen til budget: Shared mailbox er gratis op til 50GB; over 50GB eller med arkiv kræves Exchange Online Plan 2 (Microsoft Learn, 2025).
  • Luk “direkte login”: Giv adgang via delegering fra personlige MFA-konti, og blokér sign-in på selve postkassen (Microsoft Security Blog, 2024/2025).
  • Retention er ikke backup: Retention policies beskytter mod sletning, men er ikke en uafhængig gendannelsesplan ved ransomware/mass deletion (Gartner, 2024/2025).
  • NIS2 kræver styr på adgange: Offboarding og adgangsrevision på inaktive postkasser skal dokumenteres og håndhæves (ENISA, 2024).

Diagram der viser forskellen på brugerpostkasse, delt postkasse og adgang via delegering

Hvorfor Microsoft 365 shared mailbox er offboardingens “sweet spot”

Når en medarbejder stopper, vil I typisk: (1) lukke adgang med det samme, (2) bevare korrespondance, (3) sikre at kunder stadig får svar. Hvis I bare beholder brugeren licenseret “for en sikkerheds skyld”, betaler I løbende for en identitet, der ikke længere skal eksistere.

Før → Efter (økonomi):
Før: Fratrådt bruger bliver liggende med Business Premium/E3, fordi I er bange for at miste mails.
Efter: Postkassen konverteres til shared mailbox, licensen fjernes, historikken bliver liggende, og adgangen styres via delegation.

Sådan håndterer I Exchange Online offboarding uden at miste mails

Rækkefølgen betyder alt. Brancheanbefalingen er klar: blokér adgang først, og fjern licensen sidst, ellers risikerer I at ramme sletningsflowet for postkassen (JumpCloud/Practical365, 2024/2025).

Tjekliste: Offboarding-rækkefølge (praktisk og sikker)

  1. Blokér sign-in på brugeren (så MFA/Conditional Access stadig kan håndhæves for de aktive konti).
  2. Afslut aktive sessioner og mobile forbindelser (fx ActiveSync) og fjern enheder, der stadig synkroniserer mail.
  3. Konvertér brugerpostkassen til shared mailbox (licensen skal være aktiv under konverteringen) – se Microsoft Learn (2025): Convert a user mailbox to a shared mailbox.
  4. Tildel delegeret adgang (Full Access og evt. Send As/Send on behalf) til de personer/funktioner, der skal håndtere mails fremover.
  5. Fjern licensen når konverteringen er bekræftet, og postkassen fungerer som shared mailbox.
  6. Dokumentér ejerskab og formål (hvem er “owner”, hvorfor skal den bevares, hvornår skal den slettes/arkiveres).

Før → Efter (risiko):
Før: HR beder IT “slette brugeren”, og licensen fjernes først. Postkassen kan ryge ud i en sletteperiode, og I arbejder i panik.
Efter: IT følger en fast offboarding-checkliste, og alle trin kan krydses af og auditeres.

Få et gratis licens-tjek (30 min.)
Vi gennemgår jeres inaktive brugere, shared mailboxes og licenser i Microsoft 365, peger på hurtige besparelser og giver jer en offboarding-standard, der kan dokumenteres. Se også hvordan vi kan drifte og sikre jeres setup under Microsoft 365 og drift/MSP.

Book en gennemgang

Hvordan vælger I mellem gratis og licenskrævende shared mailbox?

Licensreglerne er simple, men bliver ofte blandet sammen i praksis.

Beslutningsregler (50GB vs. 100GB)

Spørgsmål Hvis ja Hvad I gør
Er shared mailbox under 50GB? Typisk gratis Fjern brugerlicensen efter konvertering (Microsoft Learn, 2025).
Er den over 50GB? Kræver licens Tildel Exchange Online Plan 2 til shared mailbox, eller ryd op/arkivér.
Skal In-Place Archive/arkiv bruges? Kræver licens Plan 2 (Microsoft Learn, 2025) eller alternativ arkiveringsstrategi.

Kilde: Microsoft Learn (2025) om About shared mailboxes.

Tabel der illustrerer 50GB-reglen for delt postkasse i Microsoft 365 og hvornår Exchange Online Plan 2 kræves

Sådan sikrer I “info@” og andre delte postkasser mod kompromittering

En shared mailbox er en funktionel postkasse. Den bør ikke være en identitet, nogen kan logge ind på med et password. Microsoft fremhæver direkte login til non-human identities som en typisk angrebsvej (Microsoft Security Blog, 2024/2025).

Kontroller der lukker de klassiske huller

  • Blokér direkte sign-in på shared mailbox-brugeren. Brug kun delegering fra personlige konti med MFA.
  • Slå legacy authentication fra (POP/IMAP/ældgamle protokoller), især på delte postkasser (CISA baseline, 2024).
  • Begræns “Full Access” til dem, der reelt skal kunne læse hele historikken. Review kvartalsvist (NIST Zero Trust, SP 800-207).
  • Auditér mailbox-aktivitet så I kan svare på “hvem læste/slettede hvad” ved en sag (O365 Reports, 2024).
  • Segmentér med Conditional Access for admin-adgang og højrisiko handlinger (læs mere om vores tilgang på IT-sikkerhed).

Fejl der koster jer NIS2-compliance (og skaber intern risiko)

NIS2 lægger vægt på adgangs- og identitetsstyring. Hvis en fratrådt brugers adgang ikke er lukket, eller hvis “info@” deles via password, har I et dokumentationsproblem og en reel risiko (ENISA, 2024).

Mini-audit: 10 minutter pr. delt postkasse

  1. Har postkassen en navngiven owner (funktion/rolle) og et formål?
  2. Er direkte login blokeret?
  3. Er delegeringer (Full Access/Send As/Send on behalf) minimalt sat?
  4. Er auto-forwarding slået fra/forhindret ud af organisationen?
  5. Er audit logging aktivt for postkassen?
  6. Er legacy auth deaktiveret?
  7. Er der retention policy på, der matcher jeres krav (fx sager/HR)?

Hvorfor auto-forwarding er en sikkerhedsrisiko – og hvad I gør i stedet

Automatisk videresendelse af mails ud af huset bliver ofte brugt som “hurtig løsning” ved fratrædelser og funktionspostkasser. Det flytter data ud af jeres kontrol og gør datalæk sværere at opdage og stoppe.

Alternativer der kan styres og auditeres

  • Delegation til shared mailbox: Brugere får adgang via deres egen konto (MFA), og I kan fjerne adgang pr. person.
  • Send on behalf / Send As: Vælg efter behov. Tommelfingerregel: “Send on behalf” er tydeligt for modtageren (”på vegne af”), “Send As” ser ud som afsenderen.
  • Transport rules med governance: Hvis videresendelse er nødvendig, så begræns til godkendte domæner, log og review.

Illustration af sikker mailhåndtering uden auto-forwarding ved brug af delegation og Send on behalf

Hvordan vælger I mellem Microsoft 365 retention policy og rigtig mail-backup?

Retention (fx Litigation Hold/retention policies) handler om at bevare data og kunne finde dem igen. Backup handler om at kunne gendanne data til en tidligere tilstand, også hvis noget bliver slettet eller krypteret i stor skala. Gartner (2024/2025) peger på, at mange virksomheder blander de to ting sammen.

Beslutningsregel

  • Hvis jeres krav er “vi må ikke miste mailhistorik”: Retention kan være nok, hvis den er korrekt sat op og testet.
  • Hvis jeres krav er “vi skal kunne rulle tilbage efter en hændelse”: Planlæg en egentlig Microsoft 365 backup (typisk 3. part) med klare RPO/RTO og testet restore.

FAQ om delt postkasse Microsoft 365

Hvad er en Microsoft 365 shared mailbox, og hvornår giver den mening?

En shared mailbox (delt postkasse) bruges til funktionsmails som info@, support@ og til offboarding, hvor flere skal kunne læse og svare fra samme postkasse uden at dele password.

Kan vi fjerne licensen, når vi konverterer en bruger til delt postkasse?

Ja. Licensen skal være aktiv under selve konverteringen, men kan fjernes bagefter, hvis postkassen ellers opfylder betingelserne (Microsoft Learn, 2025). Tjek især størrelsen (50GB-reglen).

Hvad er Shared mailbox 50GB limit, og hvornår kræver den licens?

Tommelfingerregel: Under 50GB er den typisk gratis. Over 50GB eller hvis I aktiverer arkiv (In-Place Archive), skal postkassen have en Exchange Online Plan 2 licens (Microsoft Learn, 2025).

Hvordan spærrer vi adgang for en fratrådt medarbejder og bevarer mail?

Gør det i denne rækkefølge: blokér sign-in, afbryd mobile/sessioner, konvertér til shared mailbox, giv delegeret adgang til de rette personer, og fjern licensen til sidst. Så bevarer I mailhistorik uden at holde en aktiv brugeridentitet i live.

Hvorfor må man ikke logge direkte ind på en delt postkasse?

Direkte login gør postkassen til en “non-human identity” med ofte svagere kontrol (delte passwords, manglende MFA-disciplin). Brug i stedet delegering fra personlige konti med MFA og blokér sign-in på postkassen (Microsoft Security Blog, 2024/2025).

Er Microsoft 365 retention policy det samme som Microsoft 365 mail backup?

Nej. Retention hjælper med at bevare og finde data, men er ikke en fuld backup, der kan gendanne til et tidligere tidspunkt efter fx ransomware eller mass deletion. Gartner (2024/2025) anbefaler at skelne skarpt mellem retention og backup.

Implementér det i praksis (7 skridt I kan gøre i denne uge)

  1. Kortlæg alle delte postkasser og inaktive brugere i Exchange Online.
  2. Markér postkasser, hvor I stadig betaler licens “for historikkens skyld”.
  3. Indfør offboarding-checklisten som fast proces mellem HR og IT (én side, én rækkefølge).
  4. Konvertér 1–3 fratrådte brugere til shared mailbox som pilot, og fjern licensen bagefter.
  5. Blokér direkte login til alle shared mailboxes, og fjern delte passwords.
  6. Slå legacy authentication fra og auditér delegeringer kvartalsvist (least privilege).
  7. Beslut pr. postkasse: retention-only eller egentlig backup, og test restore mindst én gang.

Hvis I vil have en fast standard, der både sparer licens og kan dokumenteres over for ledelse og revisor, så tag fat i os via kontakt.

Facebook Linkedin

Artikler om Sikkerhed

E-mail sikkerhed er en gratis garanti hos os!

E-mail sikkerhed er en gratis garanti hos os!

Bya-os.dk 07/03/2024
Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Bya-os.dk 10/10/2023

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

Book møde