Microsoft Intune for SMB: Få styr på enheder og spar tid

Microsoft Intune dashboard der viser enhedsoversigt for en dansk SMB-virksomhed

Microsoft Intune for SMB: Få styr på enheder og spar tid

Af Sten Albert Person A-one Solutions ·
·
Kategori: Microsoft 365

Jeres kontorchef bruger en halv dag på at sætte en ny PC op, hver gang I ansætter. Samtidig betaler I allerede for Microsoft Intune via jeres M365 Business Premium-licens — uden at bruge det. Det svarer til at have en tyverialarm installeret, men aldrig tænde den. Denne guide viser, hvordan I aktiverer Intune, automatiserer PC-opsætning med Windows Autopilot og sikrer firmadata på medarbejdernes telefoner.

Det vigtigste fra denne guide

  • I betaler allerede: Microsoft Intune er inkluderet i M365 Business Premium. Aktivér det, og I får fuld enhedsstyring uden ekstra licensomkostninger.
  • Automatisk onboarding: Med Windows Autopilot kan nye PC’er sendes direkte fra leverandør til medarbejder — klar til brug uden at IT rører hardwaren.
  • Firmadata på private telefoner: MAM-politikker (Mobile Application Management) beskytter jeres data på medarbejdernes egne mobiler, uden at I kan se deres private billeder.
  • Fjernsletning på 2 minutter: Mister en medarbejder sin telefon, kan I slette firmadata øjeblikkeligt fra Intune-portalen.
  • NIS2-krav opfyldt: Intune fungerer som automatisk asset management og giver jer det enhedsoverblik, NIS2 kræver.

Illustration af Windows Autopilot-flowet fra leverandør direkte til medarbejderens skrivebord

Hvorfor bruger de fleste SMB’er ikke det Intune, de betaler for?

De fleste danske virksomheder med 10–100 medarbejdere har M365 Business Premium. Licensen inkluderer Intune, men mange bruger kun Word, Excel og Outlook. Resten ligger uberørt.

Årsagen er typisk den samme: Ingen intern IT-afdeling, og ingen der ved, hvor man starter. Resultatet er manuel opsætning af PC’er, ingen kontrol over mobiler og nul overblik over, hvilke enheder der har adgang til virksomhedens data.

Før: Kontorchefen bruger 3–4 timer pr. ny PC på at installere apps, konfigurere mail og sætte sikkerhedsindstillinger manuelt.
Efter: Med Autopilot logger medarbejderen ind med sit Entra ID, og PC’en konfigurerer sig selv på under 30 minutter — inkl. apps, sikkerhedspolitikker og kryptering.

Ifølge BizTech Magazine (2024) eliminerer Autopilot behovet for, at IT fysisk rører ved hardwaren. PC’er kan sendes direkte fra leverandøren til medarbejderens hjemmeadresse.

Sådan virker Microsoft Intune i praksis: MDM vs. MAM

Intune har to grundlæggende tilstande. Forstår I forskellen, kan I vælge den rigtige tilgang for hver enhedstype.

MDM — fuld enhedsstyring (firmaejede enheder)

MDM (Mobile Device Management) giver jer fuld kontrol over enheden. I kan håndhæve kryptering, styre opdateringer, installere apps og fjernslette hele enheden. Brug MDM til firmaejede PC’er, laptops og telefoner.

MAM — datastyring (private telefoner / BYOD)

MAM (Mobile Application Management) styrer kun firmaapps og -data på medarbejderens private telefon. I kan slette Outlook-data og Teams-filer uden at røre private feriebilleder eller WhatsApp-beskeder. Brug MAM, når medarbejdere bruger egne enheder til arbejdsmail.

NIST SP 800-124 Rev. 2 anbefaler netop denne adskillelse af privat og arbejdsdata som en grundpille i moderne mobilsikkerhed.

Sammenligning af MDM og MAM i Microsoft Intune til firmaejede og private enheder

Tjekliste: 7 trin til jeres første Intune-opsætning

Denne tjekliste er bygget til virksomheder uden dedikeret IT-afdeling. Hvert trin kan gennemføres i samarbejde med en MSP-partner eller internt, hvis I har en teknisk kontaktperson.

Trin Handling Hvad I kigger efter
1 Verificér jeres licens i M365 Admin Center Tjek at “Microsoft Intune” står under jeres Business Premium-abonnement
2 Aktivér automatisk MDM-enrollment i Entra ID Under Entra ID → Mobility (MDM and MAM) → sæt scope til “All” eller en specifik gruppe
3 Opret en compliance-politik for Windows Kræv BitLocker-kryptering, minimum OS-version og PIN-kode ved login
4 Opret en MAM-politik for iOS/Android Kræv PIN til Outlook/Teams, bloker copy-paste til private apps, aktivér fjernsletning af firmadata
5 Registrér jeres hardware-leverandør til Autopilot Leverandøren uploader hardware-ID’er direkte til jeres Intune-tenant
6 Test med én pilot-PC og én pilot-mobil Gennemfør hele flowet: unboxing → login → apps installeret → compliance-status grøn
7 Udrul til alle enheder og dokumentér jeres baseline Eksportér enhedslisten fra Intune — den fungerer som jeres asset register (relevant for NIS2-compliance)

Er I i tvivl om, hvorvidt jeres M365-licens dækker Intune? Vi gennemgår jeres licensopsætning på 15 minutter og viser præcis, hvad I allerede har adgang til. Book et gratis licens-tjek her.

Windows Autopilot v2: Sådan onboarder I medarbejdere uden at røre PC’en

Autopilot v2 (Device Preparation) er den nyeste version af Microsofts zero-touch-opsætning. Forskellen fra den gamle version er markant.

Før (traditionel opsætning): IT modtager PC’en, pakker den ud, installerer Windows-image, konfigurerer apps, tester og sender videre. Typisk 2–4 timer pr. enhed.
Efter (Autopilot v2): Leverandøren sender PC’en direkte til medarbejderen. Medarbejderen tænder den, logger ind med sit arbejds-ID, og Intune installerer op til 10 kritiske apps automatisk under den første opstart. Medarbejderen er klar på under 30 minutter.

Ifølge CIAOPS’ guide til Autopilot v2 (2025) bør I altid sætte brugere som standardbrugere (ikke lokal administrator) under opsætningen. Det reducerer risikoen for ransomware markant.

Medarbejder der tænder en ny laptop og logger ind via Windows Autopilot uden IT-hjælp

Fjern lokal-admin og stop ransomware med Endpoint Privilege Management

En af de mest oversete funktioner i Intune Suite er Endpoint Privilege Management (EPM). I stedet for at give medarbejdere permanent lokal-admin-adgang — som åbner døren for malware — kan I med EPM give midlertidige rettigheder til specifikke handlinger.

Eksempel: En medarbejder skal installere en godkendt printer-driver. Med EPM godkender I handlingen i 5 minutter, hvorefter rettighederne automatisk fjernes igen. Ingen permanent admin-adgang. Ingen åben dør for angribere.

CISA fremhæver, at SMB’er rammes uforholdsmæssigt hårdt af ransomware, og at fjernelse af unødvendige admin-rettigheder er et af de mest effektive forsvar.

Mistet telefon? Sådan sletter I firmadata på 2 minutter

En medarbejder mister sin telefon i toget. Hvad gør I?

  1. Log ind på intune.microsoft.com
  2. Find enheden under “Devices” → søg på medarbejderens navn
  3. Vælg “Retire” (fjerner kun firmadata) eller “Wipe” (nulstiller hele enheden, kun for firmaejede)
  4. Bekræft handlingen — firmadata slettes inden for minutter, næste gang enheden er online

Med MAM-politikker på private telefoner fjerner “Retire” kun Outlook-data, Teams-filer og andre firmaapps. Private billeder, apps og beskeder forbliver urørte.

Ofte stillede spørgsmål om Microsoft Intune for SMB

Kræver Microsoft Intune en separat licens?

Nej, ikke hvis I har M365 Business Premium. Intune er inkluderet i licensen. Har I M365 Business Basic eller Standard, skal I købe Intune som tilføjelse (Intune Plan 1) eller opgradere til Premium.

Kan Intune styre både Windows, Mac og mobiler?

Ja. Intune er en Unified Endpoint Management-platform, der understøtter Windows, macOS, iOS og Android fra samme portal. I behøver ikke separate værktøjer.

Hvad er forskellen på MDM og MAM i Intune?

MDM styrer hele enheden (firmaejede). MAM styrer kun firmaapps og -data (private enheder/BYOD). Brug MDM til PC’er og firmaejede telefoner. Brug MAM til medarbejdernes egne mobiler.

Kan medarbejderne se mine private data, hvis min telefon er i Intune MAM?

Nej. Med MAM kan virksomheden kun se og administrere firmaapps (Outlook, Teams, OneDrive). Private apps, billeder og beskeder er usynlige for IT-administratoren.

Hvordan hjælper Intune med NIS2-compliance?

NIS2 kræver et overblik over alle enheder med adgang til virksomhedens data (asset management). Intune genererer automatisk en enhedsliste med OS-version, compliance-status og krypteringsstatus. Eksportér listen som jeres asset register.

Hvad er Windows Autopilot, og hvad koster det?

Autopilot er en cloud-baseret opsætningsmetode, der konfigurerer nye PC’er automatisk ved første login. Det er inkluderet i M365 Business Premium — ingen ekstra omkostning. Jeres hardware-leverandør skal blot uploade enhedens hardware-ID til jeres Intune-tenant.

Kan vi starte med Intune i det små og udvide senere?

Ja. Start med én compliance-politik for Windows og én MAM-politik for mobiler. Test på en pilotgruppe (fx 3–5 brugere). Udrul derefter til resten af virksomheden, når I har valideret flowet.

Næste skridt: Sådan kommer I i gang denne uge

  1. Tjek jeres licens: Åbn M365 Admin Center og verificér, at Intune er aktivt under jeres Business Premium-abonnement.
  2. Aktivér MDM-enrollment: Sæt automatisk enrollment op i Entra ID, så nye enheder registreres automatisk.
  3. Opret to basispolitikker: Én compliance-politik for Windows (kryptering + opdateringer) og én MAM-politik for mobiler (PIN + fjernsletning).
  4. Test med én enhed: Kør hele flowet igennem med én PC og én mobil, før I udrulller bredt.
  5. Kontakt jeres hardware-leverandør: Bed dem registrere fremtidige PC’er til Autopilot, så næste onboarding er automatisk.
  6. Book en Intune-gennemgang med A-one Solutions: Vi hjælper jer med opsætning, politikker og løbende drift — så I kan fokusere på jeres forretning i stedet for PC-opsætning.

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

IT support firma medarbejder hjælper erhvervskunde med teknisk løsning

Skal vi tage et kig på jeres IT?

Skriv jer op — vi kontakter dig inden for én arbejdsdag med en uforpligtende vurdering?