Microsoft Intune for SMB: Styr pc’er og mobiler uden en IT-afdeling
·
Kategori: IT-sikkerhed
En medarbejder mister sin bærbare på toget. En nyansat venter tre dage på at få sin pc sat op. En tidligere kollega har stadig firmamails på sin private iPhone. Tre scenarier, som Microsoft Intune for SMB løser centralt – og som jeres M365 Business Premium-licens allerede dækker.
Det vigtigste fra denne artikel
- I betaler sandsynligvis allerede for Intune – M365 Business Premium inkluderer fuld MDM. Aktivér det, og I får central styring af alle enheder uden ekstra licenskøb.
- Windows Autopilot sparer 1–2 timer pr. ny pc – send maskinen direkte fra leverandør til medarbejder, og lad Intune klare opsætningen (Microsoft Tech Community, 2026).
- BYOD kræver MAM, ikke MDM – beskyt firmadata på private mobiler uden at røre medarbejderens private fotos.
- Compliance-rapporter kører automatisk – dokumentér kryptering, patch-niveau og skærmlås til NIS2 og GDPR uden manuelt arbejde.
- Mistet enhed = 2 minutters fjernhandling – slet firmadata remote, før det bliver et datalæk.

Hvorfor Microsoft Intune er standardvalget for mindre virksomheder
Intune administrerer over 200 millioner enheder globalt og sidder på ca. 37 % af MDM-markedet (Enlyft, 2026). For jer som dansk SMB betyder det tre ting:
- Ingen niche-risiko. I binder jer ikke til en lille leverandør, der kan lukke eller ændre vilkår. Intune er Microsofts egen platform og integrerer direkte med Entra ID, Defender og hele M365-stakken.
- Licensen er inkluderet. Har I M365 Business Premium, har I allerede Intune. Mange SMB’er betaler for det uden at bruge det – og kører i stedet manuel opsætning af hver eneste pc.
- Cloud-first uden lokal server. EU’s cybersikkerhedsagentur ENISA anbefaler cloud-baseret MDM som den mest praktiske vej for SMB’er til at opnå compliance uden dyr lokal infrastruktur (ENISA).
Før: Kontorchefen henter pc’en i Elgiganten, bruger en halv dag på at installere programmer, og medarbejderen venter.
Efter: Pc’en sendes direkte fra leverandør til medarbejderens adresse. Autopilot installerer apps, sikkerhedspolitikker og VPN-profiler automatisk. Medarbejderen er produktiv på under 30 minutter.
Sådan virker Autopilot-opsætning i praksis
Windows Autopilot er Intunes onboarding-motor. Pc’en registreres hos Microsoft med et hardware-ID, og når medarbejderen tænder den første gang, henter den automatisk jeres virksomhedsprofil.
Konkret sker der følgende:
- Medarbejderen logger ind med sit arbejds-login (Entra ID).
- Intune pusher sikkerhedspolitikker: BitLocker-kryptering, Windows Hello, firewall-regler.
- Nødvendige apps installeres i baggrunden – Teams, Office, branchespecifikke værktøjer.
- Compliance-tjekket kører automatisk. Består enheden ikke, blokeres adgangen til firmadata via Conditional Access.
Ifølge Microsofts egne data reducerer Autopilot IT-tidsforbruget med 1–2 timer pr. enhed (Microsoft Tech Community, 2026). Ved 20 nyansatte om året er det op til 40 sparede IT-timer – tid, som kontorchefen eller jeres MSP-partner kan bruge bedre.
Hvordan vælger I mellem MDM og MAM til private mobiler?
Her opstår det største dilemma for mange SMB’er: medarbejderne bruger deres private iPhone til firmamails, men vil ikke have, at virksomheden kan se deres private billeder. Forståeligt nok.
Intune tilbyder to tilgange:
| Funktion | MDM (fuld enhedsstyring) | MAM (app-beskyttelse) |
|---|---|---|
| Hvem ejer enheden? | Virksomheden | Medarbejderen (BYOD) |
| Hvad styrer I? | Hele enheden: wifi, VPN, kamera, apps | Kun firmaapps: Outlook, Teams, OneDrive |
| Kan I se private data? | Ja (potentielt) | Nej – kun firmadata i containeren |
| Remote wipe | Sletter alt på enheden | Sletter kun firmadata og -apps |
| Krav fra NIST SP 800-124 | Opfyldt fuldt | Opfyldt via containerization |
Tommelfingerregel: Brug MDM til virksomhedsejede enheder. Brug MAM til private mobiler. NIST kræver streng adskillelse af privat- og firmadata på BYOD-enheder – og MAM leverer præcis det (NIST SP 800-124 Rev.2).

Før: En medarbejder stopper, og firmamails ligger stadig på den private telefon i uger, fordi ingen husker at fjerne adgangen.
Efter: HR markerer brugeren som fratrådt i Entra ID. Intune MAM sletter automatisk firmadata fra Outlook og Teams på den private mobil – uden at røre private fotos eller apps. Tid brugt: under 2 minutter.
Udnytter I jeres M365 Business Premium-licens fuldt ud? Mange SMB’er betaler allerede for Intune uden at have aktiveret det. Book et gratis Intune-tjek hos A-one Solutions – vi kortlægger jeres enheder og viser, hvilke sikkerhedspolitikker I kan aktivere med det samme.
Tjekliste: 7 skridt til en sikker Intune-opsætning for jeres virksomhed
Brug denne tjekliste som udgangspunkt – uanset om I gør det selv eller lader en MSP som A-one håndtere det.
- Auditér jeres enhedslandskab. Kortlæg alle pc’er, mobiler og tablets. Notér: virksomhedsejet eller privat? Windows, macOS, iOS eller Android?
- Verificér jeres licens. Tjek i M365 Admin Center, om I har Business Premium. Har I Standard, mangler I Intune og Defender – og det er en opgradering værd.
- Aktivér Intune-enrollment. Forbind Intune til Entra ID. Sæt automatisk enrollment op, så nye enheder registreres ved første login.
- Definér compliance-politikker. Minimum: BitLocker-kryptering, skærmlås efter 5 min., krav om seneste sikkerhedsopdatering. Intunes compliance-motor blokerer automatisk enheder, der ikke overholder reglerne, via Conditional Access (Wintive, 2026).
- Opsæt MAM-politikker for BYOD. Konfigurér App Protection Policies for Outlook, Teams og OneDrive. Håndhæv PIN-kode på app-niveau og forbyd copy-paste fra firmaapps til private apps.
- Registrér hardware til Autopilot. Bed jeres leverandør om at uploade hardware-ID’er direkte til Intune. Så er næste pc klar til Zero Touch-deployment.
- Test og dokumentér. Kør en pilot med 3–5 enheder. Verificér, at compliance-rapporterne viser korrekt status. Gem rapporterne – I får brug for dem til NIS2-dokumentation.

Sådan dokumenterer I NIS2-krav med Intune
NIS2 kræver, at I kan dokumentere jeres tekniske sikkerhedsforanstaltninger. For endpoints betyder det bevis for kryptering, patch-management og adgangskontrol.
Intune leverer dette automatisk:
- Compliance-dashboard: Realtidsoverblik over hvilke enheder der overholder jeres politikker – og hvilke der ikke gør.
- Patch-rapporter: Dokumentation af, hvornår hver enhed sidst blev opdateret.
- Conditional Access-logs: Bevis for, at ikke-compliant enheder blev blokeret fra firmadata.
- BitLocker-recovery-nøgler: Centralt gemt i Entra ID, klar til audit.
CISA anbefaler centraliseret patch-management og MDM som absolut minimum for virksomheder med over 10 ansatte (CISA). Med Intune opfylder I det krav og får dokumentationen med i købet.
FAQ: Microsoft Intune for SMB
Kræver Microsoft Intune en lokal server?
Nej. Intune er 100 % cloud-baseret og kører via Entra ID. I behøver ikke en lokal Active Directory-server. Har I stadig en, kan I køre hybrid – men målet bør være ren cloud.
Hvad koster Intune for en SMB?
Intune er inkluderet i M365 Business Premium (ca. 185 kr./bruger/måned). Har I allerede den licens, betaler I ikke ekstra for MDM. Intune Suite-tilvalg koster mere, men kerne-MDM dækker de fleste SMB-behov (Alchemy Tech Group, 2026).
Kan medarbejderne se, at vi overvåger deres private mobil?
Med MAM (App Protection) styrer I kun firmaapps – ikke den private del af telefonen. I kan ikke se private billeder, beskeder eller apps. Medarbejderen ser kun, at Outlook og Teams kræver en ekstra PIN.
Hvad sker der, hvis en pc bliver stjålet?
I logger ind i Intune-portalen og vælger “Remote Wipe”. Pc’en nulstilles til fabriksindstillinger ved næste internetforbindelse. BitLocker-kryptering beskytter data i mellemtiden.
Virker Intune med Mac og iPhone?
Ja. Intune understøtter Windows, macOS, iOS og Android. Compliance-politikker og MAM fungerer på tværs af platforme.
Kan vi selv sætte Intune op, eller skal vi bruge en partner?
I kan teknisk set gøre det selv via M365 Admin Center. Men fejlkonfigurerede politikker kan låse medarbejdere ude eller efterlade huller i sikkerheden. En MSP med Intune-erfaring sætter det op korrekt første gang og drifter det løbende.
Hvordan hjælper Intune med NIS2-compliance?
Intune genererer automatisk compliance-rapporter for kryptering, patch-niveau og adgangskontrol. De rapporter kan I bruge direkte som dokumentation ved en NIS2-audit.
Tre skridt I kan tage i denne uge
- Tjek jeres licens. Log ind på admin.microsoft.com → Fakturering → Jeres produkter. Står der “Microsoft 365 Business Premium”, har I Intune. Aktivér enrollment under endpoint.microsoft.com.
- Kortlæg jeres enheder. Lav en simpel liste: enhedstype, ejer (firma/privat), operativsystem. Det tager 30 minutter og er grundlaget for jeres politikker.
- Book en gennemgang med en specialist. Kontakt A-one Solutions for et gratis Intune-tjek. Vi viser jer, hvilke sikkerhedspolitikker I kan aktivere med det samme – og hvad der kræver en plan.