Tel: 70 26 48 50
Opret din support sag Support ikon      Remote support TeamViewer logo

Microsoft Intune for SMV’er: Styr enheder sikkert fra kontor og hjem

IT-administrator styrer firmatelefoner og laptops via Microsoft Intune dashboard

Microsoft Intune for SMV’er: Styr enheder sikkert fra kontor og hjem

Af Sten Albert Person A-one Solutions ·
·
Kategori: IT-sikkerhed

Jeres medarbejdere logger ind på Teams fra private telefoner, åbner SharePoint på en Mac derhjemme og gemmer filer lokalt på en laptop, der ikke er opdateret i tre måneder. Hvis I ikke styrer de enheder centralt, har I reelt ingen kontrol over, hvor jeres firmadata ender. Microsoft Intune – som allerede er inkluderet i Microsoft 365 Business Premium – giver jer den kontrol uden at kræve en stor IT-afdeling.

Det vigtigste fra denne artikel

  • MAM beskytter data, MDM styrer enheden: Vælg MAM til private telefoner, så I sikrer firmadata uden at røre medarbejderens private billeder.
  • Conditional Access er jeres dørvogter: Blokér adgang til M365, hvis enheden mangler opdateringer eller antivirus – uanset om brugeren har korrekt kodeord.
  • Mac’er er ikke længere et blindt punkt: macOS LAPS og Platform SSO i Intune giver jer samme kontrol over Apple-enheder som over Windows.
  • Autopatch fjerner manuel patching: Hotpatching er nu standard og installerer sikkerhedsopdateringer uden genstart – kritisk for hjemmearbejdspladser.
  • Offboarding med ét klik: Slet firmadata selektivt fra en fratrådt medarbejders enhed, uanset hvor i verden den befinder sig.

Sammenligning af MAM og MDM enhedsstyring i Microsoft Intune

Hvorfor brugernavn og kodeord ikke er nok: Conditional Access i praksis

En medarbejder får phishet sit kodeord. Angriberen logger ind fra en ukendt enhed uden antivirus. Uden Conditional Access får vedkommende fuld adgang til jeres mailboks, SharePoint og OneDrive.

Med Conditional Access i Intune sætter I regler, der tjekker enhedens tilstand før adgang gives. Enheden skal være krypteret, opdateret og registreret i Intune. Ellers: ingen adgang. Det er Zero Trust i praksis – og det anbefales direkte af både CISA og ENISA (EU’s cybersikkerhedsagentur).

Før: Medarbejdere logger ind fra vilkårlige enheder. IT har ingen synlighed over, om maskinen er opdateret.
Efter: Conditional Access blokerer automatisk adgang fra enheder, der ikke opfylder jeres compliance-politikker. Resultatet: kun godkendte, opdaterede enheder rammer jeres data.

Sådan vælger I mellem MAM og MDM til private telefoner

Det er her, de fleste SMV’er går galt. De ruller fuld MDM (Mobile Device Management) ud på medarbejdernes private telefoner – og skaber modstand. Medarbejderne frygter overvågning, og med god grund: MDM giver IT kontrol over hele enheden.

Alternativet hedder MAM (Mobile Application Management). Med MAM styrer I kun de apps, der indeholder firmadata – Outlook, Teams, OneDrive. Medarbejderens private apps, billeder og beskeder forbliver urørte.

NIST anbefaler i SP 800-124 Rev. 2 netop containerisering (MAM) frem for fuld enhedsstyring på private enheder.

Tommelfingerregel

  • Firmabetalt enhed → MDM. I ejer enheden, I styrer enheden.
  • Privat enhed (BYOD) → MAM. I styrer kun firmaapps og kan fjernslette firmaindhold uden at røre det private.

Før: Medarbejdere nægter at tilmelde private telefoner, fordi de tror IT kan se deres SMS’er.
Efter: MAM-politikker beskytter firmadata i Outlook og Teams, mens medarbejderen beholder fuld kontrol over resten af telefonen. Adoption stiger, og sikkerheden forbedres.

Er jeres BYOD-setup sikkert? Vi gennemgår jeres Intune-opsætning og viser, om I udnytter MAM, Conditional Access og Autopatch korrekt. Book et gratis 30-minutters Intune-tjek her.

Mac i Microsoft-land: Nye funktioner lukker sikkerhedshullet

Mange SMV’er har 5-15 Mac’er i et ellers Windows-domineret miljø – typisk hos kreative, udviklere eller ledelsen. Historisk har de været svære at styre via Intune. Det har ændret sig markant.

Tre funktioner I skal kende

  1. macOS LAPS: Intune roterer nu automatisk lokale admin-passwords på Mac’er. Ingen delte admin-koder mere (Devicie, opdateret 2026).
  2. Platform SSO: Mac-brugere registreres automatisk ved enrollment – ingen ekstra login-trin (Devicebase, maj 2026).
  3. Recovery Lock: IT sætter et centralt styret password på recovery-tilstand, så en bruger ikke kan omgå firmastyring ved at geninstallere macOS (Prajwal Desai, marts 2026).

Mac-computer styret via Microsoft Intune med Platform SSO og LAPS

Tjekliste: 10 krav til jeres Intune-opsætning

Brug denne tjekliste til at auditere jeres nuværende setup – eller som kravspecifikation, hvis I starter fra nul.

# Krav Hvad I kigger efter
1 Alle enheder registreret i Intune Ingen “unmanaged” enheder tilgår M365-data
2 Conditional Access aktiveret Blokér adgang fra non-compliant enheder
3 MAM-politikker på BYOD Firmadata i container – privat data urørt
4 MDM-politikker på firmaenheder BitLocker/FileVault aktiv, kryptering håndhævet
5 Windows Autopatch aktiveret Hotpatching slået til – minimér genstarter
6 macOS LAPS konfigureret Admin-passwords roteres automatisk
7 Compliance-politikker defineret Min. OS-version, antivirus påkrævet, kryptering påkrævet
8 Inaktive enheder ryddet op Enheder inaktive i 12+ mdr. ekskluderet fra rapporter
9 Offboarding-procedure dokumenteret Selektiv wipe klar til brug inden for 1 time
10 Rapportering til ledelsen Månedlig compliance-score synlig for beslutningstagere

Tjekliste til Microsoft Intune opsætning for SMV med ti krav

Windows Autopatch: Stop med at jagte opdateringer manuelt

Hjemmearbejdspladser er berygtede for at udskyde Windows-opdateringer. Medarbejderen klikker “Remind me later” i ugevis, og maskinen kører med kendte sårbarheder.

Windows Autopatch løser det. Fra maj 2026 er hotpatching standard på Autopatch-enheder (Microsoft Learn, april 2026). Det betyder, at sikkerhedsopdateringer installeres i baggrunden uden genstart. Medarbejderen mærker det ikke. Sårbarheden lukkes samme dag.

For SMV’er uden dedikeret IT-team er det forskellen mellem at håbe, folk opdaterer – og at vide, de gør.

Offboarding-fælden: Slet firmadata fra fratrådte medarbejdere

En medarbejder siger op fredag. Mandag starter vedkommende hos en konkurrent. Outlook, Teams og OneDrive ligger stadig på den private telefon. Hvad gør I?

Med Intune MAM kører I en selektiv wipe. Firmaapps og -data slettes. Private billeder, apps og beskeder forbliver. Det tager under ét minut, og det virker uanset om enheden er i Danmark eller på ferie i Thailand.

Uden den procedure har I et compliance-problem – og potentielt et datalæk.

Ofte stillede spørgsmål om Microsoft Intune for SMV’er

Kræver Microsoft Intune en separat licens?

Nej, hvis I har Microsoft 365 Business Premium. Intune er inkluderet. Avancerede funktioner som Cloud PKI kræver Intune Suite (tillægslicens).

Kan medarbejderne se, hvad vi gør på deres private telefon?

Med MAM (Application Management) kan I kun se og styre firmaapps. I har ingen adgang til private billeder, SMS’er eller browserhistorik.

Virker Intune på Mac’er?

Ja. Fra 2026 understøtter Intune macOS LAPS, Platform SSO og Recovery Lock. I får samme kontrolniveau som på Windows-enheder.

Hvad er forskellen på MAM og MDM i Intune?

MDM styrer hele enheden (kryptering, OS-opdateringer, fjernlåsning). MAM styrer kun firmaapps og -data. Brug MDM til firmaenheder og MAM til private enheder (BYOD).

Hvordan hjælper Intune med NIS2-compliance?

Intune dokumenterer krypteringsstatus, patchniveau og adgangskontrol på alle endpoints. Det giver jer den evidens, NIS2 kræver for endpoint-sikkerhed.

Hvor lang tid tager det at rulle Intune ud i en SMV?

For en virksomhed med 20-80 enheder: regn med 2-4 uger fra planlægning til fuld udrulning. Start med compliance-politikker og Conditional Access, og tilføj Autopatch og MAM i uge 2-3.

Hvad sker der, hvis en enhed ikke overholder vores politikker?

Conditional Access blokerer adgang til M365-data. Brugeren får en besked om, hvad der skal rettes (fx opdatér OS eller aktiver kryptering), og får adgang igen, når enheden er compliant.

Sådan kommer I i gang: 5 konkrete skridt

  1. Kortlæg jeres enheder: Lav en liste over alle enheder (Windows, Mac, iOS, Android), der tilgår M365. Notér, hvilke der er firmabetalt, og hvilke der er private.
  2. Definér compliance-politikker: Sæt minimumskrav i Intune: OS-version, kryptering aktiv, antivirus kørende. Tildel politikkerne til alle enheder.
  3. Aktivér Conditional Access: Opret en politik, der blokerer adgang til Exchange Online, SharePoint og Teams fra non-compliant enheder.
  4. Rul MAM ud til BYOD: Konfigurér app-beskyttelsespolitikker for Outlook, Teams og OneDrive på private telefoner. Test med en pilotgruppe på 5-10 brugere først.
  5. Slå Autopatch til på Windows-enheder: Aktivér hotpatching, og overvåg compliance-scoren ugentligt den første måned. Justér politikker efter behov.

Har I brug for hjælp til opsætningen? Book et gratis Intune-tjek, så gennemgår vi jeres enhedssikkerhed og viser, om I udnytter jeres Microsoft 365-licenser fuldt ud.

Facebook Linkedin

Artikler om Sikkerhed

E-mail sikkerhed beskytte din virksomheds kommunikation mod phishing og svindel

E-mail sikkerhed er en gratis garanti hos os!

Bya-os.dk 07/03/2024
Mand arbejder koncentreret ved computer med fokus på Microsoft 365 Backup sikkerhed

Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Bya-os.dk 10/10/2023

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

Book møde
IT support firma medarbejder hjælper erhvervskunde med teknisk løsning

Skal vi tage et kig på jeres IT?

Skriv jer op — vi kontakter dig inden for én arbejdsdag med en uforpligtende vurdering?