Tel: 70 26 48 50
Opret din support sag       Remote support 

Mobilstyring erhverv uden overvågning: MDM vs MAM

Medarbejder bruger Outlook og Teams på privat iPhone og Android med firmadata adskilt fra privat indhold

Mobilstyring erhverv uden overvågning: MDM vs MAM

Af Sten Albert Person A-one Solutions ·
·
Kategori: IT-sikkerhed

En fratrådt sælger kan stadig have kundemails i Outlook på sin private telefon. En håndværker kan scanne en QR-kode på en byggeplads og lande på et phishing-link. I kan løse begge dele uden at overtage medarbejderens mobil. Her får I en praktisk model til mobilstyring i erhverv, der beskytter firmadata og samtidig respekterer privatliv.

Key takeaways: sådan får I mobilstyring uden “Big Brother”

  • Vælg MAM til BYOD: Beskyt data i Outlook/Teams uden at indrullere hele enheden (Intune App Protection).
  • Brug MDM kun når I ejer enheden: COPE/shared devices kræver enhedskrav, opdateringer og låse-politikker.
  • Håndhæv adgang uden bøvl: Kræv skærmlås/biometri og blokér usikre enheder via Conditional Access + “conditional launch”.
  • Stop data-læk ved fratrædelse: Brug selective wipe til kun at fjerne firmadata – ikke private billeder.
  • Reducer smishing/quishing-risiko: Aktivér Microsoft Defender for Endpoint på iOS/Android til link-beskyttelse i SMS/QR.

Illustration af forskellen på MDM (styring af enhed) og MAM (styring af firmadata i apps)

Hvordan vælger I mellem MDM og MAM (MDM vs MAM) i praksis?

Det hurtigste valgkriterie er ejerskab og risikoprofil. Mange danske SMB’er ender i et blandet miljø: BYOD til videnarbejdere og COPE eller fælles tablets til drift/frontline.

MDM (Mobile Device Management): når I skal styre selve telefonen

MDM giver jer kontrol over enheden: krav til OS-version, kryptering, enhedscertifikater, Wi‑Fi/VPN-profiler, begrænsninger og fuld wipe. Det er relevant, når I ejer enheden, eller når konsekvensen ved tab er høj (fx adgang til produktionssystemer).

MAM (Mobile Application Management): når I kun vil styre firmadata

MAM handler om at beskytte data i udvalgte apps (typisk Outlook, Teams, OneDrive) uden MDM-indrullering. Microsoft kalder det MAM without enrollment i Intune. Det er ofte den bedste løsning til BYOD, fordi I kan håndhæve sikkerhed i arbejdsapps uden at få adgang til privat indhold.

Beslutningsregel: Hvis medarbejderen betaler telefonen selv, så start med MAM. Hvis I betaler og udleverer, så brug MDM (COPE) og suppler med MAM i apps.

Hvad kan IT se på en BYOD-mobil med Intune?

Det er her projekter ofte går i stå. Med MAM (App Protection) kan I typisk ikke se private billeder, private SMS’er, browserhistorik eller GPS-historik. I kan derimod se og håndhæve forhold omkring arbejdsapps: om appen er beskyttet, om der er sat PIN/biometri til arbejdscontaineren, og om firmadata må kopieres ud.

Med MDM kan I administrere enheden bredt, og så udvides synligheden (fx enhedsmodel, OS-version, compliance-status). Derfor er det vigtigt at vælge MAM til BYOD, hvis målet er “sikkerhed uden overvågning”.

Tjekliste: Intune App Protection (MAM) til sikker BYOD i 2026

Denne tjekliste tager udgangspunkt i Microsofts App protection policies og de typiske fejlpunkter vi ser i SMB. Brug den som audit før I ruller ud.

Kontrol Hvad I sætter Hvad I kigger efter i drift
Adgang til arbejdsapps Kræv app-PIN eller biometri (Face ID/Fingerprint) til Outlook/Teams Brugere kan åbne mail uden ekstra login efter første SSO, men ikke uden skærmlås
Data-læk via copy/paste Blokér copy/paste fra arbejdsapps til private apps Test: kopier tekst fra Outlook → privat Notes/WhatsApp skal fejle
Gemning og deling Tillad kun gemning til OneDrive/SharePoint (ikke lokal privat storage) Test: “Gem vedhæftning” må kun tilbyde firmalagring
Conditional launch Blokér adgang hvis enheden er kompromitteret (jailbreak/root) eller uden minimumskrav Overvåg blokerede logins og håndtér undtagelser via helpdesk-proces
Selektiv wipe Konfigurér mulighed for at fjerne kun firmadata ved fratrædelse/tab Drift: HR/IT kan dokumentere udført wipe samme dag som offboarding
OS-krav (via adgangspolitik) Kombinér med Conditional Access: bloker gamle OS-versioner Rapportér hvilke brugere/enheder der falder under minimum og planlæg opgradering

Før → Efter #1
Før: Offboarding = “Husk at logge ud af Outlook” (ingen kontrol).
Efter: Offboarding = HR lukker konto + IT kører selective wipe på arbejdsapps og dokumenterer det i sagen. Firmadata er væk, privat indhold er urørt.

Skærmbillede-lignende illustration af selective wipe, hvor kun firmadata fjernes fra Outlook og Teams

Sådan lukker I de typiske huller: Wi‑Fi, phishing og QR-koder

Mobilbrud handler oftere om menneskelige fejl end avanceret hacking (Verizon Mobile Security Index, 2025/26). Det betyder, at jeres bedste effekt kommer af at reducere fejlmuligheder.

3 konkrete kontroller der virker i SMB

  1. Conditional Access for Microsoft 365: Kræv MFA/biometri og bloker logins fra risikable forhold (fx ukendte enheder uden beskyttelse). Det understøtter en Zero Trust-tilgang på mobilen.
  2. Defender for Endpoint på iOS/Android: Slå beskyttelse mod ondsindede links til, også når de kommer via SMS eller QR (smishing/quishing) (Microsoft Security Blog).
  3. SSO og færre logins: Brug moderne login-flow (passkeys/biometri hvor muligt) så brugeren ikke “gemmer” adgangskoder eller genbruger dem.

Før → Efter #2
Før: Brugere åbner vedhæftninger i private apps og videresender til privat mail for at “kunne finde dem”.
Efter: Vedhæftninger kan kun gemmes i OneDrive/SharePoint, og copy/paste ud af arbejdsapps er blokeret. Data flytter sig ikke ud af jeres kontrol.

Få et Mobile Security Check på 30 min.
Vi gennemgår jeres Microsoft 365/Intune-opsætning for BYOD: MAM-politikker, Conditional Access, offboarding-flow og rapportering. I får en prioriteret liste med 5–10 konkrete rettelser og hvem der skal gøre hvad. Kontakt os via /kontakt.

Fejl der koster tid (og konflikter) i mobilstyring

  • I ruller MDM ud til BYOD uden at have forklaret privatliv: Brugerne siger nej, eller finder workarounds. Start med MAM og en kort BYOD sikkerhedspolitik, der beskriver præcist hvad IT kan/ikke kan se.
  • I mangler en “wipe-politik” for fratrådte: Verizon peger på et stort gap i SMB. Løs det med et offboarding-tjekpunkt: “konto lukket” + “selective wipe udført”.
  • I beskytter kun enheden, men ikke identiteten: Mobilen er primært en adgangsvej til Microsoft 365. Prioritér Conditional Access, MFA/biometri og risikobaserede regler før ekstra apps.
  • I overser fælles tablets: Hvis I har shared iPads i drift/håndværk, kræver det en anden model (ofte MDM + strammere sessionstyring og app-udvalg).

Tjekliste på papir ved siden af firmatelefon, der viser offboarding og sikkerhedschecks

Hvordan dokumenterer I mobilkontrol til compliance og GDPR?

Til GDPR og flere sikkerhedskrav handler det sjældent om at “se alt”, men om at kunne dokumentere kontrol: hvem har adgang, hvilke krav håndhæver I, og hvad gør I ved fratrædelse og tab. NIST SP 800-124 Rev. 2 anbefaler containerisering i BYOD og krav om kryptering af data-at-rest; i praksis kan I bruge MAM/MDM-politikker og rapporter som dokumentation.

Hold dokumentationen enkel:

  • En kort BYOD sikkerhedspolitik (1–2 sider) med formål, afgrænsning, og hvordan selective wipe fungerer.
  • Et offboarding-flow (HR + IT) med tidsfrist samme dag og logning i ticket.
  • En månedlig kontrol af compliance-rapport: blokerede logins, enheder uden skærmlås, og apps uden beskyttelse.

Hvis I vil samle det, ligger vores ydelser typisk under /it-sikkerhed og /compliance, hvor vi også hjælper med drift (MSP) af politikkerne efter udrulning.

FAQ: mobilstyring, BYOD og Intune

Hvad er mobilstyring erhverv, og hvad skal det minimum indeholde?

Minimum er: krav til login (MFA/biometri), beskyttelse af firmadata i mail/Teams (MAM), og et offboarding-flow med selective wipe. Hvis I også har firmatelefoner, tilføj MDM-krav til OS-opdatering og enhedskryptering.

Kan vi fjerne firmadata fra en privat mobil uden at slette private billeder?

Ja, hvis I bruger Intune App Protection (MAM) kan I lave selective wipe, som fjerner virksomhedsdata i arbejdsapps. Det er en god standard for BYOD og reducerer konflikter ved fratrædelse.

MDM vs MAM: hvad vælger vi til sælgere med private iPhones og Android?

Vælg MAM som udgangspunkt. Brug MDM kun hvis I skal styre enheden (COPE) eller hvis data/krav gør det nødvendigt. Tommelfingerregel: BYOD = MAM først, firmabetalt = MDM + MAM.

Hvad må arbejdsgiver se på min mobil med Intune?

Med MAM kan arbejdsgiver typisk kun håndhæve og se status for arbejdsapps og firmadata (fx om appen er beskyttet). Private fotos, private beskeder og privat browserhistorik er normalt ikke synlige via MAM. Hvis enheden er MDM-indrullet, kan der være mere enhedsinfo og flere styringsmuligheder, så afklar altid om det er MAM eller MDM der bruges.

Hvilken licens kræver det her – og hvad betyder “Intune pris” i praksis?

Intune følger ofte med Microsoft 365 Business Premium. “Intune pris” afhænger af jeres nuværende licenser og om I også vil have Defender for Endpoint på mobilen. Beslutningsregel: Hvis I kører Microsoft 365 Standard og har BYOD-risiko, så regn Business Premium igennem før I køber enkeltstående tillægsprodukter.

Skal vi vælge Android Enterprise vs iOS indrullering?

Hvis I bruger MDM på firmatelefoner: brug Android Enterprise på Android og Apple’s standard iOS/iPadOS-indrullering. Hvis I primært kører BYOD med MAM, bliver OS-valget mindre afgørende, fordi kontrollen ligger i apps og adgangspolitikker.

Hvordan kobler vi Microsoft Endpoint Manager guide og drift/MSP på uden at det bliver tungt?

Hold det til få politikker, mål efterlevelse månedligt, og automatisér offboarding. Lad en MSP/driftspartner eje ændringsstyring: nye apps, undtagelser, rapportering og løbende justering når Microsoft 365 ændrer standarder. Det giver færre “brandøvelser”.

Sådan kommer I i gang de næste 10 arbejdsdage

  1. Kortlæg enhedstyper: BYOD vs COPE vs shared devices, og hvilke apps der bruges til firmadata (Outlook/Teams/OneDrive).
  2. Lav 1 BYOD-regelbog: Skriv præcist hvad I håndhæver (MAM) og hvad I ikke kan se. Få HR med på teksten.
  3. Byg MAM-politikken i Intune: PIN/biometri, blokér copy/paste ud, begræns gemning, og slå conditional launch til.
  4. Stram adgang med Conditional Access: Kræv MFA/biometri, bloker gamle OS-versioner, og håndhæv beskyttede apps til Microsoft 365.
  5. Definér offboarding: Ticket-skabelon: luk konto + selective wipe + dokumentation samme dag.
  6. Pilotér med 5–10 brugere: Test copy/paste, vedhæftninger, SSO og supportflow. Justér før fuld udrulning.
  7. Sæt månedlig kontrol: Gennemgå rapporter for blokerede logins og manglende efterlevelse, og luk undtagelser.
Facebook Linkedin

Artikler om Sikkerhed

E-mail sikkerhed er en gratis garanti hos os!

E-mail sikkerhed er en gratis garanti hos os!

Bya-os.dk 07/03/2024
Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Bya-os.dk 10/10/2023

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

Book møde