Jeres medarbejdere bruger stadig SMS-koder eller godkendelsesanmodninger til at logge ind i Microsoft 365. Det virkede fint i 2022. I dag omgår AI-genererede phishing-angreb den type MFA på under ti sekunder. Skiftet til passwordless login med Passkeys i Entra ID lukker hullet – og sparer jeres helpdesk for hundredvis af password-resets om året.

Det vigtigste I tager med

• SMS og push-MFA er ikke phishing-resistent. Skift til Passkeys (FIDO2) i Entra ID for at stoppe Adversary-in-the-Middle-angreb.
• Password-resets sluger supporttid. Ifølge Forrester (2025) udgør de op til 30 % af alle helpdesk-henvendelser. Passwordless fjerner problemet.
• NIS2 kræver dokumenteret MFA. Conditional Access-politikker i Entra ID giver jer den logning og rapportering, en revisor forventer.
• Passkeys er klar nu. Microsoft understøtter synkroniserede passkeys på tværs af enheder via Authenticator, iCloud Keychain og Google Password Manager (Microsoft Entra, marts 2026).
• Udrulning tager uger, ikke måneder. Start med en pilotgruppe, brug Temporary Access Pass som fallback, og udvid gradvist.

Hvorfor SMS og push-MFA ikke længere beskytter jer

Ifølge Microsofts Digital Defense Report mangler 99,9 % af kompromitterede konti stærk MFA. Det tal har ikke ændret sig. Det, der har ændret sig, er angrebsmetoderne.

AI-drevet phishing skaber nu overbevisende login-sider, der opsnapper jeres SMS-kode eller push-godkendelse i realtid – et såkaldt Adversary-in-the-Middle (AiTM) angreb. Angriberen sidder mellem jer og Microsoft, og jeres engangskode bliver brugt, før I når at blinke.

CISA (2025) anbefaler derfor phishing-resistant MFA – konkret FIDO2/Passkeys – for alle privilegerede brugere. NIST SP 800-63B fraråder direkte SMS-baseret MFA til kritisk adgang.

Før: Medarbejder modtager SMS-kode → indtaster den → AiTM-angreb opsnapper koden → konto kompromitteret.
Efter: Medarbejder godkender med passkey via fingeraftryk → kryptografisk binding til Microsofts server → phishing-angreb fejler, fordi der ikke er nogen kode at opsnappe.

Sådan virker Passkeys i Microsoft Entra ID

En passkey er en kryptografisk nøgle, der bor på jeres enhed – telefon, laptop eller en fysisk FIDO2-sikkerhedsnøgle. Når I logger ind, beviser enheden jeres identitet via biometri (fingeraftryk eller ansigtsgenkendelse) eller en PIN. Der sendes aldrig en kode, der kan opsnappes.

Microsoft Entra ID understøtter tre typer passwordless login:

• Microsoft Authenticator Passkeys – synkroniserede passkeys på iOS og Android.
• FIDO2-sikkerhedsnøgler – fysiske USB/NFC-nøgler (fx YubiKey). Ideel til delte arbejdsstationer eller højprivilegerede konti.
• Windows Hello for Business – enhedsbundet passkey via fingeraftryk, ansigt eller PIN på Windows-enheder.

Siden marts 2026 understøtter Entra ID også synkroniserede passkeys fra iCloud Keychain og Google Password Manager. Det betyder, at medarbejdere med private Apple- eller Android-enheder kan bruge passkeys uden ekstra hardware.

Med den nye passkey profiles-funktion kan I oprette forskellige politikker pr. brugergruppe: fx synkroniserede passkeys til standardbrugere og hardware-nøgler til administratorer (Microsoft Message Center, MC1097225).

Tjekliste: Udrulning af passwordless login i 5 trin

Denne plan er designet til SMV’er med 20–200 brugere og begrænset intern IT.

Trin	Handling	Hvad I kigger efter
1	Kortlæg jeres nuværende MFA-dækning. Træk en sign-in-rapport i Entra ID og identificér konti uden MFA.	Konti med “MFA not enforced” – især admin-konti og konti med adgang til følsomme data.
2	Aktivér passkeys i Authentication Methods. Opret passkey-profiler: én for standardbrugere (synkroniserede passkeys tilladt) og én for admins (kun hardware FIDO2-nøgler).	At profilerne er målrettet de rigtige sikkerhedsgrupper i Entra ID.
3	Konfigurér Conditional Access. Opret en politik, der kræver “Phishing-resistant MFA” authentication strength for admin-roller og kritiske apps.	At legacy-protokoller (IMAP, POP3) er blokeret – de understøtter ikke MFA.
4	Kør en pilot med 5–10 brugere. Vælg en blanding af teknisk stærke og mindre tekniske medarbejdere. Udsted Temporary Access Pass (TAP) som fallback.	Login-succes-rate, antal supporthenvendelser og brugerfeedback efter 2 uger.
5	Udrul til alle og deaktivér password-login. Kommunikér ændringen 2 uger før. Tilbyd en 15-minutters walk-through pr. afdeling.	At ingen konti falder tilbage til kun password. Monitorér sign-in logs dagligt den første uge.

Før: IT-afdelingen bruger 8–10 timer om måneden på password-resets og låste konti.
Efter: Passwordless eliminerer password-resets. Forrester (2025) estimerer ROI inden for 6–9 måneder alene på sparet supporttid.

NIS2 og adgangskontrol: Hvad revisoren forventer at se

NIS2 (Direktiv 2022/2555) kræver, at virksomheder i scope dokumenterer deres adgangskontrol. Artikel 21 nævner specifikt MFA, privilegeret adgangsstyring og logning (Smart Integrity Platform, NIS2 Compliance Guide 2026). Selv hvis I ikke er direkte i scope, kan jeres kunder eller leverandører kræve det via supply chain-bestemmelserne.

Entra ID giver jer de rapporter, en revisor har brug for:

• Sign-in logs: Hvem loggede ind, hvornår, med hvilken metode, fra hvilken lokation.
• MFA-dækningsrapport: Procentdel af konti med aktiv MFA – og hvilke der mangler.
• Conditional Access-politikker: Eksportér jeres politikker som dokumentation for risikobaseret adgangskontrol.
• Privileged Identity Management (PIM) logs: Hvem aktiverede admin-roller, hvornår og hvor længe.

Opret en dedikeret SharePoint-mappe til NIS2-dokumentation. Gem kvartalsvise access reviews, Conditional Access-eksporter og PIM-aktiveringslogge der. Det sparer jer timer, når revisoren banker på.

Hvad gør I, når en medarbejder mister sin enhed?

Den største bekymring ved passwordless er: “Hvad hvis telefonen forsvinder?” Svaret hedder Temporary Access Pass (TAP) i Entra ID.

TAP er en tidsbegrænset engangskode, som IT udsteder til medarbejderen. Den gælder fx 1 time og kan kun bruges én gang. I den tid registrerer medarbejderen en ny passkey på sin nye enhed.

Processen:

1. Medarbejder melder enheden mistet til IT (eller jeres MSP).
2. IT deaktiverer den gamle passkey i Entra ID og udsteder en TAP.
3. Medarbejder logger ind med TAP og registrerer en ny passkey.
4. TAP udløber automatisk. Ingen permanent kode eksisterer.

Hav desuden mindst to break-glass-konti – nødkonti med stærke passwords gemt i en fysisk safe – til situationer, hvor MFA-infrastrukturen selv er nede.

Ofte stillede spørgsmål om passwordless login i Microsoft 365

Kræver passwordless login en bestemt Microsoft 365-licens?

Passkeys via Microsoft Authenticator og FIDO2-nøgler virker med alle Entra ID-planer, inkl. den gratis. Conditional Access og PIM kræver Entra ID P1 eller P2, som er inkluderet i Microsoft 365 Business Premium.

Kan vi bruge passwordless login, hvis vi har ældre systemer, der kun forstår passwords?

Ja. Kør passwordless på alle cloud-apps i M365 og behold password + MFA på legacy-systemer som en overgangsløsning. Brug Conditional Access til at håndhæve forskellige politikker pr. applikation.

Hvad koster en FIDO2-sikkerhedsnøgle?

En YubiKey 5-serie koster ca. 350–500 kr. pr. styk. For de fleste medarbejdere er synkroniserede passkeys via Authenticator gratis og tilstrækkelige. Reservér hardware-nøgler til administratorer og brugere uden smartphone.

Er passkeys det samme som MitID?

Nej. MitID er borger-identitet til offentlige tjenester og banker. Passkeys i Entra ID er jeres virksomheds-login til Microsoft 365 og tilknyttede apps. De to systemer er helt adskilte.

Hvor lang tid tager det at udrulle passwordless til 50 medarbejdere?

Regn med 2–4 uger: 1 uge til opsætning og pilot, 1–2 uger til udrulning i bølger, og 1 uge til opfølgning. Med en erfaren IT-partner kan det gå hurtigere.

Opfylder passkeys NIS2-kravet om MFA?

Ja – og mere end det. NIS2 kræver MFA som minimum. Passkeys er phishing-resistant MFA, hvilket overstiger minimumskravet og giver jer stærkere dokumentation ved audit.

Hvad sker der, hvis Microsoft Authenticator er nede?

Passkeys er kryptografisk bundet til enheden, ikke til Authenticator-appen som tjeneste. Selv hvis Microsofts push-service er nede, virker en lokal passkey eller FIDO2-nøgle stadig. Break-glass-konti dækker worst case.

Tre skridt I kan tage i denne uge

1. Træk en MFA-dækningsrapport i Entra ID. Gå til Entra admin center → Protection → Authentication methods → Activity. Identificér konti uden MFA – prioritér admin-konti.
2. Aktivér passkeys som authentication method. Opret en passkey-profil for en testgruppe på 5 brugere. Lad dem registrere en passkey via Authenticator og test login i 1 uge.
3. Opret en Conditional Access-politik for phishing-resistant MFA. Målret den mod jeres admin-roller og mest kritiske apps. Kør den i “Report-only” mode først, så I ser effekten uden at låse nogen ude.

Har I brug for hjælp til opsætningen? Kontakt os – vi hjælper danske virksomheder med sikker identitetsstyring i Microsoft 365 hver dag.