De 5 Microsoft 365 sikkerhedsindstillinger de fleste overser

Microsoft 365 er kraftfuldt — men det er ikke sikkert ud af kassen. Standardkonfigurationen prioriterer brugervenlighed frem for sikkerhed, og det efterlader mange virksomheder med et åbent angrebsflade, de ikke er klar over. Her er de fem indstillinger, vi oftest ser manglende, når vi gennemgår en ny kundes miljø.

De grundlæggende sikkerhedslag

1. MFA for alle brugere — uden undtagelser

Multifaktorgodkendelse er den enkeltforanstaltning, der forhindrer flest kompromitteringer. Ifølge Microsofts egne tal blokerer MFA over 99 % af automatiserede kontoangreb. Og alligevel ser vi jævnligt M365-miljøer, hvor MFA kun er aktiveret for administrative konti — eller slet ikke er slået til.

Aktiver MFA for alle brugere via Microsoft Entra ID (tidl. Azure AD) under Security Defaults eller via Conditional Access-politikker. SMS-baseret MFA er bedre end ingenting, men authenticator-app med push-notifikationer er klart at foretrække. FIDO2-nøgler er guldstandarden for administrative konti.

2. Bloker legacy-godkendelse

Legacy authentication-protokoller som IMAP, POP3 og ældre SMTP-forbindelser understøtter ikke moderne MFA. En angriber der bruger disse protokoller, kan omgå din MFA fuldstændig — selv hvis den er aktiveret. Det er ikke en teoretisk risiko; det er en aktiv angrebsmetode.

Bloker legacy authentication via en Conditional Access-politik, der nægter adgang fra klienter der bruger disse ældre protokoller. Tjek først i dit sign-in log i Entra ID om nogen brugere eller systemer stadig benytter dem — typisk er det ældre printere, scannere eller lokale mailklienter der skal opgraderes eller reconfigureres.

Adgangskontrol og privilegier

3. Conditional Access-politikker

Conditional Access er M365's motor for intelligent adgangskontrol. I stedet for at lade alle logge ind fra alle steder til enhver tid, kan du definere betingelser: kræv MFA fra ukendte lokationer, bloker login fra lande din virksomhed aldrig opererer i, kræv at enheden er managed og compliant, eller kræv ekstra verifikation ved adgang til følsomme applikationer.

En simpel startpolitik er at kræve MFA fra alle ikke-trusted lokationer og blokere login fra geografier, der er irrelevante for din virksomhed. Disse politikker findes under Entra ID → Protection → Conditional Access og kræver minimum Microsoft Entra ID P1-licens, som er inkluderet i Business Premium.

4. Dedikerede administrative konti

Det er en udbredt vane at bruge sin sædvanlige arbejdskonto — den du bruger til Teams-møder og e-mail — til at administrere M365-tenanten. Det er en sikkerhedsrisiko. Hvis den konto kompromitteres via phishing eller malware, har angriberen øjeblikkeligt global admin-adgang til hele lejeren.

Opret i stedet dedikerede administrative konti uden Exchange-mailboks, der udelukkende bruges til administrative opgaver. Disse konti skal have MFA, stærke adgangskoder og bør ideelt set kun bruges fra trusted, hardened enheder. Daglig arbejdskonto og admin-konto bør aldrig være den samme.

Synlighed og sporbarhed

5. Unified Audit Log aktiveret

Microsoft 365 kan logge næsten alt — hvem har logget ind hvornår, hvem har delt hvilke filer, hvem har slettet e-mails, hvornår en mailregel er oprettet. Men denne logning er ikke altid aktiveret som standard, og uden den er du blind, hvis en hændelse opstår.

Unified Audit Log aktiveres i Microsoft Purview Compliance Portal → Audit. Kontrollér at det er slået til og at logperioden er sat til mindst 90 dage — gerne 180 dage eller mere, da mange angreb opdages lang tid efter det faktiske brud. Audit-loggen er dit primære efterforskningsværktøj og dokumentationskilde ved et sikkerhedsbrud.

Disse fem indstillinger er ikke komplekse at implementere, og de fleste kan sættes op på en eftermiddag. Alligevel ser vi konsekvent, at de mangler — selv hos virksomheder der ellers investerer i IT. Gennemgå dem i dag, og din M365-tenant er markant bedre beskyttet end den var i morges.