BitLocker På Windows 11 I SMV'er: Opsætning Og Recovery Keys

22. februar 2026

En mistet laptop er ikke kun et stykke hardware. Det er også kundedata, mails og adgang til systemer. For mange SMV'er i og omkring Århus, Lystrup og Randers er risikoen helt konkret, fordi medarbejdere arbejder mobilt og ofte har data lokalt.

BitLocker Windows 11 gør harddisken ulæselig for andre. Det svarer til at låse et arkivskab, men med en lås der følger maskinen, også når den er slukket. Derfor er BitLocker et af de mest effektive basis-tiltag, når it-sikkerhed skal være praktisk og til at drifte.

Samtidig er BitLocker kun "nemt", hvis recovery keys er styr på. Ellers ender det som en mandagsblokade for både brugere og It-support.

Hvorfor BitLocker giver mening i en SMV (og hvor det typisk går galt)

BitLocker beskytter data "i hvile", altså når enheden er stjålet, tabt eller offline. Det er især relevant for:

Bærbare pc'er til salg, projekt og ledelse.
Stationære pc'er med lokale filer.
Enheder med cachede mails og Teams-filer.
Maskiner der bruges til økonomi, HR eller kundedata.

Mange SMV'er har allerede en del af fundamentet via Microsoft 365. Man har brugere, enheder og identitet samlet ét sted (ofte via Entra ID). Det gør det realistisk at styre kryptering centralt, i stedet for at lade hver pc leve sit eget liv.

Der er dog tre klassiske fejl:

1) BitLocker aktiveres uden plan for recovery key
Så står man pludselig uden adgang, når en BIOS-ændring udløser recovery.

2) Man blander private Microsoft-konti ind i firmamaskiner
Så ender recovery keys i en privat konto, ingen kan tilgå, når en medarbejder stopper.

3) Man udruller uden at tjekke hardwarekrav
BitLocker fungerer bedst med TPM (Trusted Platform Module). Windows 11-krav gør ofte TPM 2.0 til standard, men det skal stadig verificeres.

Hvis man vil sætte det ind i en større sammenhæng, giver denne artikel et godt overblik over lag i sikkerhed for små virksomheder: it-sikkerhedsløsninger til små virksomheder.

Den korte regel er enkel: Kryptering uden nøglehåndtering er som en lås uden reserve-nøgle.

Opsætning af BitLocker Windows 11: sådan får man en stabil standard

A clean, modern vector illustration of an IT admin setting up BitLocker encryption on a Windows 11 laptop in a professional office environment, featuring subtle icons for TPM, encryption shield, and policy checklist. Illustration af opsætning af BitLocker på en Windows 11-enhed, skabt med AI.

Start med at beslutte én standard. Det sparer tid i drift. De fleste SMV'er vælger BitLocker på alle firmabærbare, og ofte også på stationære.

BitLocker findes typisk på Windows 11 Pro og Enterprise. På Windows 11 Home ser man i stedet "Enhedskryptering", som kan være mere begrænset. Derfor giver licensvalget mening at afklare tidligt, især hvis man alligevel køber pc'er til virksomheden.

En praktisk opsætning kan se sådan ud:

  1. Tjek TPM og Secure Boot i BIOS/UEFI, og at TPM er aktiv.
  2. Vælg styring : Intune (for mange Microsoft 365-miljøer) eller Group Policy (klassisk AD).
  3. Vælg krypteringsmetode og om der kræves PIN ved opstart (strammere sikkerhed, men mere friktion).
  4. Sæt policy for recovery key (hvor den gemmes, og hvem der må se den).
  5. Rul ud i pilotgruppe (fx 5-10 enheder), og mål supportbelastning.
  6. Udrul bredt og dokumentér supportflow.

Det er også vigtigt at vælge "silent" udrulning, hvor brugeren ikke skal tage stilling til detaljer. Når folk har travlt, klikker de sig videre. En god standard fjerner beslutninger fra brugerens skærm.

Hvis der er behov for en mere teknisk gennemgang af BitLocker med TPM, kan denne være nyttig: Dells guide til BitLocker med TPM.

I praksis ser man, at opsætningen lykkes, når der er én ejer. Det kan være interne IT-ansvarlige eller eksterne IT-eksperter. Uden ejerskab bliver BitLocker "noget man lige gjorde", og så forsvinder overblikket.

Recovery keys: opbevaring, adgang og en plan der virker i virkeligheden

Clean vector illustration depicting a secure key vault with BitLocker recovery keys, a foreground laptop showing an abstract recovery shield, and subtle cloud storage silhouette on a neutral data center background. Illustration af sikker opbevaring af recovery keys, skabt med AI.

Recovery key er den kode, der låser disken op, hvis Windows ikke kan validere TPM-tilstanden. Det sker oftere end mange tror. For eksempel efter firmwareopdatering, ændringer i Secure Boot, udskiftning af bundkort eller en mislykket opstart.

Derfor handler recovery ikke om "hvis", men om "hvornår". Den gode nyhed er, at man kan designe et flow, så brugeren ikke sidder fast længe.

Først skal nøglerne ligge et sted, virksomheden kontrollerer. Her er de typiske muligheder:

Løsning til recovery keys Fordel Typisk faldgrube
Entra ID/Intune (cloud) Nem adgang for godkendt It-support, audit er muligt Roller og adgang skal sættes stramt
Active Directory (on-prem) Passer i klassiske domæner Glemt synk eller fejl i GPO giver huller
Manuel opbevaring (fx fil) Hurtigt at starte med Høj risiko, ingen sporbarhed

Takeaway: Central opbevaring slår manuelle løsninger, især når virksomheden vokser.

Hvis enheder er tilmeldt Intune, beskriver Microsoft selv processen for at hente nøglen sikkert: Microsofts Intune-vejledning til recovery key.

Et stærkt princip er "least privilege" (mindst mulig adgang). Kun få i It-support bør kunne se recovery keys. Til gengæld skal de kunne gøre det hurtigt, når en direktør står låst ude før et kundemøde.

Hvis recovery keys ikke kan hentes på under 5 minutter, ender det som driftstop, ikke sikkerhed.

Udrulning og drift i SMV: når BitLocker møder hverdagen i Århus, Lystrup og Randers

Clean vector illustration of a small business office with 8 devices connected to a central management dashboard, segmented by departments, overlaid with a compliance shield for BitLocker rollout. Illustration af udrulning på tværs af flere enheder i en SMV, skabt med AI.

Når BitLocker rulles ud i en SMV, bliver governance lige så vigtigt som teknik. Man skal kunne svare på tre spørgsmål, uden at lede i gamle mails:

Hvem ejer politikken?
Hvem må se recovery keys?
Hvad gør vi, når en medarbejder er låst ude?

Her giver det værdi at have en klar aftale om It-support og "hjælp til IT". Det gælder især, når virksomheden ikke har fuldtids-IT internt. Hurtig støtte gør, at kryptering ikke bliver opfattet som en stopklods.

Et simpelt driftsetup fungerer ofte bedst:

Standard for enheder : Nye pc'er leveres med BitLocker aktiveret fra start.
Standard for ændringer : BIOS-opdateringer styres centralt, ikke af brugeren.
Standard for support : Supporten har en verificeringsproces (identitet, enhed, sag).
Standard for offboarding : Når ansatte stopper, fjernes adgang og nøgler håndteres korrekt.

Når en bruger pludselig ser BitLocker recovery-skærmen, skaber det stress. Derfor hjælper det at have en kort brugervejledning klar, og en supportkanal der svarer hurtigt. Denne gennemgang rammer det typiske scenarie: hvad man gør når pc'en beder om en BitLocker-nøgle.

For SMV'er i lokalområdet er det ofte en fordel med en partner, der kan tage både rådgivning og drift. NETDK arbejder typisk med disse opgaver som en samlet pakke, fra udrulning til løbende support, så sikkerhed bliver en del af hverdagen, ikke et særprojekt. Det giver også bedre tempo, når enheder skal klargøres i Århus, eller når en akut sag rammer en bruger i Randers.

Konklusion: BitLocker virker kun, hvis recovery er på plads

BitLocker Windows 11 er en enkel måde at reducere risikoen ved tabte enheder. Effekten kommer hurtigt, men kun hvis opsætning og recovery keys styres centralt. Derfor bør SMV'er koble BitLocker sammen med klare roller, et supportflow og en fast standard i Microsoft 365-miljøet. Når It-support kan hjælpe på minutter, føles sikkerhed som drift, ikke bøvl. Det er præcis der, BitLocker giver mest værdi.