Guide til Conditional Access i Microsoft 365, 7 policies der stopper de fleste angreb
En IT-administrator, der arbejder med adgangskontrol og overblik, skabt med AI.
Et password er som en nøgle, der ofte bliver kopieret uden man opdager det. Spørgsmålet er ikke, om nogen prøver, men om de kan komme ind.
Conditional Access Microsoft 365 er den ekstra lås, der afgør, om en login-situation ser “normal” ud. Hvis ikke, skal brugeren bevise mere, eller også bliver adgang stoppet.
For en SMV handler det om drift og økonomi. Hvis økonomi-teamet mister adgang til mail, eller en sælger får sin konto misbrugt til falske fakturaer, rammer det hurtigt bundlinjen.
Sådan virker Conditional Access i Microsoft Entra ID (kort og praktisk)
Conditional Access ligger i Microsoft Entra ID (tidligere Azure AD). Det er en policy-motor, der kører “hvis, så”-regler på login. Det kan være: Hvis login kommer fra ukendt land, så kræv MFA. Hvis enheden ikke er compliant, så blokér.
De typiske byggesten er:
- Hvem : brugere, grupper, admin-roller, gæster (B2B).
- Hvad : cloud apps (fx Exchange Online, SharePoint, Teams, Azure Management).
- Betingelser : device state, lokation, sign-in risk, client apps.
- Kontrol : kræv MFA, kræv compliant device, blokér, eller styr session.
To begreber er værd at have styr på i 2026:
- Authentication Strengths : vælg styrken på MFA (fx phishing-resistant for admins).
- Legacy authentication : gamle login-metoder (basic auth) uden moderne sikkerhed, de bør blokeres konsekvent.
Microsofts officielle ramme er beskrevet i Microsofts overblik over Conditional Access.
Et simpelt flow fra login til adgang eller blokering, skabt med AI.
Overblik: 7 policies de fleste SMV’er bør starte med
De her 7 policies er ikke “alt”. De er et solidt fundament, som ofte stopper de mest almindelige angreb: password-spraying, token-tyveri, legacy auth-angreb og login fra kompromitterede enheder.
Når man bygger dem, er det en god idé at følge Microsofts struktur for policy-design. Se Sådan bygger du Conditional Access policies.
En oversigtstavle med syv policy-områder, skabt med AI.
| Policy (navn) | Mål | Vigtigste betingelser | Kontrol | Risiko den mitigérer |
|---|---|---|---|---|
| 1) Block legacy authentication | Stop gamle klienter | Client apps = legacy | Block access | Basic auth-angreb |
| 2) MFA for alle brugere | Hæve bundniveau | Alle cloud apps | Require MFA (Authentication Strength) | Konto-overtagelse |
| 3) Phishing-resistant MFA for admins | Beskyt privilegerede roller | Admin roles, alle apps | Require phishing-resistant strength | Admin-kompromis |
| 4) Kræv compliant device til M365 | Stop “ukendte pc’er” | Device = compliant/hybrid joined | Grant kun hvis compliant | Data-læk via private enheder |
| 5) Block high-risk sign-ins | Stop mistænkelig adfærd | Sign-in risk = High | Block access | Automatiserede angreb |
| 6) Stram lokation for økonomi og ledelse | Beskyt følsomme funktioner | Named locations, udvalgte apps | Require MFA, evt. compliant | Direktørsvindel, fakturasvindel |
| 7) Session controls for web | Begræns session-tyveri | Browser sessions | Sign-in frequency, disable persistent | Stjålne tokens/sessions |
1) Block legacy authentication (skal med tidligt)
Legacy authentication omgår mange moderne kontroller. Den lever stadig i gamle mail-klienter og integrationer. Når den er blokeret, tvinges alt over på modern auth.
Kopiér og tilpas
- Users : All users (pilot først)
- Apps : All cloud apps
- Conditions : Client apps = Other clients (legacy)
- Control : Block access
- Exclusions : Break-glass konti
2) Kræv MFA for alle brugere med Authentication Strengths
MFA er stadig den mest effektive “friktion”, når et password er lækket. Vælg en passende Authentication Strength, så brugere ikke ender på SMS, hvis I kan undgå det.
Kopiér og tilpas
- Users : All users
- Apps : Microsoft 365 apps
- Conditions : Any location, any device
- Control : Require MFA (standard strength)
- Exclusions : Break-glass konti, evt. servicekonti (helst ingen)
3) Phishing-resistant MFA for admin-roller
Admin-konti er målet, fordi de giver genvej til alt. Her bør kravet være stærkere, fx FIDO2 eller certificate-based auth via Authentication Strengths.
Kopiér og tilpas
- Users : Directory roles (admins)
- Apps : All cloud apps
- Conditions : Any device, any location
- Control : Require phishing-resistant MFA
- Exclusions : Break-glass konti (separat overvåget)
4) Kræv compliant enhed for adgang til Microsoft 365
Det her er klassikeren til SMV: Salg kan godt logge på fra hotellet, men ikke fra en privat pc uden styring. Compliant betyder typisk Intune-managed med baselines (kryptering, PIN, opdateringer).
Kopiér og tilpas
- Users : All users (start med “Office workers”)
- Apps : SharePoint, OneDrive, Exchange, Teams
- Conditions : Device = compliant eller hybrid joined
- Control : Grant kun hvis compliant
- Exclusions : Nødscenarier, godkendte VDI-løsninger
Remote arbejde med MFA og enhedskrav, skabt med AI.
5) Block high-risk sign-ins (risiko-baseret stopklods)
Når Entra vurderer et login som “High” risiko, bør standarden være blokering. Det passer især til SMV, hvor falske logins ofte kommer i bølger.
Kopiér og tilpas
- Users : All users
- Apps : All cloud apps
- Conditions : Sign-in risk = High
- Control : Block access
- Exclusions : Break-glass konti, testbrugere
6) Stram lokation for økonomi, ledelse og ekstern adgang
Økonomi og ledelse bliver ofte ramt af “betaling nu”-svindel. En enkel regel kan være: Hvis CFO eller bogholder logger ind uden for EU, så stop. En anden: Kun tillad adgang til betalingsflow fra kendte lokationer (kontor/VPN).
Kopiér og tilpas
- Users : Økonomi, ledelse, evt. salg med høj risiko
- Apps : Exchange, SharePoint, evt. Azure Management
- Conditions : Named locations (kontor, VPN)
- Control : Require MFA, evt. compliant device
- Exclusions : Rejsebrugere med godkendt proces
7) Session controls der begrænser skaden ved stjålne sessioner
Hvis et token eller en browser-session bliver stjålet, hjælper det at forkorte “hvor længe login varer”. Det giver lidt mere login-frekvens, men mindre skade.
Kopiér og tilpas
- Users : All users (eller kun web)
- Apps : Office 365
- Conditions : Browser
- Control : Sign-in frequency (fx 8-12 timer), disable persistent browser
- Exclusions : Kiosker, særlige driftssystemer
Sikker udrulning: Report-only, monitorering og 2 break-glass konti
En god udrulning handler om at undgå lockout. Det gælder især, hvis man har mange eksterne brugere, sælgere på farten, eller integrationer.
Plan i korte trin
- Kør alle nye policies i Report-only i mindst 7 til 14 dage.
- Start med en pilotgruppe (IT, ledelse, et par fra økonomi).
- Gennemgå sign-in logs dagligt, og justér undtagelser.
- Aktivér policy én ad gangen, og mål effekten (support-sager, blokerede logins).
- Dokumentér “hvorfor” for hver undtagelse, ellers vokser de ukontrolleret.
Microsoft har en god tjekliste i Plan for udrulning af Conditional Access og overordnede råd i Best practices for Microsoft Entra ID-sikring.
Break-glass minimum (2 konti)
- Opret mindst 2 cloud-only konti med Global Administrator.
- Brug lange, unikke passwords, opbevar dem sikkert (offline), og test login kvartalsvist.
- Ekskludér dem fra Conditional Access, men overvåg dem hårdt (alerts på login).
- Giv ingen daglig drift adgang til dem. De er kun til kriser.
Conditional Access skal spille sammen med resten af it-sikkerheden
Conditional Access beskytter identitet og adgang i microsoft 365 , men det står ikke alene. En SMV får bedst effekt, når det hænger sammen med backup , antivirus og firewall , samt styr på enheder og opdateringer.
Hos NETDK ser man ofte, at Conditional Access reducerer antallet af haste-sager til it-support , fordi angreb bliver stoppet før de rammer drift. Det er en praktisk del af stabile it-løsninger , også for virksomheder i århus og lystrup , hvor mange arbejder hybridt og med ekstern adgang.
Konklusion
De fleste angreb mod Microsoft 365 forsøger at udnytte svage logins, gamle protokoller eller ukendte enheder. Med de 7 policies ovenfor får en SMV et solidt udgangspunkt, uden at gøre hverdagen tung. Start i Report-only, byg få undtagelser, og hold fast i mindst to break-glass konti. Når Conditional Access Microsoft 365 kører stabilt, bliver sikkerhed mere rutine og mindre brand-slukning.
