Sådan laver du Access Reviews i Entra ID, få styr på gæster, gruppe-medlemmer og app-adgang
Illustration af en admin, der gennemgår Access Reviews for gæster, grupper og apps, lavet med AI.
Adgange har det med at vokse. En gæst fra en leverandør får adgang “til i morgen”, en projektgruppe får et ekstra medlem, og en app får en ny tildeling, fordi det var nemt i farten. Tre måneder senere er det svært at svare på et simpelt spørgsmål: Hvem har adgang til hvad, og hvorfor?
Med Entra ID Access Reviews får man en fast rytme for oprydning. Det er ikke et stort sikkerhedsprojekt. Det er en tilbagevendende kontrol, lidt som at tjekke nøglerne i nøgleboksen, før man låser for natten.
Hos NetDK møder vi især SMV’er (50 til 500 ansatte) med mange gæster og mange Microsoft 365-grupper. Her giver Access Reviews hurtigt ro i maven, også når man har it-support tæt på forretningen i århus og lystrup.
Hvorfor Access Reviews ofte rammer plet i SMV’er
Access Reviews er i praksis en “spørgsmål og svar”-proces, der ender i konkrete handlinger: behold adgang, fjern adgang, eller kræv en forklaring. Den store værdi er, at man flytter oprydning fra mavefornemmelse til drift.
Typiske SMV-scenarier:
Gæster (B2B) : Kunder, konsulenter og leverandører inviteres ind i Teams eller SharePoint. Efter projektet bliver de hængende, fordi ingen “ejer” gæsteoprydningen.
Gruppe-medlemmer : Sikkerhedsgrupper og M365-grupper ender med at være en blanding af nuværende, tidligere og “måske”-medlemmer. Det giver for bred adgang til filer, Teams, Power BI og interne systemer.
App-adgang : Enterprise apps (SaaS) får tildelte brugere og grupper, og det er ikke altid tydeligt, om adgangen stadig er nødvendig.
Access Reviews hjælper med least privilege (mindst mulige rettigheder). Det gør også audits nemmere, fordi man kan vise en historik for, hvem der har godkendt adgang, og hvornår.
Vil man læse mere om, hvordan apps styres i Entra ID, er Microsofts dokumentation om application management et godt supplement.
Forudsætninger: roller, licens og små beslutninger der betyder meget
Start med at afklare, hvem der må oprette og styre reviews. I Entra ID er det typisk roller som Identity Governance Administrator eller Global Administrator. I mindre miljøer ender det ofte hos den samme person, men det er stadig en fordel at skille “opsætning” og “godkendelse”.
Rettigheder (typisk) :
- Entra admin opsætter Access Reviews og politikker.
- Gruppeejere og app-ejere godkender medlemmer og tildelinger.
- Sikkerhedsansvarlig følger op på rapporter og afvigelser.
Licens : Krav kan variere efter funktion og tenant. Access Reviews ligger under Identity Governance og kræver ofte Entra ID P2 eller Entra ID Governance (eller Entra Suite for nogle udvidelser). Hold det generelt i budgettet, og få bekræftet licenser før I bygger processen ind i driften.
Der er ikke meldt større ændringer i selve opsætningen i januar 2026. Nogle governance-funktioner har dog været i preview i en periode, fx mere “user-centric” visning. Det kan være relevant, men planlæg ud fra det, der er stabilt i jeres tenant.
En dansk vinkel på central identitetsstyring kan også findes i beskrivelsen af centraliseret administration med Entra ID , som giver kontekst til governance-arbejdet.
Trin-for-trin: sådan opretter du en Access Review i Entra-portalen
Opsætningen sker i Microsoft Entra admin center.
Hvor i menuen : entra.microsoft.com, vælg Identity governance , derefter Access reviews , og klik New access review .
En enkel proces, der passer til de fleste SMV’er:
- Vælg scope
Vælg om reviewet skal gælde en gruppe, en app (enterprise application), eller en anden ressource. Start med én ting ad gangen, fx “Eksterne gæster i Projekt X”. - Vælg hvad der skal gennemgås
For grupper: medlemmer (inklusive gæster).
For apps: tildelte brugere og grupper. - Definér reviewers
Vælg gruppeejere, app-ejere eller udpegede personer. Undgå “alle i IT”, det giver ingen ansvarsfølelse. - Sæt frekvens og varighed
Fx månedligt for gæster og kvartalsvist for følsomme grupper. Sæt en beslutningsdeadline, fx 14 dage. - Konfigurer beslutninger
Kræv begrundelse ved “Approve”, hvis det er en højrisiko-gruppe. Slå reminders til. - Håndtering ved manglende svar
Vælg en klar default. Mange vælger “Remove”, men kun når man har styr på ejerskab og undtagelser. Skriv det ned som politik, så det ikke bliver tilfældigt. - Auto-apply eller manuel
Auto-apply gør processen effektiv, men kræver tryghed i setuppet. En god start er at køre første runde manuelt, og derefter slå auto-apply til. - Start reviewet og følg op
Kig på status efter få dage. Hvis reviewers ikke reagerer, er det et signal om, at ejerskabet ikke er på plads.
Standardindstillinger der giver færre fejl og mere drift
Der er ikke én “rigtig” standard. Der er en standard, der passer til jeres tempo og risikoniveau. Nedenfor er et udgangspunkt, som ofte fungerer i SMV’er med mange samarbejdspartnere.
| Område | Scope | Frekvens | Deadline | Ved “no response” | Handling |
|---|---|---|---|---|---|
| Gæster | Alle gæster i udvalgte M365-grupper | Månedligt | 14 dage | Remove | Auto-apply efter 1-2 runder |
| Følsomme grupper | Admin-nære eller data-tunge grupper | Kvartalsvist | 14 dage | Remove eller Keep (start) | Kræv begrundelse |
| App-adgang | Udvalgte enterprise apps | Kvartalsvist | 14 dage | Remove | Review af app-ejer |
Illustration af gæsters livscyklus fra aktiv til fjernet, lavet med AI.
To praktiske detaljer, som ofte overses:
Guest lifecycle : Access Reviews er kontrol. Kombinér det med en klar proces for invitation, navngivning og afslutning af projekter. Når et projekt lukker, skal gæsterne ud, uden diskussion.
App consent vs. app access : Access Reviews handler typisk om, hvem der er tildelt adgang til en app. App consent handler om, hvilke tilladelser en app får til data (delegerede eller application permissions). Det er to forskellige risici. Begge bør have en ejer, men de håndteres ikke altid samme sted.
Som baggrund for Entra ID’s rolle i adgangsstyring kan introduktionen til Microsoft Entra ID give et hurtigt overblik.
Drift, audit og sikkerhed: sådan holder man det kørende
Access Reviews virker kun, hvis nogen “holder rattet”. Det er governance i drift, ikke en engangsopsætning.
Ejerskab :
- IT (eller NetDK som ekstern partner) ejer standarder, skabeloner og ændringer.
- Forretningen ejer beslutningerne, fx gruppeejere og app-ejere.
- Sikkerhedsansvarlig følger op på undtagelser og mønstre.
Rapportering og audit :
- Gem review-resultater og begrundelser.
- Lav en fast månedlig opsamling, fx “antal fjernet”, “antal uden svar”, “high-risk grupper med ændringer”.
- Brug det til at justere scope, ikke til at placere skyld.
Sikkerhedsperspektivet : Access Reviews står ikke alene. Det spiller sammen med jeres øvrige it-sikkerhed, fx antivirus , firewall og en testet backup . Hvis en konto misbruges, er hurtig fjernelse af adgang godt, men man skal også kunne gendanne data og dokumentere hændelsesforløb.
Det er her, gode it-løsninger og en klar it-support-proces gør forskellen: hvem reagerer, hvem beslutter, og hvor logges det.
FAQ og tjekliste til implementering
Hvad er et godt sted at starte?
Start med gæster i de 3 til 5 vigtigste samarbejdsgrupper. Det giver hurtig effekt.
Skal man altid vælge “Remove” ved manglende svar?
Nej. Start konservativt, og skift først, når ejerskab og kommunikation sidder. Et internt “don’t auto-remove yet” kan være helt fair i første runde.
Hvor ofte skal reviews køre?
Gæster oftere end interne brugere. Følsomme grupper oftere end almindelige Teams.
Tjekliste :
- Aftal ejere for grupper og apps (navne, ikke teams).
- Vælg 1 scope og kør en pilot i 30 dage.
- Sæt deadline (typisk 14 dage) og reminders.
- Kør første runde uden auto-apply, slå derefter til.
- Gennemgå rapporter månedligt, og luk åbne punkter.
Konklusion
Entra ID Access Reviews gør adgangsstyring til en fast rutine, ikke en sporadisk oprydning. Effekten er størst, når man starter småt, sætter klare standarder og placerer ejerskab hos dem, der kender adgangen. Kombinér det med resten af jeres it-sikkerhed , så adgang, kontrol og drift hænger sammen. Det giver færre “spøgelsesadgange” og mere overblik, også når forretningen ændrer sig hurtigt.
