Sådan sætter du Safe Links op i Microsoft Defender for Office 365, uden at ødelægge legitime links

21. januar 2026

Et enkelt klik på et “normalt” link kan være nok til at starte et phishing-angreb. Derfor giver Microsoft Defender Safe Links god mening i mange SMV’er. Problemet opstår, når Safe Links omskriver eller stopper links, som medarbejdere faktisk har brug for.

Målet er ikke at skrue ned for it-sikkerhed. Målet er at sætte Safe Links op, så det rammer de rigtige ting, og lader resten passere. Det kræver lidt forarbejde, skarpe undtagelser og løbende justering.

Hvad Safe Links gør, og hvorfor legitime links kan gå i stykker

A modern flat infographic illustrating the Safe Links email link protection process, from email link to scanning and safe or blocked outcomes. Illustration af link-flowet, fra e-mail til scanning og enten adgang eller blokering, skabt med AI.

Safe Links beskytter brugere ved at kontrollere URL’er på klik-tid. Det er pointen: Et link kan være “rent” kl. 09:00 og være kompromitteret kl. 14:00. Safe Links tjekker derfor, når brugeren klikker, ikke kun når mailen leveres.

I praksis sker der ofte tre ting:

  • Linket oms skrives til en Safe Links-URL (en redirect), så Defender kan kontrollere klikket.
  • Der sker en reputation-check mod kendte skadelige domæner og mønstre.
  • Hvis noget ser forkert ud, får brugeren en blokside (eller en advarsel, afhængigt af jeres valg).

Det er også her, legitime links kan fejle. Typiske årsager:

  • Lange tracking-links med mange parametre (utm osv.) ser “mistænkelige” ud.
  • Redirectors (marketing og e-signatur) laver flere hop, og et hop kan være klassificeret dårligt.
  • SSO og password reset-links kan være tidsbegrænsede, og omskrivning kan forstyrre flowet.
  • SharePoint og Teams-links kan håndteres anderledes end almindelige web-links.

I starten af 2026 ser mange også, at beskyttelse omkring Teams-beskeder strammes, blandt andet med udvidet efterleverings-rydning (ZAP). Det gør overvågning endnu vigtigere, fordi trusler kan blive fjernet efter de er leveret.

For en officiel forklaring af funktionen og dækningsområdet, brug Microsofts Safe Links-overblik.

Trin for trin: Opsæt Safe Links i Defender for Office 365 uden collateral damage

Modern clean flat isometric infographic in blue and gray security colors depicting Safe Links policy setup, including protection policies, creation, exceptions, URL rewriting, click-time protection, and reporting dashboard with flow arrows. Oversigt over policy-opsætning, undtagelser og rapportering, skabt med AI.

Start med at tænke Safe Links som en “toldkontrol”. Den virker bedst, når man har en klar rute for, hvem der går igennem, og hvad der må slippe uden at stoppe hele trafikken.

1) Lav en pilotgruppe først

Vælg 5 til 15 brugere, gerne fra salg, økonomi og ledelse. De klikker typisk på mange eksterne links (CRM, e-signatur, portaler). Det giver hurtig feedback.

2) Opret en Safe Links-policy med tydelige valg

I Microsoft 365 Defender-portalen opretter I en Safe Links-policy og målretter den mod pilotgruppen. Brug den officielle opskrifts-side som tjekliste undervejs: opsætning af Safe Links-policies.

Indstillinger der ofte giver en god balance i SMV:

  • Click-time protection : Skal være tændt. Det er kernen.
  • Apply to internal mail : Overvej det. Mange angreb starter med kompromitterede interne konti. Start evt. med “fra ekstern” i piloten og udvid senere.
  • Track user clicks : Tænd, så I kan se effekten i rapporter.
  • Allow users to click through : Vær forsigtig. I SMV’er giver det ofte færre support-sager at blokere hårdt, men det kræver, at false positives håndteres hurtigt.

3) Brug undtagelser rigtigt (smalt, ikke bredt)

Det frister at whiteliste for meget. Det bliver hurtigt et hul i firewallen, bare på e-mailniveau.

Tommelregler:

  • Undtag domæner og præcise paths , ikke hele internettet.
  • Undtag kun det nødvendige , og sæt en fast dato for revidering.
  • Undgå “ alt fra leverandør X ”, hvis X også bruger tredjeparts-tracking.

Når I skal allow/block’e URL’er på tenant-niveau, så brug den rigtige funktion, ikke tilfældige undtagelser. Microsoft beskriver det her: Tenant Allow/Block List for URL’er.

4) Hold jer til Microsofts baseline hvor det giver mening

Hvis miljøet er nyt, eller man vil undgå hjemmelavede policies, så brug Microsofts anbefalinger som udgangspunkt, og justér derfra: Microsofts anbefalede sikkerhedsindstillinger.

Safe Links er et lag. Det står sammen med antivirus på endpoints, firewall på netværket og en ordentlig backup af data. Det er samme princip som flere låse på døren. Ingen af dem er nok alene.

Legitime links der ofte bryder, og hvordan man løser det sikkert

Modern flat isometric warning infographic highlighting common security policy issues that block legitimate links like UTM tracking, SSO, and portals, with practical solution tips using icons, warning triangles, and checkmarks in blue, gray, and red. Typiske link-typer der skaber problemer, og sikre måder at håndtere dem på, skabt med AI.

Her er de klassiske “det virkede i går” links, plus en praksisnær måde at håndtere dem på.

Link-type Typisk eksempel Sikker håndtering
Tracking (UTM) firma.dk/tilbud?utm_source=mail&utm_campaign=q1 Undtag kun eget domæne, og rens tracking hvis muligt
Redirectors trk.vendor.com/r?u=firma.dk Undtag leverandørens redirect-domæne, men monitorér klik
Password reset/SSO login.firma.dk/reset?token=... Undtag præcis path, og kræv MFA, test før udrulning
SharePoint/Teams “Delingslink” til filer Brug standard, undtag sjældent, kontroller delingspolitik
E-signatur sign.vendor.com/session/... Undtag sign-domæne, og sørg for fast vendor-liste

Tracking-links (utm og marketing automation)

Problem: Lange URL’er med mange parametre kan trigge scanning eller give ekstra redirects.

Løsning der holder:

  • Sørg for at marketing bruger direkte destinationer , ikke kædede omdirigeringer.
  • Undtag kun jeres eget domæne, fx firma.dk , ikke alle tracking-domæner.
  • Hvis I bruger eksterne tracking-domæner, så undtag dem, men hold dem på en kort, kontrolleret liste.

Redirectors og “link shorteners”

Problem: Linket i mailen peger ikke på slutmålet, og et mellem-hop kan være vurderet som risikabelt.

Løsning der holder:

  • Prioritér at bruge fulde links i B2B-mails, især til kunder og offentlige.
  • Hvis redirector er nødvendig (fx kampagnesporing), så undtag kun redirectorens domæne, og følg klik i rapporter.

Password reset og SSO-links

Problem: Tokens udløber, og Safe Links omskrivning kan ændre timing eller håndtering.

Løsning der holder:

  • Undtag kun de nødvendige login-domæner og paths, fx login.firma.dk/reset .
  • Hold MFA tændt. Ellers bliver undtagelsen et nemt mål.
  • Test fra flere klienter (Outlook desktop, web, mobil), før det rulles bredt ud.

SharePoint, OneDrive og Teams-links

Problem: Delingslinks kan se anderledes ud, og ændringer i Microsofts håndtering betyder, at ikke alt omskrives længere.

Løsning der holder:

  • Start med standard Safe Links, og undtag kun hvis I har en konkret fejl.
  • Kombinér med stram deling (ekstern deling, gæsteadgang, udløb på links).

E-signatur links (kontrakter og tilbud)

Problem: Signeringsflows er ofte tidsstyrede sessions.

Løsning der holder:

  • Undtag signeringsleverandørens domæne, men hold det smalt.
  • Læg en intern proces, så brugere rapporterer blokeringer samme dag (så undtagelser ikke bliver “permanente af nød”).

Overvågning, rapportering og løbende tuning (uden at svække sikkerheden)

Safe Links kræver drift, ikke kun opsætning. Ellers ender man med enten for mange blokeringer eller for mange undtagelser.

Arbejd fast med:

  • Defender-rapporter for URL’er og klik : Se hvilke links der bliver blokeret, og hvem der rammes.
  • Incident og alert-gennemgang : Kig efter mønstre, fx samme leverandør-domæne eller samme kampagnetype.
  • Change-log for undtagelser : Hvem tilføjede hvad, og hvorfor, med en udløbsdato.

Når en legitim URL bliver blokeret, så brug denne rækkefølge:

  1. Bekræft linket via leverandør og egen test.
  2. Vurdér om linket kan ændres til et direkte link.
  3. Lav den mindst mulige undtagelse, og sæt den til revision.

NetDK hjælper ofte SMV’er med it-support og it-løsninger omkring microsoft 365, både i århus og lystrup. Det praktiske arbejde er næsten altid det samme: pilot, måling, små justeringer, og faste rutiner.

SMV-tjekliste før og efter go-live

  • Pilotgruppe på plads, og tests sendt fra både intern og ekstern afsender
  • Safe Links aktiveret med click-time protection og klik-sporing
  • Undtagelser dokumenteret, smalle, og med revisionsdato
  • Tenant Allow/Block List brugt til URL’er, ikke “alt muligt” i policies
  • Proces for hurtig håndtering af false positives (samme dag)
  • Defender-rapporter gennemgås ugentligt de første 4 uger
  • Sammenhæng til øvrig it-sikkerhed på plads (antivirus, firewall, backup)

Safe Links skal stoppe de farlige klik, ikke forstyrre hverdagen. Når man holder undtagelser stramme og bruger rapporter aktivt, får man begge dele. It-sikkerhed bliver bedst, når den også fungerer i praksis.