Windows Update via Powershell

31 januar 2026 Administrator Powershell 
# 5. Set ExecutionPolicy to Unrestricted
Set-ExecutionPolicy Unrestricted

# 2. Install the PSWindowsUpdate module if not already installed 
Install-Module -Name PSWindowsUpdate -Force -AllowClobber 

# 3. Import the module 
Import-Module PSWindowsUpdate 

# 4. Check for and install the 25H2 update 
# -AcceptAll automatically accepts license agreements 
# -IgnoreReboot prevents an immediate reboot, allow it if you are ready 
Get-WindowsUpdate -AcceptAll -Install -IgnoreReboot

# 5. Set ExecutionPolicy to default
Set-ExecutionPolicy Default

Sådan Opsætter du SPF, DKIM og DMARC Korrekt

31 januar 2026 Administrator Azure, Microsoft 365, Sikkerhed, DNS, SPF, DKIM, DMARC

Den Ultimative Guide: Sådan Opsætter du SPF, DKIM og DMARC Korrekt

En teknisk step‑by‑step vejledning til moderne e‑mail‑sikkerhed

Introduktion

I 2026 er SPF, DKIM og DMARC blevet kritiske for både sikkerhed og leveringssikkerhed. Stigende AI‑genererede phishingangreb og skærpede krav fra store mailudbydere betyder, at e‑mail uden korrekt autentifikation kan ende i spam eller helt blive afvist. 

De tre teknologier arbejder sammen:

  • SPF – angiver hvilke servere der må sende mail
  • DKIM – sikrer mailens integritet via signatur
  • DMARC – afgør hvad der skal ske, hvis SPF/DKIM fejler

SPF — Sender Policy Framework

Hvad SPF gør

SPF definerer hvilke mailservere der er autoriseret til at sende mails på vegne af dit domæne. Modtageren sammenligner afsenderens IP med domænets SPF‑record. 

SPF Best Practices (2026)

  • Kun én SPF‑record pr. domæne
  • Maksimalt 10 DNS lookups i SPF
    (ellers fejler SPF) 
  • Brug ~all under opsætning (softfail)
    — stopper ikke mailflow men markerer fejl til videre analyse 
  • Undgå brede CIDR ranges eller unødvendige afsendere
  • Sørg for alignment mellem MAIL FROM og From‑domæne

Eksempel‑records

  • Microsoft 365: v=spf1 include:spf.protection.outlook.com ~all

  • Google Workspace: v=spf1 include:_spf.google.com ~all

DKIM — DomainKeys Identified Mail

Hvad DKIM gør

DKIM tilføjer en digital signatur til dine mails, så modtageren kan verificere, at indholdet ikke er ændret, og at mailen faktisk kommer fra dit domæne. 

DKIM Best Practices (2026)

  • Brug 2048‑bit nøgler for sikkerhed og kompatibilitet

  • Aktivér DKIM på alle tjenester, der sender på vegne af domænet
  • Roter DKIM‑nøgler med faste intervaller
  • Sørg for domain alignment (d=domæne.dk)

DMARC — Domain-based Message Authentication, Reporting & Conformance

Hvad DMARC gør

DMARC kontrollerer om SPF eller DKIM består — og afgør herefter, om mailen skal leveres, quarantines eller afvises. DMARC genererer desuden rapporter til overvågning af misbrug. 

DMARC Best Practices (2026)

  • Start med p=none (monitorering)

  • Skift herefter til quarantine
  • Afslut med reject, når alt er valideret
    → anbefalet i 2026 for maksimal beskyttelse 
  • Aktivér rapportering med rua= og ruf=
  • Overvåg DMARC‑rapporter løbende

Eksempel‑records

Monitorering:

v=DMARC1; p=none; rua=mailto:[email protected]; aspf=r;

Quarantine:

v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected];

Reject (endelig):

v=DMARC1; p=reject; pct=100; rua=mailto:[email protected];

Komplet opsætningsworkflow (DNS)

1. Kortlæg eksisterende opsætning

  • Tjek om domænet allerede har SPF, DKIM eller DMARC
  • Identificér ALLE systemer der sender mail:
    M365, Google, CRM, marketing, faktura‑systemer osv.
    (Glemt afsender = SPF/DKIM fejl) 

2. Opret / opdater SPF

  • Tilføj alle afsendere via include:
  • Fjern gamle eller ubrugte afsendere
  • Tjek lookup‑antal (max 10)

3. Aktivér DKIM

  • Microsoft 365: Aktivér DKIM i admin panelet
  • Google Workspace: Generér nøgle & publicér i DNS
  • Tredjepartstjenester: DKIM selector + TXT‑nøgle
  • Bekræft 2048‑bit brug

4. Implementér DMARC

  • Start med p=none
  • Analyser de indkomne rapporter (RUA)
  • Identificér forkerte eller uautoriserede kilder
  • Skru gradvist op til quarantinereject

5. Validering og overvågning

  • Gennemgå fejl i SPF alignment
  • Overvåg DKIM signaturfejl
  • Brug DMARC‑rapporter til løbende forbedring

Typiske fejl – og hvordan du undgår dem

❌ Fejl: To SPF‑records

→ SPF må KUN eksistere én gang (ellers ugyldig).

❌ Fejl: SPF overskrider 10 DNS‑lookups

→ Konsolider includes og fjern gamle services.

❌ Fejl: DKIM kun aktiveret på primær mailtjeneste

→ Alle systemer, der sender mail, skal signere.

❌ Fejl: Start med p=reject

→ Giver leveringsfejl og tabte mails. Start altid med p=none.

Konklusion

I 2026 er SPF, DKIM og DMARC fundamentale krav for moderne mail‑sikkerhed.
En korrekt opsætning beskytter dit domæne, reducerer spoofing og sikrer, at dine mails faktisk når indbakken.

TODO‑IT kan hjælpe med:

  • Komplet DNS‑opsætning
  • Fejlfinding og DMARC‑rapportanalyse
  • Sikring på tværs af flere mailplatforme
  • Drift og optimering af e‑mail leveringssikkerhed

 

Den Ultimative Guide: Sådan Opsætter du Microsoft Intune Korrekt

31 januar 2026 Administrator Azure, Microsoft 365, Sikkerhed

Den Ultimative Guide: Sådan Opsætter du Microsoft Intune Korrekt (2026)

En komplet, rå teknisk step‑by‑step vejledning til en professionel endpoint‑platform

Introduktion

Microsoft Intune (Microsoft Endpoint Manager) er den centrale platform til styring af Windows‑arbejdsstationer, compliance, sikkerhedskonfigurationer og softwareudrulning.
Denne guide gennemgår den fulde, korrekte opsætning fra start til slut — designet som en baseline for moderne Microsoft 365‑miljøer i 2026.

Hvorfor en korrekt Intune‑opsætning er kritisk

En forkert eller mangelfuld Intune‑struktur fører typisk til:

  • Forkert registrerede devices
  • Konflikt mellem policies (GPO vs. Intune)
  • Ufuldstændige sikkerhedskonfigurationer
  • Manglende compliance‑opfyldelse
  • Uforudsigelig softwaredeployment

En korrekt opsætning sikrer:

  • Stabil onboarding
  • Konsistent compliance
  • Zero Trust‑klare endpoints
  • Central styring af apps, updates og security baselines

Forberedelser: Det skal du have styr på FØR opsætning

📋 Kravafklaring

  • Licens: Microsoft 365 Business Premium / E3 + Add‑Ons / E5
  • Domæne: Verificeret i Entra ID
  • Enhedsstrategi: BYOD, CYOD, COBO, eller CORP
  • Join‑strategi: Entra Join, Hybrid‑Join, Workgroup → Entra Join

🔐 Sikkerhedsforberedelser

  • Break‑glass administratorer
  • MFA aktiv
  • Conditional Access basic policies (blok legacy auth, kræv MFA)
  • Identitetsbeskyttelse

Trin 1: Grundkonfiguration af Intune

1. Enroll‑metoder

Intune Admin Center → Devices → Enroll devices

Aktivér:

  • Windows Enrollment
  • Automatic Enrollment (MDM)
    • MDM scope: All
    • MAM scope: None (eller pilot hvis brugt)

2. Konfigurer Enrollment Restrictions

Devices → Enrollment → Enrollment device platform restrictions

Opret to policies:

  • Standard policy
    • Tillad: Windows, iOS, Android
    • Blokér: macOS (valgfrit)
  • Blocked policy
    • Blokér alle uautoriserede enheder og OS‑versioner

3. Deployment Profiles (Windows Autopilot)

Devices → Windows → Windows enrollment → Deployment Profiles

  • Opret Windows Autopilot Profile
    • Join type: Entra Joined
    • Deployment mode: User‑driven for normale brugere
    • Skip:
      • OneDrive restore → On
      • OEM registration → On
      • EULA → On
      • Language → Off
      • Privacy Settings → Skip
    • ESP aktiv: Yes

Trin 2: Baselines & Configuration Profiles

1. Security Baseline (Microsoft Recommended)

Endpoint Security → Security Baselines

Aktivér:

  • Windows 11 Security Baseline
  • Microsoft Defender Baseline
  • Edge Baseline (valgfrit)

2. Device Configuration Profiles

Devices → Configuration → Create Profile

Opret følgende standardprofiler:

A. Device Restrictions

  • Disable Consumer Features
  • Disable Windows tips
  • Disable “Let apps run in background”
  • Disable News & Interests
  • Disable Widgets
  • Remove Microsoft Store auto‑install apps
  • Disable local admin for standard users

B. Identity Protection

  • Credential Guard → Enabled
  • LSASS Protection → Enabled

C. Endpoint Protection

  • Defender Antivirus (cloud‑protection, MAPS, real‑time scanning)
  • Attack Surface Reduction (ASR)
  • Controlled Folder Access (optional)

D. Update Rings for Windows 11

Devices → Windows → Update rings

Anbefalet:

  • Automatic install
  • Allow 7‑day grace
  • Auto reboot outside active hours

E. Feature Update Policy

Fastlå version (fx Windows 11 25H2) i 12 måneder.
Dette sikrer stabilitet.

Trin 3: Compliance Policies

Endpoint Security → Compliance policies

Opret → Windows compliance profile

Anbefalet baseline:

  • Require BitLocker enabled
  • Require Secure Boot
  • Require TPM 2.0
  • Require Antivirus → Microsoft Defender
  • Require Firewall → Enabled
  • Require device not jailbroken/rooted
  • Require Code Integrity turned on
  • Minimum OS version (fx 24H2 eller 25H2)

Konfigurer compliance markering:

  • Non‑compliant → Mark as non‑compliant after 2 days
  • Report non‑compliance → Entra ID → CA

Trin 4: Conditional Access Integration

Opret 3 CA policies:

1. Baseline MFA for all users

  • Require MFA
  • Exclude: Break glass accounts

2. Require compliant device

  • Users: All
  • Cloud apps: All
  • Grant → Require device marked compliant

3. Block legacy authentication

  • Client apps → Block "Other clients"
  • Grant → Block

Trin 5: App Management (Win32, MSI, Store)

Upload Win32 apps

Apps → Windows apps → Add → Win32

Pak appen:

 
 
 
 
 
PowerShell
 
 
IntuneWinAppUtil.exe -c "sourcefolder" -s "setup.exe" -o "outputfolder"
 

Upload .intunewin
Angiv:

  • Install cmd: setup.exe /silent
  • Uninstall cmd: uninstall.exe /silent
  • Detection rules: Registry/File/Custom script

MSI apps

Upload direkte → MSI detection automatisk

Store apps

Tilføj via "Microsoft Store (new)"

Trin 6: Autopilot Device Registration

Manuelt upload:

  1. Kør på enhed:
 
 
 
 
 
PowerShell
 
 
Get-WindowsAutopilotInfo.ps1 -OutputFile AutoPilotHWID.csv
 
  1. Upload i Intune: Devices → Windows → Windows enrollment → Devices → Import

OEM / Partner

Brug Deployment Service API eller OEM portal.

Trin 7: Endpoint Security

Endpoint Security → Firewall

  • Aktivér Domain/Private/Public
  • Definer inbound rules kun til nødvendige services

Endpoint Security → Attack Surface Reduction
ASR rules (Audit → Enforce):

  • Block Office macros
  • Block PSExec/WMI process creation
  • Block executable content from email/webmail
  • Block credential theft attempts

Endpoint Security → Disk Encryption

  • BitLocker with XTS‑AES256
  • Recovery key upload → Entra ID
  • Startup authentication → TPM only (normal users)

Trin 8: Monitorering og Drift

Device Actions

Remote:

  • Wipe
  • Fresh Start
  • Sync
  • Restart
  • Autopilot Reset

Monitoring

Reports → Devices → Hardware / Compliance / Configuration / Update status

Log‑indsamling

  • Use Collect Diagnostics
  • EndpointAnalytics aktiv

Almindelige fejl og løsninger

❌ Devices ikke compliant
→ ASR konflikter eller manglende BitLocker policy
→ Tjek eventlog: MDMDiagnosticReport.cab

❌ Autopilot "0x80180014"
→ MDM enrollment scope sat forkert

❌ Win32 app hænger i “Pending”
→ Detection rule forkert eller missing dependencies

❌ Policies konflikter
→ Konsolider Device Restrictions profiler
→ Brug Settings Catalog i stedet for ældre templates

 

Windows 11 Business Baseline 2026

31 januar 2026 Administrator Microsoft 365, Sikkerhed

Windows 11 Business Baseline 2026

Den Ultimative Guide: Sådan Hardener du Windows 11 25H2/24H2 Professionelt**

En step‑by‑step vejledning til sikre, stabile og moderne Windows 11‑arbejdsstationer i 2026

Introduktion

Windows 11 udvikler sig hurtigt — og i 2026 er sikkerhedsniveauet i OS’et højere end nogensinde før. Samtidig har Microsoft introduceret en ny quarterly baseline‑kadence, Hotpatch‑modellen, updated security baselines og omfattende hardening‑ændringer, som alle virksomheder bør implementere for at opnå en moderne, robust og fremtidssikret Windows 11‑platform.

Microsofts januar 2026 baseline (KB5074109) markerer et vigtigt sikkerhedsmæssigt checkpoint og indeholder bl.a. AI‑komponentopdateringer, netværksrettelser og ændringer, der påvirker Secure Boot og deployment. [windowsforum.com], [cybercory.com]

I denne guide gennemgår vi:

  • hvorfor baseline‑hardening er kritisk
  • hvad der er ændret i 2026
  • hvordan du opsætter en professionel Windows 11 Business Baseline
  • TODO‑IT’s anbefalede konfigurationer til danske virksomheder

Hvorfor Windows 11 Hardening er Kritisk i 2026

En forkert eller mangelfuld Windows‑opsætning kan føre til:

  • Sårbare endpoints pga. manglende baseline‑politikker
  • Brud på compliance (NIS2, ISO27001, CIS, Microsoft Security Baselines)
  • Kompatibilitetsproblemer, da sikkerhedsopdateringer integrerer nye kontroller
  • Flere angrebsflader via NTLM, SMB, print services, apps og widgets
  • Unødvendige genstarter hvis hotpatch‑kadencen ikke følges

Microsoft understreger, at baseline‑opdateringer er obligatoriske checkpoints, hvor både SSU (Servicing Stack Update) og LCU (Latest Cumulative Update) samles, og som danner grundlag for hotpatch‑månederne derefter. [windowsforum.com]

Derudover indeholder 2026‑hardening nye regler for auditing, printers, widgets, SMB‑sessions og Copilot‑restriktioner — alt sammen for at styrke arbejdsstationers modstandsdygtighed mod moderne angreb. [cyber.gov.au]

Forberedelser: Det skal være på plads før du bygger baseline

📋 Kravafdækning

  • Windows version: 24H2 eller 25H2
  • Udrulningsmetode: Intune, GPO eller hybrid
  • Kategori af enheder: Firmadevice, shared device, privileged workstation
  • Compliancekrav: CIS, STIG, Microsoft Baseline, NIS2
  • App‑kompatibilitet: Hvilke systemer kræver undtagelser?

🔐 Sikkerhedsforberedelser

  • Sørg for at alle enheder kører en gyldig baseline (26100.7623 / 26200.7623) [windowsforum.com]
  • Gennemgå eksisterende GPO’er for forældede policies
  • Afgør om virksomheden anvender NTLM internt
  • Tjek driver‑kompatibilitet (WDS hardening påvirker deployment workflows) [cybercory.com]

Windows 11 Baseline 2026: De vigtigste ændringer

Her opsummeres de mest kritiske ændringer i 2026‑baseline (25H2):

🔧 1. Print Security (Nye krav)

  • Kræv IPPS (HTTPS) for alle IPP‑printere
  • Håndhæv TLS/SSL‑politik for printerkommunikation
    Disse krav er nu foreslået som standard i Microsofts 25H2 baseline. 

🔧 2. NTLM Hardening

  • NTLM enhanced logging aktiveres som standard
  • Domain‑wide NTLM logging anbefales

Formålet er bedre synlighed, før NTLM udfases i kommende Windows‑generationer.

🔧 3. ASR (Attack Surface Reduction) Udvidelser

Ny anbefalet ASR‑regel:

  • Block process creations originating from PSExec and WMI commands
    – (d1e49aac‑8f56‑4280‑b9ba‑993a6d77406c)
    – sat til Audit som standard

🔧 4. Widgets & Lock Screen Restrictions

De nye hardening‑anbefalinger inkluderer:

  • Deaktiver widgets på lock screen
  • Deaktiver Widgets Board
    [cyber.gov.au]

🔧 5. App Install Controls

  • MSIX streaming install domænebegrænsninger
  • Kontrolleret liste over pakke‑familie‑navne til non‑admin install
    [cyber.gov.au]

🔧 6. SMB Hardening

  • Audit SMB client SPN support
  • Strammere default session‑håndtering
    [cyber.gov.au]

🔧 7. Secure Boot Hardening

Microsoft introducerer nyt kontrollag til phased deployment of Secure Boot certificates, for at undgå store boot‑failures i enterprise‑miljøer (reaktion på tidligere Secure Boot problemer)
[cybercory.com]

🔧 8. Deployment Hardening

Dette kan påvirke automatiske image‑flows, der tidligere kørte uden brugerinteraktion.

Den Ultimative Windows 11 Business Baseline (TODO‑IT anbefaling)

Nedenstående baseline er designet til danske SMB/Enterprise‑miljøer.

Trin 1: OS‑baseline og Patch Management

1. Installer seneste baseline (KB5074109)

2. Følg Hotpatch‑kadencen

Microsoft har ændret model til quarterly restart-required baselines (Jan/Apr/Jul/Okt)
– to efterfølgende måneder = Hotpatch‑periode uden reboot
[windowsforum.com]

Trin 2: Security Baseline Implementation (GPO/Intune)

🔹 1. Aktivér Microsoft Security Baselines (25H2)

Hent via Microsoft Security Compliance Toolkit.

🔹 2. Aktiver ASR-regler (minimum)

  • Block Office child processes
  • Block PSExec/WMI process creation (Audit → Enforce senere)
  • Block Win32 API calls from Office macro code

🔹 3. Defendernetværk

  • Disable NetBIOS name resolution
  • Disable LLMNR

🔹 4. Credential Hardening

  • Deaktiver WDigest (nu default)
  • LSASS Protected Mode
  • Kerberos PAC Signatures (default i 2026 baselines)

Trin 3: Hardening af brugeroplevelsen

🔹 1. Widgets deaktivering

🔹 2. Microsoft Store hardening

  • Fjern forudinstallerede Store‑apps (anbefalet baseline 2026)
    [cyber.gov.au]

🔹 3. Copilot kontrol

  • GPO for Copilot er udfaset → nu via PowerShell/AppLocker
    [cyber.gov.au]

Trin 4: Printer Security Policy

Trin 5: Auditing og Logging

Minimum:

  • CLFS log file authentication (ny anbefaling 2026)
    [cyber.gov.au]

  • Include command line in process creation events

  • NTLM enhanced logging

Almindelige Fejl og Løsninger

Problemer med WDS efter baseline
→ Årsag: Hands-free deployment disabled (kræver workflow‑justering)
[cybercory.com]

Printere slår fejl
→ IPP printere kræver nu IPPS + TLS konfiguration

Widgets dukker op post‑deployment
→ Manglende Intune policy eller AppLocker enforcement

TODO‑IT’s Enterprise Setup Services

Vi hjælper virksomheder med:

  • ✔ Udarbejdelse af Windows 11 baseline (25H2/24H2)
  • ✔ Intune baselines + Zero Trust endpoint strategi
  • ✔ Hardening efter CIS / Microsoft Baselines / NIS2
  • ✔ Deployment design (WDS, Autopilot, Hybrid join)
  • ✔ Kontinuerlig drift og overvågning

Kontakt TODO‑IT

📞 +45 22 78 27 20
✉️ [email protected]
🌐 www.todo-it.dk

TODO‑IT sikrer, at jeres Windows 11‑miljø er sikkert, stabilt og fremtidssikret — baseret på de nyeste 2026‑standarder.

 

Den Ultimative Guide: Sådan Opsætter du Conditional Access Korrekt i Microsoft Entra ID (2026)

31 januar 2026 Administrator Microsoft 365, Sikkerhed

Den Ultimative Guide: Sådan Opsætter du Conditional Access Korrekt i Microsoft Entra ID (2026)

En step‑by‑step vejledning til en sikker, stabil og professionel identitetsstyring

Introduktion

Conditional Access (CA) er i dag hjertet af sikkerheden i Microsoft 365 og Azure. I 2026 er CA ikke længere “nice to have” – det er en absolut nødvendighed for at beskytte identiteter, data og systemer mod moderne AI‑drevne angreb, misbrugte tokens og loginforsøg fra kompromitterede enheder.

I denne guide gennemgår vi den professionelle fremgangsmåde til opsætning af Conditional Access‑politikker i Microsoft Entra ID, så du undgår almindelige fejl, lockouts og sikkerhedshuller.

Hvorfor er korrekt CA‑opsætning vigtig?

En forkert konfigureret CA‑politik kan føre til:

  • Uventede lockouts – administratorer eller brugere mister adgang til kritiske systemer
  • Fejlbehæftede apps – især ældre integrationer fejler stille
  • Sikkerhedshuller – fx hvis legacy authentication forbliver åben
  • Complianceproblemer – fx hvis MFA ikke er tvunget ved risiko
  • Manglende kontrol – uden struktur bliver CA en rodebunke af policies

En korrekt implementeret CA‑model giver:

  • ✔ Konsistent sikkerhed
  • ✔ Minimal risiko for utilsigtede blokeringer
  • ✔ Nem administration
  • ✔ Klar insigt i risikoadfærd
  • ✔ Forbedret compliance og rapportering

Forberedelser: Det skal være på plads før opsætningen

📋 Kravafklaring

Før du bygger dine CA‑politikker, skal du have styr på:

  • Brugersegmenter: Almindelige brugere, admins, eksterne, servicekonti
  • Enheder: Intune‑styrede, hybrid join, private enheder
  • Apps: Cloud apps, legacy apps, tredjepartsapps
  • Forretningskritikalitet: Hvad må aldrig blokeres?

🔐 Sikkerhedsforberedelser

  • Opret 2 x break‑glass administratorer (cloud‑only)
  • Sørg for at MFA er aktivt og testet
  • Planlæg device‑compliance strategi (Intune)
  • Kortlæg alle applikationer der bruger legacy authentication

Metode 1: Baseline‑opsætning (anbefalet af TODO‑IT)

Her er den CA‑baseline vi oftest implementerer hos kunder.

Trin 1: Blokér Legacy Authentication (Kritisk)

Legacy authentication er stadig den største årsag til password spray‑angreb.

Sådan gør du:

  1. Gå til Entra ID → Security → Conditional Access
  2. Opret ny politik
  3. Assignments → All users
  4. Cloud apps → All cloud apps
  5. Conditions:
    • Client apps → Vælg Other clients
  6. Access control → Block access
  7. Sæt i Report‑only mode i 24 timer
  8. Aktivér

Fordel: Lukker den absolut største angrebsflade.

Trin 2: MFA for alle brugere (interaktiv login)

Sådan gør du:

  1. Opret ny politik
  2. Assignments → All users (undtagen break‑glass)
  3. Cloud apps → All cloud apps
  4. Access control → Require MFA
  5. Sæt i Report‑only → Test → Aktiver

Trin 3: Særskilt Admin‑beskyttelse (strengere krav)

Administratorer skal altid have:

  • stærkere MFA
  • compliant enhed
  • ingen login uden risikoanalyse

Sådan gør du:

  1. Ny politik → Target: Directory roles (Global Admin, Security Admin, etc.)
  2. Kræv:
    • Phishing‑resistant MFA
    • Compliant device
    • Approved client apps
  3. Sæt i Report‑only → Test → Aktiver

Trin 4: Kræv compliant eller hybrid join‑enhed

Dette sikrer at brugere ikke logger ind fra uregistrerede eller inficerede enheder.

  1. Ny politik
  2. Users → All users
  3. Cloud apps → All
  4. Conditions → Device state: Include all, exclude compliant/hybrid
  5. Access controls → Require compliant device
  6. Sæt i Report‑only først

Trin 5: Blokering af risky logins

Brug risk‑baserede CA‑politikker:

  • High user risk → force password reset
  • Medium/high sign‑in risk → require MFA
  • Impossible travel → block

Metode 2: Avanceret Opsætning (til større og hybrid miljøer)

Inkluderer:

  • Named locations (trusted IP ranges)
  • App‑beskyttelse for ex. Exchange + SharePoint separat
  • Session controls (fx blokér downloads i usikre miljøer)
  • CA integration med Defender for Cloud Apps (CASB)

Efter opsætning: De første kritiske 24–48 timer

🔎 Overvågning

  • Gennemgå Insights & Reporting
  • Tjek efter fejlramte apps
  • Overvåg eventuelle brugerstigninger i MFA‑prompts

👤 Administrator governance

  • Test break‑glass konti
  • Dokumentér alle politikker
  • Lav naming‑standard og nummerering

🧩 Licens‑tjek

CA kræver passende licenser (f.eks. P1 eller P2 i visse funktioner).
Sørg for at brugere har korrekte tildelinger.

Almindelige fejl og løsninger

Fejl 1: Ingen break‑glass konto
➡ Løsning: Opret 2 cloud‑only konti uden CA‑restriktioner

Fejl 2: For mange policies
➡ Løsning: Reducér til et simpelt, velstruktureret baseline‑sæt

Fejl 3: Glemsomhed ved servicekonti
➡ Løsning: Undtag konti der ikke kan MFA – men dokumentér hvorfor

Fejl 4: Manglende test i Report‑only
➡ Løsning: Brug altid report‑only i 24–72 timer før aktivering

Professionel opsætning gennem TODO‑IT

Som specialister i Microsoft Entra ID og M365 sikkerhed hjælper vi virksomheder med:

  • ✔ Korrekt CA‑design uden lockouts
  • ✔ Sikkerhedsoptimering efter best practice
  • ✔ Licensoptimering
  • ✔ Device‑compliance + Intune‑opsætning
  • ✔ Drift og overvågning

Få hjælp til jeres Conditional Access opsætning

📞 +452278 2720
✉️ support@todo-it.dk
🌐 www.todo-it.dk

TODO‑IT leverer sikkerhedsopsætninger der virker i praksis – ikke kun på papiret.

 

Zero Trust i 2026: Den mest oversete — men vigtigste — sikkerhedsmodel for små virksomheder

31 januar 2026 Administrator

Zero Trust i 2026: Den mest oversete — men vigtigste — sikkerhedsmodel for små virksomheder

Cyberangreb i 2026 er ikke kun mere avancerede end tidligere; de er også langt bedre til at ramme virksomheder, der ikke har en klar struktur for, hvordan identiteter, enheder og data skal beskyttes. Det traditionelle netværksperimeter er brudt sammen, og sikkerheden skal flyttes tættere på identiteter og data.

Ifølge Microsoft er identiteter nu den mest udnyttede angrebsflade på tværs af cloud og hybrid IT — angribere “logger ind i stedet for at bryde ind”. Samtidig forventer sikkerhedseksperter, at virksomheder i stigende grad skal forholde sig til AI‑genererede angreb, deepfakes og automatiseret misbrug af loginoplysninger i 2026. [wearesafe.dk] [play.google.com]

Derfor er Zero Trust ikke længere en “enterprise‑ting” — det er fundamentet for enhver virksomhed, der vil overleve det moderne trusselslandskab.

Hvad er Zero Trust – i praksis?

Zero Trust bygger på tre helt enkle principper:

  1. Verificér eksplicit
    Intet og ingen stoles på — hver eneste adgang skal verificeres.

  2. Brug mindst mulige rettigheder
    Brugere og apps bør kun have adgang til det absolut nødvendige.

  3. Antag, at der allerede er sket et brud
    Sikkerheden skal bygges, som om angriberen allerede er indenfor.

Det lyder simpelt. Men implementeringen kræver struktur.

Nedenfor får du TODO‑IT’s praktiske tilgang — baseret på over 100 opsætninger i SMB‑miljøer.

1. Start med identiteter (den største angrebsflade)

Angribere går efter brugerkonti, tokens og apps — ikke firewalls.
Microsoft fremhæver identitetsbeskyttelse som det vigtigste sikkerheds­område i 2026. [wearesafe.dk]

Sådan sikrer du identiteter i praksis:

  • Slå MFA til overalt
    Ikke kun for mail — også CRM, ERP, VPN, fjernadgang osv.
  • Deaktiver al legacy authentication
    Det er den nemmeste måde for bots og AI at cracke logins.
  • Indfør Conditional Access
    Fx:
    • Blokér gamle protokoller
    • Kræv MFA ved ukendte placeringer
    • Kræv compliant device
  • Skift administrator‑vaner
    Global Admin bør aldrig bruges til daglig drift.

👉 Dette er den nemmeste og vigtigste del af Zero Trust for mindre virksomheder.

2. Beskyt enheder — ikke kun netværket

Med hybrid arbejde er brugere ikke længere bag virksomhedens firewall.
Moderne trusler som AI‑genereret malware gør endpoint‑beskyttelse essentiel.

TODO‑IT anbefaler:

  • Microsoft Defender for Business / Defender for Endpoint
  • Hardening af Windows 11:
    • Smart App Control
    • Exploit protection
    • LAPS (Local Admin Password Solution)
  • Håndhævelse via Intune:
    • Compliance policies
    • Baselines
    • Automatisk patching

AI‑baserede angreb kan finde sårbarheder og udnytte dem på minutter, ikke dage, hvilket stiller langt større krav til løbende patching og automatisering. [play.google.com]

3. Sikker adgang til data – både i skyen og lokalt

Data eksponeres ofte via:

  • Fejldelte SharePoint‑sites
  • Apps med for brede OAuth‑tilladelser
  • Brugere der deler links “til alle med linket”

Sådan lukker du hullerne:

  • Indfør DLP‑politikker (Data Loss Prevention)
  • Begræns eksternt deling i OneDrive/SharePoint
  • Gennemgå tredjepartsapps med OAuth‑adgang
  • Krypter følsomme data med sensitivity labels

I 2026 er data læk oftere end direkte systembrud — især pga. shadow AI og apps uden governance. [play.google.com]

4. Overvågning og reaktion – uden at købe 10 sikkerhedsprodukter

En af de største problemer i 2026 er, at virksomheder har for mange sikkerhedsværktøjer, men ingen governance. Resultatet er “over‑tooling og under‑protection”. [wearesafe.dk]

Du har ikke brug for flere værktøjer.
Du har brug for indblik og styring.

TODO‑IT anbefaler:

  • Et centraliseret dashboard (fx via Microsoft 365 Defender)
  • Alert‑politikker baseret på:
    • Impossible travel
    • Anomale logins
    • Mass download detection
  • Automatiserede svar (SOAR) hvor det giver mening
  • En simpel, testet incident response‑plan

5. Antag, at brud sker – og hav en plan

Ransomware‑as‑a‑Service (RaaS) gør det nemt for selv amatører at angribe SMB’er.
88% af angrebene ramte mindre virksomheder i 2025 — et tal, der kun stiger i 2026. [wearesafe.dk]

TODO‑IT’s minimale krav i 2026:

  • Immutable backup (der ikke kan krypteres af angribere)
  • Backup af Microsoft 365 (OneDrive, SharePoint, Teams)
  • Gendannelsesplan testet mindst 1× om året
  • Netværks‑segmentering (on‑prem og i skyen)

Konklusion: Zero Trust er ikke teori — det er en praktisk sikkerhedsmodel for små virksomheder i 2026

2026’s cybertrusler er:

  • automatiserede
  • AI‑forstærkede
  • dybt identitetsfokuserede
  • rettet mod små virksomheder

… og netop derfor er Zero Trust den eneste realistiske sikkerhedsstrategi.

TODO‑IT implementerer Zero Trust i et pragmatisk og SMB‑venligt omfang — uden enterprise‑kompleksitet.

 

Klar til at styrke jeres IT‑sikkerhed i 2026?

31 januar 2026 Administrator

Cybertrusler i 2026: Derfor er små virksomheder nu hovedmål – og hvordan du beskytter dig

Cyberangreb har ændret sig markant de seneste år, men 2026 markerer et afgørende skift: små og mellemstore virksomheder er nu blevet de primære mål for cyberkriminelle. Det skyldes især, at angreb i dag er langt mere automatiserede og AI‑drevet end tidligere. 70,5% af alle databrud ramte SMB’er i 2025 – et tal, der fortsætter med at stige i 2026. [acrisure.com]

I dette indlæg kigger vi på de største trusler i 2026 – og hvad TODO‑IT anbefaler virksomheder at gøre for at stå stærkere.

1. AI‑drevne angreb gør hackere hurtigere end nogensinde

Angreb udført af AI er ikke længere eksperimenter – de er virkelighed. Cyberkriminelle bruger nu:

  • automatiserede phishing‑kampagner, der er så godt skrevet, at selv erfarne medarbejdere falder for dem
  • deepfake‑videoer eller lydklip, hvor chefer “beder” om betalingsoverførsler
  • malware, der selv tilpasser sig virksomhedens forsvar

Eksperter advarer om, at autonome AI‑agenter kan udføre hele angreb uden menneskelig indblanding og dermed udnytte sårbarheder langt hurtigere end traditionelle metoder. [soteria365.com]

TODO‑IT’s anbefalinger:

  • Indfør MFA overalt – ikke kun på mail, men også ERP, CRM og andre forretningssystemer
  • Uddan medarbejdere i at spotte deepfakes og AI‑genereret phishing
  • Overvej overvågning eller sikkerhedsopsætning med AI‑baserede værktøjer

2. Identitet er den nye perimeter

I 2026 er det ikke firewallen, der beskytter virksomheden mest – det er jeres identiteter. “Angribere bryder ikke længere ind – de logger ind” er en central pointe i både Microsofts sikkerhedsrapport og andre analyser. Identiteter er nu den mest udnyttede angrebsflade i både cloud og hybrid miljøer. [microsoft.com], [soteria365.com]

Typiske angrebsmetoder vi ser i 2026:

  • Credential theft (tyveri af loginoplysninger)
  • Token hijacking
  • Kompromitterede eksterne apps med adgang til Microsoft 365
  • Shadow AI – medarbejdere bruger uautoriserede AI‑værktøjer, som eksponerer data [linkedin.com]

TODO‑IT’s anbefalinger:

  • Indfør betinget adgang (Conditional Access) i Microsoft 365
  • Deaktiver legacy authentication fuldstændig
  • Brug administrator‑konti korrekt – aldrig til daglig drift
  • Indfør governance for AI‑værktøjer

3. Ransomware-as-a-Service gør det nemt for amatører at angribe virksomheder

Ransomware i 2026 er blevet industrialiseret. Ransomware‑angreb leveres nu som et produkt (RaaS), hvor selv uerfarne hackere kan købe færdige angrebspakker, inkl. support og opdateringer.

Angriberne bruger i stigende grad double extortion:

  1. stjæl data
  2. krypter systemer
  3. trusler om offentliggørelse

88% af ransomwareangreb ramte SMB’er i 2025, og niveauet stiger videre i 2026. [acrisure.com]

TODO‑IT’s anbefalinger:

  • Sørg for versionsstyret, offline eller immutable backup
  • Segmentér netværket, så et kompromis ikke spreder sig
  • Overvåg loginadfærd og automatiser reaktioner ved mistænkelig aktivitet

4. Supply chain‑angreb rammer flere og hurtigere

Cyberangreb rammer nu sjældent direkte – de går gennem:

  • mindre leverandører
  • softwarebiblioteker
  • plugins
  • tredjepartstjenester

Eksperter forventer flere supply chain‑angreb i 2026, især fordi AI gør det muligt at finde svagheder i tredjepartsløsninger på rekordtid. [soteria365.com]

TODO‑IT’s anbefalinger:

  • Gennemgå leverandørernes sikkerhedsniveau
  • Begræns API‑tilladelser og eksterne integrationer
  • Brug software bill of materials (SBOM) på kritiske systemer

5. Over-tooling og under-protection

Mange små virksomheder har købt for mange sikkerhedsværktøjer – og bruger ingen af dem korrekt. Det skaber en falsk tryghed. Problemet i 2026 er ikke mangel på værktøjer, men mangel på governance og styring af dem. [cyberdefen...gazine.com]

TODO‑IT’s anbefalinger:

  • Få lavet et samlet overblik over jeres sikkerhedsopsætning
  • Har I licenser I ikke bruger? (Typisk i Microsoft 365)
  • Centraliser logning og overvågning
  • Fokusér på processer over produkter

Konklusion: 2026 kræver en ny tilgang til IT‑sikkerhed

Cybertruslerne i 2026 er:

  • hurtigere
  • mere automatiserede
  • langt mere personificerede
  • sværere at opdage
  • målrettet mindre virksomheder

Det gode er, at du med de rigtige tiltag – og uden enterprise‑budgetter – kan komme langt. TODO‑IT hjælper virksomheder med netop dette: at få implementeret løsninger, der giver maksimal sikkerhed uden at komplicere hverdagen.

Hvis du vil have gennemgået jeres nuværende sikkerhedssetup eller høre, hvordan TODO‑IT kan hjælpe, så står vi klar.

 

Klar til at styrke jeres IT‑sikkerhed i 2026?

Cybertruslerne udvikler sig hurtigere end nogensinde før – men det behøver ikke være komplekst at beskytte jeres virksomhed. Hos TODO‑IT hjælper vi små og mellemstore virksomheder med at opbygge et solidt, gennemsigtigt og realistisk sikkerhedssetup, der passer til hverdagen, budgettet og behovene.

Vi kan hjælpe med:

  • Gennemgang af jeres nuværende sikkerhedsniveau
  • Implementering af MFA, Conditional Access og Zero Trust‑principper
  • Microsoft 365 hardening og sikkerhedsopsætning
  • Backup‑strategi og ransomware‑beskyttelse
  • Overvågning, drift og løbende sikkerhedsforbedringer

Lad os tage en uforpligtende snak og se, hvor jeres største risici – og muligheder – ligger.

👉 Kontakt TODO‑IT i dag
📞 Telefon: +45 2278 2720
📧 Mail: [email protected]
🌐 Besøg os på todo‑it.dk

Vi hjælper jer trygt gennem 2026 – og sørger for, at I er et skridt foran truslerne.

 

 

Sådan får du dit udstyr til at sende mails med Office 365

07 december 2025 Administrator Microsoft 365

Har du et stykke udstyr - måske en printer, en UPS, et overvågningssystem eller andet IT-udstyr - der skal kunne sende mails med statusopdateringer eller advarsler? Mange virksomheder støder på dette problem, når de skifter til en ren Office 365-miljø uden traditionelle on-premise mailservere.

I denne guide gennemgår vi de fire mest almindelige måder at konfigurere din enhed til at sende mails via Office 365.

Hvorfor er det ikke ligetil længere?

Tidligere kunne man ofte bare pege sit udstyr på en intern mailserver og lade det køre. Med moderne cloud-løsninger som Office 365 har Microsoft strammet sikkerheden betydeligt. SMTP-protokollen med basic authentication er som standard deaktiveret, og der er indført flere beskyttelseslag mod spam og uautoriserede afsendelser.

1. (Anbefalet) Brug "SMTP Client Submission" med en dedikeret servicekonto

Dette er den officielle og mest sikre metode for enheder og applikationer til at sende mail gennem Office 365.

Fordele:

  • Officielt understøttet af Microsoft

  • Høj sikkerhed

  • Pålidelig og stabil

  • Fungerer både on-premise og i cloud-miljøer

Ulemper:

  • Kræver en Exchange Online-licens

Sådan konfigurerer du det:

  1. Opret en dedikeret servicebruger i Azure AD/Office 365 (f.eks. [email protected]). Dette undgår at bruge en persons konto og giver bedre oversigt.

  2. Tildel en Exchange Online-licens til denne bruger (f.eks. Exchange Online Plan 1).

  3. Aktivér "SMTP AUTH" for netop denne konto:

    • Gå til Microsoft 365 Admin Center > Aktive brugere

    • Vælg din servicebruger, klik på Mail > E-mail-apps

    • Sæt flueben ved Authenticated SMTP

  4. Opret eventuelt et app-adgangskode (hvis MFA er aktiveret):

  5. Konfigurer din enhed med disse oplysninger:

    • SMTP Server: smtp.office365.com

    • Port: 587 (anbefalet, med STARTTLS)

    • Brugernavn: Den fulde e-mailadresse for servicebrugeren

    • Kodeord: Brugerens adgangskode eller app-adgangskoden

    • SSL/TLS: Ja

2. (Mere komplekst, men licensfrit) Brug en SMTP-relay

Denne metode er velegnet til virksomheder med hybrid-miljøer og statiske IP-adresser.

Forudsætninger:

  • Din virksomhed har en statisk, offentlig IP-adresse

  • Dit udstyr befinder sig på det lokale netværk

  • Du har adgang til Exchange Admin Center

Konfigurationsguide:

  1. Exchange Admin Center går du til Mail flow > Connectors

  2. Opret en ny connector:

    • Fra: Din organisations e-mailserver

    • Til: Office 365

  3. Konfigurér den til at acceptere mails fra din specifikke, statiske IP-adresse

  4. Konfigurer din enhed:

    • SMTP Server: Din interne mailserver ELLER ditdomæne.mail.protection.outlook.com

    • Port: 25

    • SSL/TLS: Ja (hvis muligt)

    • Brugernavn/Adgangskode: Ingen (Anonymous)

3. Brug tredjeparts SMTP-tjenester

Hvis du ikke vil konfigurere Office 365 specifikt, kan tredjepartstjenester være et alternativ.

Populære tjenester inkluderer:

  • SendGrid (gratis op til 100 mails/dag)

  • SMTP2GO

  • Amazon SES

  • Din egen internetudbyder (ofte inkluderet i abonnementet)

Typisk konfiguration:

  • SMTP Server: Leveret af tjenesten (f.eks. smtp.sendgrid.net)

  • Port: 587 eller 465

  • SSL/TLS: Ja

  • Brugernavn/Adgangskode: Oplyst af tjenesten

4. Brug Power Automate eller lignende automationsværktøjer

Er din enhed i stand til at sende HTTP-anmodninger (webhooks)? Så kan automationsløsninger være en kreativ vej udenom traditionel SMTP.

Sådan fungerer det:

  1. Enheden sender en HTTP-anmodning til en webhook-URL

  2. Power Automate modtager anmodningen

  3. Et "flow" sender en mail via Office 365

Fordele:

  • Ingen direkte SMTP-konfiguration på enheden

  • Mulighed for avanceret behandling og formatering

Ulemper:

  • Kræver at enheden understøtter webhooks

  • Mere kompleks opsætning

  • Kræver Power Automate-licens

Sammenligning af metoder

 
Metode Licens Sværhedsgrad Sikkerhed Bedst til...
SMTP Client Submission Ja (1 licens) Let-Middel Høj De fleste enheder, officiel løsning
SMTP Relay Nej Middel-Høj Høj Hybrid-miljøer med statisk IP
Tredjeparts SMTP Nej (oftest) Let Varierende Enkle løsninger uden Office 365-integration
Power Automate Ja Høj Høj Enheder med webhook-understøttelse

Praktiske tips

  • Opret dedikerede servicekonti for hver type enhed eller lokation

  • Brug beskrivende mailadresser som printer-alerts@server-room@security-cameras@

  • Opsæt regler i Outlook for automatisk at sortere disse mails i separate mapper

  • Test konfigurationen med en testmail før du lukker opsætningen

  • Dokumentér hvilken metode og hvilke legitimationsoplysninger der er brugt

Konklusion

For de fleste virksomheder med Office 365 er SMTP Client Submission med en dedikeret servicekonto den bedste løsning. Selvom det kræver en licens, giver det den bedste sikkerhed, stabilitet og fremtidssikring.

Ved at følge disse retningslinjer kan du sikre, at dit udstyr fortsat kan kommunikere vigtige beskeder, selv i en moderne cloud-baseret mailm

Konfiguration af STP og Loop Protection i UniFi-netværk

03 december 2025 Administrator Netværk

Introduktion

I ethvert større eller komplekst netværk med flere switches introduceres en risiko for netværksløkker. En fysisk løkke kan forårsage en broadcast storm, som fuldstændigt kan lægge netværket ned. For at forhindre dette bruger managed switches protokollen Spanning Tree Protocol (STP) og relaterede funktioner.

Denne guide gennemgår, hvordan du konfigurerer Rapid Spanning Tree Protocol (RSTP) og den specifikke Loop Protection-funktion i et UniFi-netværk, samt hvordan prioritering af root bridge håndteres.

1. Forstå RSTP (802.1w) i UniFi-kontekst

UniFi-switches bruger som standard Rapid STP (RSTP), en hurtigere og mere moderne version af det klassiske STP. RSTP's hovedformål er at:

  • Opdage fysiske løkker i netværket.

  • Logisk deaktivere (block) redundante links for at skabe en loop-free topologi.

  • Aktivere et backup-link, hvis det primære link fejler.

Nøgleroller i RSTP:

  • Root Bridge: Den centrale switch, som hele netværkets spanning-tree topologi beregnes ud fra. Det er kritisk, at dette er en central, pålidelig switch (typisk din kerne- eller distributionsswitch).

  • Designated/Alternate Ports: Porte der enten tillader eller blokerer trafik for at forhindre løkker.

  • BPDU (Bridge Protocol Data Unit): Kontrolpakker udvekslet mellem switches for at opdage løkker og vælge root bridge.

2. Konfiguration i UniFi Network Controller

Alle STP-relaterede indstillinger administreres centralt.

Trin 1: Åbn Indstillinger og Naviger til Netværksindstillinger

  1. Gå til UniFi Network Controller.

  2. Klik på Indstillinger (tandhjuls-ikonet).

  3. Vælg fanen Netværk.

Trin 2: Konfigurer Global STP-indstilling

  1. Under "Indstillinger for Global Switch", find sektionen Spanning Tree Protocol.

  2. STP-mode: Sæt dette til RSTP. Dette anvendes på alle dine UniFi-switches.

  3. STP Priority: Dette er den globale prioritet for alle switches. Standardværdien er 32768. En lavere numerisk værdi betyder højere prioritet. Kun relevant hvis du ikke justerer prioritet pr. switch.

3. Tildeling af Root Bridge via Switch-specifik Prioritetsjustering

For at sikre, at den ønskede switch (f.eks. en kraftig UniFi Switch Pro) bliver Root Bridge, skal du manuelt justere dens prioritet.

Trin 1: Gå til Enhedsindstillinger

  1. Klik på Enheder i venstre menu.

  2. Vælg den switch, du vil gøre til Root Bridge.

  3. Klik på Indstillinger for denne switch.

Trin 2: Juster STP Prioritet

  1. Rul ned til STP Configuration under "Switch Settings".

  2. Indstil STP Priority til en værdi lavere end alle andre switches. En god praksis er at sætte den primære root bridge til 4096, en sekundær backup til 8192, og lade de perifære switches (access-switches) stå på standard 32768.

  3. Ændringen anvendes umiddelbart. RSTP vil genberegne topologien, hvilket typisk tager få sekunder uden afbrydelse.

4. Aktivér Loop Protection (Anbefalet)

UniFi's Loop Protection er en funktion, der fungerer ud over RSTP. Den er enkle at konfigurere og ekstremt effektiv til at stoppe løkker i access-laget.

Sådan virker det:
Funktionen sender regelmæssigt testpakker ud fra hver port. Hvis en testpakke modtages på den samme port, den blev sendt fra, er der en lokal port-løkke (f.eks. et kabel skruet forkert til én switch). Porten bliver straks administrativt deaktiveret.

Konfiguration:

  1. Indstillinger > Netværk under "Global Switch".

  2. Find indstillingen Loop Protection.

  3. Sæt den til Aktiveret.

  4. Du kan også aktivere/deaktivere funktionen på port-niveau under portindstillingerne for en switch.

Vigtig forskel:

  • RSTP håndterer komplekse løkker mellem flere switches.

  • Loop Protection fanger simple, men almindelige, løkker på én enkelt switch (f.eks. et kabel mellem port 1 og port 2 på samme switch) meget hurtigere.

5. Anbefalede Praksisser

  1. Lad altid RSTP være aktiveret i netværk med to eller flere managed switches.

  2. Manuelt definer Root Bridge via prioritet for at undgå, at en svag switch ved et uheld bliver valgt.

  3. Aktiver Loop Protection på alle access-switches. Det er en lavomkostningssikkerhedsforanstaltning, der forhindrer de fleste fejl fra brugere.

  4. Forbind aldrig to porte på samme switch med et kable (medmindre du bruger en specifik LAG/aggregation, som ikke påvirkes).

  5. Ved brug af UniFi Uplink Connectivity Monitor eller MAC-læring: Vær opmærksom på, at disse kan interagere med STP. Test dine failover-scenarier.

Konklusion

En korrekt konfiguration af RSTP og Loop Protection er essentiel for både stabilitet og sikkerhed i dit UniFi-netværk. RSTP sørger for en fejltolerant, loop-free topologi på arkitekturniveau, mens Loop Protection fungerer som et proaktivt, lokalt værn mod konfigurationsfejl.

Ved at justere STP Priority sikrer du, at den mest velegnede switch styrer netværkets logik, hvilket optimerer trafikflow og genskabselse ved fejl.

Ny Azure AD/Office 365 Tenant

20 november 2025 Administrator Microsoft 365, Azure

Den Ultimative Guide: Sådan Opretter du en Ny Azure AD/Office 365 Tenant Korrekt

En step-by-step vejledning til at undgå almindelige faldgruber og sikre en professionel opsætning

Introduktion

Oprettelse af en ny Azure Active Directory eller Office 365-tenant er ofte det første skridt mod digital transformation for mange virksomheder. Men hvordan gør man det korrekt? I denne guide gennemgår vi den professionelle fremgangsmåde, der sikrer en stabil og sikker start.

Hvorfor er Korrekt Opsætning Vigtig?

En forkert konfigureret tenant kan føre til:

  • Sikkerhedshuller der udnyttes af ondsindede aktører

  • Kompatibilitetsproblemer med branchestandarder

  • Øget administration og omkostninger ved senere rettelser

  • Dataplaceringsproblemer ift. GDPR og andre regulativer

Forberedelser: Det, du skal have styr på FØR oprettelse

📋 Kravaflklaring

  • Domænenavn: Dit primære virksomhedsdomæne (f.eks. virksomhed.dk)

  • Geografisk placering: Vælg din primære dataregion (EU anbefales til danske virksomheder)

  • Licensstrategi: Hvilke Microsoft 365/Azure-abonnementer har du brug for?

  • Administrativ struktur: Hvem skal have hvilke administratorroller?

🔐 Sikkerhedsforberedelser

  • Administrative konti: Brug aldrig personlige Microsoft-konti

  • Multi-factor Authentication (MFA): Planlæg implementering fra starten

  • Nødprocedurer: Sikkerhedskopi af nøgledata og genopretningsplaner

Metode 1: Oprettelse via Microsoft 365 Admin Center (Anbefalet)

Trin 1: Initiering

text
1. Gå til https://admin.microsoft.com
2. Klik på "Opret en lejer" eller "Kom i gang"
3. Vælg "Opret en ny lejer"

Trin 2: Grundlæggende Information

markdown
- **Organisationsnavn**: Dit officielle virksomhedsnavn
- **Initialt domæne**: Dit primære domæne (virksomhed.onmicrosoft.com)
- **Land/region**: Vælg "Danmark" for dansk datalagring
- **Kontaktoplysninger**: Brug en generel administrativ mail (f.eks. [email protected])

Trin 3: Verifikation

  • Modtag verifikationskode på din mail

  • Bekræft din identitet

  • Acceptér servicevilkårene

Trin 4: Opsætning af Administrator

  • Opret den første globale administrator-konto

  • Sikr, at denne konto har en stærk adgangskode

  • Gem legitimationsoplysninger sikkert

Metode 2: Oprettelse via Azure Portal

For avancerede brugere og hybridscenarier

markdown
1. Log ind på https://portal.azure.com
2. Søg efter "Azure Active Directory"
3. Klik på "+ Opret"
4. Udfyld felterne:
   - Organisationsnavn
   - Initialt domænenavn  
   - Land/region
5. Gennemse og bekræft

Fordele ved Azure Portal-metoden:

  • Direkte integration med Azure-tjenester

  • Mulighed for avancerede konfigurationer

  • Bedre til hybrid-miljøer

Metode 3: Oprettelse gennem Autoriseret Partner

🏆 Professionel Opsætning gennem Todo-IT

Som autoriseret Microsoft CSP-provider tilbyder vi en professionel opsætningsservice der sikrer:

markdown
**Korrekt konfiguration fra dag ét****Sikkerhedsoptimering efter bedste praksis****Licensrådgivning baseret på erfaring****Fremtidssikring af din digitale platform****Løbende support og vejledning**

Fordele ved at bruge en autoriseret partner:

  • Ekspertviden om Microsofts platform

  • Tidsbesparelse på kompleks konfiguration

  • Samlet fakturering for alle Microsoft-tjenester

  • Lokalt dansk support til dagligdagens udfordringer

  • Proaktiv vejledning til optimering af din platform

De Første Kritiske Skridt EFTER Oprettelse

🔧 Umiddelbare handlinger (første 24 timer)

1. Domæneverifikation

markdown
1. Gå til Admin Center > Indstillinger > Domæner
2. Tilføj dit virksomhedsdomæne
3. Verificer ejerskab via DNS-posts
4. Gør domænet til primært

2. Sikkerhedskonfiguration

markdown
- **Aktiver MFA** for administratorer
- **Opret nødberedskabskonti**
- **Konfigurer sikkerhedsstandarder**
- **Gennemgå logføring**

3. Administrativ Struktur

markdown
- Opret administratorroller efter princip om mindst privilege
- Opret administrative enheder
- Planlæg bruger- og gruppestruktur

4. Licenstildeling

markdown
- Tildel licenser til brugere
- Konfigurer tjenester efter behov
- Opret licensgrupper

Professionel Rådgivning fra Todo-IT

💼 Vores Ekspertiseområder

text
🔹 **Tenant Architecture Design** - Skræddersyet til din virksomhed
🔹 **Sikkerhedsimplementering** - Beskyttelse efter bedste praksis
🔹 **Licensoptimering** - Den rigtige løsning til din situation
🔹 **Hybrid Cloud løsninger** - Integration med eksisterende systemer
🔹 **Løbende management** - Proaktiv platformadministration

📞 Få Professionel Hjælp

Kontakt Todo-IT for en uforpligtende drøftelse af dine behov:

Vi tilbyder komplette løsninger fra initial opsætning til løbende optimering af din Microsoft-platform.

Almindelige Fejl og Løsninger

❌ Fejl 1: Brug af Personlig Konto

Problem: Oprettelse med @outlook.com eller @hotmail.com
Løsning: Brug altid en virksomhedsmail under oprettelse

❌ Fejl 2: Forkert Region

Problem: Valg af forkert geografisk placering
Løsning: Kontakt Microsoft Support for eventuel ændring

❌ Fejl 3: Utilstrækkelig Sikkerhed

Problem: Ingen MFA på administrative konti
Løsning: Aktiver Conditional Access politikker umiddelbart

❌ Fejl 4: Manglende Domæneverifikation

Problem: Bruger .onmicrosoft.com-domæne i stedet for eget domæne
Løsning: Verificer domæne og gør det til primært ASAP

Avancerede Overvejelser

Hybrid Identitet

  • Planlæg Azure AD Connect til lokalt synkronisering

  • Vælg den rigtige godkendelsesmetode

  • Test i pilotmiljø før fuld implementering

Governance og Compliance

  • Opret beskyttelsespolitikker

  • Konfigurer data tabsforebyggelse (DLP)

  • Implementer opbevaringspolitikker

Overvågning og Rapportering

  • Konfigurer logføring

  • Opret advarsler

  • Planlæg regelmæssige gennemsyn

Konklusion

Oprettelse af en ny Azure AD/Office 365-tenant er mere end bare at klikke "Opret". Det er et strategisk skridt, der kræver omhu og planlægning. Ved at følge denne guide - eller ved at samarbejde med en autoriseret partner som Todo-IT - sikrer du en robust, sikker og skalerbar foundation for din organisations digitale rejse.

🚀 Har du brug for professionel assistance?
Tag kontakt til Todo-IT for en uforpligtende vurdering af din Microsoft Cloud-platform. Vi kombinerer teknisk ekspertise med forretningsforståelse for at levere løsninger der virker i praksis.

Todo-IT
📞 22782720
🌐 www.todo-it.dk
✉️ [email protected]

Din autoriserede Microsoft partner i cloud-transformation