Sådan Opsætter du SPF, DKIM og DMARC Korrekt

31 januar 2026 Administrator Azure, Microsoft 365, Sikkerhed, DNS, SPF, DKIM, DMARC

Den Ultimative Guide: Sådan Opsætter du SPF, DKIM og DMARC Korrekt

En teknisk step‑by‑step vejledning til moderne e‑mail‑sikkerhed

Introduktion

I 2026 er SPF, DKIM og DMARC blevet kritiske for både sikkerhed og leveringssikkerhed. Stigende AI‑genererede phishingangreb og skærpede krav fra store mailudbydere betyder, at e‑mail uden korrekt autentifikation kan ende i spam eller helt blive afvist. 

De tre teknologier arbejder sammen:

  • SPF – angiver hvilke servere der må sende mail
  • DKIM – sikrer mailens integritet via signatur
  • DMARC – afgør hvad der skal ske, hvis SPF/DKIM fejler

SPF — Sender Policy Framework

Hvad SPF gør

SPF definerer hvilke mailservere der er autoriseret til at sende mails på vegne af dit domæne. Modtageren sammenligner afsenderens IP med domænets SPF‑record. 

SPF Best Practices (2026)

  • Kun én SPF‑record pr. domæne
  • Maksimalt 10 DNS lookups i SPF
    (ellers fejler SPF) 
  • Brug ~all under opsætning (softfail)
    — stopper ikke mailflow men markerer fejl til videre analyse 
  • Undgå brede CIDR ranges eller unødvendige afsendere
  • Sørg for alignment mellem MAIL FROM og From‑domæne

Eksempel‑records

  • Microsoft 365: v=spf1 include:spf.protection.outlook.com ~all

  • Google Workspace: v=spf1 include:_spf.google.com ~all

DKIM — DomainKeys Identified Mail

Hvad DKIM gør

DKIM tilføjer en digital signatur til dine mails, så modtageren kan verificere, at indholdet ikke er ændret, og at mailen faktisk kommer fra dit domæne. 

DKIM Best Practices (2026)

  • Brug 2048‑bit nøgler for sikkerhed og kompatibilitet

  • Aktivér DKIM på alle tjenester, der sender på vegne af domænet
  • Roter DKIM‑nøgler med faste intervaller
  • Sørg for domain alignment (d=domæne.dk)

DMARC — Domain-based Message Authentication, Reporting & Conformance

Hvad DMARC gør

DMARC kontrollerer om SPF eller DKIM består — og afgør herefter, om mailen skal leveres, quarantines eller afvises. DMARC genererer desuden rapporter til overvågning af misbrug. 

DMARC Best Practices (2026)

  • Start med p=none (monitorering)

  • Skift herefter til quarantine
  • Afslut med reject, når alt er valideret
    → anbefalet i 2026 for maksimal beskyttelse 
  • Aktivér rapportering med rua= og ruf=
  • Overvåg DMARC‑rapporter løbende

Eksempel‑records

Monitorering:

v=DMARC1; p=none; rua=mailto:[email protected]; aspf=r;

Quarantine:

v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected];

Reject (endelig):

v=DMARC1; p=reject; pct=100; rua=mailto:[email protected];

Komplet opsætningsworkflow (DNS)

1. Kortlæg eksisterende opsætning

  • Tjek om domænet allerede har SPF, DKIM eller DMARC
  • Identificér ALLE systemer der sender mail:
    M365, Google, CRM, marketing, faktura‑systemer osv.
    (Glemt afsender = SPF/DKIM fejl) 

2. Opret / opdater SPF

  • Tilføj alle afsendere via include:
  • Fjern gamle eller ubrugte afsendere
  • Tjek lookup‑antal (max 10)

3. Aktivér DKIM

  • Microsoft 365: Aktivér DKIM i admin panelet
  • Google Workspace: Generér nøgle & publicér i DNS
  • Tredjepartstjenester: DKIM selector + TXT‑nøgle
  • Bekræft 2048‑bit brug

4. Implementér DMARC

  • Start med p=none
  • Analyser de indkomne rapporter (RUA)
  • Identificér forkerte eller uautoriserede kilder
  • Skru gradvist op til quarantinereject

5. Validering og overvågning

  • Gennemgå fejl i SPF alignment
  • Overvåg DKIM signaturfejl
  • Brug DMARC‑rapporter til løbende forbedring

Typiske fejl – og hvordan du undgår dem

❌ Fejl: To SPF‑records

→ SPF må KUN eksistere én gang (ellers ugyldig).

❌ Fejl: SPF overskrider 10 DNS‑lookups

→ Konsolider includes og fjern gamle services.

❌ Fejl: DKIM kun aktiveret på primær mailtjeneste

→ Alle systemer, der sender mail, skal signere.

❌ Fejl: Start med p=reject

→ Giver leveringsfejl og tabte mails. Start altid med p=none.

Konklusion

I 2026 er SPF, DKIM og DMARC fundamentale krav for moderne mail‑sikkerhed.
En korrekt opsætning beskytter dit domæne, reducerer spoofing og sikrer, at dine mails faktisk når indbakken.

TODO‑IT kan hjælpe med:

  • Komplet DNS‑opsætning
  • Fejlfinding og DMARC‑rapportanalyse
  • Sikring på tværs af flere mailplatforme
  • Drift og optimering af e‑mail leveringssikkerhed

 

Den Ultimative Guide: Sådan Opsætter du Microsoft Intune Korrekt

31 januar 2026 Administrator Azure, Microsoft 365, Sikkerhed

Den Ultimative Guide: Sådan Opsætter du Microsoft Intune Korrekt (2026)

En komplet, rå teknisk step‑by‑step vejledning til en professionel endpoint‑platform

Introduktion

Microsoft Intune (Microsoft Endpoint Manager) er den centrale platform til styring af Windows‑arbejdsstationer, compliance, sikkerhedskonfigurationer og softwareudrulning.
Denne guide gennemgår den fulde, korrekte opsætning fra start til slut — designet som en baseline for moderne Microsoft 365‑miljøer i 2026.

Hvorfor en korrekt Intune‑opsætning er kritisk

En forkert eller mangelfuld Intune‑struktur fører typisk til:

  • Forkert registrerede devices
  • Konflikt mellem policies (GPO vs. Intune)
  • Ufuldstændige sikkerhedskonfigurationer
  • Manglende compliance‑opfyldelse
  • Uforudsigelig softwaredeployment

En korrekt opsætning sikrer:

  • Stabil onboarding
  • Konsistent compliance
  • Zero Trust‑klare endpoints
  • Central styring af apps, updates og security baselines

Forberedelser: Det skal du have styr på FØR opsætning

📋 Kravafklaring

  • Licens: Microsoft 365 Business Premium / E3 + Add‑Ons / E5
  • Domæne: Verificeret i Entra ID
  • Enhedsstrategi: BYOD, CYOD, COBO, eller CORP
  • Join‑strategi: Entra Join, Hybrid‑Join, Workgroup → Entra Join

🔐 Sikkerhedsforberedelser

  • Break‑glass administratorer
  • MFA aktiv
  • Conditional Access basic policies (blok legacy auth, kræv MFA)
  • Identitetsbeskyttelse

Trin 1: Grundkonfiguration af Intune

1. Enroll‑metoder

Intune Admin Center → Devices → Enroll devices

Aktivér:

  • Windows Enrollment
  • Automatic Enrollment (MDM)
    • MDM scope: All
    • MAM scope: None (eller pilot hvis brugt)

2. Konfigurer Enrollment Restrictions

Devices → Enrollment → Enrollment device platform restrictions

Opret to policies:

  • Standard policy
    • Tillad: Windows, iOS, Android
    • Blokér: macOS (valgfrit)
  • Blocked policy
    • Blokér alle uautoriserede enheder og OS‑versioner

3. Deployment Profiles (Windows Autopilot)

Devices → Windows → Windows enrollment → Deployment Profiles

  • Opret Windows Autopilot Profile
    • Join type: Entra Joined
    • Deployment mode: User‑driven for normale brugere
    • Skip:
      • OneDrive restore → On
      • OEM registration → On
      • EULA → On
      • Language → Off
      • Privacy Settings → Skip
    • ESP aktiv: Yes

Trin 2: Baselines & Configuration Profiles

1. Security Baseline (Microsoft Recommended)

Endpoint Security → Security Baselines

Aktivér:

  • Windows 11 Security Baseline
  • Microsoft Defender Baseline
  • Edge Baseline (valgfrit)

2. Device Configuration Profiles

Devices → Configuration → Create Profile

Opret følgende standardprofiler:

A. Device Restrictions

  • Disable Consumer Features
  • Disable Windows tips
  • Disable “Let apps run in background”
  • Disable News & Interests
  • Disable Widgets
  • Remove Microsoft Store auto‑install apps
  • Disable local admin for standard users

B. Identity Protection

  • Credential Guard → Enabled
  • LSASS Protection → Enabled

C. Endpoint Protection

  • Defender Antivirus (cloud‑protection, MAPS, real‑time scanning)
  • Attack Surface Reduction (ASR)
  • Controlled Folder Access (optional)

D. Update Rings for Windows 11

Devices → Windows → Update rings

Anbefalet:

  • Automatic install
  • Allow 7‑day grace
  • Auto reboot outside active hours

E. Feature Update Policy

Fastlå version (fx Windows 11 25H2) i 12 måneder.
Dette sikrer stabilitet.

Trin 3: Compliance Policies

Endpoint Security → Compliance policies

Opret → Windows compliance profile

Anbefalet baseline:

  • Require BitLocker enabled
  • Require Secure Boot
  • Require TPM 2.0
  • Require Antivirus → Microsoft Defender
  • Require Firewall → Enabled
  • Require device not jailbroken/rooted
  • Require Code Integrity turned on
  • Minimum OS version (fx 24H2 eller 25H2)

Konfigurer compliance markering:

  • Non‑compliant → Mark as non‑compliant after 2 days
  • Report non‑compliance → Entra ID → CA

Trin 4: Conditional Access Integration

Opret 3 CA policies:

1. Baseline MFA for all users

  • Require MFA
  • Exclude: Break glass accounts

2. Require compliant device

  • Users: All
  • Cloud apps: All
  • Grant → Require device marked compliant

3. Block legacy authentication

  • Client apps → Block "Other clients"
  • Grant → Block

Trin 5: App Management (Win32, MSI, Store)

Upload Win32 apps

Apps → Windows apps → Add → Win32

Pak appen:

 
 
 
 
 
PowerShell
 
 
IntuneWinAppUtil.exe -c "sourcefolder" -s "setup.exe" -o "outputfolder"
 

Upload .intunewin
Angiv:

  • Install cmd: setup.exe /silent
  • Uninstall cmd: uninstall.exe /silent
  • Detection rules: Registry/File/Custom script

MSI apps

Upload direkte → MSI detection automatisk

Store apps

Tilføj via "Microsoft Store (new)"

Trin 6: Autopilot Device Registration

Manuelt upload:

  1. Kør på enhed:
 
 
 
 
 
PowerShell
 
 
Get-WindowsAutopilotInfo.ps1 -OutputFile AutoPilotHWID.csv
 
  1. Upload i Intune: Devices → Windows → Windows enrollment → Devices → Import

OEM / Partner

Brug Deployment Service API eller OEM portal.

Trin 7: Endpoint Security

Endpoint Security → Firewall

  • Aktivér Domain/Private/Public
  • Definer inbound rules kun til nødvendige services

Endpoint Security → Attack Surface Reduction
ASR rules (Audit → Enforce):

  • Block Office macros
  • Block PSExec/WMI process creation
  • Block executable content from email/webmail
  • Block credential theft attempts

Endpoint Security → Disk Encryption

  • BitLocker with XTS‑AES256
  • Recovery key upload → Entra ID
  • Startup authentication → TPM only (normal users)

Trin 8: Monitorering og Drift

Device Actions

Remote:

  • Wipe
  • Fresh Start
  • Sync
  • Restart
  • Autopilot Reset

Monitoring

Reports → Devices → Hardware / Compliance / Configuration / Update status

Log‑indsamling

  • Use Collect Diagnostics
  • EndpointAnalytics aktiv

Almindelige fejl og løsninger

❌ Devices ikke compliant
→ ASR konflikter eller manglende BitLocker policy
→ Tjek eventlog: MDMDiagnosticReport.cab

❌ Autopilot "0x80180014"
→ MDM enrollment scope sat forkert

❌ Win32 app hænger i “Pending”
→ Detection rule forkert eller missing dependencies

❌ Policies konflikter
→ Konsolider Device Restrictions profiler
→ Brug Settings Catalog i stedet for ældre templates

 

Windows 11 Business Baseline 2026

31 januar 2026 Administrator Microsoft 365, Sikkerhed

Windows 11 Business Baseline 2026

Den Ultimative Guide: Sådan Hardener du Windows 11 25H2/24H2 Professionelt**

En step‑by‑step vejledning til sikre, stabile og moderne Windows 11‑arbejdsstationer i 2026

Introduktion

Windows 11 udvikler sig hurtigt — og i 2026 er sikkerhedsniveauet i OS’et højere end nogensinde før. Samtidig har Microsoft introduceret en ny quarterly baseline‑kadence, Hotpatch‑modellen, updated security baselines og omfattende hardening‑ændringer, som alle virksomheder bør implementere for at opnå en moderne, robust og fremtidssikret Windows 11‑platform.

Microsofts januar 2026 baseline (KB5074109) markerer et vigtigt sikkerhedsmæssigt checkpoint og indeholder bl.a. AI‑komponentopdateringer, netværksrettelser og ændringer, der påvirker Secure Boot og deployment. [windowsforum.com], [cybercory.com]

I denne guide gennemgår vi:

  • hvorfor baseline‑hardening er kritisk
  • hvad der er ændret i 2026
  • hvordan du opsætter en professionel Windows 11 Business Baseline
  • TODO‑IT’s anbefalede konfigurationer til danske virksomheder

Hvorfor Windows 11 Hardening er Kritisk i 2026

En forkert eller mangelfuld Windows‑opsætning kan føre til:

  • Sårbare endpoints pga. manglende baseline‑politikker
  • Brud på compliance (NIS2, ISO27001, CIS, Microsoft Security Baselines)
  • Kompatibilitetsproblemer, da sikkerhedsopdateringer integrerer nye kontroller
  • Flere angrebsflader via NTLM, SMB, print services, apps og widgets
  • Unødvendige genstarter hvis hotpatch‑kadencen ikke følges

Microsoft understreger, at baseline‑opdateringer er obligatoriske checkpoints, hvor både SSU (Servicing Stack Update) og LCU (Latest Cumulative Update) samles, og som danner grundlag for hotpatch‑månederne derefter. [windowsforum.com]

Derudover indeholder 2026‑hardening nye regler for auditing, printers, widgets, SMB‑sessions og Copilot‑restriktioner — alt sammen for at styrke arbejdsstationers modstandsdygtighed mod moderne angreb. [cyber.gov.au]

Forberedelser: Det skal være på plads før du bygger baseline

📋 Kravafdækning

  • Windows version: 24H2 eller 25H2
  • Udrulningsmetode: Intune, GPO eller hybrid
  • Kategori af enheder: Firmadevice, shared device, privileged workstation
  • Compliancekrav: CIS, STIG, Microsoft Baseline, NIS2
  • App‑kompatibilitet: Hvilke systemer kræver undtagelser?

🔐 Sikkerhedsforberedelser

  • Sørg for at alle enheder kører en gyldig baseline (26100.7623 / 26200.7623) [windowsforum.com]
  • Gennemgå eksisterende GPO’er for forældede policies
  • Afgør om virksomheden anvender NTLM internt
  • Tjek driver‑kompatibilitet (WDS hardening påvirker deployment workflows) [cybercory.com]

Windows 11 Baseline 2026: De vigtigste ændringer

Her opsummeres de mest kritiske ændringer i 2026‑baseline (25H2):

🔧 1. Print Security (Nye krav)

  • Kræv IPPS (HTTPS) for alle IPP‑printere
  • Håndhæv TLS/SSL‑politik for printerkommunikation
    Disse krav er nu foreslået som standard i Microsofts 25H2 baseline. 

🔧 2. NTLM Hardening

  • NTLM enhanced logging aktiveres som standard
  • Domain‑wide NTLM logging anbefales

Formålet er bedre synlighed, før NTLM udfases i kommende Windows‑generationer.

🔧 3. ASR (Attack Surface Reduction) Udvidelser

Ny anbefalet ASR‑regel:

  • Block process creations originating from PSExec and WMI commands
    – (d1e49aac‑8f56‑4280‑b9ba‑993a6d77406c)
    – sat til Audit som standard

🔧 4. Widgets & Lock Screen Restrictions

De nye hardening‑anbefalinger inkluderer:

  • Deaktiver widgets på lock screen
  • Deaktiver Widgets Board
    [cyber.gov.au]

🔧 5. App Install Controls

  • MSIX streaming install domænebegrænsninger
  • Kontrolleret liste over pakke‑familie‑navne til non‑admin install
    [cyber.gov.au]

🔧 6. SMB Hardening

  • Audit SMB client SPN support
  • Strammere default session‑håndtering
    [cyber.gov.au]

🔧 7. Secure Boot Hardening

Microsoft introducerer nyt kontrollag til phased deployment of Secure Boot certificates, for at undgå store boot‑failures i enterprise‑miljøer (reaktion på tidligere Secure Boot problemer)
[cybercory.com]

🔧 8. Deployment Hardening

Dette kan påvirke automatiske image‑flows, der tidligere kørte uden brugerinteraktion.

Den Ultimative Windows 11 Business Baseline (TODO‑IT anbefaling)

Nedenstående baseline er designet til danske SMB/Enterprise‑miljøer.

Trin 1: OS‑baseline og Patch Management

1. Installer seneste baseline (KB5074109)

2. Følg Hotpatch‑kadencen

Microsoft har ændret model til quarterly restart-required baselines (Jan/Apr/Jul/Okt)
– to efterfølgende måneder = Hotpatch‑periode uden reboot
[windowsforum.com]

Trin 2: Security Baseline Implementation (GPO/Intune)

🔹 1. Aktivér Microsoft Security Baselines (25H2)

Hent via Microsoft Security Compliance Toolkit.

🔹 2. Aktiver ASR-regler (minimum)

  • Block Office child processes
  • Block PSExec/WMI process creation (Audit → Enforce senere)
  • Block Win32 API calls from Office macro code

🔹 3. Defendernetværk

  • Disable NetBIOS name resolution
  • Disable LLMNR

🔹 4. Credential Hardening

  • Deaktiver WDigest (nu default)
  • LSASS Protected Mode
  • Kerberos PAC Signatures (default i 2026 baselines)

Trin 3: Hardening af brugeroplevelsen

🔹 1. Widgets deaktivering

🔹 2. Microsoft Store hardening

  • Fjern forudinstallerede Store‑apps (anbefalet baseline 2026)
    [cyber.gov.au]

🔹 3. Copilot kontrol

  • GPO for Copilot er udfaset → nu via PowerShell/AppLocker
    [cyber.gov.au]

Trin 4: Printer Security Policy

Trin 5: Auditing og Logging

Minimum:

  • CLFS log file authentication (ny anbefaling 2026)
    [cyber.gov.au]

  • Include command line in process creation events

  • NTLM enhanced logging

Almindelige Fejl og Løsninger

Problemer med WDS efter baseline
→ Årsag: Hands-free deployment disabled (kræver workflow‑justering)
[cybercory.com]

Printere slår fejl
→ IPP printere kræver nu IPPS + TLS konfiguration

Widgets dukker op post‑deployment
→ Manglende Intune policy eller AppLocker enforcement

TODO‑IT’s Enterprise Setup Services

Vi hjælper virksomheder med:

  • ✔ Udarbejdelse af Windows 11 baseline (25H2/24H2)
  • ✔ Intune baselines + Zero Trust endpoint strategi
  • ✔ Hardening efter CIS / Microsoft Baselines / NIS2
  • ✔ Deployment design (WDS, Autopilot, Hybrid join)
  • ✔ Kontinuerlig drift og overvågning

Kontakt TODO‑IT

📞 +45 22 78 27 20
✉️ [email protected]
🌐 www.todo-it.dk

TODO‑IT sikrer, at jeres Windows 11‑miljø er sikkert, stabilt og fremtidssikret — baseret på de nyeste 2026‑standarder.

 

Den Ultimative Guide: Sådan Opsætter du Conditional Access Korrekt i Microsoft Entra ID (2026)

31 januar 2026 Administrator Microsoft 365, Sikkerhed

Den Ultimative Guide: Sådan Opsætter du Conditional Access Korrekt i Microsoft Entra ID (2026)

En step‑by‑step vejledning til en sikker, stabil og professionel identitetsstyring

Introduktion

Conditional Access (CA) er i dag hjertet af sikkerheden i Microsoft 365 og Azure. I 2026 er CA ikke længere “nice to have” – det er en absolut nødvendighed for at beskytte identiteter, data og systemer mod moderne AI‑drevne angreb, misbrugte tokens og loginforsøg fra kompromitterede enheder.

I denne guide gennemgår vi den professionelle fremgangsmåde til opsætning af Conditional Access‑politikker i Microsoft Entra ID, så du undgår almindelige fejl, lockouts og sikkerhedshuller.

Hvorfor er korrekt CA‑opsætning vigtig?

En forkert konfigureret CA‑politik kan føre til:

  • Uventede lockouts – administratorer eller brugere mister adgang til kritiske systemer
  • Fejlbehæftede apps – især ældre integrationer fejler stille
  • Sikkerhedshuller – fx hvis legacy authentication forbliver åben
  • Complianceproblemer – fx hvis MFA ikke er tvunget ved risiko
  • Manglende kontrol – uden struktur bliver CA en rodebunke af policies

En korrekt implementeret CA‑model giver:

  • ✔ Konsistent sikkerhed
  • ✔ Minimal risiko for utilsigtede blokeringer
  • ✔ Nem administration
  • ✔ Klar insigt i risikoadfærd
  • ✔ Forbedret compliance og rapportering

Forberedelser: Det skal være på plads før opsætningen

📋 Kravafklaring

Før du bygger dine CA‑politikker, skal du have styr på:

  • Brugersegmenter: Almindelige brugere, admins, eksterne, servicekonti
  • Enheder: Intune‑styrede, hybrid join, private enheder
  • Apps: Cloud apps, legacy apps, tredjepartsapps
  • Forretningskritikalitet: Hvad må aldrig blokeres?

🔐 Sikkerhedsforberedelser

  • Opret 2 x break‑glass administratorer (cloud‑only)
  • Sørg for at MFA er aktivt og testet
  • Planlæg device‑compliance strategi (Intune)
  • Kortlæg alle applikationer der bruger legacy authentication

Metode 1: Baseline‑opsætning (anbefalet af TODO‑IT)

Her er den CA‑baseline vi oftest implementerer hos kunder.

Trin 1: Blokér Legacy Authentication (Kritisk)

Legacy authentication er stadig den største årsag til password spray‑angreb.

Sådan gør du:

  1. Gå til Entra ID → Security → Conditional Access
  2. Opret ny politik
  3. Assignments → All users
  4. Cloud apps → All cloud apps
  5. Conditions:
    • Client apps → Vælg Other clients
  6. Access control → Block access
  7. Sæt i Report‑only mode i 24 timer
  8. Aktivér

Fordel: Lukker den absolut største angrebsflade.

Trin 2: MFA for alle brugere (interaktiv login)

Sådan gør du:

  1. Opret ny politik
  2. Assignments → All users (undtagen break‑glass)
  3. Cloud apps → All cloud apps
  4. Access control → Require MFA
  5. Sæt i Report‑only → Test → Aktiver

Trin 3: Særskilt Admin‑beskyttelse (strengere krav)

Administratorer skal altid have:

  • stærkere MFA
  • compliant enhed
  • ingen login uden risikoanalyse

Sådan gør du:

  1. Ny politik → Target: Directory roles (Global Admin, Security Admin, etc.)
  2. Kræv:
    • Phishing‑resistant MFA
    • Compliant device
    • Approved client apps
  3. Sæt i Report‑only → Test → Aktiver

Trin 4: Kræv compliant eller hybrid join‑enhed

Dette sikrer at brugere ikke logger ind fra uregistrerede eller inficerede enheder.

  1. Ny politik
  2. Users → All users
  3. Cloud apps → All
  4. Conditions → Device state: Include all, exclude compliant/hybrid
  5. Access controls → Require compliant device
  6. Sæt i Report‑only først

Trin 5: Blokering af risky logins

Brug risk‑baserede CA‑politikker:

  • High user risk → force password reset
  • Medium/high sign‑in risk → require MFA
  • Impossible travel → block

Metode 2: Avanceret Opsætning (til større og hybrid miljøer)

Inkluderer:

  • Named locations (trusted IP ranges)
  • App‑beskyttelse for ex. Exchange + SharePoint separat
  • Session controls (fx blokér downloads i usikre miljøer)
  • CA integration med Defender for Cloud Apps (CASB)

Efter opsætning: De første kritiske 24–48 timer

🔎 Overvågning

  • Gennemgå Insights & Reporting
  • Tjek efter fejlramte apps
  • Overvåg eventuelle brugerstigninger i MFA‑prompts

👤 Administrator governance

  • Test break‑glass konti
  • Dokumentér alle politikker
  • Lav naming‑standard og nummerering

🧩 Licens‑tjek

CA kræver passende licenser (f.eks. P1 eller P2 i visse funktioner).
Sørg for at brugere har korrekte tildelinger.

Almindelige fejl og løsninger

Fejl 1: Ingen break‑glass konto
➡ Løsning: Opret 2 cloud‑only konti uden CA‑restriktioner

Fejl 2: For mange policies
➡ Løsning: Reducér til et simpelt, velstruktureret baseline‑sæt

Fejl 3: Glemsomhed ved servicekonti
➡ Løsning: Undtag konti der ikke kan MFA – men dokumentér hvorfor

Fejl 4: Manglende test i Report‑only
➡ Løsning: Brug altid report‑only i 24–72 timer før aktivering

Professionel opsætning gennem TODO‑IT

Som specialister i Microsoft Entra ID og M365 sikkerhed hjælper vi virksomheder med:

  • ✔ Korrekt CA‑design uden lockouts
  • ✔ Sikkerhedsoptimering efter best practice
  • ✔ Licensoptimering
  • ✔ Device‑compliance + Intune‑opsætning
  • ✔ Drift og overvågning

Få hjælp til jeres Conditional Access opsætning

📞 +452278 2720
✉️ support@todo-it.dk
🌐 www.todo-it.dk

TODO‑IT leverer sikkerhedsopsætninger der virker i praksis – ikke kun på papiret.