Den Ultimative Guide: Sådan Opsætter du Conditional Access Korrekt i Microsoft Entra ID (2026)

31 januar 2026 Administrator Microsoft 365, Sikkerhed

Den Ultimative Guide: Sådan Opsætter du Conditional Access Korrekt i Microsoft Entra ID (2026)

En step‑by‑step vejledning til en sikker, stabil og professionel identitetsstyring

Introduktion

Conditional Access (CA) er i dag hjertet af sikkerheden i Microsoft 365 og Azure. I 2026 er CA ikke længere “nice to have” – det er en absolut nødvendighed for at beskytte identiteter, data og systemer mod moderne AI‑drevne angreb, misbrugte tokens og loginforsøg fra kompromitterede enheder.

I denne guide gennemgår vi den professionelle fremgangsmåde til opsætning af Conditional Access‑politikker i Microsoft Entra ID, så du undgår almindelige fejl, lockouts og sikkerhedshuller.

Hvorfor er korrekt CA‑opsætning vigtig?

En forkert konfigureret CA‑politik kan føre til:

  • Uventede lockouts – administratorer eller brugere mister adgang til kritiske systemer
  • Fejlbehæftede apps – især ældre integrationer fejler stille
  • Sikkerhedshuller – fx hvis legacy authentication forbliver åben
  • Complianceproblemer – fx hvis MFA ikke er tvunget ved risiko
  • Manglende kontrol – uden struktur bliver CA en rodebunke af policies

En korrekt implementeret CA‑model giver:

  • ✔ Konsistent sikkerhed
  • ✔ Minimal risiko for utilsigtede blokeringer
  • ✔ Nem administration
  • ✔ Klar insigt i risikoadfærd
  • ✔ Forbedret compliance og rapportering

Forberedelser: Det skal være på plads før opsætningen

📋 Kravafklaring

Før du bygger dine CA‑politikker, skal du have styr på:

  • Brugersegmenter: Almindelige brugere, admins, eksterne, servicekonti
  • Enheder: Intune‑styrede, hybrid join, private enheder
  • Apps: Cloud apps, legacy apps, tredjepartsapps
  • Forretningskritikalitet: Hvad må aldrig blokeres?

🔐 Sikkerhedsforberedelser

  • Opret 2 x break‑glass administratorer (cloud‑only)
  • Sørg for at MFA er aktivt og testet
  • Planlæg device‑compliance strategi (Intune)
  • Kortlæg alle applikationer der bruger legacy authentication

Metode 1: Baseline‑opsætning (anbefalet af TODO‑IT)

Her er den CA‑baseline vi oftest implementerer hos kunder.

Trin 1: Blokér Legacy Authentication (Kritisk)

Legacy authentication er stadig den største årsag til password spray‑angreb.

Sådan gør du:

  1. Gå til Entra ID → Security → Conditional Access
  2. Opret ny politik
  3. Assignments → All users
  4. Cloud apps → All cloud apps
  5. Conditions:
    • Client apps → Vælg Other clients
  6. Access control → Block access
  7. Sæt i Report‑only mode i 24 timer
  8. Aktivér

Fordel: Lukker den absolut største angrebsflade.

Trin 2: MFA for alle brugere (interaktiv login)

Sådan gør du:

  1. Opret ny politik
  2. Assignments → All users (undtagen break‑glass)
  3. Cloud apps → All cloud apps
  4. Access control → Require MFA
  5. Sæt i Report‑only → Test → Aktiver

Trin 3: Særskilt Admin‑beskyttelse (strengere krav)

Administratorer skal altid have:

  • stærkere MFA
  • compliant enhed
  • ingen login uden risikoanalyse

Sådan gør du:

  1. Ny politik → Target: Directory roles (Global Admin, Security Admin, etc.)
  2. Kræv:
    • Phishing‑resistant MFA
    • Compliant device
    • Approved client apps
  3. Sæt i Report‑only → Test → Aktiver

Trin 4: Kræv compliant eller hybrid join‑enhed

Dette sikrer at brugere ikke logger ind fra uregistrerede eller inficerede enheder.

  1. Ny politik
  2. Users → All users
  3. Cloud apps → All
  4. Conditions → Device state: Include all, exclude compliant/hybrid
  5. Access controls → Require compliant device
  6. Sæt i Report‑only først

Trin 5: Blokering af risky logins

Brug risk‑baserede CA‑politikker:

  • High user risk → force password reset
  • Medium/high sign‑in risk → require MFA
  • Impossible travel → block

Metode 2: Avanceret Opsætning (til større og hybrid miljøer)

Inkluderer:

  • Named locations (trusted IP ranges)
  • App‑beskyttelse for ex. Exchange + SharePoint separat
  • Session controls (fx blokér downloads i usikre miljøer)
  • CA integration med Defender for Cloud Apps (CASB)

Efter opsætning: De første kritiske 24–48 timer

🔎 Overvågning

  • Gennemgå Insights & Reporting
  • Tjek efter fejlramte apps
  • Overvåg eventuelle brugerstigninger i MFA‑prompts

👤 Administrator governance

  • Test break‑glass konti
  • Dokumentér alle politikker
  • Lav naming‑standard og nummerering

🧩 Licens‑tjek

CA kræver passende licenser (f.eks. P1 eller P2 i visse funktioner).
Sørg for at brugere har korrekte tildelinger.

Almindelige fejl og løsninger

Fejl 1: Ingen break‑glass konto
➡ Løsning: Opret 2 cloud‑only konti uden CA‑restriktioner

Fejl 2: For mange policies
➡ Løsning: Reducér til et simpelt, velstruktureret baseline‑sæt

Fejl 3: Glemsomhed ved servicekonti
➡ Løsning: Undtag konti der ikke kan MFA – men dokumentér hvorfor

Fejl 4: Manglende test i Report‑only
➡ Løsning: Brug altid report‑only i 24–72 timer før aktivering

Professionel opsætning gennem TODO‑IT

Som specialister i Microsoft Entra ID og M365 sikkerhed hjælper vi virksomheder med:

  • ✔ Korrekt CA‑design uden lockouts
  • ✔ Sikkerhedsoptimering efter best practice
  • ✔ Licensoptimering
  • ✔ Device‑compliance + Intune‑opsætning
  • ✔ Drift og overvågning

Få hjælp til jeres Conditional Access opsætning

📞 +452278 2720
✉️ support@todo-it.dk
🌐 www.todo-it.dk

TODO‑IT leverer sikkerhedsopsætninger der virker i praksis – ikke kun på papiret.

 

Tags :

Add comment