Conditional Access forklaret, det mest undervurderede feature i Microsoft 365

Det mest undervurderede feature i hele Microsoft 365, og samtidig et af de mest efterspurgte i 2026, fordi både NIS2 og D-mærket stiller krav til dokumenteret adgangsstyring. Mange virksomheder betaler for E3 eller E5 men har aldrig konfigureret Conditional Access. Det svarer til at købe en alarm men aldrig tænde den.

Conditional Access er regler for hvem der kan tilgå hvad, hvorfra. I stedet for at alle bare kan logge ind med brugernavn og password, definerer I politikker:

• •Kun godkendte enheder kan tilgå SharePoint
• •MFA kræves altid fra lokationer uden for Danmark
• •Basic Authentication (gammel password-baseret autentificering i Exchange) blokeres helt
• •Risikable logins blokeres automatisk

Det er forskellen mellem "vi har MFA" og "vi har en dokumenteret sikkerhedspolitik." Den dokumenterede del er præcis det NIS2 og D-mærket forudsætter.

Her er 5 CA-politikker vi konfigurerer for næsten alle kunder:

1. Blokér login fra ukendte lokationer: En medarbejders konto kompromitteres. Hackeren forsøger at logge ind fra Rusland. CA blokerer automatisk, din medarbejder mærker intet.

2. Kræv MFA på nye enheder: En medarbejder logger ind fra en ny computer. CA kræver MFA-verifikation. Fra kendte enheder slipper de igennem uden.

3. Kun managed devices til SharePoint: Personlige telefoner kan bruge Teams og email, men SharePoint (med alle virksomhedsdokumenter) kræver en Intune-managed enhed.

4. Blokér Basic Authentication: Langt størstedelen af password spray-angreb bruger Basic Auth (den gamle password-baserede autentificering i Exchange uden MFA-mulighed). Én CA-regel blokerer det helt. Moderne IMAP/POP3 med OAuth er ikke det samme, det er specifikt Basic Auth I skal lukke.

5. Kræv compliant device for admin-portaler: Kun enheder der opfylder jeres sikkerhedspolitikker (BitLocker, opdateret OS) kan tilgå Azure Portal og Admin Center.

CA kræver Entra ID P1 (tidligere Azure AD P1). Her er hvilke planer der inkluderer det:

• •Business Basic ($7/md), ikke inkluderet
• •Business Standard ($14/md), ikke inkluderet
• •Business Premium ($22/md), inkluderet
• •Microsoft 365 E3 ($39/md), inkluderet
• •Microsoft 365 E5 ($60/md), inkluderet
• •Microsoft 365 E7 ($99/md), inkluderet

Entra ID P1 kan også købes som standalone add-on til $6/bruger/md, men det giver sjældent mening. Business Premium inkluderer det sammen med Intune og Defender.

De fleste forveksler de to. Her er den simple forklaring:

• •Et værktøj: "Bekræft med din telefon"
• •On eller off, ens for alle
• •Gratis i alle Microsoft 365-planer

• •En politikmotor: "HVORNÅR kræves MFA? Fra HVILKE enheder? For HVILKE apps?"
• •Kan differentiere baseret på bruger, lokation, enhed, risiko
• •Kræver Entra ID P1 (Business Premium+)

Eksempel: Med MFA alene skal alle bekræfte ved hvert login. Med CA kan I sige: "MFA kræves kun fra ukendte lokationer eller nye enheder, fra kontoret på managed devices slipper I igennem."

MFA er et låseværktøj. Conditional Access er sikkerhedspolitikken der bestemmer hvornår låsen aktiveres.

Her er hvad jeg anbefaler:

Har I Business Basic eller Standard? Opgrader til Business Premium. De ekstra $8-15/bruger/md giver jer CA, Intune og Defender, tre ting I mangler.

Har I allerede Premium eller E3? Tjek om CA faktisk er konfigureret. Mange organisationer betaler for det uden at bruge det. Start med de 5 politikker fra eksempel-sektionen.

Er I helt små (under 5 ansatte) uden følsomme data og uden NIS2/D-mærke-ambitioner? Så kan I starte med Security Defaults, det er Microsofts gratis tenant-bredde MFA-politik der dækker det grundlæggende. Men husk at det er en alt-eller-intet-politik uden granularitet. Så snart I tager imod kundedata eller persondata, skal I op på CA.

Det tager 30 minutter at konfigurere basis CA-politikker. Effekten varer for evigt.

Læs videre: Vi har skrevet en hel pille om NIS2 og Microsoft 365. Start med Er din virksomhed omfattet af NIS2? hvis I er i tvivl om scope, eller hop direkte til den fulde Artikel 21-mapping for teknisk-juridisk overblik.