Conditional Access forklaret — det mest undervurderede feature i Microsoft 365

Det mest undervurderede feature i hele Microsoft 365. Vi ser det igen og igen: virksomheder betaler for E3 eller E5 men har aldrig konfigureret Conditional Access. Det svarer til at købe en alarm men aldrig tænde den.

Conditional Access er regler for hvem der kan tilgå hvad, hvorfra. I stedet for at alle bare kan logge ind med brugernavn og password, definerer I politikker:

• •Kun godkendte enheder kan tilgå SharePoint
• •MFA kræves altid fra lokationer uden for Danmark
• •Gamle mail-protokoller (IMAP/POP3) blokeres helt
• •Risikable logins blokeres automatisk

Det er forskellen mellem "vi har MFA" og "vi har en sikkerhedspolitik."

Her er 5 CA-politikker vi konfigurerer for næsten alle kunder:

1. Blokér login fra ukendte lokationer: En medarbejders konto kompromitteres. Hackeren forsøger at logge ind fra Rusland. CA blokerer automatisk — din medarbejder mærker intet.

2. Kræv MFA på nye enheder: En medarbejder logger ind fra en ny computer. CA kræver MFA-verifikation. Fra kendte enheder slipper de igennem uden.

3. Kun managed devices til SharePoint: Personlige telefoner kan bruge Teams og email, men SharePoint (med alle virksomhedsdokumenter) kræver en Intune-managed enhed.

4. Blokér legacy authentication: 95% af password spray-angreb bruger gamle protokoller (IMAP, POP3, SMTP). Én CA-regel blokerer dem alle.

5. Kræv compliant device for admin-portaler: Kun enheder der opfylder jeres sikkerhedspolitikker (BitLocker, opdateret OS) kan tilgå Azure Portal og Admin Center.

CA kræver Entra ID P1 (tidligere Azure AD P1). Her er hvilke planer der inkluderer det:

• •Business Basic ($7/md) — ❌ Ikke inkluderet
• •Business Standard ($14/md) — ❌ Ikke inkluderet
• •Business Premium ($22/md) — ✅ Inkluderet
• •Microsoft 365 E3 ($39/md) — ✅ Inkluderet
• •Microsoft 365 E5 ($60/md) — ✅ Inkluderet
• •Microsoft 365 E7 ($99/md) — ✅ Inkluderet

Entra ID P1 kan også købes som standalone add-on til $6/bruger/md, men det giver sjældent mening — Business Premium inkluderer det sammen med Intune og Defender.

De fleste forveksler de to. Her er den simple forklaring:

• •Et værktøj: "Bekræft med din telefon"
• •On eller off — ens for alle
• •Gratis i alle Microsoft 365-planer

• •En politikmotor: "HVORNÅR kræves MFA? Fra HVILKE enheder? For HVILKE apps?"
• •Kan differentiere baseret på bruger, lokation, enhed, risiko
• •Kræver Entra ID P1 (Business Premium+)

Eksempel: Med MFA alene skal alle bekræfte ved hvert login. Med CA kan I sige: "MFA kræves kun fra ukendte lokationer eller nye enheder — fra kontoret på managed devices slipper I igennem."

MFA er et låseværktøj. Conditional Access er sikkerhedspolitikken der bestemmer hvornår låsen aktiveres.

Her er hvad vi anbefaler:

Har I Business Basic eller Standard? Opgrader til Business Premium. De ekstra $8-15/bruger/md giver jer CA, Intune og Defender — tre ting I mangler.

Har I allerede Premium eller E3? Tjek om CA faktisk er konfigureret. Vi ser overraskende mange der betaler for det men ikke bruger det. Start med de 5 politikker fra eksempel-sektionen.

Har I under 10 ansatte og ingen følsomme data? Så kan I vente. MFA alene dækker jer.

Det tager 30 minutter at konfigurere basis CA-politikker. Effekten varer for evigt.