Entra Backup and Recovery er nu klar: dækning, licens og NIS2
Af Michal Lampe Sørensen · 7 min læsning · 6. juli 2026
Verificeret mod Microsoft Learn, juli 2026
Indhold
TL;DR
Microsoft Entra Backup and Recovery blev generelt tilgængelig i juni 2026. Det tager automatisk en daglig, uslettelig Microsoft-administreret backup af kritiske identitetsobjekter (brugere, grupper, apps, service principals, Conditional Access-politikker) med syv dages historik, og lader jer gendanne til en tidligere tilstand efter en fejl eller et angreb. Det kræver Entra ID P1 eller P2, som følger med Business Premium, Microsoft 365 E3, E5 og E7. Det er ikke fuld backup: adgangskoder og AD-synkroniserede objekter er ikke med, og historikken er kun syv dage.
Hvad Entra Backup and Recovery er
Microsoft Entra Backup and Recovery er en indbygget funktion i Entra ID (Microsofts identitetsplatform, tidligere Azure AD) der automatisk tager en sikkerhedskopi af jeres vigtigste identitetsobjekter en gang i døgnet og gemmer syv dages historik. Backuppen er Microsoft-administreret og uslettelig: ingen bruger eller app, heller ikke en Global Administrator, kan slå den fra, ændre eller slette den.
Det er hele pointen. Hvis en angriber får administratoradgang, går de tit efter netop den konfiguration og de spor, I skal bruge for at komme tilbage. Når backuppen ligger uden for rækkevidde af selv den højeste administrator, kan den ikke fjernes som en del af angrebet. Data ligger i samme geografiske region som jeres tenant.
I praksis kan I se de tilgængelige backups, lave en differensrapport der sammenligner den nuværende tilstand med en backup, og derefter gendanne enten alt, udvalgte objekttyper eller helt bestemte objekt-id’er. Funktionen blev generelt tilgængelig i juni 2026.
Hvad det dækker, og hvad det ikke gør
De understøttede objekter er brugere, grupper, applikationer, service principals, Conditional Access-politikker, navngivne lokationer samt authentication- og authorization-policyer (udvalgte egenskaber). Agent ID er også med, fordi det består af bruger- og service principal-objekter. Det dækker altså den konfiguration, en fejlbehæftet ændring eller et angreb oftest rammer.
Vær samtidig ærlig om grænserne, for det er ikke en fuld backup:
- •Adgangskoder sikkerhedskopieres ikke. Efter en gendannelse af brugere eller godkendelsesmetoder kan I skulle sætte ny adgangskode og genregistrere MFA-metoder.
- •Kun syv dages historik. En fejl I først opdager efter en uge, kan ikke rulles tilbage via denne funktion.
- •Objekter synkroniseret fra lokal Active Directory forbliver styret af AD. De vises i differensrapporter (undtagen gruppemedlemskaber), men kan ikke gendannes herfra.
- •Hard-deletede objekter kan ikke genskabes. Soft-deletede brugere, Microsoft 365-grupper, cloud-sikkerhedsgrupper, app-registreringer og service principals kan derimod gendannes i 30 dage.
Konklusionen: det er en stærk ny sikkerhedslinje for jeres identitetskonfiguration, men det erstatter ikke en bredere backup- og gendannelsesstrategi for jeres data som postkasser, filer og Teams.
Licensvinklen: hvad kræver det, og hvilke planer giver det
Her er det vigtige for de fleste danske virksomheder: Entra Backup and Recovery kræver Entra ID P1 eller P2. Har jeres tenant ikke mindst P1, kan I ikke bruge funktionen.
Sådan følger Entra ID-niveauet med de gængse planer:
| Plan | Entra ID-niveau |
|---|---|
| Business Basic | kun gratis-niveau |
| Business Standard | kun gratis-niveau |
| Business Premium | P1 |
| Microsoft 365 E3 | P1 |
| Microsoft 365 E5 | P2 |
| Microsoft 365 E7 | P2 |
Kører I på Business Basic eller Standard, har I altså ikke adgang endnu og skal enten opgradere til Business Premium eller tilkøbe Entra ID P1 separat. Det er en af de features der gør Business Premium til mere end „Standard med Office“, og et konkret eksempel på hvorfor licensniveauet betyder noget i praksis.
Usikker på hvilket Entra ID-niveau jeres nuværende plan giver? Brug sammenligningsværktøjet til at se planerne side om side.
NIS2-vinklen: identitet er blevet en backup-kontrol
NIS2 (EU’s netværks- og informationssikkerhedsdirektiv) kræver i Artikel 21 blandt andet politikker for backup, driftskontinuitet og krisestyring. De fleste tænker backup som postkasser og filer, men jeres identitetskonfiguration er mindst lige så kritisk: hvis en forkert Conditional Access-ændring låser alle ude, eller en angriber sletter grupper og adgangsroller, står driften stille uanset hvor godt jeres filer er sikret.
Entra Backup and Recovery adresserer netop den del af resiliensen. I kan hurtigt se hvad der er ændret og rulle konfigurationen tilbage til en kendt god tilstand. Det er ikke hele NIS2-backup-kravet, men det lukker et hul der før krævede tredjepartsværktøj eller manuelt arbejde.
For en dansk SMV der arbejder mod NIS2 eller D-mærket er det værd at notere som en konkret kontrol I nu har adgang til, forudsat licensen er på plads. Kobl det gerne sammen med jeres øvrige driftskontinuitet, så I kan dokumentere at også identitetslaget kan gendannes.
Sådan kommer I i gang
Funktionen findes i Microsoft Entra admin center (entra.microsoft.com) under „Backup and recovery“. Der er fire visninger: Overview, Backups (de sidste syv dage), Difference Reports og Recovery History.
Adgangen styres af to roller, hvilket er godt af hensyn til least privilege (mindst mulige rettigheder):
- •Microsoft Entra Backup Reader: kan se backups, sammenligne ændringer og se gendannelseshistorik.
- •Microsoft Entra Backup Administrator: kan derudover lave differensrapporter og udløse gendannelse. Rettighederne er inkluderet i Global Administrator, men tildel hellere den specifikke rolle end at give flere folk Global Admin.
Mit råd: kør altid en differensrapport og gennemgå ændringerne, før I gendanner. Tiden det tager afhænger mest af hvor mange ændringer der skal rulles tilbage.
Hvad ellers ændrede sig i juni 2026
Entra Backup and Recovery var en del af Microsofts sikkerhedsopdateringer for juni 2026. Et par andre ting fra samme runde er værd at kende:
- •Unified Identity Risk Score: en samlet risikovurdering pr. identitet, der kombinerer adfærd, adgangsmønstre og trusselsdata og kan udløse Conditional Access-politikker automatisk.
- •Microsoft Defender for Local AI Agents (preview): opdager lokale AI-agenter og MCP-servere (Model Context Protocol) på maskiner og blokerer prompt injection-angreb mod udviklerværktøjer.
- •Purview customizable reports (generelt tilgængelig): tilpassede rapportvisninger i Data Security Posture Management.
Fællesnævneren er tydelig: identitet og AI-agenter er der, hvor Microsoft lægger sikkerhedsindsatsen i 2026. For jer betyder det, at licensniveauet på identitetssiden (P1 mod P2) i stigende grad afgør hvilke beskyttelser I overhovedet har adgang til.
Kilder: Microsoft Learn: Entra Backup and Recovery overview, Microsoft Entra-blog: GA-annoncering, Microsoft Security: hvad er nyt juni 2026.
Er I omfattet af NIS2?
Tag den gratis test og se hvilke af Artikel 21s ti sikkerhedskrav jeres nuværende licens dækker.
Tag NIS2-testenOfte stillede spørgsmål
Hvilken licens kræver Microsoft Entra Backup and Recovery?+
Funktionen kræver Entra ID P1 eller P2. P1 følger med Business Premium, Microsoft 365 E3, E5 og E7, mens E5 og E7 giver P2. Har I Business Basic eller Standard, skal I opgradere eller tilkøbe P1 separat. Kun workforce-tenants understøttes, ikke External ID eller Azure AD B2C.
Sikkerhedskopierer det adgangskoder?+
Nej. Adgangskoder er ikke med i backuppen. Efter en gendannelse af brugere eller godkendelsesmetoder kan I skulle sætte en ny adgangskode og genregistrere MFA-metoder. Funktionen dækker konfiguration og objekter, ikke hemmeligheder.
Hvor langt tilbage kan man gendanne?+
Der tages én backup i døgnet, og der gemmes syv dages historik. Derudover kan soft-deletede brugere, Microsoft 365-grupper, cloud-sikkerhedsgrupper, app-registreringer og service principals gendannes i 30 dage via den almindelige soft-delete. Hard-deletede objekter kan ikke genskabes.
Er det nok til at opfylde NIS2’s backup-krav?+
Nej, ikke alene. Entra Backup and Recovery dækker jeres identitetskonfiguration, som er en vigtig og ofte overset del af driftskontinuitet. Men NIS2 Artikel 21 handler bredere om backup, kriseberedskab og gendannelse af data generelt. Se det som én konkret brik, ikke hele løsningen.
Skal du have et par øjne på jeres licenser?
Jeg arbejder til dagligt med Microsoft 365 og hjælper danske virksomheder med at vælge den rigtige licens og undgå at betale for meget. Skriv til mig, så vender jeg tilbage.
Skriv til mig