Zero Trust med Microsoft: Trin-for-trin implementering

“Zero Trust” lyder som et buzzword, men det er faktisk en præcis og nyttig beskrivelse af en sikkerhedsarkitektur: ét princip, der siger, at ingen enhed, bruger eller netværksforbindelse er at stole på pr. default — hverken inden for eller uden for organisationens netværk.

Det modsatte af Zero Trust er det, de fleste danske virksomheder har i dag: en perimeter-baseret model, hvor alt inden for firewallen antages at være sikkert. Den model holdt, så længe alle medarbejdere sad på kontoret og alle applikationer kørte on-premises. I dag, hvor halvdelen af arbejdet foregår hjemmefra, applikationer lever i cloud, og angribere med kompromitterede legitimationsoplysninger kan bevæge sig frit rundt i netværket, er perimeter-modellen utilstrækkelig.

Microsoft har bygget Zero Trust-kapabiliteter direkte ind i Microsoft 365 og Azure. Du behøver ikke et separat produkt — men du behøver en plan.

De tre grundprincipper i Zero Trust

Microsofts Zero Trust-model bygger på tre principper, som er dokumenteret på Microsoft Learn:

1. Verificér altid — Autentificér og autorisér alle adgangsanmodninger eksplicit, uanset om de kommer indefra eller udefra netværket. Brug signaler som brugeridentitet, enhedstilstand, lokation og applikationsfølsomhed.

2. Mindst mulige adgang — Giv brugere og systemer den minimale adgang, der er nødvendig for at udføre en opgave. Brug just-in-time og just-enough-access, risikoadaptiv politik og databeskyttelse.

3. Antag brud — Design infrastrukturen som om, angriberen allerede er inde. Segmentér netværk, kryptér al kommunikation, brug analytics til at opdage anomalier.

Disse principper lyder abstrakte, men de oversættes direkte til konkrete tekniske kontroller i Microsoft-miljøet.

Arkitektur: Hvad er de relevante Microsoft-komponenter?

For en dansk mellemstor virksomhed, der kører Microsoft 365 (Business Premium, E3 eller E5), er de primære Zero Trust-byggeklodser:

Microsoft Entra ID (tidl. Azure Active Directory)

Entra ID er fundamentet for Zero Trust-identitetskontrollen. Det er her, alle brugere autentificeres, og det er her, politikkerne for betinget adgang håndhæves.

Centrale funktioner:

• Multifaktorgodkendelse (MFA) — det absolut vigtigste enkeltgreb. Microsoft rapporterer, at MFA blokerer 99,9 % af kontoovertagelsesforsøg.
• Conditional Access — politikker, der evaluerer adgangsanmodninger baseret på identitet, enhedsoverholdelse, lokation og risikoniveau.
• Entra ID Protection (kræver P2) — bruger ML til at opdage risikable logins og kan kræve password-reset eller blokere adgang automatisk.

Microsoft Intune

Intune er endpoint management-platformen, der giver jer kontrol over de enheder, brugerne arbejder på. I en Zero Trust-model er enhedstilstanden et adgangssignal: Conditional Access-politikker kan kræve, at en enhed er Intune-managed og overholder jeres compliance-baseline, før den får adgang til virksomhedens data.

Intune-dokumentationen beskriver det som “cloud-baseret endpoint management”, men i praksis er det den kontrol, der forbinder en brugers identitet med enhedens tilstand i adgangsbeslutningen.

Microsoft Defender for Office 365 og Defender for Endpoint

Defender-familien leverer signaler til Zero Trust-adgangsbeslutningerne og giver synlighed ind i trusler. Defender for Endpoint registrerer endpoint-kompromittering og kan sende et risikoignal til Entra ID Protection, som straks kan kræve step-up-autentificering eller suspendere sessionen.

Trin-for-trin: Sådan implementerer I Zero Trust

Fase 1 — Identitet og MFA (Uger 1-4)

Mål: Alle brugere autentificeres med MFA. Ingen brugerkonti har svage eller delte adgangskoder.

1. Aktivér Security Defaults i Entra ID, hvis I ikke allerede har det — det tvinger MFA for alle brugere med et enkelt klik. Eller implementér en Conditional Access-politik, der kræver MFA for alle brugere og alle applikationer.

2. Auditér alle konti — Find konti uden MFA, konti der deler adgangskode (service-konti, delte postkasser), og konti der ikke har logget ind i 90+ dage. Ryd op.

3. Implementér Self-Service Password Reset (SSPR) — Reducer helpdesk-byrden og sørg for, at brugerne kan nulstille adgangskoder sikkert uden at ringe til IT.

4. Aktivér Entra ID Sign-In Logs og sæt alarm på anomalier som impossible travel (login fra to lande inden for en time) og legacy authentication-forsøg.

Dette trin kræver ingen ny licens, hvis I har Business Premium, E3 eller E5.

Fase 2 — Enhedsoverholdelse med Intune (Uger 5-10)

Mål: Alle enheder, der tilgår virksomhedens data, er managed af Intune og overholder jeres sikkerhedsbaseline.

1. Enroll eksisterende Windows-enheder via Autopilot eller manuelle enrollment-metoder. Prioritér enheder der tilgår følsomme systemer.

2. Definér en compliance-baseline i Intune. Minimum:

   • Bitlocker (kryptering) aktiveret
   • Antivirus (Defender) aktiv og opdateret
   • Mindste OS-version defineret (Windows 11 22H2 eller nyere)
   • Pinkode/adgangskode krævet ved opstart

3. Opret en Conditional Access-politik der kræver, at en enhed er “Compliant” i Intune for at få adgang til Microsoft 365-apps. Undtag evt. break-glass-konti og dedikerede service-konti.

4. Håndtér ikke-managed enheder — Definer en BYOD-politik (Bring Your Own Device) med App Protection Policies (MAM), der beskytter virksomhedsdata i Outlook og Teams på personlige telefoner, uden at kræve fuld Intune-enrollment.

Microsofts guide til Conditional Access og Intune beskriver det tekniske setup i detaljer.

Fase 3 — Least Privilege og Privileged Access (Uger 11-16)

Mål: Brugere og administratorer har ikke mere adgang, end de behøver. Privilegerede konti er beskyttet ekstra.

1. Gennemgå administrator-roller i Entra ID. De fleste organisationer har for mange Globale Administratorer. Brug rolleseparation: Helpdesk-administratorer, User Administrators, Exchange-administratorer osv. fremfor Global Admin til alle.

2. Aktivér Privileged Identity Management (PIM) (kræver Entra ID P2 / E5) for at gøre privilegeret adgang “just-in-time” — administratorer anmoder om forhøjet adgang, det godkendes, og adgangen udløber automatisk efter 1-4 timer.

3. Aktivér MFA for alle administrator-konti separat fra brugernes MFA-politik — brug Phishing-Resistant MFA (hardware tokens eller passkeys) for de mest privilegerede roller.

4. Ryd op i applikationstilladelser — Gennemgå Entra ID Enterprise Applications og slet apps, der ikke bruges. Mange organisationer har hundredvis af tredjeparts-apps med brede Graph API-tilladelser, der aldrig er blevet revokeret.

Fase 4 — Datakontrol og Defender (Løbende)

Mål: Virksomhedens data er klassificeret og beskyttet. Trusler opdages og stoppes hurtigt.

1. Implementér Microsoft Purview Sensitivity Labels — Klassificér jeres vigtigste filkategorier (Fortroligt, Internt, Offentligt) og sæt politikker for, hvad der må deles med hvem.

2. Aktivér Defender for Office 365 (Safe Links, Safe Attachments, Anti-phishing) og gennemgå politikkerne — standardpolitikkerne er et godt udgangspunkt, men tilpas dem til jeres organisation.

3. Aktivér Defender for Endpoint og opsæt baseline-sikkerhedspolitikker. Gennemgå Dashboard regelmæssigt for enheder med høj risikovurdering.

4. Sæt op med Microsoft Sentinel (kræver Azure) eller brug Defender XDR’s built-in correlation til at samle signaler fra identitet, endpoint og e-mail i ét billede.

En realistisk tidslinje

De fire faser kan gennemføres over 16-20 uger i en organisation på 50-250 brugere, uden at det forstyrrer den daglige drift. Fasen med identitet og MFA er den vigtigste og kan gøres hurtigt — og giver den største sikkerhedseffekt per krone investeret.

Ifølge Microsofts egne data reducerer korrekt implementeret MFA sandsynligheden for et kontoovertagelsesforsøg med 99,9 %. Zero Trust er i praksis langt mere om identitetskontrol end om netværkssegmentering.

Typiske fejl vi ser

Fejl 1: Implementere Conditional Access uden at teste det grundigt. En for bred CA-politik kan låse brugere ude af kritiske systemer. Test altid i report-only-tilstand i 1-2 uger, inden I håndhæver politikken.

Fejl 2: Rulle Intune ud uden at håndtere BYOD. Medarbejdere med personlige telefoner, der tilgår virksomhedens e-mail, vil modstå en fuld enrollment. Brug App Protection Policies som et kompromis.

Fejl 3: Sætte PIM op og glemme at kommunikere det til administratorerne. Første gang en administrator forsøger at udføre en opgave og opdager, at han ikke har adgang uden at anmode om den, skaber det frustration. Klargør brugerne på forhånd.

Fejl 4: Forveksle Zero Trust med “alt er lukket ned”. Målet er ikke at gøre det svært for brugerne — det er at gøre det svært for angriberne. Gode CA-politikker er transparente for brugere på compliant enheder med stærk MFA.

Hvad dette betyder for jeres virksomhed

Zero Trust er ikke et projekt, der er “færdigt” på et tidspunkt — det er en løbende forbedring af jeres sikkerhedsposture. Men de fire faser ovenfor giver jer et solidt fundament, der markant reducerer jeres angrebsflade og giver jer den synlighed, der er nødvendig for at opdage og reagere på trusler.

For de fleste danske SMV’er er Fase 1 (MFA og Conditional Access) og Fase 2 (Intune-baseret enhedsoverholdelse) de to tiltag, der giver størst effekt pr. krone og pr. time investeret. De kan implementeres inden for 2-3 måneder og kræver ikke nye licenser, hvis I allerede har Business Premium eller E3.

Hos inciro hjælper vi med at kortlægge jeres nuværende sikkerhedsposture, prioritere de rigtige greb i den rigtige rækkefølge, og undgå de tekniske faldgruber, der kan forsinke en Zero Trust-implementering med måneder.

Book en strategisk samtale — vi gennemgår jeres nuværende Microsoft-setup og giver jer en klar prioriteret plan for Zero Trust-implementering.

Book en strategisk samtale