Microsoft 365 Enhedsonboarding – bedste praksis for policies (Intune & Security)

More
13 hours 12 minutes ago - 12 hours 41 minutes ago #201 by clintenadmin
OBS! Nedenstående er lavet med hjælp fra AI, og der kan nemt være misvisende eller direkte fejlagtige oplysninger, men det er en god guide til indledende opsætning!

Microsoft 365 Enhedsonboarding – bedste praksis for policies (Intune & Security Baselines)

🔹 Formål

Denne artikel beskriver, hvordan man bedst opsætter Microsoft 365- og Intune-politikker til onboarding af Windows-enheder.
Fokus er at forstå forskellen på de forskellige typer af politikker, hvornår det er nødvendigt at oprette dem manuelt, og hvordan de tildeles korrekt, afhængigt af hvordan en enhed tilknyttes organisationen.

1. Hvad betyder "onboarding" i Microsoft 365?
Onboarding dækker hele processen, hvor en ny computer tilknyttes Microsoft 365/Entra ID og modtager sine konfigurationspolitikker.
Det kan ske på to måder:

Azure AD Join (direkte ved første opstart)
Brugeren logger ind med firmakonto under første opstart (OOBE).
Enheden bliver fully managed af Intune.
Får alle tildelte policies (Security Baselines, Configuration Profiles, Compliance, Defender m.fl.)

Azure AD Registered (tilføjet efterfølgende)
Enheden er logget ind med lokal eller privat Microsoft-konto, hvorefter firmakonto tilføjes via Indstillinger → Konti → Adgang til arbejde eller skole.
Får kun udvalgte policies (typisk sikkerhed, BitLocker, Defender, men ikke login- eller credential-politikker).

2. Er det nødvendigt at oprette policies manuelt?
Som udgangspunkt nej — medmindre du vil have særlige krav eller ønsker at håndhæve bestemte indstillinger.

Tilmelding af Windows 10/11-enhed til Microsoft 365/Intune:
  • Hvis den joines direkte til Entra ID, modtager den en meget basal “default configuration”:
    • Defender aktiveres.
    • Enheden vises i Entra og kan administreres.
    • Der anvendes dog ingen sikkerhedspolitikker, compliance-krav eller begrænsninger, før du selv definerer dem.
  • Hvis enheden kun registreres (Azure AD Registered), får den næsten ingen standardopsætning – kun enkelte beskyttelser relateret til kontoen (MFA, betinget adgang, osv.).
👉 Derfor:
Du skal manuelt oprette policies, hvis du ønsker:
  • BitLocker-kryptering
  • Enhedsbeskyttelse (firewall, antivirus, ASR-regler, etc.)
  • Password- og login-krav
  • Power management, USB-regler, software-restriktioner osv.
Ellers får brugeren et fuldstændig åbent system uden virksomhedskrav.

3. Hvor oprettes policies?

Der findes flere portaler og typer af politikker i Microsoft 365, og de anvendes til forskellige formål

Intune (endpoint.microsoft.com)Endpoint Security → Security baselines
Microsofts anbefalede “best practice”-sæt til Windows 10/11
BitLocker, Firewall, Defender, Account Protection
Hurtig start – men begrænset fleksibilitet

Intune → Devices → Configuration profiles (Administrative Templates)
Avanceret manuel styring af Windows-indstillinger
Power settings, USB, lokal admin, Defender, mm.
Bruges til præcis kontrol og undtagelser

Microsoft 365 Defender portal (security.microsoft.com)
Beskytter mails, identitet og endpoints via Defender
Safe Links, Anti-Phish, ASR-regler, Device compliance
Påvirker ikke lokale Windows-indstillinger

Entra ID portal (entra.microsoft.com)
Identitetsstyring og betinget adgang
MFA, Conditional Access, Identity Protection
Gælder brugere, ikke direkte enheder

4. Hvilke policies bør man oprette ved onboarding?
🔸 Minimum anbefalet setup
  1. Security Baseline (Windows 10/11)
    → Hurtig grundopsætning for Defender, Firewall, BitLocker, Password policies.
  2. Compliance policy
    → Kræv fx kryptering og Defender aktiv for at være compliant.
  3. Configuration profiles (Administrative Templates)
    → Bruges til egne justeringer, fx:
    • Tillad slumretilstand (Sleep)
    • Tillad eksterne drev uden kryptering
    • Tildel lokal administratorrolle til IT-bruger
5. Hvilke grupper skal policies tildeles?

Typiske grupper:

All devices
Alle registrerede Windows-enheder
Standard sikkerhed og compliance

Admins
IT-administratorer og udvalgte maskiner
Undtagelses- eller “fri” policy

Departments / Users
Specifikke afdelinger eller roller
Differentierede policies

Det er bedst praksis at tildele policies til enheder (device groups) fremfor brugere, når de påvirker systemindstillinger (fx BitLocker, Sleep, Defender).
Brug user groups kun til policies, der er brugerafhængige (f.eks. login-, adgangs- eller softwareindstillinger).


6. Eksempel på struktur

Security Baselines (Windows 10/11):
  • Profile: Default company security baseline
  • Assigned to: All devices
Configuration Profiles:
  • Profile: Admin unrestricted settings (no BitLocker requirement, allow Sleep)
  • Assigned to: Admins devices group
Compliance Policies:
  • Profile: Standard device compliance (encryption, antivirus, firewall required)
  • Assigned to: All devices
7. Samlet konklusion
  • “Onboarding” betyder, at en enhed bliver registreret og får sine politikker.
  • Ingen vigtige politikker anvendes automatisk — de skal defineres manuelt.
  • Security Baselines giver hurtig standardbeskyttelse.
  • Configuration Profiles giver dig præcis kontrol.
  • Defender portal styrer mailsikkerhed og trusselsbeskyttelse, ikke lokale Windows-indstillinger.
  • Brug grupper til at styre, hvem der får hvilke politikker.
Kort sagt:
Hvis en pc tilmeldes organisationen uden dine egne policies, er den i praksis ikke sikret eller styret.
Lav mindst én Security Baseline og suppler med Configuration Profiles til finjustering.
Så får du den bedst mulige balance mellem sikkerhed, fleksibilitet og kontrol.

Denne tabel giver en oversigt over hvor og hvornår diverse policys tildeles.
 

This browser does not support PDFs. Please download the PDF to view it: Download PDF

Last edit: 12 hours 41 minutes ago by clintenadmin.

Please Log in or Create an account to join the conversation.

Time to create page: 0.540 seconds