Kategori: Microsoft 365

  • Grundläggande säkerhet i Microsoft 365

    Grundläggande säkerhet i Microsoft 365

    I förra inlägget, Kom igång med Microsoft 365, satte vi upp grunden för en fungerande Microsoft 365-miljö. Nu är det dags att ta nästa steg – att stärka säkerheten och skydda din organisation mot attacker.

    Security Defaults – snabbt och enkelt grundskydd

    Security Defaults är en uppsättning förkonfigurerade säkerhetsinställningar som ger dig ett bra grundskydd. När du aktiverar det får du:

    • Krav på MFA för alla användare – alla måste registrera sig och använda multifaktorautentisering.
    • Blockering av legacy authentication – gamla inloggningsmetoder som inte stödjer MFA blockeras (t ex IMAP, POP och SMTP).
    • Skydd av administrativa aktiviteter – användare som utför privilegierade aktiviteter måste använda MFA.

    💡 Tips: Security Defaults är en bra lösning för organisationer som inte har möjlighet att själva underhålla Conditional Access-policies. Du får ett starkt grundskydd på bara några minuter, utan att behöva konfigurera egna regler.

    Så här aktiverar du Security Defaults

    1. Logga in i Microsoft Entra admin center.
    2. Klicka på Overview > Properties.
    3. Längst ner på sidan hittar du inställningen Manage security defaults.
    1. Klicka på Enable security defaults och välj Save.

    💡 Tips: Det kan ta en liten stund innan Security Defaults slår igenom för alla användare.

    När Security Defaults inte räcker till

    Security Defaults är en bra grund, men det har sina begränsningar. Funktionen är “allt eller inget” – alla användare får samma skyddsfunktioner, och de går inte att anpassa. Ibland behöver man helt enkelt lite mer kontroll.

    Vanliga exempel jag har stött på är att man vill:

    • Kräva MFA för alla användare, men göra undantag för särskilda konton (t.ex. servicekonton)
    • Endast tillåta inloggningar från säkra, och av organisationen hanterade enheter
    • Styra åtkomst baserat på plats, t ex tillåta åtkomst från kontoret utan MFA men kräva MFA vid distansinloggning

    🛡️ Säkerhetstips: Det sista exemplet är vanligt, men ingenting jag rekommenderar. Bara för att någon sitter på kontoret betyder det inte automatiskt att nätverket är säkert. Jag tycker att man alltid ska använda MFA.

    Så här konfigurerar du Conditional Access-policies

    1. Logga in i Microsoft Entra admin center.
    2. Gå till ID Protection > Risk-based Conditional Access.
    3. Klicka på New policy för att skapa en ny policy.
    4. Om du vill ha hjälp att komma igång finns det färdiga mallar för de grundläggande policies som Microsoft rekommenderar. Välj då New policy from template istället.
    5. Konfigurera åtminstone de policies som motsvarar grundskyddet i Security Defaults:
      • Require multifactor authentication for admins
      • Require multifactor authentication for all users
      • Block legacy authentication
      • Require multifactor authentication for Azure management

    ⚠️ Varning: Du kan inte ha både Security Defaults och Conditional Access aktiverat samtidigt. Om du vill använda Conditional Access måste du först stänga av Security Defaults.

    Säkra administratörskonton

    Administratörskonton är angriparnas främsta mål. Om någon får kontroll över ett globalt administratörskonto är det game over. Då kan angriparen ändra inställningar, stänga ute riktiga admins och ta över hela miljön.

    • Skapa separata administratörskonton – ha aldrig rollen Global Administrator på ett vanligt användarkonto. Använd i stället ett separat konto som bara används för administration.
    • Tilldela roller efter behov – de flesta behöver inte fulla rättigheter. Använd t ex Exchange Administrator eller Teams Administrator i stället för Global Administrator.
    • Använd Privileged Identity Management (PIM) – om ni har licenser som inkluderar PIM är detta en riktigt bra säkerhetsfunktion. Med PIM kan du höja dina behörigheterna under en begränsad tid. På så vis kan du jobba med ditt vanliga konto och bara aktivera administrativa roller när det verkligen behövs.
    • Kräv stark MFA – använd t ex Microsoft Authenticator eller en fysisk säkerhetsnyckel (FIDO2).
    • Skapa ett ”break glass”-konto – ett särskilt administratörskonto utan MFA eller Conditional Access som bara används i nödfall. Skydda kontot med starkt lösenord, loggning och mycket begränsad åtkomst.

    💡 Tips: Microsoft 365 Business Premium inkluderar Entra ID P1, vilket räcker för de flesta scenarion. För funktioner som Privileged Identity Management (PIM) eller Identity Protection behöver du däremot Entra ID P2. Den kan köpas som tilläggslicens och behöver bara tilldelas de administratörer som ska använda dessa funktioner.

    Använd Microsoft Secure Score som guide

    När de viktigaste säkerhetsinställningarna är på plats är det bra att få en överblick över hur din miljö faktiskt mår. Det är här Microsoft Secure Score kommer in.

    Secure Score är ett verktyg som analyserar din Microsoft 365-miljö och ger en poäng baserat på vilka säkerhetsfunktioner du har aktiverat.

    Så fungerar Secure Score

    • Logga in i Microsoft 365 Security Center för att se din poäng.
    • Varje gång du genomför en rekommenderad åtgärd höjs din poäng.
    • Rekommendationerna är prioriterade, så att du enkelt kan se vilka åtgärder som ger mest effekt.

    💡 Tips: Det viktiga är inte att nå 100 %, utan att du kontinuerligt höjer din poäng och tar steg i rätt riktning.

    I den här posten har vi gått igenom några av de viktigaste grunderna för att säkra en Microsoft 365-miljö:

    • Security Defaults för ett snabbt och enkelt grundskydd
    • Conditional Access när du behöver mer flexibilitet och kontroll
    • Säkra administratörskonton med separata konton, PIM och MFA
    • Microsoft Secure Score som ett verktyg för att mäta och prioritera säkerhetsåtgärder

    Med dessa steg på plats har du byggt en stabil säkerhetsgrund som skyddar både användare och administratörer mot vanliga attacker.

    I nästa bloggpost tittar vi närmare på SPF, DKIM och DMARC, och hur de tillsammans skyddar din organisation mot falska avsändare och phishingattacker.

  • Kom igång med Microsoft 365

    Kom igång med Microsoft 365

    Att sätta upp Microsoft 365 från grunden kan kännas som en utmaning, särskilt om du aldrig gjort det tidigare. Men det är också ett väldigt lärorikt och roligt projekt. Du får bygga upp en plattform som inte bara hanterar e-post och dokument, utan också blir navet för identitet, samarbete och säkerhet i din organisation.

    I den här första delen av bloggserien går vi igenom de viktigaste stegen för att komma igång. Och självklart med fokus på säkerhet redan från början.

    Välj rätt licens – grunden för säkerhet

    Börja med att bestämma vilken licensmodell som passar din organisation. Här är de vanligaste jag brukar stöta på:

    • Business Standard – Bra för produktivitet. Inkluderar Office-appar, e-post och Teams, men saknar säkerhetsverktyg som Entra ID, Intune, Defender och Purview.
    • Business Premium – Allt i Standard, plus grundläggande säkerhetsverktyg. Passar små och medelstora organisationer (upp till 300 användare) som tar säkerhet på allvar.
    • Enterprise E3 – En bra grund för större organisationer. Innehåller vissa säkerhetsverktyg men saknar avancerade funktioner som Endpoint Detection and Response (EDR), Defender for Identity och Defender for Office.
    • Enterprise E5 – Det mest kompletta paketet. Inkluderar avancerade verktyg för säkerhet, compliance och analys. Perfekt för organisationer med höga krav på säkerhet eller regelefterlevnad, eller de som vill ha det bästa skyddet.
    FunktionBusiness StandardBusiness PremiumEnterprise E3Enterprise E5
    Office-appar &
    e-post
    Möten, samtal och chatt (Teams)TilläggTillägg
    Identitets- och åtkomsthantering
    (Entra ID)
    Enhetshantering (Intune)
    Defender for Endpoint
    Defender for Identity
    Defender for Office 365
    Informations-skydd (Purview)Grundläggande✔ (Avancerad)

    💡 Tips: Business-planerna är tillgängliga för organisationer med upp till 300 användare. Är ni fler än så behöver ni välja en av Enterprise-planerna istället.

    I den här serien kommer jag att använda Business Premium, en prisvärd plan som innehåller många av de funktioner du hittar i Enterprise E5, men till ett betydligt lägre pris.

    Skapa din Microsoft 365-tenant

    Nästa steg är att skapa din tenant, alltså själva grunden till din Microsoft 365-miljö.

    1. Gå till Microsoft 365-portalen hos Microsoft.
    2. Välj vilken licens du vill börja med och klicka på ’Köp nu’ eller ’Prova kostnadsfritt’.
    1. Välj antal användare, prenumerationens längd och hur du vill bli fakturerad.

    💡 Tips: Att betala per år är billigare, men att välja per månad ger mer flexibilitet (perfekt om du vill testa dig fram). Du kan då enkelt avbryta efter en månad eller byta licens om du vill prova något annat.

    Eftersom jag sätter upp en labbmiljö väljer jag att köpa en licens och betala per månad. När du väl vet vilken licens som passar bäst är det smart att gå över till årsprenumeration för att spara pengar.

    1. Fyll i din e-postadress. Om du inte har en egen domän för e-post kan du istället använda en privat adress, till exempel en Gmail- eller Outlook.com-adress.
    2. Därefter behöver du fylla i uppgifter om ditt företag, till exempel namn, hur många anställda, kontaktinformation med mera.
    1. Sedan skapar du din första användare genom att fylla i användarnamn och lösenord. Samtidigt väljer du också domännamnet till din Microsoft 365-miljö, i formatet dittföretag.onmicrosoft.com.

    💡 Tips: Denna domän går inte att ändra i efterhand. Däremot kan du alltid lägga till din egen domän senare (t.ex. dittföretag.se) och använda den som standard för alla användare.

    1. Till sist lägger du till betalningsmetod. Fyll i kortuppgifter och klicka på Spara.

    Nu är din Microsoft 365-tenant skapad och redo att användas. Vid din första inloggning kommer Microsoft att be dig konfigurera multifaktorautentisering (MFA).

    Konfigurera multifaktorautentisering (MFA)

    När du loggar in första gången kommer Microsoft automatiskt att be dig ställa in multifaktorautentisering (MFA). På sidan ”Let’s keep your account secure” klickar du på Nästa för att starta guiden.

    🛡️ Säkerhetstips: Om det finns någon säkerhetsfunktion jag vill lyfta fram extra, så är det multifaktorautentisering (MFA). Det är det enskilt viktigaste skyddet du kan aktivera i din Microsoft 365-miljö.

    1. Installera Microsoft Authenticator-appen på din mobiltelefon (om du inte redan har den).
    2. Öppna appen och välj Lägg till konto > Arbets- eller skolkonto. Om appen frågar om att tillåta notiser så rekommenderar jag att du aktiverar detta, det gör inloggningen både smidigare och snabbare.
    3. I installationsguiden visas en QR-kod på skärmen. Skanna den med Authenticator-appen för att koppla ihop kontot. Sedan är du klar!

    Ditt konto är nu skyddat med MFA och nästa gång du loggar in i Microsoft 365 visas en engångskod som du måste ange i Authenticator-appen för att bekräfta inloggningen.

    Lägg till din egen domän

    Nästa steg är att lägga till din egen domän så att du kan använda e-post och Teams med @dittföretag.se istället för dittföretag.onmicrosoft.com.

    1. Logga in i Microsoft 365 Admin Center.
    2. Gå till Settings > Domains och välj Add domain.

    💡 Tips: Om inte Settings visas i menyn kan du behöva klicka på Show all för att se alla funktioner.

    1. Skriv in din domän (t.ex. dittföretag.se) och följ guiden. Microsoft kommer att be dig lägga till en TXT-post i din DNS för att bekräfta att du äger domänen.

    💡 Tips: På bilden nedan visas hur man lägger till en TXT-post via Loopia. Gränssnittet kan se annorlunda ut beroende på vilken DNS-leverantör du använder, men principen är densamma.

    1. När domänen är verifierad behöver du även lägga till övriga poster (MX, CNAME, SPF) för att e-post och andra tjänster ska fungera korrekt.

    💡 Tips: Glöm inte att ange din egen domän som standard.

    🛡️ Säkerhetstips:

    • Konfigurera SPF redan från början för att förhindra att obehöriga skickar e-post i ditt namn.
    • Lägg till DKIM och DMARC så fort som möjligt – det ger ännu starkare skydd mot phishing och e-postförfalskning.

    Skapa användare

    När din tenant och domän är konfigurerade kan du lägga till användare:

    1. Gå till Users > Active users i adminportalen.
    1. Klicka på Add a user och fyll i namn, användarnamn och välj domän (t.ex. @dittföretag.se).

    🛡️ Säkerhetstips: Skapa ett separat konto som du bara använder för administration, och behåll ditt vanliga konto för det dagliga arbetet. På så sätt minskar du risken om ditt ordinarie konto skulle bli hackat. När administratörskontot är på plats bör du ta bort rollen Global admin från ditt vanliga konto.

    1. Fyll i plats och tilldela en licens.

    💡 Tips: I mitt fall sätter jag upp en labbmiljö och kommer bara använda detta konto för administration. Därför väljer jag ”Create user without product license (not recommended)”. I en produktionsmiljö är det däremot bra att även tilldela administratörskontot en licens, så att det kan skicka och ta emot mejl vid behov.

    🛡️ Säkerhetstips:

    • Aktivera MFA för alla användare så snart som möjligt.
    • Ge inte fler administratörsrättigheter än nödvändigt. Använd rollbaserad åtkomst (RBAC) – till exempel Exchange Admin, Teams Admin – i stället för att ge alla Global Admin.

    Grattis 🎉 Nu har du satt upp en helt ny Microsoft 365-miljö från grunden! Du har valt rätt licens, skapat en tenant, aktiverat multifaktorautentisering, kopplat din egen domän och lagt till de första användarna.

    I nästa inlägg, Grundläggande säkerhet i Microsoft 365, tittar vi på hur du kan stärka skyddet ytterligare.

    Vi går bland annat igenom:

    • hur du aktiverar Security Defaults,
    • när det är dags att växa ur Security Defaults och byta till Conditional Access,
    • hur du bäst säkrar administratörskonton,
    • och hur du kan använda Microsoft Secure Score för att prioritera nästa steg.