Arrow Left Back to Blog

Slik sikrer du tilgangen til bedriftens data – uten å gjøre hverdagen vanskeligere

Blume Team
Calendar February 18, 2026
5 min read
Slik sikrer du tilgangen til bedriftens data – uten å gjøre hverdagen vanskeligere

Slik sikrer du tilgangen til bedriftens data – uten å gjøre hverdagen vanskeligere

La oss være ærlige: Sikkerhet kan fort bli et hinder for produktivitet hvis det gjøres feil. Men det trenger ikke være sånn. Faktisk er det mulig å ha både streng sikkerhet og en smidig hverdag for de ansatte – hvis du gjør det riktig.

Microsoft Entra ID (tidligere Azure AD) sin Conditional Access-funksjonalitet er akkurat det verktøyet som gjør dette mulig. Men som med alt annet innen IT-sikkerhet: Det handler ikke bare om å skru på funksjoner. Det handler om å gjøre det smart.

Hva er egentlig Conditional Access?

Tenk på Conditional Access som en intelligent dørvakt for bedriftens digitale ressurser. I stedet for å bare sjekke om brukeren har riktig passord, ser systemet på konteksten rundt påloggingen:

  • Hvem er brukeren?
  • Hvor logger de på fra?
  • Hvilken enhet bruker de?
  • Hva prøver de å få tilgang til?
  • Er det noe mistenkelig ved denne påloggingen?

Basert på svarene på disse spørsmålene kan systemet bestemme om brukeren skal:

  • Få tilgang direkte
  • Måtte bekrefte identiteten sin med MFA (multifaktor autentisering)
  • Bli blokkert helt

Det er Zero Trust-prinsippet i praksis – aldri stol blindt, alltid verifiser.

Hvorfor norske bedrifter må ta dette på alvor

Norske bedrifter står overfor de samme truslene som resten av verden: phishing-angrep, kompromitterte passord, og ansatte som (helt uskyldig) logger på fra usikre nettverk. Samtidig har vi GDPR og andre reguleringer å forholde oss til.

Men her er det gode nyhetene: Du trenger ikke være et stort konsern med dedikert sikkerhetsteam for å få dette til. Med riktig oppsett kan selv mindre bedrifter ha sikkerhet på nivå med de store – uten at det krever en hær av IT-folk.

De viktigste beste praksisene

1. Start med MFA for alle – ingen unntak

Dette er grunnmuren. Alle brukere – ja, alle – bør ha multifaktor autentisering aktivert. Passord alene er ikke nok lenger. Det har de egentlig aldri vært.

Men her er trikset: Du trenger ikke å plage brukerne med MFA hver eneste gang de logger på. Med Conditional Access kan du kreve MFA bare når det faktisk er nødvendig – for eksempel når noen logger på fra en ny enhet eller en ukjent lokasjon.

Resultatet? Bedre sikkerhet uten at brukerne blir frustrerte.

2. Implementer device compliance-policyer

En bruker med riktig passord og MFA er bra. Men hva hvis enheten de bruker er full av malware eller har et utdatert operativsystem med kjente sårbarheter?

Med device compliance-policyer kan du sette krav til enhetene som får tilgang til bedriftens data:

  • Minimum OS-versjon
  • Kryptering aktivert
  • Antivirus oppdatert
  • Ingen jailbreak/root

Enheter som ikke møter kravene? De får rett og slett ikke tilgang før problemet er løst.

3. Bruk lokasjonsbaserte kontroller

Hvis alle de ansatte jobber fra Norge, hvorfor skal noen kunne logge på fra et tilfeldig land i Øst-Europa klokken 03:00 om natten?

Med lokasjonsbaserte policyer kan du:

  • Blokkere pålogginger fra land dere ikke opererer i
  • Kreve ekstra verifisering for pålogginger utenfor kontoret
  • Tillate bare kjente IP-adresser for tilgang til sensitive systemer

Det er ikke perfekt (VPN-er kan omgå dette), men det er et viktig lag i sikkerheten.

4. Blokker legacy-autentisering

Gamle protokoller som IMAP, POP3 og SMTP støtter ikke moderne autentiseringsmetoder som MFA. De er en åpen dør for angripere.

Løsningen er enkel: Blokker dem. Moderne e-postklienter og apper støtter alle moderne autentisering, så dette påvirker sjelden legitime brukere.

5. Implementer risikobaserte policyer

Microsoft Entra ID kan oppdage mistenkelig aktivitet i sanntid – ting som:

  • Pålogginger fra anonyme IP-adresser
  • Umulige reisescenarier (pålogging fra Oslo, så Paris 10 minutter senere)
  • Pålogginger fra infiserte enheter

Med risikobaserte policyer kan du automatisk:

  • Kreve MFA ved medium risiko
  • Blokkere pålogging ved høy risiko
  • Tvinge passordbytte hvis brukerkontoen er kompromittert

Slik implementerer du dette riktig

Fase 1: Forberedelser

Før du begynner å rulle ut policyer, må du:

Opprett nødtilgangskontoer – Minst to "break-glass"-kontoer som er unntatt fra alle Conditional Access-policyer. Disse er din livline hvis noe går galt. Oppbevar legitimasjonen sikkert og separat.

Definer device compliance-policyer først – Før du krever compliant devices, må enhetene faktisk kunne bli compliant. Sett opp policyene i Intune først.

Sørg for at brukerne er registrert for MFA – Ikke vent til de blir tvunget til det ved en kritisk pålogging. Rull ut MFA-registrering proaktivt.

Fase 2: Start i report-only modus

Dette er gull verdt: Alle Conditional Access-policyer kan kjøres i "report-only" modus først. Da ser du hva som ville skjedd uten å faktisk blokkere noen.

Bruk dette til å:

  • Identifisere uventede konsekvenser
  • Finne brukere eller systemer som trenger unntak
  • Bygge tillit til at policyene fungerer som forventet

Fase 3: Gradvis utrulling

Ikke rull ut alt til alle samtidig. Start med:

  1. En pilotgruppe (gjerne IT-avdelingen)
  2. Utvid til resten av organisasjonen
  3. Overvåk og juster underveis

Dette gir deg rom til å lære og tilpasse uten å skape kaos.

Vanlige fallgruver å unngå

Glemme nødtilgangskontoer – Dette er den klassiske feilen. Du ruller ut en policy som låser deg ute, og plutselig har ingen tilgang. Ikke gjør denne.

For mange unntak – Det er fristende å lage unntak for "bare denne ene brukeren" eller "bare dette ene systemet". Men hvert unntak er et hull i sikkerheten. Vær streng.

Ikke teste grundig nok – Report-only modus er der av en grunn. Bruk den. Test. Og test igjen.

Glemme å kommunisere – Brukerne må forstå hvorfor de plutselig må gjøre ting annerledes. God kommunikasjon forhindrer frustrasjon og støttebilletter.

Hvordan komme i gang

Ærlig talt? Dette kan virke overveldende hvis du ikke har jobbet med det før. Og det er helt greit.

Hos Ironstone har vi hjulpet mange norske bedrifter med å sette opp sikker, moderne IT-drift – inkludert Conditional Access-policyer som faktisk fungerer i praksis. Vi vet hva som fungerer, hva som ikke fungerer, og hvordan man unngår de vanligste feilene.

Vi tar oss av det tekniske, slik at du kan fokusere på å drive bedriften din. Og nei, du trenger ikke være IT-ekspert for å ha sikkerhet i verdensklasse. Det er hele poenget.

Vil du ha hjelp til å komme i gang? Ta kontakt med oss, så tar vi en uforpliktende prat om hvordan vi kan hjelpe akkurat din bedrift.

Oppsummering

Microsoft Entra ID Conditional Access er ikke bare "nok en sikkerhetsfunksjon". Det er fundamentet for moderne, intelligent tilgangskontroll som beskytter bedriften uten å gjøre hverdagen vanskeligere for de ansatte.

De viktigste tingene å huske:

  • MFA for alle, men smart implementert
  • Device compliance er ikke valgfritt
  • Lokasjonsbaserte kontroller gir et viktig ekstra lag
  • Blokker legacy-autentisering
  • Bruk risikobaserte policyer for intelligent beskyttelse
  • Test grundig før du ruller ut
  • Opprett nødtilgangskontoer før du trenger dem

Gjør dette riktig, og du har lagt grunnlaget for en sikker, moderne IT-drift som skalerer med bedriften din.

Og husk: Du trenger ikke gjøre dette alene. Det finnes eksperter som kan hjelpe deg – slik at du kan være trygg på at det er gjort riktig fra dag én.