Till innehållet

Checklista: så gör du Microsoft 365 säkert (MFA, behörigheter, extern delning)

Säkra Microsoft 365 med MFA: checklista för flerfaktorsautentisering, villkorsstyrd åtkomst, behörigheter och extern delning med exempelpolicys.

Av Tacerto · Uppdaterad 28 juni 2026

Illustration: Checklista: så gör du Microsoft 365 säkert (MFA, behörigheter, extern delning)

Kort svar

Börja med att aktivera flerfaktorsautentisering (MFA) för alla konton – det stoppar över 99 procent av kapade inloggningar enligt Microsoft. Slå på säkerhetsstandarder eller villkorsstyrd åtkomst, blockera äldre autentisering, minska antalet globala administratörer, begränsa extern delning i SharePoint och följ upp via Säker poäng varje månad.

Det snabbaste sättet att höja säkerheten i Microsoft 365 är att slå på flerfaktorsautentisering (MFA) för alla konton och blockera äldre inloggningsmetoder. Den här guiden går igenom hela härdningen steg för steg – från första åtgärden till löpande uppföljning – med konkreta klickvägar och exempelpolicys du kan återanvända. Ordningen är medveten: skydda administratörerna, tvinga MFA brett, styr åtkomst och behörigheter, dra åt extern delning och följ upp.

Vad gör du först när du ska säkra Microsoft 365?

Börja med en lägesbild och skydda administratörskontona innan du rör något annat. Ett kapat administratörskonto kan slå av dina skydd, så det är där arbetet ska starta.

Öppna Säker poäng (Microsoft Secure Score) i Microsoft Defender-portalen på security.microsoft.com. Där ser du er nuvarande nivå i procent och en prioriterad lista med åtgärder som var och en höjer poängen. Notera utgångsläget – det blir er baslinje att mäta mot.

Gör sedan de här fyra sakerna i ordning:

  1. Öppna Säker poäng och skriv ner er nuvarande nivå och de tre högst prioriterade åtgärderna.
  2. Inventera vilka konton som är globala administratörer – Microsoft rekommenderar färre än fem.
  3. Aktivera MFA på administratörskontona först, innan ni rullar ut brett.
  4. Kontrollera vilken licens ni har, eftersom den avgör vilka skydd som finns tillgängliga.

Just licensen avgör mycket. Vilken moln och Microsoft 365-plan ni kör på styr om ni har tillgång till villkorsstyrd åtkomst eller bara till de kostnadsfria säkerhetsstandarderna. Har ni Business Premium eller E3/E5 finns hela verktygslådan; har ni en Basic- eller Standard-plan är säkerhetsstandarder utgångspunkten.

Hur slår du på MFA för alla användare?

Enklaste vägen är att aktivera säkerhetsstandarder (security defaults), som tvingar MFA för alla – behöver du mer kontroll använder du villkorsstyrd åtkomst i stället. Microsoft anger att MFA blockerar över 99 procent av angreppen mot konton, vilket gör detta till den enskilt viktigaste åtgärden i hela checklistan.

Säkerhetsstandarder slås på i Microsoft Entra-admincenter (entra.microsoft.com) under Identitet → Översikt → Egenskaper → Hantera säkerhetsstandarder. Både MSB och CERT-SE lyfter flerfaktorsautentisering som en grundläggande åtgärd mot kontokapning.

SäkerhetsstandarderVillkorsstyrd åtkomst
KostnadIngår i alla planerKräver Entra ID P1 (ingår i Business Premium, E3, E5)
MFA för allaJa, alla på en gångJa, men styrbart per grupp, app och plats
AnpassningIngenFull – villkor, undantag och rapportläge
PassarMindre organisation utan särskilda kravOrganisation som behöver styra åtkomst

Har ni särskilda behov – till exempel att kräva MFA bara utanför kontoret eller alltid för ekonomifunktionen – går ni vidare till villkorsstyrd åtkomst. Kör inte båda samtidigt; de fungerar var för sig.

Hur sätter du upp villkorsstyrd åtkomst och blockerar äldre inloggning?

Skapa principer i Entra-admincenter under Skydd → Villkorsstyrd åtkomst → Skapa princip, och börja med att kräva MFA för alla och blockera äldre autentisering. Äldre protokoll som POP, IMAP och SMTP med grundläggande autentisering går förbi MFA helt – Microsoft fasade ut basic auth i Exchange Online under 2022–2023, men efterfrågade undantag och integrationer kan ha det påslaget.

Starta varje ny princip i rapportläge i ett par dagar. Då ser du i inloggningsloggen vad principen skulle ha blockerat, utan att bryta något legitimt flöde. Slå på skarpt läge först när loggen ser ren ut.

Fyra exempelpolicys att bygga från:

  1. Kräv MFA för alla användare och alla molnappar – grundskyddet.
  2. Blockera äldre autentisering (legacy auth) för hela organisationen.
  3. Kräv MFA för administratörsroller alltid, utan undantag och oavsett plats.
  4. Begränsa åtkomst från länder ni inte verkar i, via namngivna platser.

Vill du inte sätta upp principerna själv? Vi konfigurerar villkorsstyrd åtkomst, kör den i rapportläge och verifierar att inget legitimt inloggningsflöde bryts – som en del av vårt arbete med säkerhet och backup för Microsoft 365.

Hur styr du behörigheter och administratörsroller?

Ge minsta möjliga behörighet (least privilege): tilldela specifika roller i stället för global administratör, och håll antalet globala administratörer lågt. En användare som bara hanterar e-post behöver inte kunna ändra hela katalogen.

Roller hanteras i Entra-admincenter under Roller och administratörer. Enligt dataskyddsförordningens artikel 32 ska personuppgiftsansvariga vidta lämpliga tekniska åtgärder, och IMY pekar på behovsstyrd åtkomst som en sådan – ju färre som kan komma åt allt, desto mindre blir skadan vid en incident.

  • Håll färre än fem globala administratörer (Microsofts rekommendation), men minst två för redundans.
  • Använd rollbaserade behörigheter som Exchange-, Teams- eller Helpdesk-administratör i stället för global roll.
  • Skapa ett nödkonto (break-glass) med långt lösenord, undantaget villkorsstyrd åtkomst, för det fall MFA-leverantören ligger nere.
  • Granska gästkonton regelbundet och ta bort dem som inte längre samarbetar med er.

Hur begränsar du extern delning i SharePoint, OneDrive och Teams?

Sätt organisationens delningsnivå till det mest restriktiva som fungerar för verksamheten, i SharePoint admin center → Principer → Delning. Standardläget tillåter ofta mer än ni behöver, och anonyma länkar som sprids vidare är en vanlig läckageväg för personuppgifter.

DelningsnivåVad den tillåterLämplig när
Vem som helstAnonyma länkar utan inloggningUndvik – högst risk
Nya och befintliga gästerExterna måste verifiera sin identitetVanligt förstahandsval
Befintliga gästerEndast redan inbjudna personerStriktare samarbete
Endast er organisationIngen extern delning allsKänsliga miljöer

Komplettera med utgångsdatum på delningslänkar – till exempel 30 dagar – så att gamla länkar slutar fungera automatiskt. Delar ni filer som innehåller personuppgifter externt är det extra viktigt, eftersom du enligt IMY behöver ha kontroll över vem som har åtkomst över tid.

Hur följer du upp – och vad kostar en säkerhetsgenomgång?

Säkerhet är löpande, inte ett engångsprojekt: följ Säker poäng varje månad, granska konton och delning kvartalsvis och testa återställning av backup minst två gånger om året. En sak MFA inte löser är dataförlust – Microsoft ansvarar för plattformen, men raderade eller krypterade filer är ditt ansvar, vilket gör en separat backup till en del av samma checklista.

FrekvensÅtgärd
Varje månadKontrollera Säker poäng och nya inloggningsrisker
Varje kvartalGranska administratörs- och gästkonton samt delningslänkar
HalvårsvisTesta återställning från backup och uppdatera principer

En säkerhetsgenomgång av Microsoft 365 är projektprissatt – priset beror på antal användare, nuvarande licensnivå och hur långt ni redan kommit. En avgränsad baslinjegenomgång (Säker poäng, MFA och blockering av äldre autentisering) för ett mindre företag landar ofta i intervallet 8 000–20 000 kr. En fullständig härdning med villkorsstyrd åtkomst, behörighetsstyrning och begränsad extern delning ligger vanligen på 20 000–60 000 kr, och löpande övervakning prissätts per användare och månad. Prisdrivande faktorer är antalet användare och administratörer, om ni redan har Business Premium eller E3, antalet integrationer och om ni vill ha kontinuerlig uppföljning.

Behöver ni hjälp att gå igenom checklistan i er egen miljö? Tacerto sitter i Uddevalla och arbetar i hela Sverige. Boka en säkerhetsgenomgång så tar vi hand om säkerhet och backup för Microsoft 365 – och hjälper er välja rätt moln och Microsoft 365-licens för de skydd verksamheten faktiskt behöver.

Vanliga frågor

Räcker MFA för att säkra Microsoft 365?

Nej. MFA är den viktigaste enskilda åtgärden och stoppar över 99 procent av kapade inloggningar enligt Microsoft, men du behöver även blockera äldre autentisering, begränsa behörigheter och extern delning samt ha en separat backup. MFA skyddar inloggningen, inte själva datan.

Vad är skillnaden mellan säkerhetsstandarder och villkorsstyrd åtkomst?

Säkerhetsstandarder är ett gratis på- och avläge som tvingar MFA för alla användare. Villkorsstyrd åtkomst kräver licensen Entra ID P1 och ger detaljerad styrning per användare, app, plats och enhet – till exempel att kräva MFA bara utanför kontoret eller alltid för administratörer.

Kräver MFA en särskild licens?

Nej, grundläggande MFA via säkerhetsstandarder ingår i alla Microsoft 365-planer utan extra kostnad. Villkorsstyrd åtkomst kräver Entra ID P1, som ingår i Microsoft 365 Business Premium samt i E3 och E5.

Ingår backup i Microsoft 365?

Nej, inte i traditionell mening. Microsoft ansvarar för att plattformen är igång, men din data är ditt ansvar. Radering, ransomware eller kapade konton kräver en separat backuplösning – papperskorgen töms efter 30 till 93 dagar.

Hur många globala administratörer bör vi ha?

Microsoft rekommenderar färre än fem globala administratörer. Håll minst två för redundans, använd rollbaserade behörigheter för allt annat och skapa ett nödkonto (break-glass) som undantas från villkorsstyrd åtkomst.

Måste vi säkra Microsoft 365 enligt GDPR?

Ja, i praktiken. Dataskyddsförordningens artikel 32 kräver lämpliga tekniska säkerhetsåtgärder anpassade efter risken. Vid åtkomst till känsliga eller stora mängder personuppgifter – eller inloggning över öppna nät – är flerfaktorsautentisering normalt den åtgärd som krävs för att uppfylla kravet.

Hur ofta bör vi se över säkerheten i Microsoft 365?

Kontrollera Säker poäng varje månad, granska administratörs- och gästkonton samt delningslänkar varje kvartal, och testa återställning från backup minst halvårsvis. Säkerhet är löpande drift, inte ett engångsprojekt.

TaggarMoln & Microsoft 365Checklista

Nästa steg

Vill du veta mer om Moln & Microsoft 365?

Se vad som ingår och vad som styr priset — eller berätta vad du vill uppnå så hjälper vi dig direkt.

Vi återkopplar snabbt. Alltid.