Stäng legacy authentication och inför passkeys i Microsoft 365, en praktisk plan

MFA räcker inte om gamla inloggningsvägar fortfarande är öppna. Här är en konkret sexstegsplan för att stänga legacy authentication i Microsoft 365 och Entra, rensa undantag och införa phishing-resistent MFA med passkeys utan onödiga driftstopp.

ChatGPT LogoSammanfatta med ChatGPT

Gyllene kombinationslås på tangentbord intill guld kreditkortschip, symbol för datasäkerhet och skydd vid elektroniska betalningar.

Varför MFA inte räcker när legacy authentication är kvar

Många Microsoft 365-miljöer tappar greppet här. MFA är infört, ibland för alla användare, men äldre protokoll, undantag och gamla appar lever kvar i bakgrunden. Resultatet blir ett ojämnt skydd där moderna policyer finns på pappret men inte i praktiken.

Legacy authentication bygger ofta på användarnamn och lösenord på sätt som inte kan möta kraven för modern autentisering. Microsoft rekommenderar därför att organisationer blockerar dessa inloggningar, och beskriver hur ni kan göra det i Entra. Det gör blockering av legacy authentication i Entra till en rimlig första åtgärd.

I svenska små och medelstora företag ser vi ofta samma mönster. En multifunktionsskrivare som skickar mejl, ett ekonomisystem med gammal SMTP-lösning, ett servicekonto som ingen riktigt äger eller en tredjepartsapp som bara måste fungera. Det är sällan strategin som brister, utan undantagen. Om ni samtidigt arbetar bredare med styrning och risk kan vår NIS2 checklista på 30 dagar vara en bra komplettering.

Steg 1 och 2, kartlägg först, blockera sedan brett

Börja inte med att slå på allt på en gång. Sätt i stället en tydlig tidsbox på 60 till 90 minuter för att få fram nuläget. Titta i inloggningsloggarna, filtrera på äldre klientappar och kontrollera både interaktiva och icke interaktiva inloggningar. Målet är en arbetslista som går att agera på samma vecka.

Nästa steg är att blockera brett som standard och låta undantagen bli just undantag. Microsofts vägledning rekommenderar att ni börjar i report only-läge, verifierar påverkan och först därefter slår på policyn fullt ut. Det minskar risken för driftstopp.

  • Ägare: Varje undantag ska ha en namngiven person, inte bara ett teamnamn.
  • Affärsskäl: Skriv vad som bryts i dag och varför undantaget fortfarande finns.
  • Slutdatum: Sätt ett datum för avveckling eller omprövning, gärna inom 30 dagar.
  • Ersättningsplan: Dokumentera vilken modern lösning som ska ta över.

Ett undantag utan ägare och slutdatum blir lätt permanent, och då försvinner effekten av era moderna policyer.

Steg 3, lös e-postutskick och servicekonton utan att behålla lösenord

Här fastnar många projekt. Utskick från skrivare, larm, affärssystem och servicekonton används ofta som argument för att lämna gamla metoder kvar. I praktiken handlar det oftare om att en modern lösning inte har prioriterats.

Gå igenom varje användningsfall separat. En skrivare ska inte få styra identitetsstrategin för hela bolaget, och ett servicekonto utan interaktiv inloggning ska inte behandlas som en vanlig användare. Målet är att minska beroendet av sparade lösenord i äldre flöden.

I praktiken brukar det handla om tre val. Byt till en stödd modern integration. Flytta funktionen till relay eller annan kontrollerad utskicksväg. Eller isolera ett fåtal kvarvarande beroenden under en kort övergångsperiod med tydlig ägare och tidsplan. Samma arbetssätt fungerar bra vid andra städprojekt i Microsoft 365, vilket vi också beskriver i vår guide om att städa M365 licenser.

Steg 4 till 6, rulla ut passkeys och bygg stöd som håller

När bakdörrarna är tätade är det dags att höja nivån där det ger verklig effekt. För många organisationer är nästa steg att standardisera på phishing-resistent MFA där det är möjligt. I Microsoft Entra kan passkeys och FIDO2 användas, och Microsoft beskriver hur införandet fungerar i praktiken. Se deras vägledning om passkeys och FIDO2 i Microsoft Entra innan ni rullar ut brett.

Enrollment, support och break glass

Införandet blir stabilt först när registrering, support och återställning är genomtänkt. Börja med grupper där nyttan är hög och beroendena är hanterbara, till exempel IT, ledning, ekonomi och andra roller med känslig åtkomst. Skala sedan vidare när processen sitter.

  • Prioritera först: Administratörer, ekonomi, HR och chefer med bred åtkomst.
  • Gå vidare sedan: Kontorspersonal med standardiserade klienter och låg appvariation.
  • Ta sist: Roller med äldre enheter, delade terminaler eller komplexa tredjepartsintegrationer.

Planera också för återställning. Break glass-konton ska finnas, vara hårt skyddade, övervakade och användas endast för verkliga nödlägen. Avsluta med en enkel månadsrutin där ni följer upp nya undantag, misslyckade inloggningar och att tillfälliga lösningar inte blir kvar.

Poängen är enkel. Stäng legacy authentication först och höj sedan nivån med phishing-resistent MFA där det spelar störst roll. Om ni vill göra det kontrollerat i er egen miljö kan ni kontakta Advisera för hjälp med prioritering, undantagshantering och ett införande som håller i drift.

Bli kontaktad

Kostnadsfri rådgivning om smartare lösningar och lägre kostnader!

För supportärenden når du oss på support.advisera.se

Contact Form [SE]

Klicka här om du behöver skicka ett ärende till vår support

Fler blogginlägg

Microsoft 365-backup i praktiken: bygg en återställningsplan som håller

Bygg en testad återställningsplan för Microsoft 365 med tydliga RPO och RTO, runbook på 30 min och första restore testet på en vecka.

Läs mer

Styrelseansvar cybersäkerhetslagen

Vad styrelsen behöver styra, följa upp och dokumentera för att hantera cyberrisker som en affärskritisk fråga.

Läs mer

Städa M365-licenser

10 kontroller för att städa licenser i Microsoft 365, sänka kostnaden och få bättre ordning, plus en 60-minutersstart och hållbar rutin.

Läs mer