Hvad er MFA (multifaktor-godkendelse)?
MFA (multifaktor-godkendelse, også kaldet to-faktor-godkendelse, totrinsbekræftelse eller 2FA) betyder, at et login kræver mindst to uafhængige beviser på identitet: noget man ved (adgangskode), noget man har (telefon eller nøglebrik) eller noget man er (fingeraftryk eller ansigt). Selv hvis en angriber stjæler adgangskoden, fx via phishing eller et datalæk, kan kontoen ikke overtages uden den anden faktor.
MFA er det enkeltstående sikkerhedstiltag med størst effekt i forhold til indsatsen: Microsofts egne tal viser, at det blokerer over 99 % af automatiserede kontoangreb. Men metoden betyder noget. Fra svagest til stærkest: SMS-koder (kan omgås via SIM-swapping), authenticator-apps med push og number matching, og øverst FIDO2/passkeys, som er phishing-resistente, fordi godkendelsen er kryptografisk bundet til den ægte side.
Sådan sætter I MFA op i Microsoft 365
I et Microsoft-miljø styres MFA centralt via Microsoft Entra ID. De overordnede trin:
- Aktivér security defaults eller Conditional Access: sidstnævnte giver finkornet kontrol over, hvornår og hvor MFA kræves.
- Lad brugerne registrere Microsoft Authenticator som primær metode, med en backupmetode til mistede telefoner.
- Bloker legacy-protokoller (IMAP/POP), som ellers omgår MFA helt.
- Dæk administratorkonti, serviceadgange og VPN, som er de typiske huller i praksis.
Hvad er Microsoft Authenticator?
Microsoft Authenticator er Microsofts gratis app til iOS og Android, som de fleste virksomheder bruger som primær MFA-metode. Ved login sender appen en push-notifikation, brugeren godkender, og med number matching skal brugeren indtaste et tal fra loginskærmen i appen. Det stopper "MFA-træthed", hvor brugere pr. refleks trykker godkend på en falsk anmodning. Appen kan også generere engangskoder uden netadgang og fungere som passkey, så adgangskoden på sigt helt kan udfases.
MFA vs. 2FA: er det det samme?
Næsten. 2FA (to-faktor-godkendelse) kræver præcis to faktorer; MFA er samlebetegnelsen for to eller flere. Al 2FA er altså MFA, men ikke omvendt. I praksis bruges ordene i flæng, og totrinsbekræftelse er den danske betegnelse for samme princip. Det vigtige er ikke terminologien, men at faktorerne er uafhængige: adgangskode plus en kode sendt til samme mailkonto tæller ikke.
Hvorfor bliver MFA obligatorisk?
Microsoft gør MFA obligatorisk på stadig flere flader: først for administratorportaler som Azure Portal og Microsoft 365 admin center, og gradvist bredere via håndhævede sikkerhedspolitikker. Baggrunden er simpel: langt de fleste kompromitterede konti havde ikke MFA slået til. Kravene og tidsplanen er dokumenteret på learn.microsoft.com. Kombineret med SSO bliver resultatet ét stærkt beskyttet login i stedet for mange svage.
Sådan hjælper MI Support IT
Vi implementerer MFA korrekt i Microsoft 365 og Entra ID med Conditional Access, lukker legacy-huller og sørger for, at både medarbejdere, administratorer og fjernadgange er dækket, som en del af den løbende IT-sikkerhed. Har I brug for en gennemgang af jeres opsætning, så kontakt os.