Sprog på standardmapper i Outlook

17 februar 2026 Administrator Microsoft 365, Outlook

Sådan skifter du sprog på standardmapper i Outlook – både for brugere og delte postkasser via PowerShell

Når Outlook‑mapper som Inbox, Sent Items, Drafts og Deleted Items står på engelsk selvom brugeren forventer dansk, skyldes det normalt én af disse årsager:

Brugeren har første gang åbnet Outlook Web App (OWA) med engelsk sprog.
Den delte postkasse er oprettet med engelsk standardsprog i Exchange Online.

Heldigvis kan du ændre sproget og gendanne mapperne via PowerShell – både for almindelige brugere og Shared Mailboxes. Her er en trin‑for‑trin guide.

Trin 1: Forbind til Exchange Online PowerShell

Kør følgende i PowerShell (Administrator):

Install-Module ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline

Trin 2: Tjek nuværende sprog for en postkasse

Get-MailboxRegionalConfiguration -Identity user@domain.dk

Hvis Language står til “en-US”, er mapperne oprettet på engelsk.

Trin 3: Skift sprog og gendan mapper for en normal bruger

Set-MailboxRegionalConfiguration -Identity user@domain.dk -Language da-DK -LocalizeDefaultFolderName

Dette sætter dansk som sprog og omskriver standardmapper til dansk.

Trin 4: Gør det samme for en delt postkasse

Set-MailboxRegionalConfiguration -Identity sharedmailbox@domain.dk -Language da-DK -LocalizeDefaultFolderName

Brugerne skal typisk genstarte Outlook bagefter.

Trin 5: Hvis mapperne ikke ændrer sig → tving gendannelse

Set-Mailbox -Identity user@domain.dk -ForceDefaultFolderReset

For delt postkasse:

Set-Mailbox -Identity sharedmailbox@domain.dk -ForceDefaultFolderReset

Dette gendanner kun standardmapper – brugerens egne mapper sammenlægges ikke.

Trin 6: Skift sprog for alle brugere på én gang

Alle mailbokse:

Get-Mailbox -ResultSize Unlimited | ForEach-Object {
Set-MailboxRegionalConfiguration -Identity $_.PrimarySmtpAddress -Language da-DK -LocalizeDefaultFolderName
}

Kun delte postkasser:

Get-Mailbox -RecipientTypeDetails SharedMailbox -ResultSize Unlimited | ForEach-Object {
Set-MailboxRegionalConfiguration -Identity $_.PrimarySmtpAddress -Language da-DK -LocalizeDefaultFolderName
}

Hvornår slår ændringerne igennem?

Outlook Web App: med det samme
Outlook Desktop: efter genstart
Outlook mobilapps: når de synkroniserer igen

Hvis brugeren stadig ser engelske mapper, kan Outlook‑profilen slettes og reoprettes.

Konklusion

Med PowerShell kan du hurtigt sikre ensartede danske mapper i både individuelle og delte postkasser – og du kan endda udføre ændringerne i bulk. Det giver en mere konsistent brugeroplevelse og færre supportsager.

arc=fail i dine DMARC‑rapporter

12 februar 2026 Administrator DKIM, DMARC, SPF

✅ Hvad betyder arc=fail i dine DMARC‑rapporter?

Når du ser:

arc=fail

så betyder det, at en videresendende server (fx mailingliste, auto‑forward, antivirus‑gateway, journaling‑hop osv.) ikke har kunnet validere ARC‑kæden.

ARC bruges til at bevare autentificeringsresultater gennem forwarding og består af AAR, AMS og ARC‑Seal. Hvis en af disse dele ikke kan valideres, får du arc=fail.
Dette stemmer overens med den dokumenterede funktion: ARC bevarer authentication, men mislykkes hvis forwarding ændrer mailen eller kæden ikke er korrekt signeret.
Forwarding kan ødelægge SPF og DKIM, og ARC skal så redde kæden – hvis det mislykkes, giver det fejl. [trndigital.com] [github.com]

Men det vigtige er:
ARC evalueres af modtagerens server, ikke af din server som afsender.

❌ Så hvad kan DU som afsender ikke gøre noget ved?

Du kan ikke rette:

Hvis en ekstern videresender ændrer mailens content og brækker DKIM
Hvis deres server ikke understøtter ARC
Hvis forwarding‑serveren har forkert konfiguration
Hvis deres ARC‑seal er udløbet, forkert signeret eller mangler
Hvis modtagerens mailserver ignorerer ARC, accepterer eller afviser det

Alt dette er dokumenteret i den tekniske forklaring på forwarding‑problemer og hvordan ARC forsøger – men ikke altid kan – at bevare autentificering. [github.com]

Med andre ord: ARC er et forwarding‑problem, ikke et afsenderproblem.

✅ Hvad kan DU faktisk gøre noget ved?

Selvom du ikke kan kontrollere ARC‑fail direkte, kan du sikre at din ende er fuldstændig korrekt, så ARC‑kæden får et stabilt udgangspunkt.

Du kan:

1️⃣ Sikre at DKIM-signaturen er stabil og stærk

Brug 2048-bit nøgler
Brug moderne DKIM‑canonicalization, fx relaxed/relaxed
(Dette understøttes af email‑autentifikationsprincipperne fra Microsoft Learn) [techcommun...rosoft.com]

Hvorfor hjælper det?
Hvis forwarding kun ændrer få headers, men ikke brækker DKIM, er ARC ofte slet ikke nødvendig.

2️⃣ Sørg for korrekt SPF og alignment

Alle dine legitime afsenderservere skal være i SPF
Undgå SPF‑rekorder med +all eller for mange includes
SPF er et centralt krav for DMARC og påvirker ARC’s baseline. [techcommun...rosoft.com]

3️⃣ DMARC‑policy bør være korrekt

Start med p=none under test
Gå senere til quarantine eller reject
DMARC alignment understøtter ARC’s funktion, fordi ARC bygger videre på disse resultater. [techcommun...rosoft.com]

4️⃣ Opsæt ARC på dine egne mail‑hop, hvis du har dem

Hvis du fx bruger:

en mailgateway
spamfilter
routing før udgående mail
journaling eller arkivering

Så skal din egen infrastruktur også ARC‑signere for at undgå kædebrud.

Hvis du ikke signerer ARC selv, kan kæden gå i stykker tidligt.

5️⃣ Undgå at bruge systemer der ændrer mails unødigt

Forwarding og content‑modifikation er hovedårsagen til ARC‑fail.
Suped beskriver tydeligt at videregivelse ændrer mailens headers og body, hvilket ødelægger DKIM og dermed også ARC‑kæder. [github.com]

Hvis du selv kontrollerer nogen af de mellem‑hops, kan du reducere header‑manipulation.

🟥 Skal du være bekymret over arc=fail?

Ofte nej.

ARC er valgfrit, og selv ved arc=fail vil mange modtagende systemer ikke afvise mailen, så længe:

SPF eller DKIM passer
DMARC alignment er OK
ARC‑fail ikke overskriver de oprindelige autentificeringer

Microsoft Learn bekræfter, at ARC er et ekstra lag, ikke en erstatning for SPF, DKIM og DMARC. [techcommun...rosoft.com]

Kun tjenester der kræver ARC (fx visse Google/Yahoo politikker for forwarded mail) kan vælge at reagere på det.

⭐ Konklusion

arc=fail er næsten aldrig noget du som afsender kan rette direkte, fordi fejlen opstår på en mellemserver, der videresender eller ændrer mailen.

Men du kan sikre:

robuste DKIM‑signaturer
korrekte SPF‑optegnelser
korrekt DMARC alignment
ARC‑signering i egne hops

…så dine mails har bedst chance for at overleve forwarding‑kæderne.

Når selector2 i Microsoft 365 DKIM driller

09 februar 2026 Administrator DKIM, Microsoft 365

**Når selector2 i Microsoft 365 DKIM driller – og hvorfor en key-rotation løser problemet**

Hvis du arbejder med e-mail‑sikkerhed i Microsoft 365, har du sikkert stiftet bekendtskab med DKIM‑opsætningen og de to selectors: selector1 og selector2. Normalt kører tingene gnidningsfrit, men indimellem rammer man et scenarie, hvor selector2 ganske enkelt nægter at virke – uanset hvor mange gange DNS‑poster dobbelttjekkes.

Hvorfor fejler selector2?

Når selector2 ikke fungerer, skyldes det typisk én af følgende årsager:

DNS-posten for selector2 er forkert formateret eller mangler helt.
DNS‑udbyderen cacher gamle værdier for længe.
Der ligger gamle eller ugyldige DKIM‑nøgler i Microsoft 365, som forhindrer korrekt signering.
Domænet har tidligere været flyttet, og gamle nøgler hænger stadig fast i systemet.

Uanset hvad rodårsagen er, oplever mange, at selector2 nægter at komme online – selv efter lange DNS‑debug‑sessioner.

Den hurtige og sikre løsning: Rotate DKIM Keys

Heldigvis er løsningen næsten altid simpel: Lav en DKIM key‑rotation i Microsoft 365.

Når du roterer nøglerne, gør Microsoft 365 følgende:

Genererer et nyt sæt DKIM‑nøgler
Udgiver nye selector‑værdier
Sikrer at både selector1 og selector2 bliver opdateret korrekt
Tvinger systemet til at slippe gamle, defekte eller cached nøgler

Efter rotationen kan du opdatere DNS‑poster med de nye værdier, og i langt de fleste tilfælde vil både selector1 og selector2 fungere fejlfrit igen.

Hvorfor er rotation en god praksis?

Foruden at løse problemer er det faktisk en anbefalet sikkerhedspraksis at rotere DKIM‑nøgler med jævne mellemrum. Det reducerer risikoen for misbrug og sikrer, at dine DKIM‑signaturer lever op til moderne standarder.

Konklusion

Hvis du ikke kan få selector2 til at virke i Microsoft 365 – selv efter korrekt DNS‑opsætning – er den bedste løsning næsten altid at rotere DKIM‑nøglerne. Det rydder op i gamle nøgler, opdaterer selectors og får DKIM til at køre stabilt igen.

Microsoft 365 Baseline Security Mode

08 februar 2026 Administrator Microsoft 365, Sikkerhed

Sådan aktiverer du Microsoft 365 Baseline Security Mode – den nye standard for sikkerhed i 2025–2026

Publiceret: 8. februar 2026

Microsoft 365 har taget et stort skridt mod “secure‑by‑default”. Med Baseline Security Mode (BSM) kan du med få klik løfte sikkerhedsniveauet på tværs af Exchange, Teams, SharePoint/OneDrive, Entra og Office — uden at fin‑tune hundredevis af indstillinger manuelt. BSM blev introduceret i 2025 som en tenant‑omfattende baseline og henvender sig særligt til travle M365‑admins, der vil have maks effekt pr. minut.

Samtidig buldrer Microsofts roadmap videre i 2025–2026 med Copilot, Agent Mode og nye sikkerheds‑defaults, som gør baselines endnu vigtigere at få på plads nu.

Hvad er Baseline Security Mode?

Baseline Security Mode er en tenant‑wide sikkerhedsbaseline i Microsoft 365, der samler Microsofts egne bedste anbefalinger i én switch. Første udrulning dækker 20+ baseline policies på tværs af fem kerneområder (Office, Exchange, Teams, SharePoint/OneDrive og Entra) og er målrettet bredt — fra SMB til enterprise.

Formålet er at:

Forenkle opsætning: slip for at jagte settings i fem forskellige portaler.
Hæve bundniveauet: stærkere defaults i en tid med AI‑funktioner, nye samarbejdsformer og mere eksternt delingstryk.
Minimere fejlkonfigurationer: mange brud starter med små misconfigs; BSM reducerer risikoen.

Hvorfor er det ekstra relevant i 2026?

Microsoft 365 bevæger sig ind i en AI‑først hverdag (Copilot, Agent Mode, Security Copilot). Når intelligens lagres tæt på dine data, stiger kravene til identitet, deling, mail og device‑kontrol — og Microsoft løfter netop disse “defaults” på tværs af planer i 2026‑opdateringerne.

Copilot/Agent Mode bliver dybere integreret i Word, Excel, Teams m.m. → Baseline‑kontroller for adgang og databeskyttelse bliver kritiske.
Flere sikkerhedsfunktioner rulles bredere ud på tværs af licenser (fx URL‑beskyttelse/Defender for Office P1 i flere planer).
Security Copilot kobles tæt på Defender/Entra/Intune/Purview for hurtigere respons — men værdi forudsætter solide baselines.

Hvad indeholder Baseline Security Mode? (eksempler)

BSM er ikke én enkelt regel — det er et sæt koordinerede policies. Her er typiske områder, der indgår i baseline‑profilen:

Exchange Online: Blokér “direct send”; strammere anti‑phishing defaults; styrket håndtering af indgående URL’er.
Microsoft Teams: Beskyt mod ondsindede URL’er i chats/kanaler; forhindr skærmoptagelse i møder (policy‑styret).
Ekstern adgang: Granulær kontrol for gæsteadgang i Teams og mere sikre delingsdefaults i SharePoint/OneDrive.
Entra (Azure AD): Baseline for identitets‑ og adgangskontrol (fx stærkere standarder for auth‑metoder).

Bemærk: Microsoft kan løbende udvide BSM’s omfang. Tjek altid seneste release notes/roadmap for ændringer.

Forudsætninger og roller

Rollekrav: Security Administrator eller Global Administrator for at aktivere BSM.
Licens: Ifølge de første udrulninger er BSM tilgængelig på tværs af alle M365‑abonnementer (bred tilgængelighed). Verificér i din tenant, da Microsoft kan ændre plan‑tilgængelighed.

Trin‑for‑trin: Sådan aktiverer du Baseline Security Mode

Varighed: 5–15 minutter (ex. validering)
Indvirkning: Tenant‑wide (planlæg gerne uden for peak)

Log ind i Microsoft 365 admin center med en Security Admin eller Global Admin.
Navigér til Settings → Org settings → Security & Privacy.
Vælg Baseline Security Mode i listen.
Klik Enable og bekræft. (Overvej change ticket + kommunikation til it‑drift.)

Tip til implementering:

Start med pilot (fx et mindre forretningsområde), mål effekten (alerts, brugerfeedback), og rul derefter ud org‑wide.
Sammenlign med jeres eksisterende Conditional Access, DLP og Safe Links/Attachments‑policyer for at undgå konflikter.

Tjekliste: Hvad skal du kontrollere efter aktivering?

Mailflow: Test ind/udgående post, specielt hvis I tidligere brugte “direct send” fra printere/scannere. Planlæg alternativ (SMTP AUTH/connector).
Teams møder: Valider at mødepolitikker ikke spænder ben for reelle behov (screen capture policies kan påvirke support/træning).
Ekstern deling: Bekræft at forretningskritiske delingsscenarier (eksterne projekter/gæster) stadig fungerer, men nu mere kontrolleret.
Sikkerhedsalarm‑støj: Brug få dage på at kalibrere alert‑niveauer for at undgå “alert fatigue”.

Samspil med 2026‑nyheder: Copilot, Agent Mode og plan‑opdateringer

Når I har baseline på plads, får I mere ud af de nye AI‑funktioner:

Agent Mode / Copilot i Office‑apps: Baseline‑adgang & delingspolitikker mindsker risiko, når Copilot arbejder på tværs af filer, mail og mødenoter.
Plan‑udvidelser (fx Defender for Office P1 og bredere URL‑sikkerhed) øger niveauet — også i “lavere” planer — men kræver stadig korrekt konfiguration og baseline.
Security Copilot i E5: AI assisterer triagering og respons; baselines reducerer støj og skaber bedre signal‑til‑støj for SOC‑teams.

Faldgruber og “gotchas”

Direct send deaktiveres: Enheder, der sender mail uden auth (MFP/IoT), kan fejle. Skift til SMTP AUTH med app‑password (hvis tilladt) eller opret en connector fra en godkendt udgående IP.
Skærmoptagelses‑blokering i Teams: Gør undtagelser for support/træning, hvis nødvendigt, via dedikerede mødepolitikker.
Ekstern adgang: For stramme defaults kan bremse projekter. Indfør godkendt gæsteforløb (invitationer, udløb, review).
Policy overlap: Har I allerede Conditional Access‑pakker og Teams/SharePoint‑policies, så dokumentér prioritet og undtagelser.

Metrics: Sådan måler du, at BSM virker

Reducerede hændelser i Defender/Incidents pr. uge (efter baseline) — track over 4–6 uger.
Phishing‑klikrate i kampagner (før/efter). En lavere klikrate efter BSM + URL‑beskyttelse er et godt tegn.
Færre misconfig‑fund i periodiske tenant reviews (CIS‑lignende checklister).

FAQ

Er Baseline Security Mode det samme som Security Defaults?
Nej. Security Defaults i Entra er et sæt generelle identity‑defaults. BSM rækker bredere (Exchange, Teams, SharePoint/OneDrive, Office + Entra) og kurateres som en samlet Microsoft 365‑baseline.

Påvirker BSM licenser/planer?
BSM er designet til bred tilgængelighed på tværs af M365‑abonnementer, men Microsoft kan justere over tid. Verificér i din tenant og følg roadmap for ændringer i 2026.

Skal vi stadig lave vores egne policies?
Ja. Se BSM som “det nye minimum”. Du bør stadig konfigurere Conditional Access, DLP, Sensitivity labels, Safe Links/Attachments mv. efter din risikoprofil — især når nye URL‑/mailbeskyttelser udrulles bredere i planerne i 2026.

Spiller BSM sammen med Security Copilot?
Ja. En stærk baseline giver bedre data‑kvalitet og mindre alarm‑støj, hvilket gør Security Copilot mere effektiv i triagering og respons.

Tjekliste (print‑venlig)

Roller: Global/Security Admin klar.
Aktivér Baseline Security Mode i Admin center → Org settings → Security & Privacy.
Test mailflow (printere/scannere/IoT).
Valider Teams‑mødepolitikker (screen capture).
Gennemgå ekstern deling (Teams/SharePoint).
Plan for undtagelser/overstyringer (CA, DLP, Safe Links/Attachments).
Mål effekten (Defender incidents, phishing‑klikrate, review‑fund).

Konklusion

Baseline Security Mode er den hurtigste måde at hæve sikkerheds‑grundniveauet i Microsoft 365 i 2026. Det er ikke en erstatning for jeres egne policies — men et stærkt fundament, der står mål med den accelererende AI‑udvikling og Microsofts 2026‑opdateringer. Start med pilot, mål effekten, og rul derefter ud i hele organisationen.

DNS‑baseret mailsikkerhed – komplet oversigt

08 februar 2026 Administrator DKIM, DMARC, DNS, Microsoft 365, Sikkerhed, SPF

🔐 DNS‑baseret mailsikkerhed – komplet oversigt (inkl. SPF/DKIM/DMARC/DANE)

Her er ALLE centrale teknologier, du kan implementere på DNS‑niveau for at sikre både indgående og udgående mail.

✅ 1. SPF (Sender Policy Framework) – DNS TXT‑record

Beskytter mod: spoofing (hvem må sende fra dit domæne)

SPF definerer hvilke servere/IP’er der har lov til at sende mail på vegne af domænet.

Eksempel:

v=spf1 include:spf.protection.outlook.com -all

✅ 2. DKIM (DomainKeys Identified Mail) – DNS TXT‑record

Beskytter mod: manipulation af mailindhold (integritet)

DKIM lægger en digital signatur i mailen, og den offentlige nøgle ligger i DNS.

Eksempel:

selector._domainkey.example.com  IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBg..."

✅ 3. DMARC – DNS TXT‑record

Beskytter mod: misbrug af domænet + rapportering

DMARC kræver SPF/DKIM alignment og styrer håndhævelse.

Eksempel (reject):

v=DMARC1; p=reject; rua=mailto:dmarc@example.com

🔒 4. DANE (DNS‑Based Authentication of Named Entities) – DNS TLSA-record

Beskytter mod: MITM‑angreb på SMTP, certifikat‑spoofing
Kræver: DNSSEC

Bruges til at binde TLS‑certifikatet til SMTP‑serveren via DNS.

Eksempel:

_25._tcp.mail.example.com. IN TLSA 3 1 1 <hash>

🛡️ 5. DNSSEC (DNS Security Extensions)

Beskytter mod: manipulation af DNS‑records (fundamentet for DANE)

DNSSEC tilføjer kryptografisk signering af dine DNS‑records.

Hvis du har DANE, bør DNSSEC være aktiv, men mange har det stadig ikke korrekt.

📦 6. MTA‑STS (SMTP Strict Transport Security)

Beskytter mod: TLS‑downgrade angreb, MITM når DANE ikke bruges

Består af:

TXT‑record: _mta-sts.domæne
HTTPS policy‑fil på:
https://mta-sts.<domæne>/.well-known/mta-sts.txt

Eksempel TXT:

_mta-sts.example.com TXT "v=STSv1; id=20260208"

📊 7. TLS‑RPT (SMTP TLS Reporting)

Beskytter: indirekte – ved at overvåge fejl i krypteret SMTP
Rapporter: failures i TLS leveringer fra andre mailservere

Eksempel:

_smtp._tls.example.com TXT "v=TLSRPTv1; rua=mailto:tlsrpt@example.com"

🏷️ 8. BIMI + VMC (Brand Indicators for Message Identification)

Beskytter mod: phishing via visuel brandforfalskning

Kræver:

DMARC enforcement (p=quarantine/reject)
Valid logo (SVG)
Ofte VMC‑certifikat (betalt)

Eksempel:

default._bimi.example.com TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/vmc.pem"

🪪 9. CAA (Certification Authority Authorization)

Beskytter mod: uautoriseret udstedelse af TLS‑certifikater

Eksempel:

example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issuewild ";"

🔁 10. ARC (Authenticated Received Chain)

Ikke DNS, men relateret – vigtigt for forwarding

Beskytter mod:

DMARC failures ved videresendelse
Mailing‑lists / helpdesk / autosvar‑systemer

❌ 11. DNSBL / RBL (indgående spam‑beskyttelse)

DNS‑baseret bag‑sceningsteknologi til:

spamfiltrering
IP reputation
beskyttelse af modtagende mailserver

Ikke en DNS‑record, men baseret på DNS‑lookups.

🔒 Oversigt: DNS‑baseret mailsikkerhed og hvad hvert tiltag beskytter

Sikkerhedstiltag	Beskytter hvad?
SPF	Hvem må sende mail på vegne af domænet (anti‑spoofing)
DKIM	Integritet af mailens indhold og afsenderautentifikation
DMARC (reject/quarantine)	Politikhåndhævelse + rapportering + kombinationsbeskyttelse af SPF/DKIM
DNSSEC	Integritet af DNS‑opslag (forhindrer manipulation, fundament for DANE)
DANE for SMTP (TLSA)	Kryptering + autentifikation af SMTP‑servere (beskytter mod MITM)
MTA‑STS	Sikrer TLS‑levering og forhindrer TLS‑downgrade, hvor DANE ikke er understøttet
TLS‑RPT	Rapportering af fejl i krypteret SMTP‑transport (TLS problemer)
CAA	Kontrol over hvilke CA’er der må udstede TLS‑certifikater til dit domæne
BIMI / VMC	Visuel identitet og brandbeskyttelse i modtagerens indbakke
ARC	Sikrer mails ved videresendelse, så DMARC ikke fejler
DNSBL / RBL	Beskytter indgående mail mod spam via DNS‑baserede blocklists (ikke en record, men DNS‑opslag)

SMTP DANE og DNSSEC i Microsoft 365

08 februar 2026 Administrator Microsoft 365, Powershell, Sikkerhed

Sådan opsætter du Inbound SMTP DANE og DNSSEC i Microsoft 365 (inkl. test-links)

Kort fortalt: DNSSEC sikrer dine DNS‑opslag mod manipulation, og DANE sørger for, at TLS‑certifikatet på den modtagende mailserver kan valideres via DNS (TLSA‑records). Sammen beskytter de dit indgående mailflow mod DNS‑spoofing, TLS‑downgrade og MTA‑man‑in‑the‑middle. Microsoft har i dag fuld støtte til outbound DANE og ruller inbound DANE/DNSSEC ud i Exchange Online, samtidig med at infrastrukturen bevæger sig fra mail.protection.outlook.com til nye, DNSSEC‑sikrede subdomæner under mx.microsoft. Det påvirker MX/A‑provisioneringen for nye/ migrerede domæner.

Hvad betyder det i praksis?

DNSSEC: Kryptografisk signering af DNS‑records forhindrer spoofing og manipulation af dine domæneopslag.
SMTP DANE: Afsendende MTA henter TLSA‑records for din MX og validerer, at TLS‑certifikatet matcher, så forbindelsen ikke kan kapres eller nedgraderes.

Forudsætninger

Domænet er tilføjet som Accepted Domain og er “Healthy” i Microsoft 365.
Du kan forbinde til Exchange Online PowerShell.
Under MX‑skiftet må der ikke være fallback/sekundære MX‑records.
DNSSEC skal være slået til hos DNS‑registratoren, ellers kan DANE ikke fungere.

Trin‑for‑trin: Fra tjek til fuld validering

1) Bekræft at domænet er DNSSEC‑signeret

Gå til Verisigns DNSSEC Debugger, indtast domænet, og bekræft, at alle felter er grønne:
https://dnssec-debugger.verisignlabs.com/

Hvis DNSSEC ikke er aktivt, skal det aktiveres hos jeres registrator, før du kan fortsætte (ellers kan TLSA/DANE ikke blive “trusted”).

2) Sænk TTL på din eksisterende MX‑record

I DNS‑panelet:
• Sæt TTL: 1 minut
• Sæt Priority: 0 eller 10
Vent evt. den gamle TTL ud for at sikre hurtig propagation under migrationen. Denne best practice er anbefalet i flere implementeringsguides.

3) Forbind til Exchange Online PowerShell

Åbn PowerShell som administrator og kør:
Connect-ExchangeOnline
(Forbindelsen giver adgang til de nødvendige cmdlets til DNSSEC og DANE.)

4) Aktiver DNSSEC for domænet i Microsoft 365

Kør følgende kommando og notér værdien DnssecMxValue i output – den skal bruges i næste trin:
Enable-DnssecForVerifiedDomain -DomainName "ditdomæne.dk"
Denne proces klargør Microsoft‑siden af DNSSEC for dit domæne og udstiller den værdi, som din nye MX skal pege på.

5) Opret den nye DNSSEC‑sikrede MX‑record

I DNS‑zonen opretter du en ny MX‑record:
• Value: (brug DnssecMxValue fra trin 4)
• TTL: 1 minut
• Priority: 20 (så den endnu ikke er primær)
Denne MX peger på Microsofts nye DNSSEC‑sikrede mailinfrastruktur under mx.microsoft.

6) Verificér at den nye MX virker (parallelt med den gamle)

Kør Inbound SMTP‑testen i Microsoft Connectivity Analyzer:
https://testconnectivity.microsoft.com/tests/O365InboundSmtp/input
Begge MX‑hosts – din gamle (.mail.protection.outlook.com) og den nye (.mx.microsoft) – skal give grønne resultater før du går videre.

7) Fjern den gamle MX‑record

Når både gammel og ny MX består testen, slet den gamle MX‑record (typisk der ender på mail.protection.outlook.com). Tag evt. en zone‑export som backup først.

8) Gør den nye MX til primær

Ændr prioriteten på den nye MX til:
0
Nu er den nye, DNSSEC‑sikrede rute aktiv.

9) Valider DNSSEC hos Microsoft

Kør DNSSEC Validation i Connectivity Analyzer (vælg “DNSSEC Validation”):
https://testconnectivity.microsoft.com/tests/O365DaneValidation/input
Fortsæt først, når du har grøn status.

10) Aktivér Inbound SMTP DANE for domænet

Kør følgende:
Enable-SmtpDaneInbound -DomainName "ditdomæne.dk"
Vent ca. 15 minutter, mens Microsoft publicerer TLSA‑records i backend (propagation).

11) Sluttest: DANE Validation (inkl. TLSA og DNSSEC)

Gå til samme værktøj, men vælg “DANE Validation including DNSSEC”:
https://testconnectivity.microsoft.com/tests/O365DaneValidation/input
Du skal have grøn status for DNSSEC, TLSA og DANE, før opsætningen anses for fuldført.

Ekstra: Samlet kvalitetstjek med Internet.nl

Kør en mail‑test hos Internet.nl for at få en samlet procentscore og status for bl.a. DNSSEC, DANE, STARTTLS, DKIM, SPF, DMARC, IPv6 og RPKI:
https://internet.nl/test-mail/
Det er en officiel test fra Dutch Internet Standards Platform og en god “end‑to‑end” sanity check på hele jeres opsætning.

Kendte ændringer i Microsofts infrastruktur (vigtigt for roadmaps)

Microsofts indførelse af DNSSEC‑sikrede zoner betyder, at fremtidige Accepted Domains provisions under subdomæner af .mx.microsoft, som over tid erstatter .mail.protection.outlook.com for hosting af A/MX‑records. Planlæg derfor opdateringer til partnere, smarthosts og connectors—især hvis de peger hårdt på vanity‑domæner/protection‑endpoints.

Hurtig tjekliste (copy‑paste‑venlig)

Connect-ExchangeOnline
Enable-DnssecForVerifiedDomain -DomainName "ditdomæne.dk"
(Opret ny MX i DNS: value = DnssecMxValue, TTL 1 min, priority 20)
Test inbound MX: https://testconnectivity.microsoft.com/tests/O365InboundSmtp/input
(Slet gammel MX)
(Sæt ny MX priority til 0)
Test DNSSEC: https://testconnectivity.microsoft.com/tests/O365DaneValidation/input (DNSSEC Validation)
Enable-SmtpDaneInbound -DomainName "ditdomæne.dk"
Test DANE inkl. TLSA: https://testconnectivity.microsoft.com/tests/O365DaneValidation/input (DANE Validation including DNSSEC)
Samlet kvalitetstjek: https://internet.nl/test-mail/

Konklusion

Ved at aktivere DNSSEC + Inbound SMTP DANE i Microsoft 365, sikrer du dit indgående mailflow mod de mest almindelige angreb på DNS‑ og TLS‑laget, samtidig med at du gør din mailinfrastruktur klar til Microsofts kommende standard med .mx.microsoft. Det er et af de mest effektive, fremtidssikrede tiltag, du kan lave på relativt kort tid—og det kan verificeres løbende med de officielle testværktøjer ovenfor.

📞 Mobil: +45 2278 2720
📧 E-mail: kc@todo-it.dk
🌐 Website: www.todo-it.dk

Windows Update via Powershell

31 januar 2026 Administrator Powershell

# 5. Set ExecutionPolicy to Unrestricted

Set-ExecutionPolicy Unrestricted

# 2. Install the PSWindowsUpdate module if not already installed 
Install-Module -Name PSWindowsUpdate -Force -AllowClobber 

# 3. Import the module 
Import-Module PSWindowsUpdate 

# 4. Check for and install the 25H2 update 
# -AcceptAll automatically accepts license agreements 
# -IgnoreReboot prevents an immediate reboot, allow it if you are ready 
Get-WindowsUpdate -AcceptAll -Install -IgnoreReboot

# 5. Set ExecutionPolicy to default
Set-ExecutionPolicy Default

Sådan Opsætter du SPF, DKIM og DMARC Korrekt

31 januar 2026 Administrator Azure, Microsoft 365, Sikkerhed, DNS, SPF, DKIM, DMARC

Den Ultimative Guide: Sådan Opsætter du SPF, DKIM og DMARC Korrekt

En teknisk step‑by‑step vejledning til moderne e‑mail‑sikkerhed

Introduktion

I 2026 er SPF, DKIM og DMARC blevet kritiske for både sikkerhed og leveringssikkerhed. Stigende AI‑genererede phishingangreb og skærpede krav fra store mailudbydere betyder, at e‑mail uden korrekt autentifikation kan ende i spam eller helt blive afvist.

De tre teknologier arbejder sammen:

SPF – angiver hvilke servere der må sende mail
DKIM – sikrer mailens integritet via signatur
DMARC – afgør hvad der skal ske, hvis SPF/DKIM fejler

SPF — Sender Policy Framework

Hvad SPF gør

SPF definerer hvilke mailservere der er autoriseret til at sende mails på vegne af dit domæne. Modtageren sammenligner afsenderens IP med domænets SPF‑record.

SPF Best Practices (2026)

Kun én SPF‑record pr. domæne
Maksimalt 10 DNS lookups i SPF
(ellers fejler SPF)
Brug ~all under opsætning (softfail)
— stopper ikke mailflow men markerer fejl til videre analyse
Undgå brede CIDR ranges eller unødvendige afsendere
Sørg for alignment mellem MAIL FROM og From‑domæne

Eksempel‑records

Microsoft 365: v=spf1 include:spf.protection.outlook.com ~all
Google Workspace: v=spf1 include:_spf.google.com ~all

DKIM — DomainKeys Identified Mail

Hvad DKIM gør

DKIM tilføjer en digital signatur til dine mails, så modtageren kan verificere, at indholdet ikke er ændret, og at mailen faktisk kommer fra dit domæne.

DKIM Best Practices (2026)

Brug 2048‑bit nøgler for sikkerhed og kompatibilitet
Aktivér DKIM på alle tjenester, der sender på vegne af domænet
Roter DKIM‑nøgler med faste intervaller
Sørg for domain alignment (d=domæne.dk)

DMARC — Domain-based Message Authentication, Reporting & Conformance

Hvad DMARC gør

DMARC kontrollerer om SPF eller DKIM består — og afgør herefter, om mailen skal leveres, quarantines eller afvises. DMARC genererer desuden rapporter til overvågning af misbrug.

DMARC Best Practices (2026)

Start med p=none (monitorering)
Skift herefter til quarantine
Afslut med reject, når alt er valideret
→ anbefalet i 2026 for maksimal beskyttelse
Aktivér rapportering med rua= og ruf=
Overvåg DMARC‑rapporter løbende

Eksempel‑records

Monitorering:

v=DMARC1; p=none; rua=mailto:dmarc-reports@domain.dk; aspf=r;

Quarantine:

v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-reports@domain.dk;

Reject (endelig):

v=DMARC1; p=reject; pct=100; rua=mailto:dmarc-reports@domain.dk;

Komplet opsætningsworkflow (DNS)

1. Kortlæg eksisterende opsætning

Tjek om domænet allerede har SPF, DKIM eller DMARC
Identificér ALLE systemer der sender mail:
M365, Google, CRM, marketing, faktura‑systemer osv.
(Glemt afsender = SPF/DKIM fejl)

2. Opret / opdater SPF

Tilføj alle afsendere via include:
Fjern gamle eller ubrugte afsendere
Tjek lookup‑antal (max 10)

3. Aktivér DKIM

Microsoft 365: Aktivér DKIM i admin panelet
Google Workspace: Generér nøgle & publicér i DNS
Tredjepartstjenester: DKIM selector + TXT‑nøgle
Bekræft 2048‑bit brug

4. Implementér DMARC

Start med p=none
Analyser de indkomne rapporter (RUA)
Identificér forkerte eller uautoriserede kilder
Skru gradvist op til quarantine → reject

5. Validering og overvågning

Gennemgå fejl i SPF alignment
Overvåg DKIM signaturfejl
Brug DMARC‑rapporter til løbende forbedring

Typiske fejl – og hvordan du undgår dem

❌ Fejl: To SPF‑records

→ SPF må KUN eksistere én gang (ellers ugyldig).

❌ Fejl: SPF overskrider 10 DNS‑lookups

→ Konsolider includes og fjern gamle services.

❌ Fejl: DKIM kun aktiveret på primær mailtjeneste

→ Alle systemer, der sender mail, skal signere.

❌ Fejl: Start med p=reject

→ Giver leveringsfejl og tabte mails. Start altid med p=none.

Konklusion

I 2026 er SPF, DKIM og DMARC fundamentale krav for moderne mail‑sikkerhed.
En korrekt opsætning beskytter dit domæne, reducerer spoofing og sikrer, at dine mails faktisk når indbakken.

TODO‑IT kan hjælpe med:

Komplet DNS‑opsætning
Fejlfinding og DMARC‑rapportanalyse
Sikring på tværs af flere mailplatforme
Drift og optimering af e‑mail leveringssikkerhed

Den Ultimative Guide: Sådan Opsætter du Microsoft Intune Korrekt

31 januar 2026 Administrator Azure, Microsoft 365, Sikkerhed

Den Ultimative Guide: Sådan Opsætter du Microsoft Intune Korrekt (2026)

En komplet, rå teknisk step‑by‑step vejledning til en professionel endpoint‑platform

Introduktion

Microsoft Intune (Microsoft Endpoint Manager) er den centrale platform til styring af Windows‑arbejdsstationer, compliance, sikkerhedskonfigurationer og softwareudrulning.
Denne guide gennemgår den fulde, korrekte opsætning fra start til slut — designet som en baseline for moderne Microsoft 365‑miljøer i 2026.

Hvorfor en korrekt Intune‑opsætning er kritisk

En forkert eller mangelfuld Intune‑struktur fører typisk til:

Forkert registrerede devices
Konflikt mellem policies (GPO vs. Intune)
Ufuldstændige sikkerhedskonfigurationer
Manglende compliance‑opfyldelse
Uforudsigelig softwaredeployment

En korrekt opsætning sikrer:

Stabil onboarding
Konsistent compliance
Zero Trust‑klare endpoints
Central styring af apps, updates og security baselines

Forberedelser: Det skal du have styr på FØR opsætning

📋 Kravafklaring

Licens: Microsoft 365 Business Premium / E3 + Add‑Ons / E5
Domæne: Verificeret i Entra ID
Enhedsstrategi: BYOD, CYOD, COBO, eller CORP
Join‑strategi: Entra Join, Hybrid‑Join, Workgroup → Entra Join

🔐 Sikkerhedsforberedelser

Break‑glass administratorer
MFA aktiv
Conditional Access basic policies (blok legacy auth, kræv MFA)
Identitetsbeskyttelse

Trin 1: Grundkonfiguration af Intune

1. Enroll‑metoder

Intune Admin Center → Devices → Enroll devices

Aktivér:

Windows Enrollment
Automatic Enrollment (MDM)
- MDM scope: All
- MAM scope: None (eller pilot hvis brugt)

2. Konfigurer Enrollment Restrictions

Devices → Enrollment → Enrollment device platform restrictions

Opret to policies:

Standard policy
- Tillad: Windows, iOS, Android
- Blokér: macOS (valgfrit)
Blocked policy
- Blokér alle uautoriserede enheder og OS‑versioner

3. Deployment Profiles (Windows Autopilot)

Devices → Windows → Windows enrollment → Deployment Profiles

Opret Windows Autopilot Profile
- Join type: Entra Joined
- Deployment mode: User‑driven for normale brugere
- Skip:
  - OneDrive restore → On
  - OEM registration → On
  - EULA → On
  - Language → Off
  - Privacy Settings → Skip
- ESP aktiv: Yes

Trin 2: Baselines & Configuration Profiles

1. Security Baseline (Microsoft Recommended)

Endpoint Security → Security Baselines

Aktivér:

Windows 11 Security Baseline
Microsoft Defender Baseline
Edge Baseline (valgfrit)

2. Device Configuration Profiles

Devices → Configuration → Create Profile

Opret følgende standardprofiler:

A. Device Restrictions

Disable Consumer Features
Disable Windows tips
Disable “Let apps run in background”
Disable News & Interests
Disable Widgets
Remove Microsoft Store auto‑install apps
Disable local admin for standard users

B. Identity Protection

Credential Guard → Enabled
LSASS Protection → Enabled

C. Endpoint Protection

Defender Antivirus (cloud‑protection, MAPS, real‑time scanning)
Attack Surface Reduction (ASR)
Controlled Folder Access (optional)

D. Update Rings for Windows 11

Devices → Windows → Update rings

Anbefalet:

Automatic install
Allow 7‑day grace
Auto reboot outside active hours

E. Feature Update Policy

Fastlå version (fx Windows 11 25H2) i 12 måneder.
Dette sikrer stabilitet.

Trin 3: Compliance Policies

Endpoint Security → Compliance policies

Opret → Windows compliance profile

Anbefalet baseline:

Require BitLocker enabled
Require Secure Boot
Require TPM 2.0
Require Antivirus → Microsoft Defender
Require Firewall → Enabled
Require device not jailbroken/rooted
Require Code Integrity turned on
Minimum OS version (fx 24H2 eller 25H2)

Konfigurer compliance markering:

Non‑compliant → Mark as non‑compliant after 2 days
Report non‑compliance → Entra ID → CA

Trin 4: Conditional Access Integration

Opret 3 CA policies:

1. Baseline MFA for all users

Require MFA
Exclude: Break glass accounts

2. Require compliant device

Users: All
Cloud apps: All
Grant → Require device marked compliant

3. Block legacy authentication

Client apps → Block "Other clients"
Grant → Block

Trin 5: App Management (Win32, MSI, Store)

Upload Win32 apps

Apps → Windows apps → Add → Win32

Pak appen:

PowerShell

IntuneWinAppUtil.exe -c "sourcefolder" -s "setup.exe" -o "outputfolder"

Upload .intunewin
Angiv:

Install cmd: setup.exe /silent
Uninstall cmd: uninstall.exe /silent
Detection rules: Registry/File/Custom script

MSI apps

Upload direkte → MSI detection automatisk

Store apps

Tilføj via "Microsoft Store (new)"

Trin 6: Autopilot Device Registration

Manuelt upload:

Kør på enhed:

PowerShell

Get-WindowsAutopilotInfo.ps1 -OutputFile AutoPilotHWID.csv

Upload i Intune: Devices → Windows → Windows enrollment → Devices → Import

OEM / Partner

Brug Deployment Service API eller OEM portal.

Trin 7: Endpoint Security

Endpoint Security → Firewall

Aktivér Domain/Private/Public
Definer inbound rules kun til nødvendige services

Endpoint Security → Attack Surface Reduction
ASR rules (Audit → Enforce):

Block Office macros
Block PSExec/WMI process creation
Block executable content from email/webmail
Block credential theft attempts

Endpoint Security → Disk Encryption

BitLocker with XTS‑AES256
Recovery key upload → Entra ID
Startup authentication → TPM only (normal users)

Trin 8: Monitorering og Drift

Device Actions

Remote:

Wipe
Fresh Start
Sync
Restart
Autopilot Reset

Monitoring

Reports → Devices → Hardware / Compliance / Configuration / Update status

Log‑indsamling

Use Collect Diagnostics
EndpointAnalytics aktiv

Almindelige fejl og løsninger

❌ Devices ikke compliant
→ ASR konflikter eller manglende BitLocker policy
→ Tjek eventlog: MDMDiagnosticReport.cab

❌ Autopilot "0x80180014"
→ MDM enrollment scope sat forkert

❌ Win32 app hænger i “Pending”
→ Detection rule forkert eller missing dependencies

❌ Policies konflikter
→ Konsolider Device Restrictions profiler
→ Brug Settings Catalog i stedet for ældre templates

Windows 11 Business Baseline 2026

31 januar 2026 Administrator Microsoft 365, Sikkerhed

Windows 11 Business Baseline 2026

Den Ultimative Guide: Sådan Hardener du Windows 11 25H2/24H2 Professionelt**

En step‑by‑step vejledning til sikre, stabile og moderne Windows 11‑arbejdsstationer i 2026

Introduktion

Windows 11 udvikler sig hurtigt — og i 2026 er sikkerhedsniveauet i OS’et højere end nogensinde før. Samtidig har Microsoft introduceret en ny quarterly baseline‑kadence, Hotpatch‑modellen, updated security baselines og omfattende hardening‑ændringer, som alle virksomheder bør implementere for at opnå en moderne, robust og fremtidssikret Windows 11‑platform.

Microsofts januar 2026 baseline (KB5074109) markerer et vigtigt sikkerhedsmæssigt checkpoint og indeholder bl.a. AI‑komponentopdateringer, netværksrettelser og ændringer, der påvirker Secure Boot og deployment. [windowsforum.com], [cybercory.com]

I denne guide gennemgår vi:

hvorfor baseline‑hardening er kritisk
hvad der er ændret i 2026
hvordan du opsætter en professionel Windows 11 Business Baseline
TODO‑IT’s anbefalede konfigurationer til danske virksomheder

Hvorfor Windows 11 Hardening er Kritisk i 2026

En forkert eller mangelfuld Windows‑opsætning kan føre til:

Sårbare endpoints pga. manglende baseline‑politikker
Brud på compliance (NIS2, ISO27001, CIS, Microsoft Security Baselines)
Kompatibilitetsproblemer, da sikkerhedsopdateringer integrerer nye kontroller
Flere angrebsflader via NTLM, SMB, print services, apps og widgets
Unødvendige genstarter hvis hotpatch‑kadencen ikke følges

Microsoft understreger, at baseline‑opdateringer er obligatoriske checkpoints, hvor både SSU (Servicing Stack Update) og LCU (Latest Cumulative Update) samles, og som danner grundlag for hotpatch‑månederne derefter. [windowsforum.com]

Derudover indeholder 2026‑hardening nye regler for auditing, printers, widgets, SMB‑sessions og Copilot‑restriktioner — alt sammen for at styrke arbejdsstationers modstandsdygtighed mod moderne angreb. [cyber.gov.au]

Forberedelser: Det skal være på plads før du bygger baseline

📋 Kravafdækning

Windows version: 24H2 eller 25H2
Udrulningsmetode: Intune, GPO eller hybrid
Kategori af enheder: Firmadevice, shared device, privileged workstation
Compliancekrav: CIS, STIG, Microsoft Baseline, NIS2
App‑kompatibilitet: Hvilke systemer kræver undtagelser?

🔐 Sikkerhedsforberedelser

Sørg for at alle enheder kører en gyldig baseline (26100.7623 / 26200.7623) [windowsforum.com]
Gennemgå eksisterende GPO’er for forældede policies
Afgør om virksomheden anvender NTLM internt
Tjek driver‑kompatibilitet (WDS hardening påvirker deployment workflows) [cybercory.com]

Windows 11 Baseline 2026: De vigtigste ændringer

Her opsummeres de mest kritiske ændringer i 2026‑baseline (25H2):

🔧 1. Print Security (Nye krav)

Kræv IPPS (HTTPS) for alle IPP‑printere
Håndhæv TLS/SSL‑politik for printerkommunikation
Disse krav er nu foreslået som standard i Microsofts 25H2 baseline.

🔧 2. NTLM Hardening

NTLM enhanced logging aktiveres som standard
Domain‑wide NTLM logging anbefales

Formålet er bedre synlighed, før NTLM udfases i kommende Windows‑generationer.

🔧 3. ASR (Attack Surface Reduction) Udvidelser

Ny anbefalet ASR‑regel:

Block process creations originating from PSExec and WMI commands
– (d1e49aac‑8f56‑4280‑b9ba‑993a6d77406c)
– sat til Audit som standard

🔧 4. Widgets & Lock Screen Restrictions

De nye hardening‑anbefalinger inkluderer:

Deaktiver widgets på lock screen
Deaktiver Widgets Board
[cyber.gov.au]

🔧 5. App Install Controls

MSIX streaming install domænebegrænsninger
Kontrolleret liste over pakke‑familie‑navne til non‑admin install
[cyber.gov.au]

🔧 6. SMB Hardening

Audit SMB client SPN support
Strammere default session‑håndtering
[cyber.gov.au]

🔧 7. Secure Boot Hardening

Microsoft introducerer nyt kontrollag til phased deployment of Secure Boot certificates, for at undgå store boot‑failures i enterprise‑miljøer (reaktion på tidligere Secure Boot problemer)
[cybercory.com]

🔧 8. Deployment Hardening

WDS: Hands‑free deployment slået fra som default
[cybercory.com]

Dette kan påvirke automatiske image‑flows, der tidligere kørte uden brugerinteraktion.

Den Ultimative Windows 11 Business Baseline (TODO‑IT anbefaling)

Nedenstående baseline er designet til danske SMB/Enterprise‑miljøer.

Trin 1: OS‑baseline og Patch Management

1. Installer seneste baseline (KB5074109)

24H2: Build 26100.7623
25H2: Build 26200.7623
[windowsforum.com]

2. Følg Hotpatch‑kadencen

Microsoft har ændret model til quarterly restart-required baselines (Jan/Apr/Jul/Okt)
– to efterfølgende måneder = Hotpatch‑periode uden reboot
[windowsforum.com]

Trin 2: Security Baseline Implementation (GPO/Intune)

🔹 1. Aktivér Microsoft Security Baselines (25H2)

Hent via Microsoft Security Compliance Toolkit.

🔹 2. Aktiver ASR-regler (minimum)

Block Office child processes
Block PSExec/WMI process creation (Audit → Enforce senere)
Block Win32 API calls from Office macro code

🔹 3. Defendernetværk

Disable NetBIOS name resolution
Disable LLMNR

🔹 4. Credential Hardening

Deaktiver WDigest (nu default)
LSASS Protected Mode
Kerberos PAC Signatures (default i 2026 baselines)

Trin 3: Hardening af brugeroplevelsen

🔹 1. Widgets deaktivering

Disable lock screen widgets
Disable Widgets Board
[cyber.gov.au]

🔹 2. Microsoft Store hardening

Fjern forudinstallerede Store‑apps (anbefalet baseline 2026)
[cyber.gov.au]

🔹 3. Copilot kontrol

GPO for Copilot er udfaset → nu via PowerShell/AppLocker
[cyber.gov.au]

Trin 4: Printer Security Policy

Kræv IPPS (HTTPS)
Tving TLS 1.2+
Deaktiver COM‑automation for IE11 (legacy scripts)
[techcommun...rosoft.com]

Trin 5: Auditing og Logging

Minimum:

CLFS log file authentication (ny anbefaling 2026)
[cyber.gov.au]
Include command line in process creation events
NTLM enhanced logging

Almindelige Fejl og Løsninger

❌ Problemer med WDS efter baseline
→ Årsag: Hands-free deployment disabled (kræver workflow‑justering)
[cybercory.com]

❌ Printere slår fejl
→ IPP printere kræver nu IPPS + TLS konfiguration

❌ Widgets dukker op post‑deployment
→ Manglende Intune policy eller AppLocker enforcement

TODO‑IT’s Enterprise Setup Services

Vi hjælper virksomheder med:

✔ Udarbejdelse af Windows 11 baseline (25H2/24H2)
✔ Intune baselines + Zero Trust endpoint strategi
✔ Hardening efter CIS / Microsoft Baselines / NIS2
✔ Deployment design (WDS, Autopilot, Hybrid join)
✔ Kontinuerlig drift og overvågning

Kontakt TODO‑IT

📞 +45 22 78 27 20
✉️ support@todo-it.dk
🌐 www.todo-it.dk

TODO‑IT sikrer, at jeres Windows 11‑miljø er sikkert, stabilt og fremtidssikret — baseret på de nyeste 2026‑standarder.