Maj 2025

Zero Trust med Microsoft: en arkitekturguide

Zero Trust innebär att ingen anslutning eller enhet litar på nätverket enbart för att den befinner sig internt. Varje begäran ska verifieras utifrån identitet, enhetens hälsa, datakänslighet och sammanhanget i anropet. Microsofts ekosystem ger byggstenar för den kedjan, men arkitekturen måste sättas samman med tydliga prioriteringar och mätbara kontroller.

Identitet med Entra ID och Conditional Access

Entra ID är navet för autentisering och auktorisering. Stark multifaktorautentisering, riskbaserade signaler och principer för Conditional Access avgör om en session får fortsätta. Kombinera krav på godkända klientappar, begränsningar för äldre autentiseringsprotokoll och skydd för privilegierade roller. Identifiera och skydda konton med stort inflytande separat, med PIM eller motsvarande styrning.

Defender, Intune och enhetscompliance

Microsoft Intune säkerställer att enheter uppfyller policy innan de får åtkomst till data. Defender for Endpoint ger synlighet i hot, beteendeanalys och automatiserade utredningar på klienter och servrar. När compliancestatus matas in i Entra kan Conditional Access kräva hanterad enhet, krypterad disk eller minimiversion av operativsystem innan SaaS eller interna appar nås.

Sentinel, segmentering och helhetsbild

Microsoft Sentinel samlar loggar från moln, identitet och slutpunkter så att avvikelser kan korreleras över domäner. Nätverkssegmentering i Azure eller lokalt minskar lateral rörelse: mikrosegmentering och privata länkar begränsar exponeringen även om en legitimation komprometteras. Målet är inte perfektion dag ett, utan en roadmap där varje våg adderar verifiering, telemetri och återhämtningsbarhet.

Data, appar och kontinuerlig förbättring

Skydda känslig information med etiketter, kryptering och DLP där data faktiskt lever, inte bara vid inloggning. För SaaS och egna appar: använd principer som kräver godkänd klient, begränsad geografisk åtkomst eller skyddade sessioner för administratörer. Mät adoption av MFA, enhetscompliance och antal blockerade riskinloggningar varje månad så ledningen ser trenden.

Organisation och kultur

Teknik utan beteendeförändring ger kortvarig effekt. Utbilda chefer och nyckelroller om varför extra steg vid inloggning skyddar hela koncernen. Säkerställ att servicedesk kan hantera låsningar utan att kringgå policy. Dokumentera undantag tidsbegränsat och återkom till dem kvartalsvis.

Mätning och mognadsmodell

Sätt en enkel mognadstabell där nivå ett innebär MFA för alla molnappar, nivå två kopplar enhetscompliance till åtkomst och nivå tre lägger till mikrosegmentering för administrativa gränssnitt. Granska kvartalsvis vilka kontroller som faktiskt blockerat attacker kontra vilka som bara genererat larm.

Koppla KPI:er till incidentdata: minskat antal lyckade kontokapningar, kortare tid till patch på kritiska servrar och färre okända enheter i inventeringen. När siffrorna rör sig åt rätt håll blir det lättare att motivera fortsatt investering i automation och utbildning.

En Zero Trust-resa kräver samverkan mellan IT, säkerhet och verksamhet. Nordvide hjälper er att kartlägga nuläge, välja piloter och implementera Microsofts kontroller utan att låsa fast organisationen i onödig komplexitet.