02/04/2026
I en verden, hvor mobile enheder er blevet uundværlige værktøjer for medarbejdere, står virksomheder over for den komplekse udfordring at styre og beskytte disse enheder effektivt. Microsoft Intune fremstår som en central løsning inden for Unified Endpoint Management (UEM), der giver IT-administratorer mulighed for at administrere og sikre både virksomhedsejede og personlige enheder (BYOD) på tværs af forskellige platforme. En af de mest fundamentale aspekter ved Intune, som er afgørende for succesfuld enhedsstyring, er forståelsen og opsætningen af MDM-autoritet (Mobile Device Management Authority). Uden en korrekt konfigureret MDM-autoritet kan brugere ikke tilmelde deres enheder til administration, og din organisation vil ikke kunne udnytte Intunes fulde potentiale til at beskytte data og sikre overholdelse af politikker.
- Hvad er MDM-autoritet, og hvorfor er den vigtig?
- Forskellige konfigurationer af MDM-autoritet
- Sådan indstiller du MDM-autoritet til Intune
- Datadeling og samtykke i Intune
- Vigtige overvejelser ved skift af MDM-autoritet
- Sameksistens med Basic Mobility and Security
- Oprydning af mobilenheder efter udløb af MDM-certifikat
- Fjernelse af MDM-autoritet
- Hvad kan du forvente efter ændring af MDM-autoritet?
- Bekræft din tenants MDM-autoritet
- Ofte Stillede Spørgsmål
Hvad er MDM-autoritet, og hvorfor er den vigtig?
MDM-autoriteten er den indstilling, der afgør, hvordan dine mobile enheder styres. Den fungerer som grundlaget for al enhedsadministration i Intune. Som IT-administrator er det et af de første og mest kritiske skridt at indstille denne autoritet, før brugere overhovedet kan tilmelde deres enheder til administration. Det er også et krav, at du som administrator er tildelt en Intune-licens for at kunne foretage denne opsætning. MDM-autoriteten definerer, hvilken tjeneste der er ansvarlig for håndhævelse af politikker, app-udrulning og enhedskonfigurationer. En forkert opsætning kan føre til manglende administration, sikkerhedshuller og en frustrerende brugeroplevelse.
Forskellige konfigurationer af MDM-autoritet
Der findes flere mulige konfigurationer for MDM-autoriteten, hver med sine egne fordele og anvendelsesscenarier. Valget afhænger ofte af din organisations nuværende infrastruktur, licenser og specifikke behov for enhedsstyring. Det er vigtigt at forstå forskellene for at vælge den mest passende løsning.
| Konfiguration | Beskrivelse | Administrationssted | Funktionalitet |
|---|---|---|---|
| Intune Standalone | Ren cloud-baseret administration, konfigureres via Azure-portalen (Microsoft Intune admin center). | Microsoft Intune admin center | Omfatter alle Intunes funktioner og muligheder. Anbefales til de fleste moderne implementeringer. |
| Intune Co-management | Integration af Intune med Configuration Manager (SCCM) for Windows 10-enheder. Giver mulighed for at udnytte begge platformes styrker. | Configuration Manager-konsollen | Fleksibel administration af Windows 10/11-enheder, hvor visse workloads kan flyttes til cloud. Kræver automatisk tilmelding til Intune. |
| Basic Mobility and Security for Microsoft 365 | En grundlæggende enhedsadministrationsløsning, der er inkluderet i mange Microsoft 365-licenser. MDM-autoriteten sættes automatisk til "Office 365". | Office 365 Security & Compliance portal | Begrænset sæt af MDM-funktioner, primært til at opfylde grundlæggende sikkerhedskrav for mobile enheder. |
| Basic Mobility and Security for Microsoft 365 Sameksistens | Tilføjer Intune til en eksisterende BMaS-opsætning. Giver mulighed for at styre enheder pr. bruger baseret på tildelt licens. | Microsoft Intune admin center (for Intune-styrede brugere) / Office 365 Security & Compliance portal (for BMaS-styrede brugere) | Fleksibilitet til gradvis overgang fra BMaS til Intune. Brugere med Intune-licens styres af Intune, andre af BMaS. |
Sådan indstiller du MDM-autoritet til Intune
For at begynde den fulde administration af dine enheder med Intune Standalone skal du indstille MDM-autoriteten. Hvis du endnu ikke har gjort det, vil du typisk se et orange banner i Microsoft Intune admin center. Følg disse trin:
- Log ind på Microsoft Intune admin center.
- Hvis det orange banner er synligt, skal du vælge det for at åbne indstillingen for Mobile Device Management Authority. Hvis banneret ikke er synligt (fordi du allerede har en MDM-autoritet indstillet, eller du navigerer direkte), kan du gå til Tenant administration > Tenant status > MDM authority.
- Under "Mobile Device Management Authority" vælger du din MDM-autoritet fra de tilgængelige muligheder: "Intune MDM Authority" eller "None". For fuld Intune-funktionalitet skal du vælge Intune MDM Authority.
- En bekræftelsesmeddelelse vil indikere, at du har indstillet din MDM-autoritet til Intune.
Datadeling og samtykke i Intune
Når du aktiverer administration af Android- eller Apple-enheder, sender Intune enheds- og brugeroplysninger til tredjepartstjenester (f.eks. Google for Android Enterprise og Apple for iOS/iPadOS) for at muliggøre integration og administration. I visse scenarier kræves der et samtykke for at dele data:
- Når du aktiverer Android Enterprise til personligt ejede eller virksomhedsejede arbejdsprofiler.
- Når du aktiverer og uploader Apple MDM push-certifikater.
- Når du aktiverer en af Apple-tjenesterne, såsom Device Enrollment Program (DEP), School Manager eller Volume Purchasing Program (VPP).
I hvert tilfælde er samtykket strengt relateret til driften af en mobilenhedsadministrationstjeneste. Det bekræfter for eksempel, at en IT-administrator har godkendt tilmelding af Google- eller Apple-enheder. Denne datadeling er essentiel for, at Intune kan kommunikere med de respektive platforme og udføre administrationsopgaver effektivt.
Vigtige overvejelser ved skift af MDM-autoritet
Et skift af MDM-autoritet, især fra Basic Mobility and Security til Intune Standalone, er en betydningsfuld ændring, der kræver omhyggelig planlægning. Der er flere nøgleovervejelser, du bør være opmærksom på:
- Overgangstid: Efter skiftet vil der være en overgangstid på op til otte timer, før enhederne tjekker ind og synkroniserer med den nye tjeneste. I denne periode er det vigtigt at sikre, at enhederne fortsat er beskyttet.
- Konfiguration af indstillinger: Du skal konfigurere indstillinger i den nye MDM-autoritet (Intune Standalone) for at sikre, at tilmeldte enheder fortsat administreres og beskyttes efter ændringen. Nye politikker skal oprettes og tildeles de relevante brugergrupper.
- Enhedssynkronisering: Enheder skal oprette forbindelse til tjenesten efter ændringen, så indstillingerne fra den nye MDM-autoritet kan erstatte de eksisterende indstillinger på enheden.
- Gamle indstillinger: Nogle grundlæggende indstillinger (f.eks. profiler) fra den tidligere MDM-autoritet vil forblive på enheden i op til syv dage, eller indtil enheden opretter forbindelse til den nye tjeneste for første gang. Konfigurer apps og indstillinger (f.eks. politikker, profiler og apps) i den nye MDM-autoritet så hurtigt som muligt.
- Ikke-tilknyttede enheder: Enheder, der ikke har tilknyttede brugere (typisk iOS/iPadOS Device Enrollment Program eller bulk-tilmeldingsscenarier), migreres ikke automatisk til den nye MDM-autoritet. For disse enheder skal du kontakte support for assistance til at flytte dem.
Sameksistens med Basic Mobility and Security
Hvis din organisation allerede bruger Basic Mobility and Security for Microsoft 365, kan du aktivere sameksistens for gradvist at indføre Intune. Dette giver dig mulighed for at bruge Intune til en ny gruppe brugere, mens du fortsat bruger Basic Mobility and Security for dine eksisterende brugere. Kontrollen over, hvilke enheder der administreres af Intune, sker via brugeren. Intune administrerer alle enheder, der er tilmeldt af en bruger, hvis brugeren har en Intune-licens eller bruger Intune co-management med Configuration Manager. Ellers administreres brugeren af Basic Mobility and Security.
De tre hovedtrin for at muliggøre sameksistens:
- Forberedelse:
- Sørg for, at du har tilstrækkeligt med Intune-licenser til de brugere, du agter at administrere via Intune.
- Gennemgå, hvilke brugere der er tildelt Intune-licenser. Det anbefales ikke at tildele Intune-licenser, før du har aktiveret sameksistens for at undgå uventede enhedsskift.
- Opret og udrul Intune-politikker, der erstatter enhedssikkerhedspolitikker, som oprindeligt blev udrullet via Office 365 Security & Compliance-portalen. Dette er afgørende for brugere, du forventer at flytte fra Basic Mobility and Security til Intune. Hvis der ikke er tildelt Intune-politikker til disse brugere, kan aktivering af sameksistens medføre, at de mister Basic Mobility and Security-indstillinger uden erstatning.
- Bemærk, at du ikke kan annullere klargøring af Basic Mobility and Security, når det er konfigureret, men du kan slå politikkerne fra.
- Tilføj Intune MDM-autoritet:
- Log ind på Microsoft Intune admin center med Microsoft Entra Global- eller Intune-serviceadministratorrettigheder.
- Naviger til Devices. Banneret "Add MDM Authority" vises.
- For at skifte MDM-autoriteten fra Office 365 til Intune og aktivere sameksistens, vælg Intune MDM Authority > Add.
- Migrering af brugere og enheder (valgfrit):
- Efter aktivering af Intune MDM-autoritet aktiveres sameksistens, og du kan begynde at administrere brugere via Intune.
- Du kan valgfrit flytte enheder, der tidligere blev administreret af Basic Mobility and Security, til at blive administreret af Intune ved at tildele disse brugere en Intune-licens. Enhederne vil skifte til Intune ved deres næste MDM-check-in. Indstillinger, der blev anvendt til disse enheder via Basic Mobility and Security, vil ikke længere blive anvendt og fjernes fra enhederne.
Oprydning af mobilenheder efter udløb af MDM-certifikat
MDM-certifikatet fornyes automatisk, når mobile enheder kommunikerer med Intune-tjenesten. Hvis mobile enheder slettes, eller de undlader at kommunikere med Intune-tjenesten i en periode, fornyes MDM-certifikatet ikke. Enheden fjernes fra Azure-portalen 180 dage efter MDM-certifikatets udløb. Dette er en indbygget mekanisme for at sikre, at gamle, inaktive enheder ikke forbliver i systemet uendeligt.
Fjernelse af MDM-autoritet
Det er vigtigt at bemærke, at MDM-autoriteten ikke kan ændres tilbage til "Unknown" efter den er sat. MDM-autoriteten bruges af tjenesten til at bestemme, hvilken portal tilmeldte enheder rapporterer til (Microsoft Intune eller Basic Mobility and Security for Microsoft 365). Dette understreger vigtigheden af at træffe den rigtige beslutning fra starten eller omhyggeligt planlægge enhver overgang.
Hvad kan du forvente efter ændring af MDM-autoritet?
Når Intune-tjenesten registrerer en ændring i en tenants MDM-autoritet, sender den en meddelelse til alle tilmeldte enheder. Denne meddelelse beder enhederne om at tjekke ind og synkronisere med tjenesten, uden for deres normale tidsplan. Som et resultat opretter alle tændte og online enheder forbindelse til tjenesten og modtager den nye MDM-autoritet. Den nye autoritet administrerer og beskytter enhederne uden afbrydelse. Enheder, der er tændt og online under eller kort efter ændringen i MDM-autoritet, oplever en forsinkelse. Forsinkelsen kan vare op til otte timer, afhængigt af tidspunktet for den næste planlagte regelmæssige check-in. I løbet af forsinkelsen er enhederne ikke registreret hos tjenesten under den nye MDM-autoritet. Efter forsinkelsen er enhederne fuldt registreret og operationelle under den nye MDM-autoritet.
Vigtigt: Mellem det tidspunkt, hvor du ændrer MDM-autoriteten, og når det fornyede APN-certifikat uploades til den nye autoritet, vil nye enhedstilmeldinger og enheds-check-in for iOS/iPadOS-enheder mislykkes. Det er derfor afgørende, at du gennemgår og uploader APN-certifikatet til den nye autoritet så hurtigt som muligt efter ændringen i MDM-autoritet.
Brugere kan hurtigt skifte til den nye MDM-autoritet ved manuelt at starte et check-in fra enheden til tjenesten. Brugere kan nemt foretage denne ændring ved hjælp af Virksomhedsportalen (Company Portal) appen og starte et enhedsoverensstemmelsestjek. For at validere, at tingene fungerer korrekt, efter at enhederne har tjekket ind og synkroniseret med tjenesten efter ændringen i MDM-autoritet, skal du kigge efter enhederne i den nye MDM-autoritet.
Der er en overgangsperiode, når en enhed er offline under ændringen i MDM-autoritet, og når denne enhed tjekker ind til tjenesten. I denne overgangsperiode er det vigtigt at beskytte og opretholde enhedens funktionalitet. For at beskytte og opretholde enhedens funktionalitet forbliver følgende profiler på enheden. Disse profiler forbliver på enheden i op til syv dage, eller indtil enheden opretter forbindelse til den nye MDM-autoritet. Når enheden opretter forbindelse og modtager nye indstillinger, overskrives de eksisterende profiler:
- E-mailprofil
- VPN-profil
- Certifikatprofil
- Wi-Fi-profil
- Konfigurationsprofiler
Efter du har skiftet til den nye MDM-autoritet, kan overensstemmelsesdata i Microsoft Intune admin center tage op til en uge at rapportere nøjagtigt. Dog er overensstemmelsestilstandene i Microsoft Entra ID og på enheden nøjagtige, så enheden er stadig beskyttet. Som bedste praksis bør du oprette alle administrationsindstillinger og konfigurationer samt udrulninger kort efter, at ændringen af MDM-autoriteten er afsluttet. Dette hjælper med at sikre, at enheder er beskyttet og aktivt administreret i overgangsperioden. Sørg for, at de nye indstillinger, der er beregnet til at overskrive eksisterende indstillinger, har samme navn som de tidligere for at sikre, at de gamle indstillinger overskrives. Ellers kan enhederne ende med redundante profiler og politikker.
Efter du har ændret MDM-autoriteten, skal du udføre følgende trin for at validere, at nye enheder tilmeldes succesfuldt til den nye autoritet:
- Tilmeld en ny enhed.
- Sørg for, at den ny-tilmeldte enhed vises i den nye MDM-autoritet.
- Udfør en handling, f.eks. Fjernlåsning, fra Microsoft Intune admin center til enheden. Hvis det lykkes, administrerer den nye MDM-autoritet enheden.
Hvis du har problemer med specifikke enheder, kan du afmelde og gen-tilmelde enhederne for at få dem forbundet til den nye autoritet og administreret så hurtigt som muligt.
Bekræft din tenants MDM-autoritet
For at bekræfte, at din MDM-autoritet er indstillet til Intune, skal du bruge følgende trin:
- I Microsoft Intune admin center skal du vælge Tenant administration > Tenant status.
- Under fanen "Tenant details" finder du MDM authority. Her kan du se den aktuelle status.
Ofte Stillede Spørgsmål
- Hvad er formålet med MDM-autoritet?
- MDM-autoriteten afgør, hvilken tjeneste der er ansvarlig for at styre dine mobile enheder, og den skal indstilles, før brugere kan tilmelde enheder til administration i Intune.
- Hvor lang tid tager det for en enhed at skifte til den nye MDM-autoritet?
- Efter et skift kan det tage op til otte timer for enheder at tjekke ind og synkronisere med den nye MDM-autoritet. Brugere kan fremskynde processen ved manuelt at tvinge et check-in via Virksomhedsportalen.
- Hvad sker der med eksisterende indstillinger efter et skift?
- Visse grundlæggende profiler (f.eks. e-mail, VPN, Wi-Fi) forbliver på enheden i op til syv dage eller indtil enheden opretter forbindelse til den nye MDM-autoritet og modtager nye indstillinger. Det er vigtigt at oprette og udrulle nye politikker i den nye autoritet hurtigt.
- Kan jeg skifte tilbage til "Ukendt" MDM-autoritet?
- Nej, når MDM-autoriteten er indstillet, kan den ikke ændres tilbage til "Ukendt". Den er permanent indstillet til enten Intune eller Basic Mobility and Security for Microsoft 365.
- Hvad er sameksistens med Basic Mobility and Security?
- Sameksistens giver dig mulighed for at køre Intune parallelt med Basic Mobility and Security for Microsoft 365. Enheder styres af Intune, hvis brugeren har en Intune-licens, ellers fortsætter de med at blive styret af Basic Mobility and Security.
- Skal jeg genoprette alle mine politikker efter et skift af MDM-autoritet?
- Ja, det anbefales kraftigt at oprette og udrulle nye politikker i den nye MDM-autoritet så hurtigt som muligt. Selvom nogle gamle profiler kan forblive midlertidigt, sikrer nye politikker kontinuerlig beskyttelse og administration. Brug samme navne, hvor det er relevant, for at overskrive gamle indstillinger effektivt.
- Hvordan sikrer jeg, at iOS/iPadOS-enheder fortsat fungerer efter et skift?
- Det er kritisk at uploade det fornyede APN-certifikat til den nye MDM-autoritet umiddelbart efter skiftet. Uden dette vil nye tilmeldinger og check-ins for iOS/iPadOS-enheder mislykkes.
- Hvad er Virksomhedsportalen?
- Virksomhedsportalen (Company Portal) er en app tilgængelig for brugere på deres mobile enheder. Den giver dem mulighed for at tilmelde deres enheder til Intune, få adgang til virksomhedsapps, tjekke enhedsoverensstemmelse og udføre grundlæggende selvbetjeningshandlinger.
At mestre MDM-autoriteten er et afgørende skridt mod en robust og sikker mobil enhedsstyring med Microsoft Intune. Ved at forstå de forskellige konfigurationer, planlægge overgange omhyggeligt og overholde bedste praksis, kan du sikre en problemfri oplevelse for dine brugere og en stærk sikkerhedsposition for din organisation.
Hvis du vil læse andre artikler, der ligner Effektiv Enhedsstyring med Microsoft Intune, kan du besøge kategorien Mobil.