Du har nettopp signert fakturaen. Den var betydelig høyere enn i fjor. Kanskje det var behovet for Teams-telefoni som vippet dere over, eller kanskje var det kravene til Power BI Pro. Uansett årsak: Dere har nå Microsoft 365 E5-lisenser, «Rolls Royce»-pakken.

Men så kommer den nagende følelsen. Bruker dere egentlig alle mulighetene i plattformen, eller kjører dere bare en veldig dyr versjon av Microsoft 365 E3?

For mange bedrifter er oppgraderingen til E5 som å kjøpe en formel 1-bil for å kjøre til butikken. Man bruker Office-appene, Exchange og Teams, men lar de kraftigste sikkerhetsmotorene stå igjen i garasjen. Dette er ikke bare sløsing med lisenspenger, det er en tapt mulighet til å heve sikkerhetsnivået fra «godt nok» til «ledende».

I denne artikkelen vil vi gå gjennom flere av funksjonene i E5 som altfor ofte blir oversett, men som kan være forskjellen på et avverget angrep og en katastrofe.

Drep den permanente administratoren (Privileged Identity Management)

I en klassisk E3-verden har administratorer rettighetene sine 24/7. Hvis en admin-konto blir kompromittert klokken 03:00 natt til søndag, har angriperen fri tilgang umiddelbart. Med PIM snur vi på flisa. Ingen er admin hele tiden.

Hvorfor blir det oversett?
Mange tror at det er tungvint å måtte «be om tilgang».

Hvorfor du må bruke det?
Det reduserer angrepsflaten massivt. En bruker ber om admin-tilgang kun når de trenger det, for en tidsbegrenset periode (f.eks. 2 timer) og kanskje med krav om en ekstra MFA-godkjenning. «Just-in-time» tilgang er gullstandarden for identitetssikkerhet.

Gå fra statiske regler til sanntidsrisiko (Identity Protection)

Du har sannsynligvis allerede betinget tilgang (Conditional Access) på plass. Her kan du styre bruk av MFA og andre sikkerhetstiltak som blokkering av utdaterte protokoller. Det er en bra start, men det er også statisk.

Med E5 får du tilgang til Microsoft Entra Identity Protection. Dette systemet bruker maskinlæring for å analysere milliarder av signaler daglig. Det kan oppdage om et passord ligger i en lekkasje på det mørke nettet, eller om en pålogging skjer fra en anonym IP-adresse som ofte brukes til angrep.

Det oversette potensialet:
I stedet for rigide regler, kan du lage policyer som sier: "Hvis påloggingsrisikoen er medium eller høy -> Krev passordbytte umiddelbart." Dette hever kvaliteten på forsvaret ditt mot sofistikerte identitetsangrep.

Kontroll på tilgang

Å håndtere tilgang er avgjørende for sikkerhet og compliance. To verktøy i Microsoft Entra gjør dette enklere er Lifecycle Workflows og Access Reviews.

Lifecycle Workflows automatiserer oppgaver knyttet til identitet gjennom hele ansattreisen. Når noen starter, bytter rolle eller slutter, sørger lifecycle workflow for at tilganger oppdateres automatisk. Dette reduserer manuelt arbeid, minimerer feil og sikrer at rettigheter alltid samsvarer med dagens ansvar.

Access Reviews gir et ekstra kontrollnivå. Over tid kan ansatte samle opp tilganger de ikke lenger trenger. Access Reviews lar ledere ved jevne mellomrom bekrefte om brukere fortsatt skal ha sine rettigheter. Dette hindrer “permission creep” og sikrer etterlevelse av interne retningslinjer og regelverk.

Sammen gir disse verktøyene en proaktiv tilnærming:

• Lifecycle Workflows håndterer rutineendringer automatisk.
• Access Reviews gir periodiske kontroller for nøyaktighet.

Resultatet? En sikker og effektiv prosess som reduserer risiko, støtter compliance og sikrer at ansatte har riktig tilgang.

Ved å kombinere automatisering med menneskelig kontroll kan virksomheter redusere sikkerhetsgap, forenkle revisjoner og bygge tillit til sitt digitale miljø.

Den største angrepsflaten er ofte via samhandling (Defender for Office)

Vi kommer oss ikke unna at e-post og teams er kritiske samhandlingsflater for alle organisasjoner. Disse er også utsatt for angrep via phishing. Her kan for eksempel conditional access bidra til å senke risikoen og stoppe angrep, men med E5 får du også Defender for Office plan 1 og 2 med på kjøpet som beskytter alt innenfor Office 365. Dette inkluderer blant annetOutlook, Teams og Sharepoint.

Defender for Office 365 gir oss mulighet til å konfigurere Safe Links, Safe Attachments og anti-phishing policies sammen med Microsoft sine egne dynamiske trusselbeskyttelser og zero-hour auto purge (ZAP) som fjerner rapporterte eller mistenkelige eposter automatisk. Vi får også inkludert muligheten til å sette opp Attack Simulation Training for å kjøre egne phishing-tester som en del av pakken.

Beskytt endepunktene (Defender for Endpoint)

Fra epost går veien fort videre til endepunktene. Det er her malware og infostealers kjører for å opprette persistens og stjele selskapsinformasjon. E5 inkluderer Defender for Endpoint plan 2 for én enhet per bruker. Dette gir oss god telemetri i Defender XDR (Microsoft sin sikkerhetsplattform), men også aktiv beskyttelse av endepunkter.

Sørg for at du ikke har slått av Cloud Protection funksjonaliteten ved en feil. For å aktivere Cloud Protection må man sørge for at man har deler data om malware-filer med Microsoft gjennom ved å enten sette «submit all samples» eller «submit all safe samples». Det er også sterkt anbefalt å konfigurere Defender for Endpoint utover det som er standard innstillinger ut av boksen.

Noen innstillinger som er verdt å nevne her er Cloud Block Mode og Cloud Block Timeout som burde settes til henholdsvis «high» og 30 sekunder – som minimum. Dette lar deg bestemme hvor streng man skal være og hvor lenge man skal se på filer som lastes ned før de kjøres.

Få kontroll på skyggene (Defender for Cloud Apps)

Vet du egentlig hvor bedriftens data befinner seg? Bruker de ansatte Dropbox, WeTransfer eller PDF-konverterere på nett som du aldri har godkjent?

Mange tror Defender for Cloud Apps (tidligere MCAS) bare er en logg. I realiteten er det din "Cloud Access Security Broker" (CASB).

Hvorfor du trenger det?

Discovery: Se hvilke apper som faktisk brukes i nettet ditt (Shadow IT). Defender for Cloud Apps kan bruke Defender for Endpoint som sensor for å oppdage nye applikasjoner. I Cloud Discovery kan du også lage egne policies som varsler deg når nye applikasjoner oppdages, og du kan konfigurerer Defender for Endpoint til å blokkere uønskede applikasjoner. Dette krever da at man innrullerer klienten i Intune eller annen form for styring slik at den kobles opp mot firmaets Defender.    

Session Control: Du kan tillate at ansatte bruker privat PC til å lese e-post i webmail, men blokkere nedlasting av vedlegg. Dette er en funksjon som alene kan forsvare prisen på E5 hvis dere har en BYOD-strategi (Bring Your Own Device).

Automatisering av data-klassifisering

I E3 har du kanskje eksperimentert med manuelle etiketter (Information Protection labels). Problemet? Brukere glemmer å merke dokumenter, eller de merker feil.

E5 låser opp automatisk klassifisering.

Systemet kan skanne OneDrive, SharePoint og e-post for sensitiv informasjon (fødselsnumre, kredittkort, interne kodenavn) og automatisk kryptere filen uten at brukeren løfter en finger. Det fjerner den menneskelige feilkilden fra datasikring.

Utnyttelse av AI-kapasitet og dataflyt i XDR

For organisasjoner som sitter på full E5 (ikke bare E5 Security add-on), ligger det en vesentlig infrastruktur klar for både AI-automasjon og mer kostnadseffektiv sikkerhetsovervåkning. Dette er ressurser som ofte forblir ubrukte fordi man ikke er klar over hvordan lisensmodellen har endret seg.

Secure Compute Units er inkludert

En vanlig barriere for å ta i bruk Copilot Studio til prosessautomasjon, er usikkerheten rundt konsumbasert prising på regnekraft (compute).

Det mange overser, er at Full E5-lisensen nå inkluderer en kvote med Secure Compute Units (SCU). Dette betyr i praksis at organisasjonen kan bygge og kjøre autonome agenter i Copilot Studio uten at det påløper løpende ekstra kostnader for kjøretid. For de som allerede har lisensen, betyr dette at man kan gå fra enkle chat-forespørsler til faktiske, automatiserte arbeidsflyter uten å vente på nye budsjettgodkjenninger.

Microsoft 365 E5 inkluderer 400 SCU pr 1000 E5 lisenser. Har du færre enn 1000 E5 lisenser, f.eks. 100, vil du da få 40 SCU inkludert.

Kostnadseffektivitet i Sentinel og XDR

Sikkerhetslogging er en av de største kostnadsdriverne i en moderne SOC. Her gir E5-lisensen to tekniske fordeler som direkte påvirker driftsbudsjettet for overvåkning:

Data Grants til Sentinel: E5 gir en fradragskvote for data som inntas i Microsoft Sentinel. Dette reduserer kostnaden for å løfte data fra Microsoft 365-miljøet inn i SIEM-løsningen.

Data i Defender XDR: Enda viktigere er dataene man slipper å flytte. Defender XDR inkluderer lagring av store mengder rådata og telemetri uten ekstra kostnad. I løpet av 2026 vil Microsoft Sentinel ha flyttet helt inn i Defender XDR-portalen som gjør at du kan bruke data fra XDR og Sentinel på tvers – uten å betale i dyre dommer for å flytte data over i Sentinel.

Forutsetningen for Automatic Attack Disruption

Verdien av disse "gratis" loggene i Defender XDR er ikke bare lagring, men at de fôrer Microsofts deteksjonsmotorer.

Når data fra endepunkt, identitet, e-post og sky-applikasjoner er tilgjengelig i samme datalake, aktiveres funksjonaliteten Automatic Attack Disruption. Dette gjør at XDR-motoren kan korrelere signaler på tvers av domener med høy nøyaktighet. Ved pågående angrep, som for eksempel Human Operated Ransomware eller BEC (Business Email Compromise), kan systemet automatisk isolere enheter og deaktivere brukerkontoer i sanntid.

En nyhet fra Microsoft Ignite i 2025 er også at muligheten til Predictive Shielding er inkludert, altså muligheten Defender XDR har til å stoppe angrep proaktivt ved å stenge ned angrepsstier før de blir utnyttet.

Konklusjon: Ikke gap over alt på én gang

Å sitte med E5 kan føles overveldende. Det er lett å få "analyse-paralyse" av alle mulighetene. Men husk: Du trenger ikke skru på alt i morgen.

Start med identitet. Få kontroll på admin-tilgangene med PIM. Deretter ser du på risiko-baserte regler.