CIS · SCuBANIS2 · ISO 27001EIDSCA · DORA

Kend jeres Microsoft 365-risiko —
inden bestyrelsen spørger.

Fra nul til overblik på en dag. SimpleEntra leverer bestyrelsesrapporter, NIS2- og ISO-mapping, og en kontinuerlig posture-trend — uden at ændre noget i jeres Microsoft 365-miljø.

Book en demoPrøv live-demoen →
Kun læse-adgang·EU-data·NIS2-mapping·GDPR DPA·SOC 2 Type II (under audit)
demo-tenant · senest synkroniseret 2s siden
senest synkroniseret · 2s siden
Posture
67/100
Kritisk risiko
2
fund
Afventer
14
af 127
NIS2-mapping
84%
af art. 21 dækket
Trend
↑ 4
siden Q1
Bestyrelses-flag
3
kræver handling
Seneste fund408 kontroller · CIS · SCuBA · EIDSCA
  • Kontoovertagelse — 2 admins uden MFAhigh
  • Compliance-drift — NIS2-dækning faldet 3% siden Q1med
  • Bestyrelses-flag — 3 Global Admins (anbefalet max 2)med
  • Adgangshygiejne — 5 applikationer mister adgang om 30 dagemed
  • Conditional Access — 94% af brugere dækketPass

Problemet

Ledelsen og revisoren stiller de samme spørgsmål.
I har tekniske svar — ikke forretningsmæssige.

Microsoft 365 er rygraden i de fleste mellemstore virksomheder. Og det er en af de hyppigst angrebne overflader i moderne cybersikkerhed. Problemet er sjældent manglende teknisk viden — det er manglende synlighed på det sprog bestyrelse, CISO og revisor forstår.

Bestyrelsen spørger om jeres risiko. I har et Secure Score-tal, ikke et svar.

Microsoft Secure Score er en intern IT-metrik. Den er ikke oversat til forretningsrisiko, compliance-status eller hvad det konkret koster hvis det går galt. Bestyrelses- og ledelsesrapportering kræver et andet sprog.

Revisor beder om dokumentation til NIS2/ISO 27001. I starter en 30.000-kroners konsulentopgave.

En ekstern sikkerhedsgennemgang koster 30.000–60.000 kr. og tager uger at planlægge. I får en PDF. Tre måneder senere ændrer konfigurationen sig — og I starter forfra næste revision.

Konfigurationen ændrer sig hver dag. I opdager det efter et brud — eller når revisoren spørger.

Microsoft 365 har 200+ sikkerhedsindstillinger. Opdateringer, nye politikker og administratorændringer kan rykke jeres posture uden at nogen bemærker det — til det er for sent.

2,8×
dyrere at håndtere et brud end at forebygge det med løbende posture-tjek

Kilde: IBM Cost of a Data Breach Report 2024.

Sådan virker det

Fra admin-samtykke til bestyrelses-rapport
på under 10 minutter.

Trin 01

Jeres IT-chef godkender forbindelsen på 10 minutter — kun læseadgang.

Et standard Microsoft admin-consent-link. Ingen adgangskoder, ingen software der installeres. SimpleEntra får én skrivebeskyttet forbindelse til jeres Entra ID — intet mere.

Trin 02

Seks vigtigste risikomarkører på 60 sekunder. Den komplette bestyrelsesrapport er klar på 5 minutter.

Inden for et minut er de seks vigtigste KPI'er klar: MFA-dækning, blokering af ældre protokoller, antal Global Admins, udløbende applikationshemmeligheder. Den fulde analyse med alle 408+ kontroller og bestyrelsesrapporten er færdig på 3–5 minutter.

Trin 03

Kvartalsvis posture-trend med risiko-rangering.

Fund rangeres efter forretningsrisiko (Høj / Mellem / Lav) og tagges med compliance-framework. Hvert fund har en forklaring på forretningskonsekvenser og en konkret handlingsbeskrivelse. Trenden vises over tid — I kan se om I forbedrer jer.

Trin 04

Audit-klar dokumentation til NIS2, ISO 27001 og bestyrelse.

Eksportér en struktureret rapport der mapper jeres findings til compliance-frameworks. Brug den til revisorer, til bestyrelsesmødet, eller som grundlag for jeres ROPA og risikovurdering.

Bygget på åbne standarder

Sprog jeres revisor og bestyrelse forstår.

Hvert fund er mapnet til anerkendte compliance-frameworks. I kan citere specifikt — ikke bare "vi bruger best practice".

170+
CIS Controls v8
Center for Internet Security — grundlæggende sikkerhedskontroller
NIS2-mappingISO 27001-mapping
120+
CISA SCuBA
US Cybersecurity Agency — baseline for Microsoft 365
NIS2-mappingDORA-mapping
80+
EIDSCA
Entra ID Security Config Analyzer — identitetskontroller
ISO 27001-mapping
38+
Maester
Open-source Entra ID-testsuite — vedligeholdt af community
NIS2-mappingISO 27001-mapping
Leverancer inkluderet
  • NIS2-dækningsrapport (PDF)
  • ISO 27001 Annex A-mapping (XLSX)
  • Bestyrelses-eksekutiv-sammendrag (PDF)
  • Kvartalsvis posture-trend

Hvorfor I kan stole på resultaterne

Ingen black box. Ingen marketing.

Hvert fund vi viser stammer fra en navngivet kontrol i et navngivet framework. Vi opfinder ikke alvorlighedsniveauer. Vi puffer ikke listen op for at se imponerende ud. Hvis et tjek består, skriver vi at det består.

  • Alle 408+ kontroller krydstjekket med offentlige CVE-databaser
  • Hvert fund linker til officiel Microsoft-dokumentation
  • Framework-tags så I ved, hvilken compliance-baseline hvert tjek adresserer
  • Maester er open-source — I kan inspicere hvert eneste test vi kører
Implementeringsgrundlag

Frameworksene ovenfor er det tekniske fundament bag leverancerne. Revisor og bestyrelse ser outputs — NIS2-dækning, ISO Annex A-status, posture-score over tid. IT-teamet ser de underliggende kontrol-IDs og kan grave ned i hvert enkelt fund.

Drevet af Maester (open source)

Den fulde scanning kører Maester — en offentligt reviderbar PowerShell-testsuite vedligeholdt af Microsoft identity-community. I kan læse hvert eneste test vi kører.

Sikkerhed og privatliv

Vi byggede det ind fra starten.
Ikke skruet på bagefter.

Et sikkerhedsværktøj der er skødesløst med jeres data ville være pinligt. Her er præcis, hvordan vi håndterer jeres.

Kun læse-adgang. Altid.

Alle Graph-tilladelser vi anmoder om slutter på .Read. Vi har ingen skriveadgang til jeres tenant. Vi kan ikke oprette brugere, ændre politikker, sende mails eller røre nogen konfiguration. Tvivler I, kan I gennemgå den fulde tilladelsesliste inden I godkender.

EU-data. Intet andet.

Alle tenant-data ligger i Supabase eu-central-1 (AWS Frankfurt). Det forlader aldrig EU. Supabase er certificeret under SOC 2 Type II og HIPAA. Vi valgte EU-hosting fra dag ét — ikke fordi nogen spurgte om det.

12 måneders opbevaring, derefter slettet.

Vi opbevarer jeres scandata i 12 måneder fra sidste aktivitet. Derefter sletter et automatiseret job alt — logins, fund, enheder, det hele. Ingen soft-delete, ingen skygge-kopier.

DPA klar til underskrift inden for 24 timer.

Juridisk friktion er en reel blocker. Vores databehandleraftale (efter Datatilsynets standardskabelon) er klar og kan underskrives inden for 24 timer efter henvendelse — inden produktionsbrug er den obligatorisk.

Tilbagekald adgang på to klik.

Gå til Entra → Enterprise Applications → SimpleEntra → Slet. Færdigt. Adgangen er øjeblikkeligt væk. Vores næste Graph-kald returnerer en 401. Vi kan ikke genetablere adgang uden at I kører admin-samtykket igen.

Fuld auditspor i jeres Entra-portal.

Microsoft logger hvert eneste Graph-kald SimpleEntra foretager i jeres Sign-in log under Service Principal sign-ins, og i jeres Auditlog. Det er den primære verifikationskilde — en log vi ikke kan redigere.

Under audit

SOC 2 Type II — under audit, forventes Q3 2026.

Vi er i gang med SOC 2 Type II-certificeringsprocessen. Rapporten er ikke afsluttet endnu — vi er åbne om det. Leveringsfrist: Q3 2026. Supabase (vores dataudbyder) er allerede SOC 2 Type II-certificeret.

Underdatabehandlere

Den komplette liste over tredjeparter der kan behandle jeres data.

UdbyderFormål
SupabasePostgres-database + auth
Anthropic (valgfrit)Forklaringer per fund
Microsoft GraphKun-læse dataindsamling

Klar til at se jeres posture?

Kend jeres Entra ID-risiko
inden bestyrelsen spørger.

Book en 30-minutters demo. Vi forbinder til en test-tenant, kører en live scan og viser jer, hvad SimpleEntra finder — ingen slides, ingen salgstale.

Book en demoLæs hvordan vi mapper til NIS2/ISO →

Ingen binding. Intet kreditkort. Vi viser jer fund på en rigtig tenant.