Jeg valgte forkert MDM første gang - gør ikke den samme fejl
Guides, tips og fejlfindingSikkerhed og compliance i erhvervstelefoni

Jeg valgte forkert MDM første gang – gør ikke den samme fejl

Tina Borch

Jeg siger det lige, som det er: Jeg har én gang stået med et splinternyt MDM-system til en mindre virksomhed, som ingen gad bruge. Vi havde betalt for opsætning, træning, licenser, det hele. Og så viste det sig, at systemet ikke kunne den ene ting, supporteren brugte allermest i hverdagen.

Det var der, jeg lærte, at hvis du skal vælge MDM, skal du tage udgangspunkt i hverdagen, ikke i leverandørens slides.

Første spørgsmål: Hvad skal MDM faktisk løse hos jer?

Inden du overhovedet kigger på Intune, Jamf, MobileIron, Kandji, SOTI eller hvad de nu hedder, skal du have styr på problemet. Ikke teknisk, men helt nede på “hvad der går galt om tirsdagen kl. 10.13”.

Prøv at stille de her spørgsmål til dig selv og dem, der faktisk sidder med telefonerne:

  • Er I mest bekymrede for datasikkerhed (fx mail på private mobiler, tabte telefoner, medarbejdere der stopper)?
  • Driller det mest i drift (nye medarbejdere, ombytning af mobiler, opdateringer, apps der skal ud til alle)?
  • Har I krav fra compliance (GDPR, ISO, kunder der kræver dokumentation)?
  • Eller er det support, der sejler (for meget tid på “jeg kan ikke logge på mail på min nye Android”)?

De fleste små og mellemstore virksomheder ender med en blanding, men typisk er der én driver, der dominerer. Den skal styre jeres krav.

Et eksempel:

  • En lille konsulentvirksomhed med 15 medarbejdere: Den største risiko er, at kundedata ligger i mails og Teams på private mobiler. Fokus: sikkerhed og compliance.
  • En håndværksvirksomhed med 40 montører: Chefens telefon ringer konstant, fordi apps og mail ikke virker. Fokus: drift og support.

Hvis du kan sætte to sætninger på problemet, er du allerede foran 80 % af dem, der køber MDM.

Vælg device-model først: BYOD, COPE eller COBO

MDM bliver hurtigt abstrakt, så lad os tage noget meget lavpraktisk: Hvem ejer telefonen?

Der er groft sagt tre modeller:

  • BYOD (Bring Your Own Device): Medarbejderen bruger sin egen mobil til arbejde.
  • COPE (Corporate Owned, Personally Enabled): Virksomheden køber mobilen, men den må også bruges privat.
  • COBO (Corporate Owned, Business Only): Virksomheden ejer mobilen, og den er kun til arbejde.

Hvis du skal vælge MDM, før du har valgt model, risikerer du at stå med et system, der er stærkt til COBO, men som medarbejderne hader, fordi de i praksis kører BYOD og føler sig overvåget.

Hvornår giver BYOD mening?

BYOD kan fungere, hvis:

  • I primært skal have mail, kalender og Teams til at spille.
  • Medarbejderne har ret nye devices og nogenlunde styr på opdateringer.
  • I er villige til at køre med work profiles / app protection i stedet for fuld device-kontrol.

Her bør du kigge efter MDM-løsninger, der understøtter app-baseret styring (f.eks. Microsoft Intune med app protection policies på Outlook og Teams).

Hvornår er COPE eller COBO bedre?

COPE eller COBO er oplagt, hvis:

  • I har line-of-business apps (fx ordre-app, timeregistrering, lagerstyring).
  • I har feltmedarbejdere, hvor mobilen er et arbejdsredskab på linje med bilen.
  • I vil sikre ensartethed: samme mærke, samme OS, samme opsætning.

Her er fuld MDM på devicen næsten altid vejen at gå.

Min erfaring: De fleste mindre virksomheder ender i en blanding. Ledelsen får COPE-firma-telefoner, mens enkelte nøglepersoner bruger BYOD. Det kan MDM godt håndtere, men du skal være helt skarp på, hvem der er hvad.

Kravliste til iOS/iPadOS – hvad skal du mindst kræve?

Hvis I kører iPhone eller iPad (eller vil over på det), er der nogle klare must-haves i din MDM-kravspec.

Apple Business Manager, Automated Device Enrollment og supervised mode

Apple har deres egen “kontrolcentral” til virksomheder, som du kan læse mere om i Apples egen vejledning. Den hedder Apple Business Manager (ABM).

Når du vælger MDM til iOS/iPadOS, skal du kræve, at løsningen:

  • Understøtter Apple Business Manager.
  • Understøtter Automated Device Enrollment, så nye iPhones automatisk bliver tilmeldt MDM, når brugeren tænder dem første gang.
  • Kan sætte enheder i supervised mode, så du har fuld kontrol over indstillinger, restriktioner og apps.

Det konkrete scenarie: En sælger smadrer sin iPhone torsdag eftermiddag. Du bestiller en ny hos jeres forhandler, som knytter den til jeres ABM. Når sælgeren tænder telefonen fredag morgen, melder den sig selv ind i jeres MDM, får alle apps, mails og policies. Supporten behøver næsten ikke være inde over.

Andre must-have funktioner på iOS

På MDM-siden vil jeg som minimum kræve, at systemet kan:

  • Styreskabe passcode-krav (længde, kompleksitet, Face ID/Touch ID).
  • Blokere jailbreakede enheder via compliance-regler.
  • Lave profilbaseret WiFi, VPN og mail, så brugeren ikke selv skal taste servere ind.
  • Udrulle apps fra App Store og interne apps automatisk.
  • Lave remote lock og remote wipe ved tab/tyveri.

Hvis du sidder i en mindre virksomhed uden dedikeret IT, vil jeg også kigge efter en løsning, hvor selve MDM-portalen er til at finde rundt i for almindelige mennesker. Fancy funktioner hjælper ikke, hvis du skal på kursus hver gang, du skal nulstille en iPhone.

Kravliste til Android – her skal du være ekstra opmærksom

Android er super fleksibelt, men det betyder også, at du skal være lidt mere skarp på kravene. Der er forskel på en Samsung, en billig Android fra supermarkedet og en Zebra-scanner i lagerhallen.

Android Enterprise, Work Profile og zero-touch enrollment

Når du vurderer MDM til Android, så tjek at leverandøren understøtter Android Enterprise. Det er Googles moderne ramme for styring af Android-enheder.

Du bør minimum kræve, at MDM-systemet kan:

  • Oprette Work Profile til BYOD, så arbejdsapps og -data ligger adskilt fra privat.
  • Håndtere Device Owner-tilstand til COPE/COBO, hvor virksomheden har fuld kontrol.
  • Understøtte zero-touch enrollment eller tilsvarende, så nye Android-telefoner automatisk tilmeldes jeres MDM ved førstegangsopsætning.

Zero-touch fungerer i praksis lidt ligesom Apple Business Manager, bare på Android-siden. For større udrulninger er det guld værd.

Google har selv en god intro til Android Enterprise på deres udviklersite. Du skal ikke kunne det hele udenad, men det er rart at vide, hvad du spørger leverandøren om.

Andre must-haves til Android

Din MDM-løsning til Android bør som minimum kunne:

  • Sikre, at enheder kører en godkendt Android-version (OS-minimum).
  • Begrænse installation af apps til en godkendt liste, hvis det er COBO.
  • Håndtere Google Play Managed apps, både offentlige og private.
  • Styreskabe kryptering, skærmlås og root-detektion.

Og så skal du tage stilling til, om I vil standardisere på et mærke (typisk Samsung hos mange danske virksomheder) eller tillade “alt med Android”. Jo mere blandet, jo vigtigere bliver et MDM, der giver dig ordentligt overblik.

Sikkerhedsfunktioner du bør kræve som minimum

Her bliver mange små virksomheder lidt trætte i blikket, men hæng på. Du behøver ikke kunne alle begreber, men du skal vide, hvad du vil kunne sætte kryds ved.

Compliance policies og Conditional Access

Hvis I bruger Microsoft 365, er kombinationen af MDM og Conditional Access noget af det mest effektive, du kan sætte op.

I praksis betyder det, at du kan sige:

  • “Kun enheder, der er compliant (fx krypteret, opdateret, med skærmlås) må få adgang til mail og Teams.”
  • “Hvis enheden ikke er compliant, må den ikke tilgå Exchange Online eller SharePoint.”

Din MDM-løsning skal derfor kunne:

  • Definere compliance-regler (OS-version, kryptering, skærmlås, jailbreak/root, osv.).
  • Rapportere compliance-status tilbage til f.eks. Azure AD (Microsoft Entra ID).

Hvis du overvejer Microsoft Intune, hænger det her rigtig godt sammen, fordi det er bygget til at spille direkte med Conditional Access.

Certifikater, VPN og evt. proxy

Nogle virksomheder har stadig interne ressourcer, der kræver VPN eller certifikatbaseret adgang. Her skal MDM kunne:

  • Udrulle certifikater til devices uden at brugeren selv roder med det.
  • Konfigurere VPN-profiler (hvis I har VPN-løsning i forvejen).
  • Evt. støtte per-app VPN, så kun bestemte apps bruger VPN.

Hvis det her lyder tungt, så tag en snak med jeres nuværende IT-partner om, hvilke krav de har til MDM. De kan ofte give dig 3-4 konkrete krav, du kan smide direkte ind i kravspecen.

Drift og support – de funktioner der redder jer på en mandag morgen

Det her er der, hvor jeg selv tidligere er gået galt i byen. Vi valgte en løsning med skarp sikkerhed, men alt for besværlig daglig drift. Resultat: IT gad ikke bruge den.

Til drift og support vil jeg anbefale, at du som minimum kræver:

  • Inventarliste: Ét samlet overblik over alle enheder, ejer/medarbejder, OS-version, compliance-status.
  • Remote actions: Lock, wipe, reset password, sync policies. Gerne med log, så du kan dokumentere, hvad der er gjort.
  • App-udrulning: Mulighed for både tvungen installation og “tilgængelig i virksomhedens app store”.
  • Selvbetjening: Brugerportal hvor medarbejderen selv kan fx lokalisere, låse eller nulstille sin enhed, hvis I vil aflaste supporten.

Og så skal du teste, hvordan det føles i hånden:

  • Hvor mange klik tager det at nulstille en enhed?
  • Kan du hurtigt se, hvem der har en for gammel Android-version?
  • Kan en supporter med 2 timers intro finde rundt uden manual?

Hvis du gerne vil dykke mere ned i mobil som arbejdsredskab, kan du senere kigge på mere generelle emner som mobil sikkerhed og erhvervstelefoni, men start med MDM-kravene her.

Integrationskrav – især hvis I bruger Microsoft 365 eller Google Workspace

Her kan du hurtigt få alt for mange fine ord på spil. Lad os holde det nede på et stykke papir.

Notér hvad I bruger i dag:

  • Microsoft 365, Exchange Online, Teams?
  • Google Workspace?
  • Et SIEM-system til logning og sikkerhed (ofte kun i større virksomheder)?
  • En servicedesk-løsning (Jira, ServiceNow, Zendesk, m.fl.)?

Din MDM-løsning bør som minimum kunne:

  • Integrere med jeres identity-system (typisk Azure AD / Microsoft Entra ID eller Google).
  • Automatisk tildele enheder til brugere baseret på deres konto.
  • Eksportere logs og rapporter i et format, I kan bruge (CSV, API, osv.).

Hvis I drømmer om fuldautomatisk onboarding og offboarding, skal du også spørge ind til:

  • Om MDM kan indgå i jeres onboarding-flow, når en ny bruger oprettes.
  • Om en enhed automatisk kan blive revoked eller wiped, når brugeren deaktiveres.

Sådan tester du to MDM-løsninger på 7 dage

Jeg er stor fan af at teste i stedet for at gætte. Og du behøver ikke 3 måneder på et kæmpe POC-projekt.

Her er en simpel 7-dages pilotplan, du kan bruge, når du skal vælge MDM:

Dag 1-2: Opsætning og enrollment

  • Få et demo-tenant eller prøvelicens hos 1-2 leverandører.
  • Tilmeld 2-3 iPhones og 2-3 Androids (gerne både BYOD og firmaejede).
  • Notér: Hvor svært er det at få en telefon fra “fabriksny” til “klar med mail og apps”?

Dag 3: Apps og politikker

  • Opret en simpel compliance-policy (skærmlås, OS-minimum).
  • Udrul 3-4 apps: mail, Teams, én virksomhedsspecifik app.
  • Test: Hvor hurtigt slår ændringer igennem? Får brugeren tydelige beskeder?

Dag 4: Sikkerhedstest

  • Prøv at fjerne skærmlås på testtelefonen. Bliver enheden non-compliant?
  • Se, om Conditional Access (hvis I bruger Microsoft 365) reagerer.
  • Lav en remote wipe på én enhed. Hvor nemt er det, og hvad ser brugeren?

Dag 5: Support-scenarier

  • Giv systemet til jeres support eller “IT-ansvarlige” i en time.
  • Bed dem løse 3 opgaver: nulstille en glemt PIN, udrulle en ny app, finde en bruger med gammel OS-version.
  • Spørg bagefter: “Kunne du se dig selv arbejde i det her hver uge?”

Dag 6: Medarbejderperspektiv

  • Lad 3-4 almindelige brugere afprøve hver løsning.
  • Bed dem sætte ord på: “Føles det som overvågning, eller som hjælp?”
  • Notér særligt reaktioner på BYOD-løsningen (work profile, adskillelse mellem privat og arbejde).

Dag 7: Sammenlign på tre punkter

Efter 7 dage bør du kunne vurdere løsningerne på tre meget konkrete ting:

  • Sikkerhed: Kan vi styre det, vi har aftalt, og virker det sammen med vores mail/Teams?
  • Drift: Er hverdagsopgaver til at løse uden 3 timers træning?
  • Brugeroplevelse: Ville vores medarbejdere acceptere det her på deres primære mobil?

Lav evt. en lille scoretabel i et regneark og vægt det, der betyder mest for jer.

Pris og skjulte omkostninger – hvor bliver pengene af?

“Hvad er prisen på MDM?” er lidt som at spørge, hvad en bil koster. Du kan få noget meget billigt, der er dyrt i drift, og noget dyrere, der sparer dig for arbejdstimer hver uge.

De klassiske prisdrivere

Spørg leverandøren om:

  • Licensmodel: Betaler I pr. bruger, pr. enhed eller pr. månedspakke?
  • Minimumsantal: Er der et minimum på fx 25 eller 50 enheder?
  • Funktionstrin: Er de security-funktioner, I har brug for, med i basis, eller kræver de “premium”?

Hvis du står mellem f.eks. Intune og en anden MDM-løsning, så husk at Intune ofte allerede er inkluderet i visse Microsoft 365-licenser. Regn på, hvad I i forvejen betaler, og hvad der reelt er ekstra.

Opsætning og løbende drift

Der er også udgifter, der ikke står på licens-listen:

  • Første opsætning: Skal jeres IT-partner sætte det op, og hvad koster det? Få en fast pris, ikke bare “timepris”.
  • Standardprofiler: Hvor meget tid tager det at lave og vedligeholde policies til iOS og Android?
  • Onboarding/offboarding: Hvor lang tid tager det at sætte en ny medarbejder op? Gang det med antallet af nye om året.

Her er det, jeg ofte ser: En billig MDM-løsning uden gode standarder og integrationer bliver dyr i tiden hos jeres IT-folk. En lidt dyrere løsning, der er tæt integreret med jeres nuværende Microsoft 365-setup, kan i praksis være billigere.

Din kravliste – sådan kommer du videre i morgen

Lad os samle det, så du faktisk kan bruge det her til noget konkret i morgen.

Mini-tjekliste til valg af MDM

Skriv svaret ned på de her punkter, inden du taler med en leverandør:

  1. Problem: Hvad er de 2 største problemer, I vil løse (sikkerhed, drift, compliance, support)?
  2. Device-modeller: Hvem er BYOD, hvem er COPE, hvem er COBO?
  3. Platforme: Hvor mange iOS vs. Android, og vil I standardisere på mærker?
  4. Must-have features:
    • Apple: ABM, Automated Device Enrollment, supervised mode.
    • Android: Android Enterprise, Work Profile, zero-touch enrollment.
    • Sikkerhed: compliance policies, evt. Conditional Access, remote wipe.
    • Drift: inventar, remote actions, app-udrulning.
  5. Integrationer: Microsoft 365 eller Google Workspace, servicedesk, evt. SIEM.
  6. Budget: Hvad må det koste pr. enhed pr. måned, inkl. opsætning?
  7. Pilot: Hvilke 5-6 testcases vil I køre i en 7-dages prøveperiode?

Hvis du vil have endnu mere styr på det næste skridt efter MDM, kan du på sigt kombinere det med et bedre overblik over jeres mobilabonnementer, men det kan du tage som trin to.

Hvis du kun gør én ting anderledes efter at have læst det her, så lav en énsiders kravliste med jeres hverdagsscenarier, og brug den som checklisten, når du vurderer og tester MDM-løsninger. Det alene kan spare dig både fejlkøb, tid og temmelig mange frustrerede supportopkald.

Kør en begrænset pilot med 8-15 repræsentative brugere fra forskellige roller og både iOS og Android. Definér klare succeskriterier (fx app-udrulning, login, tid til opsætning, antal supporttilfælde) og en tidsramme, og hav en rollback-plan, hvis kritiske funktioner fejler.
Tænk på data- og policy-eksport, device re-enrollment, licensoverlap og driftstid under skiftet. Test migration på en lille gruppe først, og planlæg kommunikation, support og en periode med paralleldrift, så brugerne ikke mister adgang til kritiske apps.
Vær helt åben om hvad der styres og hvad der ikke måles; beskriv konkret hvilke data virksomheden kan se og hvorfor. Brug work profiles eller app-baseret styring hvor muligt, involvér medarbejderrepræsentanter i beslutningen og vis de praktiske fordele for brugerne.
Mål fx tid til provisioning per device, antal supporttickets relateret til mobil, opdaterings- og compliance-rate, succesrate for app-udrulning og brugertilfredshed. Følg dem før, under og efter implementering for at kunne sammenligne effekten.

Tina Borch

mobilnørd med hang til praktiske hverdagsløsninger

Tina Borch er Telefonxpertens lidt nørdede hverdagsfixer, der elsker at gøre telefoner og erhvervstelefoni til noget, helt almindelige mennesker faktisk kan bruge. På Telefonxperten deler hun konkrete tips, fejl hun selv har lavet, og simple genveje, så både familier og små virksomheder får mere ro og struktur i hverdagen med deres telefoni.

7 articles

For mig handler telefoni mindre om megapixel og markedsføring, og mere om, at du ikke mister et vigtigt opkald, fordi teknikken driller. Hvis din hverdag bliver lidt roligere, og du slipper for bare én frustreret kunde mere, så er det en god løsning i min bog.
— Tina Borch

Telefonxperten er din uvildige guide til telefoner, mobilabonnementer og erhvervstelefoni. Her finder du faglige forklaringer, konkrete eksempler og rolig rådgivning uden salgspres.

Målet er, at du – og din virksomhed – kan træffe klogere valg om mobiler, udstyr og telefonsystemer og få mere ud af de løsninger, I allerede betaler for.

Sider

Forside Blog Om os Ofte stillede spørgsmål Kontakt os Privatlivspolitik

Kategorier

Mobiltelefoner og smartphones Abonnement, dækning og økonomi Erhvervstelefoni og telefonsystemer Tilbehør og udstyr Apps, funktioner og smarte løsninger Trends, teknologi og brancheindsigt

Kontakt

Har du spørgsmål til telefoni, udstyr eller valg af løsninger til dig selv eller din virksomhed, er du altid velkommen til at skrive.

Email: kontakt@telefonxperten.dk

© Telefonxperten
Privatlivspolitik Kontakt