Stop mobil-rodet ved ansættelser og fratrædelser
Sikkerhed og compliance i erhvervstelefoniSikkerhed, privatliv og backup

Stop mobil-rodet ved ansættelser og fratrædelser

Tina Borch

Jeg har stået der selv. En kollega stopper, afleverer en firmatelefon, og alle nikker tilfredse. To uger senere får jeg en mail fra ham, fordi han stadig får videresendt kundemails på sin private mobil. Og ja, Teams-beskederne tikkede også stadig ind. Det føltes lidt som at opdage, at ekskæresten stadig har nøgle til huset.

Det er præcis her, mange virksomheder roder rundt. HR har en tjekliste, IT har en anden, og mobilen lever sit eget liv midt imellem. Den bliver delt ud ved start, indsamlet ved slut, og alt det imellem bliver til “vi håber, det gik fint”.

Lad os få styr på den del. For mobilen er ikke bare et stykke hardware. Den er adgangskort til mails, kundedata, dokumenter, MFA-koder og alt muligt, du ikke vil have til at flyde rundt, når en medarbejder stopper.

Hvad ligger der egentlig på en firmatelefon?

Prøv lige at tænke på din egen mobil et øjeblik. Hvis nogen fik fuld adgang til den, hvor meget kunne de så se om dit arbejde, dine kunder, dine kolleger?

På en typisk virksomhedsmobil ligger der blandt andet:

  • Mailkonto (ofte med arkiv flere år tilbage)
  • Teams/Slack/Chat-historik
  • Kontakter til kunder, leverandører og interne
  • Adgang til OneDrive/SharePoint/Google Drev
  • MFA/Authenticator-apps, som giver adgang til andre systemer
  • CRM-apps med kundedata
  • Kalenderaftaler med mødelinks og dokumenter

Og det gælder uanset om det er en ren firmatelefon, eller medarbejderen har mail og Teams på sin private mobil.

Risikoen opstår, når du ikke har styr på, hvordan de her ting bliver lagt på telefonen, og hvordan de bliver fjernet igen. Det er der, hvor man ender med gamle sælgere, der stadig står logget ind i CRM, eller tidligere medarbejdere, der stadig kan nulstille adgangskoder via deres Authenticator-app.

Før onboarding – beslut jer for, hvilken model I kører

Inden du overhovedet laver en tjekliste, skal du have styr på én ting i virksomheden: Hvad er jeres model for mobiler?

Overordnet er der tre varianter:

  • BYOD (Bring Your Own Device): Medarbejderen bruger sin egen telefon til arbejde.
  • COPE (Corporate Owned, Personally Enabled): Virksomheden ejer telefonen, men medarbejderen må også bruge den privat.
  • COBO (Corporate Owned, Business Only): Ren firmatelefon, ingen privat brug.

De fleste danske små og mellemstore virksomheder ender et sted mellem BYOD og COPE. “Vi giver en telefon til nogle, andre bruger deres egen.” Det kan godt fungere, men kun hvis I samtidig beslutter:

  • Hvilke apps må ligge på privat mobil
  • Hvad der aldrig må ligge på privat mobil (fx visse CRM-apps eller admin-adgange)
  • Hvordan I styrer og kan fjerne de apps igen (MDM, adgangspolitikker mv.)

Her er det en god idé at kigge forbi fx Center for Cybersikkerhed og jeres egen branches eventuelle anbefalinger. Det behøver ikke være tungt, men der skal være en linje.

Onboarding-tjekliste for mobil (dag 0-1)

Forestil dig, at en ny medarbejder starter mandag. Hvis du får styr på følgende inden for det første døgn, har du allerede lukket mange huller.

1. MDM og grundopsætning

Hvis I har flere firmatelefoner, så brug et MDM-system (Mobile Device Management). Det kan være Intune, MobileIron, Jamf eller lignende. Pointen er:

  • Telefonen bliver registreret på virksomheden
  • Du kan pushe apps, indstillinger og sikkerhedspolicies ud
  • Du kan låse eller slette den på afstand, hvis noget går galt

Ved onboarding bør du sikre, at:

  • Telefonen er enroll’et i MDM, inden medarbejderen får den i hånden
  • OS er opdateret til en supporteret version
  • Der er skærmlås med PIN, kode eller biometrisk login (ikke bare swipe)
  • Der er slået kryptering til, hvis det ikke sker automatisk

På iPhone og Android kan du via MDM tvinge det meste af det her igennem. Og ja, det kan virke lidt tungt første gang, men det sparer dig for mange “hov, hans mail ligger stadig på mobilen” senere.

2. Opsæt mail, Teams og andre kerneapps rigtigt

Mail, kalender, kontakter, Teams/Slack og evt. CRM skal ikke bare sættes op. De skal sættes op med styring.

Hvis I bruger Microsoft 365, så kig på:

  • Conditional Access til at styre, hvem der må logge ind hvorfra
  • App Protection Policies i Intune, så firmadata fx ikke kan kopieres til private apps

Points of no return ved opsætning:

  • Brug altid firmakonto, aldrig privat Microsoft/Apple/Google-id til arbejdsmail
  • Adskil firmadata fra privat data, især på BYOD og COPE
  • Installer kun de nødvendige apps i første omgang. Resten kan komme senere.

Hvis en medarbejder bruger privat mobil, så beslut helt konkret: “Du må have mail og Teams, men ikke CRM”. Og skriv det ned. Gerne i en simpel politik, medarbejderen får udleveret sammen med sin erhvervstelefoniløsning.

Offboarding før sidste arbejdsdag

Lad være med at vente til den sidste fredag kl. 14 med alt. Nogle ting skal være klar på forhånd, især hvis medarbejderen har nøglefunktioner eller meget kundekontakt.

1. Få styr på MFA, numre og SIM/eSIM

Authenticator-apps er blevet den glemte nøgle. Hele jeres Microsoft 365-setup kan i værste fald nulstilles via en gammel Authenticator-app på en telefon, I troede var “afleveret”.

Gør derfor følgende, inden medarbejderen stopper:

  • Kortlæg hvor medarbejderen er sat op med MFA/Authenticator (Microsoft, Google, CRM, VPN osv.)
  • Overfør evt. MFA til en funktionskonto, hvis det giver mening (fx “it@” eller en fælles adminkonto)
  • Fjern medarbejderens mobilnummer som recovery-/sms-backup i vigtige systemer

Hvis telefonnummeret skal overdrages til en ny medarbejder:

  • Planlæg nummerportering/ændring, så nummeret ikke er aktivt hos en fratrådt medarbejder
  • Sørg for, at SIM eller eSIM er registreret på virksomheden, ikke på privat person
  • Luk eller omregistrér SIM/eSIM via operatøren på sidste dag

Det lyder administrativt, men her kan du relativt nemt lave en fast linje i jeres abonnementsoversigt, så HR ikke skal gætte.

2. Forbered deaktivering af cloud-adgange

Inden sidste dag bør IT have en liste klar over:

  • Hvilke systemer medarbejderen har adgang til (Microsoft 365, Google Workspace, CRM, ERP osv.)
  • Hvor sessioner skal lukkes (fx “sign out from all sessions” i Microsoft 365)
  • Hvilke tokens og app-registreringer der skal fjernes

På Microsoft 365 kan du fx:

  • Blokere logon for brugeren
  • Invalidere refresh tokens
  • Fjerne enheden fra Azure AD/Entra ID, hvis det er en registreret enhed

På Google Workspace findes tilsvarende muligheder. Pointen er, at du ikke kun lukker selve brugerkontoen, men også dens aktive sessions og tilknyttede enheder.

Offboarding på sidste arbejdsdag

På selve dagen skal tingene ikke opfindes. De skal bare udføres. Tænk i tre spor: adgang, enhed, dokumentation.

1. Fjern adgang og aktive sessioner

På dagen bør du:

  • Lukke brugerkontoen eller ændre password, så medarbejderen ikke kan logge ind mere
  • Logge alle sessions ud (mail, Teams, web, apps)
  • Tjekke MDM-portalen for enheder koblet til brugeren

Hvis medarbejderen har haft mail og apps på privat mobil:

  • Fjern adgangen fra MDM eller gennem dine app policies
  • Fortæl tydeligt, hvad der bliver slettet (kun firmadata, ikke private billeder osv.)
  • Bed medarbejderen åbne mail/Teams en sidste gang, mens du kigger, for at sikre at adgangen er væk eller bliver fjernet

2. Remote lock/wipe og tilbagelevering

For firmatelefoner er den typiske rækkefølge:

  • Tag stilling til, om noget skal gemmes (fx billeder af projektarbejde, der ikke ligger andre steder)
  • Lav remote wipe eller factory reset via MDM, så telefonen bliver “ren”
  • Fjern den fra brugerens profil i MDM, så den er klar til næste medarbejder
  • Indsaml fysisk telefon inkl. oplader og evt. ekstra udstyr

Lav en simpel kvittering, fx:

  • Medarbejderen bekræfter at have afleveret telefon, SIM/eSIM og tilbehør
  • I noterer IMEI eller serienummer
  • I noterer, at enheden er nulstillet

Det behøver ikke være en roman. En A4-side med afkrydsning er nok, sådan lidt a la en simpel intern tjekliste.

Efter offboarding – kontroller at døren faktisk er låst

Her snyder mange sig selv. Man tænker: “Kontoen er lukket, alt er fint.” Men det svarer lidt til at låse hoveddøren og lade terrassedøren stå på klem.

Lav en lille kontrolprocedure, hvor IT (eller den ansvarlige) tjekker følgende 1-3 dage efter fratrædelse:

  • Log på som admin og tjek, at den tidligere bruger ikke længere har aktive enheder i MDM
  • Tjek login-logs i fx Microsoft 365 eller Google for at se, om der har været forsøg på login efter lukning
  • Verificer, at telefonnummeret ikke længere bruges til MFA eller password reset
  • Sørg for, at eventuelle fællespostkasser/Teams-grupper er overdraget til en anden

Hvis du er i en branche med skærpede krav (myndighed, sundhed, finans), så få en sikkerhedsansvarlig med til at definere niveauet. Mange krav kan opfyldes ret elegant, hvis du fra start bruger de værktøjer, der er bygget ind i f.eks. Apple, Google og Microsofts sikkerhedsmodeller.

Hvem gør hvad – lille ansvarsmatrix

En af grundene til, at mobiler ofte falder mellem to stole, er, at ingen helt ved, hvem der har ansvaret. HR tænker “IT tager sig af det”. IT tænker “HR må da have styr på afleveringen”.

Lav en enkel fordeling, fx:

  • HR: informerer om ansættelser/fratrædelser, indsamler fysisk udstyr, får kvittering
  • IT: opretter/sletter bruger, styrer MDM, lukker sessions og adgang
  • Leder: sikrer overdragelse af kundesager, tjekker at medarbejderen ikke gemmer firmadata privat

Ja, det er lavpraktisk. Men det er også sådan noget, der afgør, om din næste offboarding ender i ro eller i panikopkald lørdag aften, fordi en tidligere medarbejder stadig står som admin på jeres firmamobilabonnement.

Min egen erfaring er ret simpel: Den virksomhed, der gider bruge 30 minutter på at lave en ordentlig offboarding-tjekliste for mobiler, slipper for 3 timers brandslukning senere. Hvis ikke, så er du reelt bare én sur eks-medarbejder fra en ufrivillig sikkerhedstest.

Planlæg det før det sker: brug en central identitetsudbyder (fx Azure AD) så du kan tilbagekalde sessions og nulstille MFA centralt. Blokér eller fjern enhedens adgang via MDM og tilbagekald refresh-tokens, og hav en dokumenteret recovery-proces eller et nød-admin-login, så I kan genskabe adgang for legitime brugere uden at genåbne risikoen.
Definér roller i en offboarding-proces: HR udløser processen og informerer IT, IT udfører tekniske tiltag (deaktivér konti, wipe eller selective wipe), og nærmeste leder sørger for tilbagelevering af udstyr. Saml det i én tjekliste og ét offboarding-ticket med klare SLA'er, så ingen arbejdsopgaver overlapper eller glemmes.
Brug MDM med containerisering eller selective wipe for at fjerne kun virksomhedens profiler og apps på COPE-enheder. For BYOD skal I undgå fuld fabriksreset uden samtykke; tag backup af nødvendige forretningsdokumenter først og dokumentér handlingen for compliance og privatlivsgrunde.

Tina Borch

mobilnørd med hang til praktiske hverdagsløsninger

Tina Borch er Telefonxpertens lidt nørdede hverdagsfixer, der elsker at gøre telefoner og erhvervstelefoni til noget, helt almindelige mennesker faktisk kan bruge. På Telefonxperten deler hun konkrete tips, fejl hun selv har lavet, og simple genveje, så både familier og små virksomheder får mere ro og struktur i hverdagen med deres telefoni.

7 articles

For mig handler telefoni mindre om megapixel og markedsføring, og mere om, at du ikke mister et vigtigt opkald, fordi teknikken driller. Hvis din hverdag bliver lidt roligere, og du slipper for bare én frustreret kunde mere, så er det en god løsning i min bog.
— Tina Borch

Telefonxperten er din uvildige guide til telefoner, mobilabonnementer og erhvervstelefoni. Her finder du faglige forklaringer, konkrete eksempler og rolig rådgivning uden salgspres.

Målet er, at du – og din virksomhed – kan træffe klogere valg om mobiler, udstyr og telefonsystemer og få mere ud af de løsninger, I allerede betaler for.

Sider

Forside Blog Om os Ofte stillede spørgsmål Kontakt os Privatlivspolitik

Kategorier

Mobiltelefoner og smartphones Abonnement, dækning og økonomi Erhvervstelefoni og telefonsystemer Tilbehør og udstyr Apps, funktioner og smarte løsninger Trends, teknologi og brancheindsigt

Kontakt

Har du spørgsmål til telefoni, udstyr eller valg af løsninger til dig selv eller din virksomhed, er du altid velkommen til at skrive.

Email: kontakt@telefonxperten.dk

© Telefonxperten
Privatlivspolitik Kontakt