SFI-statusrapport fra november 2025

I vores tredje statusrapport deler vi opdateringer for hvert område og den tekniske søjle, introducerer tilknytning til NIST Cybersecurity Framework for at hjælpe kunderne med at forstå de fremskridt, der er gjort ved hjælp af en anerkendt branchestruktur, og fremhæve nye sikkerhedsfunktioner, der leveres til kunderne. Vi deler også bedste praksis og implementeringsvejledning, der er tilpasset Zero Trust-principper, for at hjælpe kunderne med at reducere deres risiko.

Vi fortsætter med at fremme en kultur, der sætter sikkerhed først på tværs af organisationen.

95 % af medarbejderne har allerede gennemført den seneste sikkerhedstræning, der blev tildelt i juli 2025 om beskyttelse mod AI-drevne angreb, som stadig er et af vores højest vurderede kurser.
Den tekniske holdning til sikkerhed er steget med 9 point siden februar 2024.
For at konsolidere et tankesæt der sætter sikkerhed først på arbejdet og derhjemme, har vi udviklet ressourcer til medarbejdere og gjort dem tilgængelige for kunderne for første gang for at øge bevidstheden om sikkerhed.

Få handlingsrettet vejledning, og læs mere om, hvordan sikkerhed integreres i den måde, vi arbejder på, hvordan vi leder, og hvordan vi måler effekten i komplette rapport.

"Vi har gjort sikkerhed til en kerneprioritet for hver enkelt medarbejder hos Microsoft, ikke kun sikkerhedsteamet.”

Vasu Jakkal
CVP, Microsoft Security

Vi fortsætter med at skalere vores styringsmodel for at håndtere det voksende trusselslandskab og den øgede lovgivningsmæssige kompleksitet.

Omfanget af Cybersecurity Governance Council er udvidet til at omfatte yderligere 3 Deputy CISO-funktioner:
- Forsyningskæde og tredjepart
- Forretningsfunktioner, marketing og økonomi
- Overholdelse af EU's lovgivning om cybersikkerhed
Vi har oprettet Microsoft European Security Program for at udbygge partnerskaber og informere de europæiske myndigheder bedre om trusselslandskabet. Fortsat aktivt engagement i EU's ekspertgruppe for forordning om cyberrobusthed.
Samarbejdede aktivt med branchepartnere for bedre at tilpasse eksisterende og fremtidige cybersikkerhedsregler og opbygge cybersikkerhedskapacitet gennem Advancing Regional Cybersecurity Initiative i det globale syd.

Få handlingsrettet vejledning, og læs mere om, hvordan vi fortsætter med at skalere vores styringsmodel for at håndtere det voksende trusselslandskab og den øgede lovgivningsmæssige kompleksitet i den fulde rapport.

"Vi tror virkelig på, at du ikke kan have et bæredygtigt program, hvis din kultur ikke er tilpasset, og du kan bestemt ikke have et målbart program, hvis din styring ikke er tilpasset.”

Ann Johnson
CVP & Deputy CISO, kontor for håndtering af kundesikkerhed

Sikkerhedsprincipper

Sikker ved design, sikker som standard og sikre operationer

Baseret på tre sikkerhedsprincipper – sikkerhed ved design, sikker som standard og sikre operationer – fortsætter teams på tværs af Microsoft med at levere innovationer for at hjælpe med at beskytte kunder og Microsoft.

Introducerede obligatoriske sikre standarder, udvidet hardwarebaseret tillid og opdaterede sikkerhedsbenchmarks for at hjælpe med at forbedre cloudsikkerheden.

Læs mere om Azure i den fulde rapport
Multifaktorgodkendelse (MFA) er nu obligatorisk for alle Azure-brugere, hvilket reducerer risikoen for adgangskoderelaterede angreb. Derudover tilbyder Azure Bastion Developer nu sikker forbindelse til virtuelle maskiner som standard i 35 områder.
Version 2 af Microsoft Cloud Security Benchmark (MCSB) giver kunderne en opdateret grundlæggende sikkerhedsvejledning, som kan implementeres ved hjælp af Microsoft Defender for Cloud.
Azure Local øgede antallet af sikkerhedsstandardindstillinger med 25 % (400 indstillinger). Dette forenkler kundernes evne til at overholde branchestandarder og beskytter Azure Local-noder bedre mod yderligere trusler, f.eks. malware uden filer.
Læs mere om Azure i den fulde rapport
Vi leverer bedste praksis og implementeringsvejledning, der er tilpasset Zero Trust-principper, for at hjælpe kunderne med at reducere deres risiko.

Få links til handlingsrettet vejledning

Tekniske søjler

De seks SFI-søjler omfatter mål og handlinger, der definerer vores tilgang til sikkerhed

Ud af 28 mål er 5 tæt på at være fuldført, 12 har gjort betydelige fremskridt, og vi fortsætter med at gøre fremskridt i forhold til resten. Som et resultat af SFI har vi forbedret sikkerheden på vores platform og i vores tjenester samt vores evne til at registrere og reagere på trusler.

Vi har forbedret identitetssikkerheden for Microsoft-tjenester og kunder.
Overførte 95 % af Microsoft Entra ID, der signerede VM'er, til Azure Confidential Compute.
Flyttede 94,3 % af Microsoft Entra ID-sikkerhedstokenvalideringen til vores SDK (Standard Identity Software Development Kit).
Håndhævede phishing-resistent MFA for 99,6 % af Microsofts medarbejdere og enheder.

Læs mere, herunder links til handlingsrettet vejledning i den fulde rapport.
Vi fortsætter med at øge isolationen og reducere risikoen for tværgående bevægelse.
Brugen af Active Directory Federation Services (ADFS) i vores produktivitetsmiljø er ophørt.
Overførte 98 % af cloudaktiverne, der administreres af Azure Service Manager (ASM), til Azure Resource Manager (ARM).
Udfasede 560.000 ekstra ubrugte og forældede lejere og 83.000 ubrugte Entra ID-apps på tværs af Microsofts produktions- og produktivitetsmiljøer.

Læs mere, herunder links til handlingsrettet vejledning i den fulde rapport.
De fremskridt, der er gjort, har forbedret netværkssikkerheden og leveret nye funktioner til kunderne.
Der blev opnået en komplet oversigt over netværksenheder og administration af livscyklus for modne aktiver.
Øget sikkerhed via forbedret isolation og beskyttende kontrolelementer.
Har fremskyndet implementering af NSP (Network Security Perimeter) med mere end 1,1 million ressourcer i læringstilstand og ca. 500.000 i gennemtvunget tilstand.

Læs mere, herunder links til handlingsrettet vejledning i den fulde rapport.
Vi har forbedret sikkerheden for systemer, vi bruger til at bygge, teste og udrulle kode.

Kodesignering er nu næsten helt låst til produktionsidentiteter, og hemmeligheder, der registreres i kode, bliver løbende afhjulpet.
En næsten komplet oversigt over softwareaktiver muliggør hurtig reaktion på hændelser og håndhævelse af universelle politikker.
Vi har udvidet sikker som standard-pipelines og netværksisolering som standard med næsten alle produktionsbuilds og 94 % af udgivelsespipelines ved hjælp af styrede skabeloner.

Læs mere, herunder links til handlingsrettet vejledning i den fulde rapport.
Vi arbejder på trusselsjagt, hurtig reaktion på hændelser og samlede sikkerhedskontroller.
98 % af produktionsinfrastrukturen spores centralt med logge, der opbevares i 2 år.
Mere end 50 nye registreringer, der er udrullet på tværs af Microsofts infrastruktur, og som er rettet mod taktikker, teknikker og procedurer med høj prioritet – relevante registreringer bliver integreret i Microsoft Defender.
AI-integration sætter skub i forbedringer i registreringslivscyklussen – fra identifikation til validering af effektivitet.

Læs mere, herunder links til handlingsrettet vejledning i den fulde rapport.
Vi øger hastigheden på identifikation, prioritering og løsning af sårbarheder.
AI-baseret prioritering af sårbarheder har bidraget til en succesrate på 72 % i håndteringen af sårbarheder inden for vores reducerede tid til at afhjælpe, på trods af den fortsatte stigning i volumen og omfang.
Fremskyndede udrulningsprocesser har accelereret afhjælpning af sikkerhedsrisici.
Microsoft publicerede 1.096 CVE'er, herunder 53 cloud-CVE'er uden handling, og betalte 17 millioner USD i belønninger, hvilket demonstrerer øget gennemsigtighed og eksternt engagement.

Læs mere, herunder links til handlingsrettet vejledning i den fulde rapport.

HANDLINGSRETTET VEJLEDNING

Omsæt det, vi har lært, til praksis

I denne rapport fremhæver vi 10 mønstre og praksis, som kunder kan følge for at reducere deres risiko i prioriterede områder og dele yderligere bedste praksis og vejledning for hvert område og hver søjle.

Download rapporten for at få mere vejledning