Hvorfor Managed Identities bør være standarden i moderne Power Platform-løsninger 

I takt med at automatisering bliver en stadig større del af virksomhedernes digitale strategi, vokser behovet for at udvikle løsninger, der ikke blot understøtter funktionelle behov – men også er sikre, driftsstabile og Governance-venlige. 

I mange år har udviklingen af workflows og automatiseringer været præget af tekniske konti, “hardcodede” legitimationsoplysninger og personlige forbindelser. Det har fungeret, men det er hverken skalérbart eller sikkert. 

Her kommer Azure Managed Identities ind som en central byggesten i moderne Power platform-løsninger.

Azure Managed Identities repræsenterer en moderne tilgang til identitetsstyring i løsninger, der interagerer med Microsoft 365, Azure og Power Platformen. 

Denne artikel gennemgår både det tekniske fundament, fordele, arkitekturmønstre, Governance-overvejelser og konkrete scenarier, hvor Managed Identities skaber reel værdi.

Hvad er en Managed Identity – teknisk set? 

En Managed Identity er en identitet, der oprettes og administreres af Microsoft Entra ID (tidl. Azure AD). 
Den bruges af systemer – ikke personer – og den: 

    • Nautentificerer sig selv via tokens udstedt af Entra ID
    • Nhar ingen adgangskoder, hemmeligheder eller klientnøgler
    • Nkan tildeles roller i Azure
    • Nkan tildeles præcise API-tilladelser via least privilege-principper
    • Nkan bruges sikkert på tværs af Azure-ressourcer, Power Apps, Power Automate og custom connectors

    Teknisk fungerer det sådan, at Azure udsteder et token til identiteten, når en løsning har behov for adgang til en ressource. Dette token er midlertidigt og fornyes automatisk, hvilket eliminerer risici forbundet med statiske legitimationsoplysninger. 

    Hvorfor traditionelle servicekonti skaber problemer 

      Mange flows og services kobles stadig til ressourcer via:

      • Delte servicekonti 
      • Personlige konti
      • Hemmeligheder i variable
      • brugerafhængige API-tilladelser 

      Det skaber en række tekniske og organisatoriske udfordringer: 

      1. Udløbne adgangskoder ødelægger driften

      En servicekonto med passwordrotation kan stoppe 50+ flows, uden at nogen opdager det før brugerne ringer. 

       

      2. Uklarhed om rettigheder og ejerskab 

      • Hvem ejer egentlig løsningen?
      • Hvem må ændre rettigheder?
      • Kan man ændre rettigheder uden at bryde flows?

       

      3. Overtrædelse af least-privilege princippet 

      Servicekonti får ofte for mange rettigheder, fordi det er lettere end at ramme den rigtige balance. 

       

      4. Personafhængighed 

      Hvis en medarbejder forlader organisationen, mister løsningen forbindelser – eller værre: adgang forbliver aktiv uden ejerskab. 

       

      5. Compliance-risiko 

      Revisorer spørger mere og mere til: 

      • Hvor legitimationsoplysninger ligger 
      • Hvem der har adgang 
      • Hvilke systemer der bruger dem 
      • Hvordan adgangskoder fornyes og hvor ofte 

        Managed Identities fjerner alle disse problemstillinger. 

         

        Managed Identities i to varianter 

          Managed Identities kommer i to varianter: System-assigned og User-assigned

          System-assigned: oprettes direkte til et specifikt Azure artefakt, f.eks. en Logic App og  kun benyttes af denne. 

          User-assigned: oprettes separat i Entra ID og kan efterfølgende bruges på tværs af  artefakter i Azure, eks. Logic Apps, Azure Function Apps, Azure Key  Vault, Azure Virtual Machines, osv. 

          Managed identities optræder som Service Principals, næsten på lige fod med brugere og skal tildeles roller og/eller app permissions manuelt, inden de er klar til brug. 

          Hvor passer Managed Identities ind i Power Platform-arkitektur? 

          1. Azure Logic Apps 

          Logic Apps flows kan med fordel tilknyttes en managed identities, hvorved handlinger i flowet, som f.eks. HTTP requests kan benytte denne managed identity service principal til at udføre kaldet. 

          2. Azure Functions

          Azure Functions kan drage nytte af Microsofts Azure.Identity og tilknytte Managed Identity credentials til at skaffe en access token, der kan benyttes til at tilgå ressourcer i Azure 

          3. Integrationer til SQL, Storage Accounts, Key Vault og andre Azure-ressourcer 

          SQL med Azure AD-auth + Managed Identity er en af de mest sikre måder at bygge datatunge løsninger. 

          4. Scenarier hvor flows skal køre uafhængigt af brugere 

          Eksempelvis: 

          • Livscyklusautomatisering 
          • Teams-provisionering 
          • Dokumentgenerering 
          • Natlige datakørsler
          • Dataintegrationer til ERP

            I alle disse tilfælde bør et menneske aldrig være det tekniske omdrejningspunkt. 

            Og hvad så med Power Automate? 

              Langt de fleste flows i Power Platform kører i kontekst af den bruger, som er logget på. De mest almindelige scenarier er flowkørslerne, som afvikles direkte eller via en Power App.  

              Der kan dog sagtens opstå et behov for at kunne afvikle flows, som ikke kører i kontekst af en bruger, et eksempel her er “child flows”, der kun kan køre i en bestemt kontekst. 

              Selvom Managed Identities er fuldt understøttet i f.eks. Logic Apps og desuden er meget nemt at anvende her, kan vi desværre ikke benytte denne autentifikations-metode i f.eks. Power Automate endnu. 

              Selvom Microsoft har gjort det muligt at oprette en System-assigned Managed Identity i et Power Platform-miljø, kan det indtil videre kun benyttes til Dataverse-adgang. Vi ser frem til at mulighederne udvides til også at omfatte enkelte flow triggere og handlinger. 

               

              Governance-fordele: Overblik, kontrol og auditspor 

                Managed Identities gør det muligt at håndtere adgangsstyring langt mere stringent: 

                • identiteten er ikke knyttet til en medarbejder 
                • rettigheder tildeles centralt via Entra ID-roller eller Azure RBAC 
                • specifikke app-rettigheder kan tildeles via Microsoft Graph 
                • adgang kan dokumenteres 
                • audit logs viser præcis hvilken systemidentitet der gjorde hvad 
                • alt kan revideres uden at kigge i brugerprofiler 

                For større organisationer er det en afgørende brik i en moden Power Platform-governance. 

                Hvordan ændrer Managed Identities udviklingsprocessen? 

                  Før: 

                  • Lav en servicekonto 
                  • Administrer password 
                  • Giv rettigheder 
                  • Opret forbindelser i flows/apps 
                  • Kryds fingre for at det ikke bryder under passwordskifte 

                  Efter: 

                  • Opret Managed Identity 
                  • Tildel de nødvendige API- eller RBAC-tilladelser, samt evt. app-permissions 
                  • Brug identiteten direkte i connector eller API-kald 
                  • Ingen secrets/tokens, rotation eller vedligehold 

                  Det gør løsninger både hurtigere og billigere at drifte – og væsentligt sikrere. 

                  Praktisk eksempel: Teams-provisionering via Power Automate  

                    Traditionelt ville man: 

                    • Forbinde til Graph API med en servicekonto 
                    • Håndtere rettigheder via brugerroller 
                    • Sikre at kontoen ikke bliver låst eller får passwordskift 

                    Med Managed Identity: 

                    • Managed Identity tildeles “Teams Administrator” eller specifik API-tilladelse via Graph App-registreringen 
                    • Flowet autentificerer automatisk 
                    • Intet password, intet vedligehold, intet driftsnedbrud 

                    Resultatet er en fuldt automatiseret Teams-løsning uden risiko for nedetid. 

                    Hvornår bør man ikke bruge Managed Identities?  

                      Der er blot få tilfælde: 

                      • hvis et eksternt system kun understøtter brugernavn/kodeord 
                      • hvis integrationen kræver delegated permissions (altså “kør som bruger”) 
                      • hvis løsningen bevidst er afhængig af en bestemt medarbejders identitet 

                      Men i langt de fleste scenarier er Managed Identities teknisk og sikkerhedsmæssigt overlegne. 

                      Konklusion: 

                      Managed Identities er en nøglekomponent i moderne IT-løsninger i Microsoft Azure 

                        Organisationer, der ønsker at arbejde seriøst og skalerbart med Azure løsninger, kommer ikke uden om Managed Identities som standardpraksis. 

                        Vi har blandt andet arbejdet på omlægning af Logic Apps for en større kunde, som ønsker at begrænse anvendelsen af servicekonti til et minimum.
                        I den forbindelse har vi lagt deres Logic Apps om, og knyttet en User-assigned Managed Identity til flowet, for udelukkede at benytte Managed Identities til at udføre relevante handlinger, f.eks. oprettelse eller opdatering af SharePoint artefakter vha. HTTP-kald til Microsoft Graph endpoints. 

                        Tilsvarende er kundens Azure Function apps blevet omskrevet, så den nødvendige SharePoint-kontekst også her opnås via Azure Identity og Managed Identities. 

                        Vil du se, hvordan Managed Identities kan implementeres i netop jeres løsninger – eller hvordan Simplitize bygger moderne integrationer på denne måde? 


                        Så hjælper vi gerne med rådgivning, arkitektur og implementering. 

                        Book møde her

                        Seneste artikler

                        Har du lyst til at tage en uforpligtende snak med os ?

                        Ja tak, jeg vil gerne kontaktes