Resultatene i korte trekk 

• Nesten 2 800 deaktiverte kontoer uten kjent årsak ryddet bort 

• Inaktive identiteter fjernet, 41 % av kontoene logget ikke inn som forventet 

• Innloggingslokasjoner gjennomgått for tjenestekontoer med høye rettigheter og ukjent eier 

• Rundt 200 000 kr i måneden i realiserte besparelser 

• Installasjon: én dag

Det startet med én kommune 

I løpet av 20 år vokste IT-samarbeidet IT-Centrum fra én kommune til fem i Region Uppsala, nord for Stockholm. Hver nye kommune som kom inn, hadde med seg sine egne rutiner, sin egen kultur og sin egen måte å fordele ansvar på. Med skyen kom fire Entra-tenants som skulle henge sammen med fem lokale AD-miljøer, og etter hvert som kommunene begynte å samarbeide tettere, inviterte de hverandre inn i Teams og SharePoint på kryss og tvers. 

Samuel Carlid har vært med på hele reisen. Han har jobbet med Active Directory siden det kom i 2000, og kjente miljøene bedre enn de fleste. IT-Centrum hadde også gjort det de fleste gjør: installert et IAM-system koblet til personal- og skolesystemene, slik at brukerkontoer ble opprettet og fjernet automatisk når folk begynte og sluttet. Spesialtilfellene løste de med litt PowerShell og litt Excel. 

Gåten var løst, tenkte vi. Ikke helt. 

For brukerkontoene er bare en del av bildet. Hver maskin har et konto. Hver gjest i et team har et konto. Hvert system som snakker med andre servere har et tjenestekonto. Og når et system legges ned, hvem sørger for at tjenestekontoene faktisk forsvinner? Et sted på veien innså de at grei kontroll i hver enkelt kommune ikke lenger summerte seg til kontroll over helheten. 

De regnet med litt opprydding. Tallene sa noe annet. 

IT-Centrum tok i bruk Bsure for å se hele organisasjonen samlet, på tvers av alle tenants. Forventningen var beskjeden: noen gamle politiker- og vikarkontoer som automatikken ikke hadde fanget opp, noen testkontoer fra IT og et par tjenestekontoer fra nedlagte systemer. 

Dataene viste noe annet. 41 % av kontoene logget ikke inn som forventet. Nesten 2 800 deaktiverte kontoer lå igjen uten at noen visste hvorfor. 20 tjenestekontoer hadde høye rettigheter uten kjent eier, og kunne i praksis logge inn fra hvor som helst i verden. 2 000 gjestekontoer hadde ikke logget inn på 90 dager, eksterne identiteter som fortsatt hadde innpass i delte Teams- og SharePoint-områder. 

Lisensene fortalte samme historie: 32 prosent lå på kontoer som ikke logget inn, 12 000 kr i måneden gikk til lisenser på deaktiverte kontoer, og 379 kontoer hadde både E3- og F3-lisens samtidig. 

Ett innsamlingspunkt, delegert ansvar 

Selve oppsettet var unnagjort på én dag: alle fire tenants koblet til ett sentralt punkt. 

Den virkelige nøkkelen var IT-Centrums egen arbeidsmodell. I stedet for å la én sentral gruppe rydde alt, valgte de å delegere innsynet utover i organisasjonen. Hver person ser sin egen del av miljøet, slik at den som jobber med helse og omsorg ser kontoene i helse og omsorg, og kan svare direkte på om de skal finnes og om de har riktig lisens. Slik ble jobben fordelt på dem som faktisk kjenner kontoene, i stedet for å lande på ett sentralt team. 

Arbeidet startet i slutten av januar, og ryddelistene har kommet inn fra kommunene løpende siden. Fire måneder senere var pengene spart, ikke bare beregnet. 

Det er faktisk morsommere å fjerne ting enn å lage dem, iblant.

Felles innsikt ga bedre samarbeid 

Tankegangen bak delegeringen var enkel. Funnene var ikke et teknisk problem. Teknikken kan identifisere problemene, men løsningen sitter hos menneskene som eier identitetene: sjefen som ansetter, HR, IT eller den som jobber med kontoene i hverdagen. Samuel har sett hva som skjer når den koblingen mangler: 

Jeg har sett mange systemer gjennom årene som kjøpes inn og skal løse alle problemer. Så blir de sittende fast hos IT-avdelingen eller hos en sjef, og når aldri ut til dem som faktisk kan bruke dem.

Derfor måtte innsikten ut av IT-avdelingen og ut til alle i kommunene som jobber med kontoer og samordning, sammen med et tydelig ansvar for å følge den opp. 

Og arbeidet ga en effekt ingen hadde planlagt: samarbeidet mellom de fem IT-miljøene ble merkbart bedre. Oppryddingen tvang frem samtaler på tvers av kommunegrensene, om hvem som eier hva og hvem som har ansvar for hvilke identiteter, og informasjon ble delt på kryss og tvers. Som Samuel sa: det samarbeidet kommer til å hjelpe dem i mange andre sammenhenger fremover. 

Mindre angrepsflate, lavere kostnader 

På sikkerhetssiden er de inaktive identitetene i praksis ryddet bort. Kontoer som kunne logge inn, men aldri gjorde det, er fjernet, og for tjenestekontoer med høye rettigheter er det gjennomgått hvor de faktisk logger inn fra. Et tjenestekonto som bare kjører i Sverige trenger ikke kunne logge inn fra et annet kontinent. 

På kostnadssiden frigjorde oppryddingen rundt 200 000 kr i måneden i lisenser ingen brukte. Bruksanalysen fant i tillegg brukere med E3-lisens som ut fra faktisk bruk klarer seg like godt med F3, et potensial på 42 000 kr til i måneden. 

Og gjennomføringen møtte ingen motstand internt. 

Dette er en av de få tingene ingen er imot. Alle ser jo nytten.

Ingen nye passordkrav og ingen ny friksjon i hverdagen, bare opprydding alle skjønner verdien av. 

Veien videre 

IT-Centrum fortsetter å delegere eierskap slik at riktige folk i hver kommune eier sine egne identiteter, og ryddingen fortsetter basert på dataene som kommer inn. Samuels råd til andre er enkelt: 

Man kan aldri håndtere eller sikre noe man ikke vet finnes. Derfor er det så viktig å finne ut hva man faktisk har.

Fire spørsmål å stille seg selv 

Og til alle som vil teste seg selv, har Samuel en liten sjekkliste. Den gjelder ikke bare brukerkontoer, men alle identiteter: maskiner, gjester, ressurser og tjenestekontoer inkludert. 

1. Vet du hvor mange identiteter dere har? 

2. Vet du hvordan de brukes? 

3. Vet du hvem som er ansvarlig for hver identitet? 

4. Og hva vet stakkarene utenfor IT-avdelingen? 

Erfaringene ble delt i et webinar Bsure arrangerte sammen med Microsoft i juni 2026. Vil du vite hva som ligger under overflaten i ditt eget Entra-miljø? Ta kontakt, så viser vi deg.