Resultaten i korthet 

• Nästan 2 800 avstängda konton utan känd orsak bortrensade 

• Inaktiva identiteter borttagna, 41 % av kontona loggade inte in som förväntat 

• Inloggningsplatser genomgångna för tjänstekonton med höga behörigheter och okänd ägare 

• Cirka 200 000 kronor i månaden i realiserade besparingar 

• Installation: en dag

Det började med en kommun 

Under 20 år växte IT-samarbetet IT-Centrum från en kommun till fem i Uppsala län. Varje ny kommun som kom in hade med sig sina egna rutiner, sin egen kultur och sin egen ansvarsfördelning. Med molnet kom fyra Entra-tenanter som skulle hänga ihop med fem lokala AD-miljöer, och när kommunerna började samarbeta tätare bjöd de in varandra till Teams och SharePoint-ytor hit och dit. 

Samuel Carlid har varit med på hela resan. Han har jobbat med Active Directory sedan det kom år 2000 och kände miljöerna bättre än de flesta. IT-Centrum hade också gjort det de flesta gör: installerat ett IAM-system kopplat till personal- och skolsystemen, så att användarkonton skapades och togs bort automatiskt när folk började och slutade. Specialfallen löste de med lite PowerShell och lite Excel. 

Gåten är löst, tänkte vi. Inte riktigt.

För användarkontona är bara en del av bilden. Varje dator har ett konto. Varje gäst i ett team har ett konto. Varje system som pratar med andra servrar har ett tjänstekonto. Och när ett system byts ut, vem ser till att tjänstekontona faktiskt försvinner? Någonstans på vägen kände de att de inte riktigt kunde ha kontroll över vem som är vem, var och hur. 

De räknade med lite städning. Siffrorna sa något annat. 

IT-Centrum tog in Bsure för att se hela organisationen samlad, över alla tenanter. Förväntningarna var blygsamma: några gamla politiker- och vikariekonton som automatiken inte fångat upp, några testkonton från IT och ett par tjänstekonton från avvecklade system. På det stora hela borde de ha hyfsad koll. 

Men hyfsad koll i en kommun, gånger fem, visade sig vara ett ganska stort glapp från bra kontroll. 41 procent av kontona loggade inte in som förväntat. Nästan 2 800 avstängda konton låg kvar utan att någon visste varför. 20 tjänstekonton hade höga behörigheter utan känd ägare, och kunde i praktiken logga in varifrån som helst. 2 000 gästkonton hade inte loggat in på minst 90 dagar, externa identiteter som fortfarande hade tillgång till delade Teams- och SharePoint-ytor. 

Licenserna berättade samma historia: 32 procent låg på konton som inte loggade in, 12 000 kronor i månaden gick till licenser på avstängda konton, och 379 konton hade både E3- och F3-licens samtidigt. 

En insamlingspunkt, delegerat ansvar 

Själva installationen var klar på en dag: alla fyra tenanter kopplade till en central punkt. 

Den verkliga nyckeln var IT-Centrums egen arbetsmodell. I stället för att låta en central grupp städa allt valde de att delegera insynen ut i organisationen. Varje person ser sin egen del av miljön, så att den som jobbar med konton inom vård och omsorg ser kontona i vård och omsorg, och direkt kan svara på om de ska finnas och om de har rätt licens. Så fördelades jobbet på dem som faktiskt känner kontona, i stället för att hamna hos ett centralt team. 

Arbetet startade i slutet av januari, och städlistorna har kommit in från kommunerna löpande sedan dess. Fyra månader senare var pengarna sparade, inte bara beräknade. 

Ta bort saker är roligare än att skapa dem ibland.

Gemensam insikt gav bättre samarbete 

Tanken bakom delegeringen var enkel. Fynden var inte ett tekniskt problem. Tekniken kan identifiera problemen, men lösningen sitter hos människorna som äger identiteterna: chefen som anställer, HR, IT eller den som jobbar med kontona i vardagen. Samuel har sett alltför många inköpta system som skulle lösa alla problem men aldrig nådde fram: 

Sen fastnar de på IT-avdelningen eller så fastnar de hos en chef någonstans. Men de kommer aldrig ut till de som faktiskt kan nyttja dem.

Därför behövde insikten ut från IT-avdelningen, ut till alla i kommunerna som jobbar med konton och samordning, tillsammans med ett tydligt ansvar att följa upp den. 

Och arbetet gav en effekt ingen hade planerat: samarbetet mellan de fem IT-verksamheterna blev märkbart bättre. Städningen tvingade fram samtal över kommungränserna om vem som äger vad och vem som ansvarar för vilka identiteter, och information delades hit och dit. Som Samuel sa: det samarbetet kommer att kunna hjälpa i många andra sammanhang framöver. 

Mindre attackyta, lägre kostnader 

På säkerhetssidan är de inaktiva identiteterna i praktiken helt bortrensade. Konton som kunde logga in men aldrig gjorde det är borttagna, och för tjänstekonton med höga behörigheter har de gått igenom varifrån kontona faktiskt loggar in. Ett tjänstekonto som bara kör i Sverige behöver inte kunna logga in från ett helt annat land. 

På kostnadssidan frigjorde städningen cirka 200 000 kronor i månaden i licenser som ingen använde. AI-analysen hittade dessutom användare med E3-licens som utifrån faktisk användning skulle klara sig lika bra med F3, en potential på ytterligare 42 000 kronor i månaden. 

Och genomförandet mötte inget motstånd internt. 

Det här är en sak som ingen är emot. Alla tycker faktiskt att det här är jättebra, för de ser ju nyttan.

Inga nya lösenordskrav och ingen ny friktion i vardagen, bara en uppstädning som alla förstår värdet av. 

Vägen framåt 

IT-Centrum fortsätter att delegera ägarskap så att rätt personer i varje kommun äger sina egna identiteter, och städningen fortsätter utifrån den data som löpande kommer in. Samuels råd till andra är enkelt: 

Man kan aldrig hantera eller säkra upp någonting som man inte vet finns. Därför är det väldigt viktigt att man tar reda på vad man faktiskt har.

Fyra frågor att ställa sig 

Och till alla som vill testa sig själva har Samuel en liten checklista. Den gäller inte bara användarkonton, utan alla identiteter: datorer, gäster, resurser och tjänstekonton inräknade. 

1. Vet du hur många identiteter ni har? 

2. Vet du hur de används? 

3. Vet du vem som är ansvarig för varje identitet? 

4. Vad vet stackarna utanför IT-avdelningen? 

Erfarenheterna delades i ett webbinarium som Bsure arrangerade tillsammans med Microsoft i juni 2026. Vill du veta vad som finns under ytan i din egen Entra-miljö? Hör av dig, så visar vi dig.