Advi AccessPackages — Identity Governance Design

🎯

Oversikt

Designet er bygget for en liten bedrift med to hovedområder (Konsulent og MSP), men er strukturert for å skalere. Alle tilganger styres gjennom Access Packages i Entra ID — ansatte søker om tilgang, ledere godkjenner, og tilganger fjernes automatisk ved utløp eller manglende review.

Kataloger

~28

Access Packages

~27

Entra-grupper

👥

Rolleoversikt — Komplett tilgangsmatrise

Denne matrisen viser alle tilganger per rolle, inkludert systemer som styres via Access Packages (Entra ID) og eksterne systemer med egne rollebaserte tilganger.

System / Tilgang	Intern	Konsulent	MSP Tekniker	Leder	Lærling	Fagansv.	Kilde
Felles (alle ansatte)
Teams — felleskanaler	✓	✓	✓	✓	✓		Access Package
SharePoint — fellesområde	✓	✓	✓	✓	✓		Access Package
Tripletex	✓	✓	✓	✓	✓		Ekstern (manuell)
Security Awareness Training (SSO)	✓	✓	✓	✓	✓		Access Package
Login for uniFLOW Online	✓	✓	✓	✓	✓		Access Package
Konsulent
Advi - Konsulent		✓					Access Package
Partner Portal		✓					Access Package
Visma Connect		✓					Access Package
Hudu SSO		✓	✓				Access Package
Hudu — team/tilgang		✓	✓				Ekstern (Hudu RBAC)
Advi - Support		✓	✓				Access Package
Advi - Monitoring		✓	✓				Access Package
Azure DevOps		✓					Access Package
GitHub Copilot		✓					Access Package
SWA — ca.advi.no, secgen, tier, pim		✓					Access Package
MSP
Huntress			✓				Access Package
CIPP			✓				Access Package
Keepit			✓				Access Package
Unifi			✓				Ekstern (Unifi RBAC)
SWA — csp.advi.no			✓				Access Package
Leder (tillegg)
SharePoint — ledelsesområde				✓			Access Package
Power BI — rapporter				✓			Access Package
Tripletex — admin/økonomi				✓			Ekstern (Tripletex rolle)
Lærling / Fagansvarlig
SWA — dojo.advi.no (læringsplattform)					✓	✓	Access Package
SWA — grow.advi.no					✓	✓	Access Package
Teams — Lærling-team					✓	✓	Access Package
SWA — academy.advi.no					✓	✓	Access Package
Lisenser — Basis (alle ansatte)
Microsoft 365 E5 EEA (no Teams)	✓	✓	✓	✓	✓		Gruppebasert lisens
Microsoft Teams EEA	✓	✓	✓	✓	✓		Gruppebasert lisens
Microsoft Teams Premium	✓	✓	✓	✓	✓		Gruppebasert lisens
Microsoft Entra Suite	✓	✓	✓	✓	✓		Gruppebasert lisens
Microsoft Defender for Endpoint P2	✓	✓	✓	✓	✓		Gruppebasert lisens
Microsoft Entra ID P2	✓	✓	✓	✓	✓		Gruppebasert lisens
Lisenser — Avdelingsspesifikke
Microsoft Entra Suite Add-on		✓					Gruppebasert lisens
Lisenser — Valgfrie (søkes om separat)
Microsoft 365 Copilot	○	○	○	○			Access Package
Teams Phone Standard	○	○	○	○			Access Package
Visio Plan 2	○	○	○	○			Access Package
Power BI Premium Per User	○	○	○	○			Access Package
Power Automate Premium	○	○	○	○			Access Package
Windows 365 Enterprise	○	○	○	○			Access Package
Planner and Project Plan 5	○	○	○	○			Access Package
Lab (søkes om separat)
Lab — Azure Sandbox	○	○	○	○	○		Access Package
Lab — Twingate	○	○	○	○	○		Access Package

✓ = Inkludert i rollen ○ = Kan søkes om (alle ansatte) Access Package = Styrt via Entra ID Gruppebasert lisens = Automatisk via basispakke Ekstern = Manuell tildeling i eksternt system

🏗

Arkitektur

graph TB
    subgraph ELM["Entra ID — Entitlement Management"]
        direction TB
        subgraph CAT1["Katalog: Advi Ansatte"]
            R1["Basis - Intern"]
            R2["Basis - Konsulent"]
            R3["Basis - MSP Tekniker"]
            R4["Basis - Leder"]
            R5["Basis - Lærling"]
            R6["Basis - Lærling Fagansvarlig"]
        end
        subgraph CAT2["Katalog: MSP"]
            M1["App - Huntress"]
            M2["App - CIPP"]
            M3["App - Hudu"]
            M4["App - Keepit"]
            M5["Alle MSP Kunder"]
            M6["Kunde - ..."]
        end
        subgraph CAT3["Katalog: Konsulent"]
            K1["App - Azure DevOps"]
            K2["App - GitHub Copilot"]
            K3["SWA - ca.advi.no"]
            K4["SWA - secgen.advi.no"]
            K5["SWA - tier.advi.no"]
            K6["Kunde - ..."]
        end
        subgraph CAT4["Katalog: Lab"]
            L1["Lab - Azure Sandbox"]
            L2["Lab - M365 Dev Tenant"]
            L3["Lab - Sikkerhetstesting"]
            L4["Lab - Twingate"]
        end
        subgraph CAT5["Katalog: Lisenser"]
            LI1["Lisens - Copilot"]
            LI2["Lisens - Teams Phone"]
            LI3["Lisens - Visio"]
            LI4["Lisens - Power BI Premium"]
            LI5["Lisens - Power Automate"]
            LI6["Lisens - Windows 365"]
            LI7["Lisens - Project"]
        end
    end

    USER["Ansatt"] -->|"Søker tilgang"| ELM
    ELM -->|"Tildeler"| GRP["Entra ID Grupper
(AP-prefiks)"]
    GRP -->|"Gir tilgang til"| RES["Ressurser
Enterprise Apps · SWA · Teams · SharePoint · Lisenser"]

    style ELM fill:#f8fafc,stroke:#0d3c74,stroke-width:2px
    style CAT1 fill:#eff6ff,stroke:#1e40af
    style CAT2 fill:#f0fdf4,stroke:#166534
    style CAT3 fill:#fef3c7,stroke:#92400e
    style CAT4 fill:#f3e8ff,stroke:#6b21a8
    style CAT5 fill:#fce7f3,stroke:#9d174d
    style USER fill:#0d3c74,color:#fff,stroke:#0d3c74
    style GRP fill:#0693e3,color:#fff,stroke:#0693e3
    style RES fill:#10b981,color:#fff,stroke:#10b981

📁

Kataloger

Kataloger grupperer relaterte access packages og ressurser. Vi konsoliderer fra 7 til 5 kataloger for å forenkle administrasjonen.

Katalog	Formål	Synlig eksternt	Erstatter
Advi Ansatte	Rollebaserte pakker for onboarding og organisasjonstilhørighet	Nei	Beholdes
Konsulent	Konsulent-apper, kundeteam og prosjektressurser	Nei	Slår sammen «Konsulent» + «Konsulent kunder»
MSP	MSP-apper, kundeteam og driftsverktøy	Nei	Slår sammen «MSP» + «MSP Kunder»
Lab	Lab-miljø, sandbox og testtilganger	Nei	Rename fra «Advi Lab»
Lisenser	Software-lisenser ansatte kan søke om (gruppebasert tildeling)	Nei	NY

🏷

Navnestandard

Entra ID-grupper

Alle grupper som styres av Access Packages bruker AP- prefiks for enkel filtrering og identifisering.

── Format ──
AP-{Katalog}-{Type}-{Navn}

── Eksempler ──
AP-Ansatte-Basis-Konsulent
AP-MSP-App-Huntress
AP-MSP-Kunde-ContosoAS
AP-Konsulent-App-AzureDevOps
AP-Lab--AzureSandbox
AP-Lisens--Copilot

Access Packages

Bruker {Type} - {Navn} format for oversiktlig visning i Entra-portalen.

── Format ──
{Type} - {Navn}

── Typer ──
Basis - Konsulent
App - Huntress
Kunde - Contoso AS
Lab - Azure Sandbox
Lisens - Copilot

👤

Katalog: Advi Ansatte — Basispakker per rolle

Hver rolle har en basispakke som samler alle tilganger rollen trenger i dag-1. Nye ansatte tildeles Basis - Intern (felles) + sin avdelingsrolle ved onboarding. Ansatte trenger ikke søke om enkeltapper — basispakken gir alt de trenger for å komme i gang.

Basis - Intern

Felles grunnpakke som tildeles alle ansatte uavhengig av rolle. Gir tilgang til felles arbeidsflater, kommunikasjon og verktøy som hele organisasjonen bruker daglig.

AP-Ansatte-Basis-Intern

Ressurs	Type	Beskrivelse
Teams — Advi felleskanaler	M365 Gruppe	Felles Teams-kanaler for hele organisasjonen — allmøter, nyheter, sosial kanal. Alle ansatte må være med her for intern kommunikasjon.
SharePoint — Fellesområde	SharePoint	Felles dokumentbibliotek med policyer, maler, HR-dokumenter og intranett-innhold. Sentralt for all intern dokumentasjon.
Security Awareness Training (SSO)	Enterprise App	Obligatorisk sikkerhetsopplæring for alle ansatte. Brukes til phishing-simuleringer, kurs og compliance-tracking. Alle må fullføre kvartalsvise kurs.
Login for uniFLOW Online	Enterprise App	Utskriftsløsning for kontoret. Gir sikker pull-printing på alle skrivere via badge eller mobilapp. Alle som bruker kontoret trenger dette.
Lisenser (gruppebasert tildeling)
Microsoft 365 E5 EEA (no Teams)	Lisens	Hovedlisensen for alle ansatte. Inkluderer Exchange Online, SharePoint, OneDrive, Office-apper, Defender for Office 365, Purview compliance, eDiscovery, DLP og avansert sikkerhet. Grunnmuren for alt digitalt arbeid.
Microsoft Teams EEA	Lisens	Teams-lisens (EU/EØS-separat fra E5 pga. regulatoriske krav). Gir tilgang til chat, møter, kanaler og samarbeidsfunksjoner i Microsoft Teams.
Microsoft Teams Premium	Lisens	Avanserte Teams-funksjoner — intelligent møteoppsummering, live-oversettelse, tilpassede møtemaler, avansert webinar og Teams-romforvaltning.
Microsoft Entra Suite	Lisens	Samlepakke for identitetssikkerhet — inkluderer Entra Internet Access, Private Access, ID Governance og ID Protection. Gir Zero Trust-nettverkstilgang og avansert identitetsbeskyttelse.
Microsoft Defender for Endpoint P2	Lisens	Endepunktssikkerhet med EDR (Endpoint Detection & Response), automatisert undersøkelse, trusseljakt og sårbarhetsadministrasjon. Beskytter alle enheter mot avanserte trusler.
Microsoft Entra ID P2	Lisens	Avansert identitetssikkerhet for alle ansatte — Privileged Identity Management (PIM), risikobasert Conditional Access, Identity Protection og access reviews. Gir organisasjonen full kontroll over identitets- og tilgangsstyring.

Merk: Lisensene tildeles automatisk via gruppebasert lisenstildeling på AP-Ansatte-Basis-Intern-gruppen. Tripletex (regnskap/timer) tildeles manuelt utenfor Access Packages.

Basis - Konsulent

Alt en konsulent trenger fra dag 1. Samler alle Enterprise Apps, arbeidsflater og verktøy som konsulentavdelingen bruker daglig for kundearbeid, rådgivning og prosjektlevering.

AP-Ansatte-Basis-Konsulent

Ressurs	Type	Beskrivelse
Advi - Konsulent	Enterprise App	Hoved-portalen for konsulentavdelingen. Inneholder prosjektoversikter, kundestatuser, interne verktøy og dashboards som konsulentene bruker daglig for å styre arbeidet sitt.
Partner Portal	Enterprise App	Microsoft Partner Portal for partnertilknytning. Brukes til å registrere kunderelasjoner (CPOR/PAL), få tilgang til partnerfondeler og hente tekniske ressurser fra Microsoft.
Visma Connect	Enterprise App	Integrasjon mot Visma for økonomistyring og fakturering. Konsulenter bruker dette for timeregistrering på kundeprosjekter og for å se fakturastatus.
Hudu SSO	Enterprise App	Single Sign-On til Hudu dokumentasjonsplattform. Gir SSO-tilgang — de faktiske team-tilgangene i Hudu styres separat via Hudus eget RBAC-system.
Advi - Support	Enterprise App	Intern supportportal for å opprette og følge opp henvendelser. Brukes av konsulenter for å eskalere kundesaker, melde feil og få intern support fra MSP-teamet.
Advi - Monitoring	Enterprise App	Overvåkingsportal for kundenes IT-miljøer. Gir konsulenter innsyn i helsetilstand, varsler og ytelse på de kundene de jobber med.
Teams — Konsulentkanaler	M365 Gruppe	Teams-kanaler dedikert til konsulentavdelingen — fagdiskusjoner, kundecase-deling, best practices og intern koordinering.
SharePoint — Konsulentområde	SharePoint	Dokumentbibliotek med konsulentmaler, rammeverk, kundeleveranse-maler, og fagdokumentasjon som konsulentene bruker i leveranser.
Tilleggslisens (gruppebasert tildeling)
Microsoft Entra Suite Add-on	Lisens	Tillegg til Entra Suite med utvidet funksjonalitet for identitetsstyring — avansert tilgangsadministrasjon og utvidede governance-funksjoner for konsulentarbeid.

Merk: Entra ID P2 tildeles via Basis - Intern (alle ansatte). Hudu team-tilganger og Tripletex konsulentrolle tildeles manuelt. Azure DevOps, GitHub Copilot, SWA-portaler og Planner/Project søkes om separat.

Basis - MSP Tekniker

Alt en MSP-tekniker trenger fra dag 1. Samler alle driftsverktøy, kundetilganger og arbeidsflater som MSP-avdelingen bruker for å levere daglig IT-drift og sikkerhet til kundene.

AP-Ansatte-Basis-MSPTekniker

Ressurs	Type	Beskrivelse
Huntress	Enterprise App	EDR/MDR-plattform (Endpoint Detection & Response). Brukes til å overvåke sikkerhetstrusler på kundenes enheter, håndtere varsler og respondere på sikkerhetshendelser.
CIPP	Enterprise App	CyberDrain Improved Partner Portal — sentralt administrasjonsverktøy for Microsoft 365-tenanter. Brukes for å administrere brukere, lisenser, policyer og sikkerhet på tvers av alle kundetenanter.
Hudu SSO	Enterprise App	Single Sign-On til Hudu dokumentasjonsplattform der all kundedokumentasjon, passord, prosedyrer og nettverkskart lagres. Kritisk verktøy for daglig drift.
Keepit	Enterprise App	Cloud backup-plattform for Microsoft 365-data. Brukes til å overvåke backupstatus, gjenopprette data og sikre at alle kunders e-post, SharePoint og Teams er beskyttet.
Advi - Support	Enterprise App	Supportportal der MSP-teknikere mottar, prioriterer og løser kundehenvendelser. Sentralt verktøy for all kundesupport.
Advi - Monitoring	Enterprise App	Overvåkingsportal for kundenes infrastruktur. Viser sanntidsstatus på servere, nettverk, endepunkter og skytjenester. Brukes for proaktiv drift.
Alle MSP Kunder (Teams)	M365 Gruppe	Teams-struktur med kanaler per MSP-kunde. Brukes for intern kommunikasjon om kundesaker, deling av notater og samarbeid mellom teknikere.
SharePoint — MSP-område	SharePoint	MSP-avdelingens dokumentområde med driftsprosedyrer, eskaleringsrutiner, SLA-dokumentasjon og interne rutiner.

Merk: Entra ID P2 tildeles via Basis - Intern (alle ansatte). Unifi og Hudu team-tilganger tildeles manuelt. SWA-portalen csp.advi.no og Planner/Project søkes om separat.

Basis - Leder

Tilleggspakke som gis i tillegg til avdelingsrollen. Gir ledere tilgang til økonomidata, rapportering og HR-ressurser de trenger for personalansvar og strategisk styring.

AP-Ansatte-Basis-Leder

Ressurs	Type	Beskrivelse
SharePoint — Ledelsesområde	SharePoint	Dokumentbibliotek med strategidokumenter, budsjetter, personalfiler, styredokumenter og konfidensielle ledelsesressurser.
Power BI — Lederrapporter	Power BI Workspace	Dashboards med KPI-er, økonomioversikter, prosjektmarginrapporter, ressursutnyttelse og kundetilfredshet. Gir ledere beslutningsgrunnlag.
HR-ressurser	M365 Gruppe	Tilgang til HR-relaterte Teams-kanaler og dokumenter — medarbeidersamtaler, sykefraværsoppfølging, kompetanseplaner og rekrutteringsverktøy.

Merk: Tripletex admin/økonomi-rolle tildeles manuelt. Denne pakken kommer i tillegg til Basis - Konsulent eller Basis - MSP Tekniker.

Basis - Lærling

Tilpasset pakke for lærlinger i bedriften. Gir tilgang til læringsplattformer, eget team og mentorressurser. Lærlinger får denne + Basis - Intern.

AP-Ansatte-Basis-Laerling

Ressurs	Type	Beskrivelse
SWA — dojo.advi.no	Azure SWA	Læringsplattform med strukturerte læringsløyper, sertifiseringsforberedelser og praktiske labs. Lærlinger følger et planlagt opplæringsprogram her.
SWA — grow.advi.no	Azure SWA	Advis kompetanseutviklingsportal. Inneholder karriereveier, kompetansematriser, måloppnåelse og faglig utviklingsplan for lærlinger.
SWA — academy.advi.no	Azure SWA	Advi Academy — intern kursportal med forelesninger, oppgaver og hands-on-labs for Microsoft 365 og Azure. Lærlinger bruker dette som hovedressurs.
Teams — Lærling-team	M365 Gruppe	Dedikert Teams-team for lærlinger med mentor-kanal, ukentlige check-ins, læringsdagbok og samarbeid med andre lærlinger og veiledere.

Basis - Lærling Fagansvarlig

Tilleggspakke for ansatte som er fagansvarlig for lærlinger. Gir tilgang til læringsplattformer og lærling-teamet for å følge opp, veilede og evaluere lærlinger. Kombineres med den ansattes vanlige basispakke.

AP-Ansatte-Basis-LaerlingFagansvarlig

Ressurs	Type	Beskrivelse
SWA — dojo.advi.no	Azure SWA	Læringsplattform med læringsløyper og sertifiseringsforberedelser. Fagansvarlig bruker dette for å følge lærlingens progresjon og tildele oppgaver.
SWA — grow.advi.no	Azure SWA	Kompetanseutviklingsportal. Fagansvarlig bruker denne til å sette mål, følge opp kompetansematriser og evaluere lærlingens faglige utvikling.
SWA — academy.advi.no	Azure SWA	Intern kursportal. Fagansvarlig kan tilordne kurs, se fullføringsgrad og sikre at lærlingen følger opplæringsplanen.
Teams — Lærling-team	M365 Gruppe	Dedikert Teams-team for lærlinger. Fagansvarlig deltar i mentor-kanalen, leder ukentlige check-ins og følger opp læringsdagbok.

Merk: Dette er en tilleggspakke — fagansvarlig får denne i tillegg til sin vanlige basispakke (f.eks. Basis - Konsulent). Personen trenger ikke være lærling selv.

Onboarding-matrise — Hvilke basispakker tildeles?

Ny ansatt er...	Tildeles disse basispakkene	Antall apper/ressurser
Konsulent	Basis - Intern + Basis - Konsulent	10 + 9 = 19 ressurser (inkl. 7 lisenser)
MSP Tekniker	Basis - Intern + Basis - MSP Tekniker	10 + 8 = 18 ressurser (inkl. 6 lisenser)
Leder (konsulent)	Basis - Intern + Basis - Konsulent + Basis - Leder	10 + 9 + 3 = 22 ressurser
Lærling	Basis - Intern + Basis - Lærling	10 + 4 = 14 ressurser (inkl. 6 lisenser)
Lærling Fagansvarlig (konsulent)	Basis - Intern + Basis - Konsulent + Basis - Lærling Fagansvarlig	10 + 9 + 4 = 23 ressurser

🛠

Katalog: MSP — Apper og kunder

Access Package	Beskrivelse	Entra-gruppe	Ressurstype
App - Huntress	Tilgang til Huntress EDR-portal	`AP-MSP-App-Huntress`	Enterprise App
App - CIPP	Tilgang til CIPP M365-administrasjon	`AP-MSP-App-CIPP`	Enterprise App
App - Hudu	Tilgang til Hudu dokumentasjonsportal	`AP-MSP-App-Hudu`	Enterprise App
App - Keepit	Tilgang til Keepit backup-portal	`AP-MSP-App-Keepit`	Enterprise App
Static Web Apps (SWA)
SWA - csp.advi.no	CSP License Portal — lisensadministrasjon	`AP-MSP-SWA-CspAdviNo`	Azure SWA
Kundeteam
Alle MSP Kunder	Teams-tilgang til alle MSP-kunder	`AP-MSP-Kunde-Alle`	Teams / Gruppe
Kunde - {Kundenavn}	Enkelt kundeteam (opprettes ved behov)	`AP-MSP-Kunde-{Navn}`	Teams / Gruppe

💼

Katalog: Konsulent — Apper og kunder

Access Package	Beskrivelse	Entra-gruppe	Ressurstype
App - Azure DevOps	Tilgang til Azure DevOps-prosjekter	`AP-Konsulent-App-AzureDevOps`	Enterprise App
App - GitHub Copilot	Tilgang til GitHub Copilot for utviklere	`AP-Konsulent-App-GitHubCopilot`	Enterprise App
Static Web Apps (SWA)
SWA - ca.advi.no	Conditional Access Framework — policy-design og dokumentasjon	`AP-Konsulent-SWA-CaAdviNo`	Azure SWA
SWA - secgen.advi.no	Security Report Generator — sikkerhetsrapporter	`AP-Konsulent-SWA-SecgenAdviNo`	Azure SWA
SWA - tier.advi.no	Azure Tiering Reference — administrativ lagdeling	`AP-Konsulent-SWA-TierAdviNo`	Azure SWA
SWA - pim.advi.no	PIM Reference — Privileged Identity Management	`AP-Konsulent-SWA-PimAdviNo`	Azure SWA
Kundeteam
Kunde - {Kundenavn}	Prosjekt-/kundeteam (opprettes ved behov)	`AP-Konsulent-Kunde-{Navn}`	Teams / Gruppe

🧪

Katalog: Lab — Test og sandbox

Lab-tilganger utløper automatisk etter 90 dager. Ingen access review nødvendig — brukere må søke på nytt.

Access Package	Beskrivelse	Entra-gruppe	Auto-expire
Lab - Azure Sandbox	Azure-abonnement for testing	`AP-Lab-AzureSandbox`	90 dager
Lab - M365 Dev Tenant	Tilgang til dev-tenant	`AP-Lab-M365Dev`	90 dager
Lab - Sikkerhetstesting	Verktøy og miljø for sikkerhetstesting	`AP-Lab-Sikkerhetstesting`	90 dager
Lab - Twingate	VPN/Zero Trust-tilgang til lab-infrastruktur via Twingate	`AP-Lab-Twingate`	90 dager

📦

Katalog: Lisenser — Software og tillegg

Lisensgrupper bruker gruppebasert lisenstildeling i Entra ID. Når en bruker legges i f.eks. AP-Lisens-Copilot, tildeles lisensen automatisk. Merk: Basislisenser (E5, Teams, Entra Suite, Defender) tildeles via basispakkene — her er kun tilleggslisenser som må søkes om separat.

Basislisenser (tildeles automatisk via basispakker)

Lisens	Tildeles via	SKU	Beskrivelse
Microsoft 365 E5 EEA (no Teams)	Basis - Intern	M365_E5_EEA_NO_TEAMS	Hovedlisens — Office, Exchange, SharePoint, OneDrive, Defender for O365, Purview, eDiscovery, DLP
Microsoft Teams EEA	Basis - Intern	MICROSOFT_TEAMS_EEA	Teams (EU/EØS-separat) — chat, møter, kanaler, samarbeid
Microsoft Teams Premium	Basis - Intern	MICROSOFT_TEAMS_PREMIUM	Avanserte møtefunksjoner — AI-oppsummering, live-oversettelse, tilpassede maler
Microsoft Entra Suite	Basis - Intern	MICROSOFT_ENTRA_SUITE	Internet Access, Private Access, ID Governance, ID Protection — Zero Trust
Microsoft Defender for Endpoint P2	Basis - Intern	DEFENDER_ENDPOINT_P2	EDR, automatisert undersøkelse, trusseljakt, sårbarhetsadministrasjon
Microsoft Entra ID P2	Basis - Intern	AAD_PREMIUM_P2	PIM, risikobasert CA, Identity Protection, access reviews — alle ansatte
Microsoft Entra Suite Add-on	Basis - Konsulent	ENTRA_SUITE_ADDON	Utvidet Entra-funksjonalitet for konsulentarbeid

Tilleggslisenser (søkes om via Access Package)

Access Package	Lisens	Entra-gruppe	SKU	Beskrivelse
Lisens - Copilot	Microsoft 365 Copilot	`AP-Lisens-Copilot`	M365_COPILOT	AI-assistent integrert i alle Office-apper, Teams og Outlook. Brukes for å skrive, oppsummere, analysere og automatisere daglige oppgaver. Kostbar lisens — krever godkjenning.
Lisens - Teams Phone	Microsoft Teams Phone Standard	`AP-Lisens-TeamsPhone`	MCOEV	Telefoni via Teams — gir mulighet for å ringe og motta samtaler på vanlige telefonnumre. Brukes av ansatte som trenger bedriftstelefon via Teams. Krever også Calling Plan eller Direct Routing.
Lisens - Visio	Visio Plan 2	`AP-Lisens-Visio`	VISIOCLIENT	Profesjonelt diagramverktøy for nettverksdiagrammer, prosessflyter, arkitekturskisser og organisasjonskart. Nyttig for konsulenter som lager kundeleveranser.
Lisens - Power BI Premium	Power BI Premium Per User	`AP-Lisens-PowerBIPremium`	PBI_PREMIUM_PER_USER	Avansert dataanalyse og rapportering utover det som er inkludert i E5. Gir tilgang til paginated reports, dataflows, AI-funksjoner og større datakapasitet.
Lisens - Power Automate	Power Automate Premium	`AP-Lisens-PowerAutomate`	FLOW_PER_USER	Avansert prosessautomatisering — RPA (Robotic Process Automation), AI Builder, premium-konnektorer og ubegrenset flow-kjøring. For automatisering av komplekse arbeidsflyter.
Lisens - Windows 365	Windows 365 Enterprise	`AP-Lisens-Windows365`	CPC_E_8C_32GB_512GB	Cloud PC (8 vCPU, 32 GB RAM, 512 GB lagring) — gir en full Windows-arbeidsstasjon i skyen. Brukes for remote-arbeid, utviklingsmiljø eller når ansatte trenger kraftig maskinvare på farten.
Lisens - Project	Planner and Project Plan 5	`AP-Lisens-Project`	PROJECTPREMIUM	Avansert prosjektstyring med Gantt-diagrammer, ressursplanlegging, tidslinje og porteføljestyring. Utvider Planner med enterprise-funksjoner for større prosjektleveranser.

🔒

Policyer og godkjenning

Katalog	Hvem kan søke	Godkjenner	Varighet	Fornybar
Advi Ansatte Basispakker	Alle ansatte	Leder (1. nivå)	Permanent	Ja (med review)
MSP Apper	MSP-teknikere	MSP-leder	Permanent	Ja (med review)
MSP Kunder	MSP-teknikere	MSP-leder	365 dager	Ja
Konsulent Apper + SWA	Konsulenter	Konsulentleder	Permanent	Ja (med review)
MSP SWA	MSP-teknikere	MSP-leder	Permanent	Ja (med review)
Konsulent Kunder	Konsulenter	Prosjektleder	180 dager	Ja
Advi Ansatte Lærling	Lærlinger	Leder (1. nivå)	365 dager	Ja (med review)
Lab	Alle ansatte	Auto-godkjent	90 dager	Ja
Lisenser	Alle ansatte	Leder (1. nivå)	Permanent	Ja (med review)

🔄

Access Reviews

Hva	Frekvens	Reviewer	Auto-fjern	Merknad
Basispakker (Advi Ansatte)	Årlig	Leder	Nei (eskaler)	Endres sjelden, lav risiko
MSP/Konsulent apper	Årlig	Avdelingsleder	Ja	Fjerner tilgang ved manglende svar
Kundeteam	Kvartalsvis	Prosjekt-/kundeeier	Ja	Hyppig review pga. prosjektendringer
Lab	Ikke nødvendig	—	Auto-expire	90 dager auto-utløp
Lisenser	Halvårlig	Leder	Ja	Kostnadskontroll — fjerner ubrukte lisenser

🔀

Tilgangsflyt & diagrammer

Søknadsflyt — fra forespørsel til tilgang

Ansatt

Søker tilgang i MyAccess-portalen

Policy

Godkjenningspolicy evalueres

Teams

Leder godkjenner via Adaptive Card

Entra ID

Legges i AP-gruppe automatisk

Tilgang

Apper, lisenser og ressurser aktivert

Ansatt søker tilgang

MyAccess-portalen

Policy evalueres

Godkjenningskrav sjekkes

Teams godkjenning

Leder godkjenner via Adaptive Card

Entra ID oppdateres

Bruker legges i AP-gruppe

Tilgang aktivert

Apper, lisenser og ressurser klar

Ansatt søker tilgang i MyAccess

Ansatte går til myaccess.microsoft.com og velger en tilgangspakke fra katalogen. De fyller inn begrunnelse og sender søknaden. Tilgjengelige pakker styres av Access Package-policyen — ansatte ser kun det de har lov til å søke om.

Eksempel: Konsulent Ola søker om «App - Azure DevOps» i Konsulent-katalogen med begrunnelse: «Trenger tilgang for kundeprosjekt Q2»

Godkjenningspolicy evalueres

Entra ID Governance sjekker policyen for pakken. Lab-pakker auto-godkjennes uten godkjenner. Basispakker og Konsulent/MSP-apper krever leder-godkjenning (1. nivå). Lisenser krever IT-admin-godkjenning.

Lab
Auto-godkjent

Basis / Apper
Leder godkjenner

Lisenser
IT-admin godkjenner

Leder godkjenner via Teams Adaptive Card

Godkjenner mottar en interaktiv Teams Adaptive Card med alle detaljer om forespørselen. De kan godkjenne, avslå eller se forespørselen i MyAccess-portalen direkte fra Teams.

Tilgangsforespørsel

Ny forespørsel venter på godkjenning

Detaljer

Søker:Ola Nordmann

Pakke:App - Azure DevOps

Katalog:Konsulent

Begrunnelse:Trenger tilgang for kundeprosjekt Q2

Tidspunkt:26. feb 2026, 09:15

Godkjenn Avslå Se i MyAccess

Entra ID oppdaterer gruppemedlemskap

Når forespørselen godkjennes, legger Entra ID brukeren i den tilhørende AP-gruppen. Gruppemedlemskapet gir automatisk tilgang til alle koblede ressurser — enterprise apps via SSO, lisenser via gruppebasert tildeling, og SharePoint/Teams via gruppetilknytning.

# Godkjenning fullført — Entra ID:
Bruker: ola.nordmann@advi.no
Lagt til i: AP-Konsulent-App-AzureDevOps
Tilgang: Azure DevOps (Enterprise App SSO)

Tilgang aktivert — apper, lisenser og ressurser klar

Brukeren har nå tilgang. For Enterprise Apps fungerer SSO umiddelbart. For lisenser tildeles disse automatisk via gruppebasert lisenstildeling (kan ta opptil 15 minutter). For Azure SWA-er styres tilgang via AAD-roller på appen. Alt logges i Entra ID audit-loggen for full sporbarhet.

Gruppekobling — Pakke til ressurs

graph LR
    subgraph AP["Access Packages"]
        P1["Basis - Konsulent"]
        P2["App - Huntress"]
        P3["SWA - ca.advi.no"]
        P4["Lisens - Copilot"]
        P5["Lab - Azure Sandbox"]
    end

    subgraph GR["Entra Grupper"]
        G1["AP-Ansatte-Basis-Konsulent"]
        G2["AP-MSP-App-Huntress"]
        G3["AP-Konsulent-SWA-CaAdviNo"]
        G4["AP-Lisens-Copilot"]
        G5["AP-Lab-AzureSandbox"]
    end

    subgraph RES["Ressurser"]
        R1["8 Enterprise Apps
Teams · SharePoint"]
        R2["Enterprise App:
Huntress Portal"]
        R3["Azure SWA:
ca.advi.no"]
        R4["Lisens: M365 Copilot
(gruppebasert)"]
        R5["Azure RBAC:
Sandbox Subscription"]
    end

    P1 --> G1 --> R1
    P2 --> G2 --> R2
    P3 --> G3 --> R3
    P4 --> G4 --> R4
    P5 --> G5 --> R5

    style AP fill:#eff6ff,stroke:#1e40af
    style GR fill:#f0fdf4,stroke:#166534
    style RES fill:#fef3c7,stroke:#92400e

Access Review livssyklus

graph LR
    A["Tilgang tildelt"] --> B["Review-periode starter"]
    B --> C{"Reviewer svarer?"}
    C -->|"Godkjent"| D["Tilgang beholdes"]
    C -->|"Avslått"| E["Tilgang fjernes"]
    C -->|"Ikke svart"| F{"Auto-fjern
aktivert?"}
    F -->|"Ja"| E
    F -->|"Nei"| G["Eskalering til admin"]
    D --> H["Neste review-syklus"]
    H --> B

    style A fill:#0d3c74,color:#fff
    style D fill:#10b981,color:#fff
    style E fill:#ef4444,color:#fff
    style G fill:#f59e0b,color:#fff

🚀

Utrullingsrekkefølge

Rekkefølgen er viktig: Grupper må opprettes før de kan legges til som ressurser i kataloger og access packages.

Opprett Entra ID-grupper

Alle AP-*-grupper opprettes som Security Groups. Disse blir ressursene som access packages tildeler.

Konfigurer gruppebasert lisenstildeling

Koble AP-Lisens-*-grupper til riktige SKU-er i Entra ID for automatisk lisenstildeling.

Opprett kataloger

Opprett de 5 katalogene: Advi Ansatte, Konsulent, MSP, Lab, Lisenser. Merk: «Lisenser» er ny.

Legg grupper som ressurser i kataloger

Hver AP-*-gruppe legges til som ressurs i riktig katalog. Enterprise Apps legges også til her.

Opprett access packages

Opprett tilgangspakkene i prioritert rekkefølge: Basispakker → Lisenser → Apper → Kunder → Lab.

Legg ressursroller i pakker

Koble Member-rollen fra hver gruppe/app til riktig access package.

Opprett godkjenningspolicyer

Konfigurer hvem som kan søke, godkjenner, varighet og fornyelse per access package.

Konfigurer access reviews

Sett opp periodiske reviews med riktig frekvens per kategori.

Pilot-test

Test med en bruker per rolle — verifiser flyt fra søknad til tilgang til review.

📈

Skalering

Ny kunde?

Opprett Kunde - {Navn} i riktig katalog (MSP eller Konsulent) + tilhørende AP-{Katalog}-Kunde-{Navn} gruppe.

Ny app?

Opprett App - {Navn} i riktig katalog. Koble Enterprise App-rollen til gruppen.

Ny lisens?

Opprett Lisens - {Navn} i Lisenser-katalogen. Sett opp gruppebasert tildeling for SKU-en.

Ny avdeling?

Opprett ny Basis - {Avdeling} i Advi Ansatte-katalogen. Samler alle dag-1 ressurser for rollen.

⚙

Lifecycle Workflows & Governance-automatisering

Denne seksjonen beskriver hvordan Lifecycle Workflows (bruker-livssyklus), Event Grid + Logic Apps (ressurs-livssyklus) og Governance as Code jobber sammen for å holde tilgangsstyringen automatisert og vedlikeholdbar.

Komplett governance-arkitektur

graph TB
    subgraph LCW["Lifecycle Workflows (bruker-side)"]
        direction TB
        J["Joiner
Ny ansatt starter"] --> AT["Tildel basispakker
basert på department + jobTitle"]
        MV["Mover
Bytter avdeling"] --> ADJ["Fjern gammel basis
Tildel ny basis"]
        LV["Leaver
Ansatt slutter"] --> RM["Fjern alle tilganger
Deaktiver konto"]
    end

    subgraph EG["Event Grid + Logic Apps (ressurs-side)"]
        direction TB
        NG["Ny AP-gruppe
oppdaget"] --> LA1["Logic App:
Opprett Access Package"]
        NA["Ny Enterprise App
registrert"] --> LA2["Logic App:
Foreslå katalog + pakke"]
        NL["Ny lisens-SKU
aktivert"] --> LA3["Logic App:
Opprett lisenspakke"]
        LA1 --> AC["Teams Adaptive Card
Godkjenning"]
        LA2 --> AC
        LA3 --> AC
    end

    subgraph GAC["Governance as Code (git)"]
        direction TB
        GIT["Git repo
access-governance/"] --> PR["Pull Request
Review + validering"]
        PR --> PIPE["Azure DevOps Pipeline
terraform plan / apply"]
        PIPE --> ENTRA["Entra ID
oppdateres"]
        DRIFT["Nattlig drift-sjekk"] --> DIFF["Avviksrapport
git vs. Entra"]
    end

    AT --> ENTRA
    ADJ --> ENTRA
    RM --> ENTRA
    AC -->|"Godkjent"| ENTRA

    style LCW fill:#eff6ff,stroke:#1e40af
    style EG fill:#fef3c7,stroke:#92400e
    style GAC fill:#f0fdf4,stroke:#166534
    style ENTRA fill:#0d3c74,color:#fff,stroke:#0d3c74
    style AC fill:#0693e3,color:#fff,stroke:#0693e3

1. Overvåking, Audit & Triggere

Audit-scriptet Audit-AccessPackageGroups.ps1 skanner Entra ID for grupper som matcher AP-* navnestandarden og kryssrefererer med Access Packages. Azure Event Grid fanger opp nye grupper, enterprise apps og lisenser — og trigger Logic Apps som oppretter access packages via Teams Adaptive Cards.

Audit-script — hva det sjekker

Foreldreløse grupper

Grupper med AP- prefiks som finnes i Entra ID men ikke er koblet til noen Access Package. Disse bør enten kobles til en pakke eller slettes.

Tomme grupper

AP-grupper som har 0 medlemmer. Kan indikere at access packages ikke tildeles, eller at grupper er opprettet men ikke tatt i bruk ennå.

Komplett gruppeoversikt

Full oversikt over alle AP-grupper med katalog, type, medlemstall og koblet access package. Gir totalbilde av hele governance-strukturen.

Helsescore

Beregner en helsescore (0-100) basert på andelen koblede vs. foreldreløse grupper og tomme grupper. Mål: 80+.

Eksempel på audit-dashboard

92 God

AP-grupper totalt

Koblet til Access Pkg

Foreldreløse

Tomme grupper

Eksempeldata — faktiske tall genereres av audit-scriptet

Kjør audit

# Standard audit med HTML-rapport
.\Audit-AccessPackageGroups.ps1

# Med JSON-eksport (for videre analyse)
.\Audit-AccessPackageGroups.ps1 -ExportJson

# Anbefalte intervaller: ukentlig (deployment), månedlig (drift), kvartalvis (minimum)

Event Grid + Logic Apps — automatisk ressursoppdagelse

Ny AP-gruppe oppdaget

Trigger: microsoft.graph.groupCreated

Entra ID: Ny gruppe

→

Event Grid

→

Logic App: Parse navn

→

Teams Adaptive Card

→

Graph API: Opprett pakke

Grupper med AP- prefiks valideres mot navnestandarden. Katalog og type parses fra gruppenavnet (AP-{Katalog}-{Type}-{Navn}). Leder godkjenner opprettelse av access package via Teams.

Ny AP-gruppe oppdaget

AccessPackages Governance Bot

En ny gruppe som matcher navnestandarden er opprettet i Entra ID.

Gruppe:AP-MSP-App-NyApp

Katalog:MSP

Type:App

Foreslått pakke:App - NyApp

Tidspunkt:26. feb 2026, 14:32

Opprett pakke Rediger Ignorer

Ny Enterprise App registrert

Trigger: microsoft.graph.servicePrincipalCreated

Entra ID: Ny app

→

Event Grid

→

Logic App: Kategoriser

→

Teams Adaptive Card

→

Legg til i katalog

Når en ny Enterprise App registreres med SSO, foreslår Logic App riktig katalog (Konsulent eller MSP) basert på app-kategori og tags. IT-admin velger katalog og godkjenner opprettelse av access package + AP-gruppe.

Ny Enterprise App registrert

AccessPackages Governance Bot

En ny Enterprise App med SSO er registrert i Entra ID.

App:Huntress Agent Portal

Type:SAML SSO

Foreslått katalog:MSP

Foreslått pakke:App - Huntress Agent Portal

Tidspunkt:26. feb 2026, 10:47

Opprett i MSP Endre katalog Ignorer

Ny lisens-SKU aktivert

Trigger: microsoft.graph.subscribedSkuUpdated

M365: Ny SKU

→

Event Grid

→

Logic App: Opprett gruppe

→

Teams Adaptive Card

→

Opprett lisenspakke

Når en ny lisens-SKU aktiveres i M365-tenanten, oppretter Logic App automatisk en AP-Lisens-{SKU} gruppe og foreslår en access package i Lisenser-katalogen. IT-admin godkjenner og kobler gruppen til lisensen via gruppebasert tildeling.

Ny lisens-SKU aktivert

AccessPackages Governance Bot

En ny lisens er tilgjengelig i tenanten og kan styres via Access Packages.

Lisens:Microsoft Copilot

SKU:Microsoft_365_Copilot

Tilgjengelig:25 enheter

Foreslått gruppe:AP-Lisens-Copilot

Foreslått pakke:Lisens - Copilot

Opprett pakke Rediger Ignorer

AP-gruppe slettet

Trigger: microsoft.graph.groupDeleted

Entra ID: Gruppe slettet

→

Event Grid

→

Logic App: Finn pakke

→

Teams: Fjern pakke?

→

Graph API: Slett pakke

Når en AP-gruppe slettes, sjekker Logic App om det finnes en tilknyttet access package. IT-admin får varsel og kan godkjenne fjerning av den tilhørende access package for å holde governance-strukturen ryddig.

2. Governance as Code — Git som sannhetskilde

All konfigurasjon som kan defineres i Entra ID Governance bør leve i git som kode. Git blir «source of truth» — endringer skjer via Pull Requests, valideres i pipeline, og deployes automatisk.

── Repo-struktur ──
access-governance/
catalogs/
advi-ansatte/ access-packages.json, reviews.json
konsulent/ access-packages.json, reviews.json
msp/ access-packages.json, reviews.json
lab/ access-packages.json
lisenser/ access-packages.json
groups/
groups.json # Alle AP-* grupper
lifecycle/
joiner-workflow.json
mover-workflow.json
leaver-workflow.json
pipelines/
validate.yml # Kjøres på PR
deploy.yml # Kjøres på merge til main
drift-check.yml # Nattlig sjekk

Pipeline-flyt

graph LR
    A["Behov oppstår"] --> B["PR i git
(endre JSON)"]
    B --> C["Pipeline: validate
Sjekk JSON, navnestandard,
at grupper eksisterer"]
    C --> D["Code review
IT godkjenner"]
    D --> E["Merge til main"]
    E --> F["Pipeline: deploy
Graph API / Terraform"]
    F --> G["Entra oppdatert"]
    H["Nattlig drift-sjekk"] --> I{"Avvik?"}
    I -->|"Ja"| J["Rapport + varsel"]
    I -->|"Nei"| K["Alt OK"]

    style A fill:#f8fafc,stroke:#64748b
    style B fill:#eff6ff,stroke:#1e40af
    style C fill:#fef3c7,stroke:#92400e
    style D fill:#f3e8ff,stroke:#6b21a8
    style F fill:#0d3c74,color:#fff,stroke:#0d3c74
    style G fill:#10b981,color:#fff,stroke:#10b981
    style J fill:#ef4444,color:#fff,stroke:#ef4444

Verktøyvalg

Verktøy	Styrker	Svakheter	Anbefaling
Terraform + Entra-provider	State-håndtering, deklarativt, god Entitlement Management-støtte	Terraform-kompetanse påkrevd	Anbefalt
Microsoft365DSC	PowerShell-basert, eksporter/gjenopprett M365-konfig, bred dekning	Tyngre state-håndtering	Godt alternativ
Graph API (pipeline-scripts)	Full fleksibilitet, ingen avhengigheter	Må bygge idempotens og state selv	Kun ved behov

3. Lifecycle Workflows — Joiner / Mover / Leaver

Lifecycle Workflows trigges av brukerattributter i Entra ID. For at automatiseringen skal fungere må disse attributtene vedlikeholdes konsekvent, enten via HR-system eller manuelt ved ansettelse.

Nødvendige brukerattributter

Attributt	Entra-felt	Eksempel	Brukes til
department	`department`	Konsulent, MSP, Administrasjon	Bestemmer hvilken basispakke som tildeles. Mapper direkte til `Basis - {department}`.
jobTitle	`jobTitle`	Konsulent, MSP Tekniker, Lærling, Daglig leder	Finkornet rollestyring. Brukes når `department` ikke er nok (f.eks. Lærling i MSP).
employeeHireDate	`employeeHireDate`	2026-03-01	Trigger for Joiner-workflow. Kjører X dager før/etter startdato.
accountEnabled	`accountEnabled`	true / false	Trigger for Leaver-workflow. Deaktivert konto = fjern tilganger.
employeeLeaveDateTime	`employeeLeaveDateTime`	2026-06-30	Planlagt sluttdato. Leaver-workflow kjører før denne datoen.
manager	`manager`	(referanse til leder)	Brukes som godkjenner i policyer og for varsling ved endringer.

Joiner

Trigger: employeeHireDate når dato

Handlinger:

Tildel Basis - Intern (alle)
Evaluer department + jobTitle
Tildel avdelingspakke:
• department=Konsulent → Basis - Konsulent
• department=MSP → Basis - MSP Tekniker
• jobTitle=Lærling → Basis - Lærling
Sjekk om jobTitle inneholder «leder» → Basis - Leder
Send velkomst-e-post

Mover

Trigger: department endres

Handlinger:

Fjern gammel avdelingsbasispakke
Tildel ny avdelingsbasispakke
Behold Basis - Intern (uendret)
Behold valgfrie lisenser (uendret)
Varsle ny og gammel leder

Leaver

Trigger: employeeLeaveDateTime når dato

Handlinger:

Fjern alle access package-tildelinger
Fjern fra alle AP-* grupper
Deaktiver brukerkonto
Konverter postboks til shared mailbox
Varsle leder + IT

Attributt-til-basispakke mapping

department	jobTitle (valgfritt)	Tildeles automatisk
`Konsulent`	Konsulent / Senior Konsulent / ...	Basis - Intern + Basis - Konsulent
`MSP`	MSP Tekniker / Driftstekniker / ...	Basis - Intern + Basis - MSP Tekniker
`Konsulent` / `MSP`	leder / Daglig leder / Avdelingsleder	Basis - Intern + avdelingspakke + Basis - Leder
`MSP` / `Konsulent`	Lærling	Basis - Intern + Basis - Lærling
`Administrasjon`	*	Basis - Intern (kun felles)

Hvem gjør hva? Komplett verktøyoversikt

Behov	Verktøy	Trigger
Ny ansatt får tilgang automatisk	Lifecycle Workflows	`employeeHireDate` + `department`
Ansatt bytter avdeling	Lifecycle Workflows	`department` endres
Ansatt slutter	Lifecycle Workflows	`employeeLeaveDateTime`
Ny Entra-gruppe → lag access package	Event Grid + Logic App	`groupCreated` (AP-*)
Ny enterprise app → lag pakke	Event Grid + Logic App	`servicePrincipalCreated`
Ny lisens-SKU → lag lisenspakke	Event Grid + Logic App	`subscribedSkuUpdated`
Periodisk gjennomgang av tilganger	Access Reviews	Schedule (årlig/kvartalsvis)
Endring i governance-konfig	Governance as Code	PR + merge til main
Drift-avvik mellom git og Entra	Governance as Code	Nattlig pipeline-kjøring
Finn foreldreløse AP-grupper	Audit-script	Manuelt / månedlig schedule