Kernefunktioner i Azure Managed Services (Platform + MSP)
| Funktionsområde | Hvad Microsoft styrer (PaaS) | Hvad en MSP bør styre | Hvem er ansvarlig |
|---|---|---|---|
| Infrastruktur-patching | OS- og hostpatches for PaaS-tjenester | OS-patches for IaaS-VM'er, AKS node pools | MSP for IaaS; Microsoft for PaaS |
| Overvågning og alarmering | Platformsundhed (Azure Status-side) | Workload-specifik overvågning (Azure Monitor, Datadog, Dynatrace) med handlingsrettet alertrouting | MSP |
| Hændelseshåndtering | Hændelser på platformniveau | Applikations- og workload-hændelser, sikkerhedshændelser, on-call-eskalering | MSP + dit team |
| Backup og DR | Automatiserede backups for PaaS (f.eks. SQL MI-retention) | Backup-policydesign, DR-test på tværs af regioner, restore-validering | MSP |
| Sikkerhedsposition | Indbygget platformssikkerhed (encryption at rest, DDoS på netværkslaget) | Microsoft Defender for Cloud-konfiguration, Sentinel SIEM-regler, WAF-tuning, identitetsstyring | MSP + SOC |
| Omkostningsoptimering | Azure Advisor-anbefalinger (passive) | Aktiv FinOps: køb af reservationer, spot instance-orkestrering, oprydning af forladte ressourcer, budgetalarmer | MSP |
| Compliance | Platformscertificeringer (ISO 27001, SOC 2 osv.) | Compliance-mapping på workloadniveau, indsamling af revisionsdokumentation, håndhævelse af dataopbevaring | MSP + dit compliance-team |
Fordele der reelt gør en forskel i produktion
Reduceret operationelt slid
At drifte Azure godt er ikke en opgave for én person. Mellem Azure Advisor-alarmer, Defender for Cloud-anbefalinger, undersøgelse af omkostningsafvigelser, AKS-versionsopgraderinger og NSG-regelrevisioner genererer et mellemstort Azure-miljø (50–200 ressourcer) en konstant strøm af operationelt arbejde, der ikke passer ind i sprintplanlægning. En MSP absorberer dette slid under et forudsigeligt månedligt honorar, så dine ingeniører kan fokusere på at bygge produktfunktioner.
Hurtigere hændelsesløsning
Fra vores SOC er mønstret tydeligt: organisationer uden 24/7-overvågning opdager Azure-hændelser timer efter, de er begyndt — typisk når en kunde klager. Med korrekt overvågning (Azure Monitor workspace, der feeder ind i PagerDuty eller Opsgenie, med Sentinel for sikkerhedshændelser) falder mean time to detect fra timer til minutter. MSP'ens on-call-ingeniør triagerer, eskalerer om nødvendigt og dokumenterer root cause, mens dit team sover.
Compliance som en kontinuerlig proces
Compliance er ikke en afkrydsningsøvelse. NIS2 (for væsentlige og vigtige enheder på tværs af 18 sektorer i EU) kræver kontinuerlig risikostyring, hændelsesnotifikation inden for 24 timer til CSIRT'er og dokumenteret forsyningskædesikkerhed — herunder din cloud-udbyder og din MSP. I Danmark fører Datatilsynet tilsyn med GDPR, og artikel 28 og 32 pålægger specifikke forpligtelser for databehandlere. Organisationer i den finansielle sektor skal derudover forholde sig til Finanstilsynets vejledninger om outsourcing af it-tjenester.
En Azure MSP, der drifter dit miljø, er per definition databehandler. Din kontrakt med dem skal afspejle dette: databehandleraftaler, underbehandleroversigt, tidsfrister for brudnotifikation og revisionsrettigheder. Hvis din potentielle MSP ikke kan fremlægge disse dokumenter på forespørgsel, skal du gå videre.
FinOps — fordi Azure-regninger overrasker folk
Ifølge Flexeras State of the Cloud-rapport har håndtering af cloud-udgifter konsekvent rangeret som den største udfordring for organisationer på tværs af alle modenhedsniveauer. Azure-fakturering er særligt ugennemsigtig for organisationer, der er nye på platformen — hybrid benefit-licensering, scoping af reserverede instanser (delt vs. enkelt subscription), spot VM-eviction-politikker og kløften mellem Azure Advisors spareanbefalinger og faktisk at implementere dem.
En kompetent MSP kører kontinuerlig FinOps: ugentlige gennemgange af omkostningsafvigelser, kvartalsmæssig rightsizing af reservationer og proaktiv oprydning af forladte ressourcer. Reserved Instances og Azure Savings Plans giver typisk 30–60 % besparelser i forhold til pay-as-you-go-priser, men kun hvis nogen aktivt styrer commitmentporteføljen. Den "nogen" bør være din MSP, ikke en ingeniør, der tjekker én gang i kvartalet.
Praktiske use cases
Use case 1: Dansk/EU SaaS-virksomhed — NIS2 og datasuverænitet
En midtmarked SaaS-virksomhed med hovedsæde i Danmark, der opererer i en sektor klassificeret som "vigtig" under NIS2, kører sine produktions-workloads på Azure West Europe (Holland) og eu-north-1 (Stockholm) som sekundær region. Deres krav:
- Data må ikke forlade EU. Azure Policy-tildelinger håndhæver
allowedLocationstil udelukkende EU-regioner. - Hændelsesrespons inden for 24 timer (NIS2 artikel 23). MSP'ens SOC opererer 24/7 med en dokumenteret incident-response-playbook, der er integreret med virksomhedens CSIRT-notifikationsproces og rapportering til Datatilsynet.
- Forsyningskæderisikostyring. MSP'en leverer årlige SOC 2 Type II-rapporter og er kontraktuelt bundet som databehandler under GDPR artikel 28.
- Azure SQL Managed Instance erstatter on-premises SQL Server, hvilket eliminerer OS-patching og samtidig opretholder TDE (Transparent Data Encryption) med customer-managed keys opbevaret i Azure Key Vault (EU-region).
Use case 2: Europæisk fintech — regulering og multi-region
En fintech, der opererer i EU, behandler persondata for europæiske borgere og skal overholde GDPR samt nationale tilsynskrav. Deres Azure-miljø spænder over Azure West Europe (Holland) til produktion og eu-north-1 (Stockholm) til DR. MSP'ens rolle:
- Managed Kubernetes (AKS) med node-pool auto-scaling og versionsopgraderingsorkestrering.
- Microsoft Defender for Cloud med regulatory compliance-dashboard mappet til GDPR-krav og Finanstilsynets retningslinjer.
- Automatiseret backup-validering: ugentlige restore-tests til et staging-miljø, med resultater logget til revision.
- FinOps: spot instances til batch-processing-workloads (risikomodelberegning), reserverede instanser til always-on API-lag.
Use case 3: Multi-cloud-virksomhed — Azure + AWS
Mange virksomheder kører ikke Azure isoleret. De har AWS til ét sæt workloads, Azure til et andet (ofte på grund af Microsoft 365 og Entra ID-integration) og til tider GCP til data/ML. MSP'en skal kunne operere på tværs af clouds uden bias.
Fra vores NOC er det mest almindelige multi-cloud-mønster: Azure til identity (Entra ID), samarbejde (M365) og .NET-workloads; AWS til container-workloads og data lakes. MSP'en leverer en samlet overvågningsplatform (typisk Datadog eller Grafana Cloud), unified incident management (PagerDuty) og FinOps-rapportering på tværs af clouds, så CTO'en ser det samlede cloudforbrug — ikke siloerede regninger.
ASM vs. ARM: Hvorfor det stadig har betydning
Azure Service Management (ASM), den "klassiske" deploymentmodel, blev udfaset for år siden, men vi støder stadig på ASM-ressourcer i produktion under onboarding-vurderinger — klassiske Cloud Services, klassiske VNets, klassiske storage accounts. Disse ressourcer mangler ARM-funktioner: ingen resource groups, ingen RBAC, ingen tagging, ingen Azure Policy-håndhævelse, ingen integration med moderne overvågning.
Azure Resource Manager (ARM) er den nuværende og eneste understøttede deploymentmodel. Alle nye ressourcer deployes gennem ARM, og Microsoft har løbende udfaset klassiske tjenester. Hvis dit miljø stadig indeholder ASM-ressourcer, er migrering til ARM-ækvivalenter ikke valgfrit — det er et sikkerheds- og supportkrav. En god MSP identificerer disse under onboarding-vurderingen og planlægger migreringen.
Valg af Azure MSP: Hvad du bør evaluere
Ikke alle MSP'er er lige gode. Her er, hvad der adskiller kompetent Azure-drift fra helpdesk-ticketing:
Teknisk dybde
- Har de Microsoft Solutions Partner-designationer (Infrastructure, Security, Digital & App Innovation)? Designationerne erstattede de gamle Gold/Silver-kompetencer og kræver dokumenteret kundesucces og certificerede medarbejdere.
- Kan de arkitektere med Azure-native værktøjer (Bicep/ARM templates, Azure Policy, Azure Landing Zones), eller kender de kun Terraform? Begge er gyldige, men hvis de ikke kan læse en Bicep-fil, vil de kæmpe med Microsofts publicerede referencearkitekturer.
Driftsmodel
- 24/7 SOC/NOC med definerede SLA'er for P1/P2/P3/P4-hændelser — ikke "bedste indsats i åbningstiden."
- Runbooks for almindelige scenarier: AKS node-pool-fejl, Azure AD (Entra ID) conditional-access-lockouts, App Service plan-skaleringshændelser, ExpressRoute circuit-degradering.
- Change management-proces: hvordan håndterer de dine ændringsanmodninger? Er der et CAB (Change Advisory Board) eller et letvægts PR-baseret godkendelsesflow?
Compliance og governance
- Kan de fremvise deres egen SOC 2 Type II-rapport og ISO 27001-certifikat?
- Har de en dokumenteret databehandleraftale i overensstemmelse med GDPR artikel 28?
- For NIS2-berørte organisationer: accepterer de kontraktuelt forsyningskædeforpligtelser?
- For danske virksomheder i den finansielle sektor: overholder de Finanstilsynets outsourcingvejledninger?
FinOps-modenhed
- Håndterer de proaktivt reservationer og savings plans, eller sender de blot Azure Advisor-skærmbilleder?
- Kan de vise et FinOps-dashboard med unit-economics-tracking (omkostning per kunde, omkostning per transaktion)?
Tooling-stak: Hvad vi faktisk anvender
Gennemsigtighed om tooling er vigtigt. Her er en repræsentativ stak for et Azure MSP-engagement:
| Funktion | Primært værktøj | Alternativ | Bemærkninger |
|---|---|---|---|
| Overvågning | Azure Monitor + Log Analytics | Datadog, Dynatrace | Azure Monitor er obligatorisk for platformstelemetri; et tredjepartsværktøj tilføjer APM og cross-cloud-korrelation |
| SIEM | Microsoft Sentinel | Splunk Cloud, Elastic Security | Sentinels native integration med Entra ID og Defender for Cloud gør det til standarden for Azure-tunge miljøer |
| Alarmering og on-call | PagerDuty | Opsgenie, Grafana OnCall | Skal understøtte eskaleringspolitikker, vagtplaner og hændelsestidslinjer |
| IaC | Terraform + Bicep | Pulumi | Terraform for multi-cloud-konsistens; Bicep til Azure-native moduler og Azure Verified Modules |
| FinOps | Azure Cost Management + tilpassede dashboards | Kubecost (for AKS), CloudHealth | Nativ Azure Cost Management dækker 80 % af behovene; Kubecost tilføjer namespace-niveau Kubernetes-omkostningsallokering |
| Compliance | Microsoft Defender for Cloud regulatory compliance | Prisma Cloud, Wiz | Defenders indbyggede regulatoriske standarder (CIS, NIST, PCI DSS, tilpassede initiativer) er udgangspunktet |
Typiske faldgruber vi ser i vores NOC
Overprovisionerede VM'er overalt. Organisationer migrerer on-premises VM'er til Azure med "lift and shift" og beholder den samme dimensionering. Azure VM'er faktureres pr. minut. Rightsizing fra D4s_v5 til D2s_v5, hvor CPU-udnyttelsen i gennemsnit er 12 %, er gratis penge.
Defender for Cloud sat til "free tier" og glemt. Free tier giver kun grundlæggende security posture. Defender-planerne (for Servers, SQL, Kubernetes, Storage, Key Vault osv.) leverer trusselsdetektering, sårbarhedsvurdering og regulatory compliance-scoring. Omkostningen er reel, men berettiget for produktions-workloads.
Ingen netværkssegmentering. Et enkelt VNet med ét subnet og en standard-NSG, der tillader al intern trafik. Det er Azure-ækvivalenten til et fladt netværk. Brug hub-spoke-topologi (Azure Virtual WAN eller traditionelt hub-VNet med peering), NSG flow logs og Azure Firewall eller en tredjeparts-NVA til east-west-trafikinspektion.
Backup-politikker konfigureret, men aldrig testet. Azure Backup kører pålideligt, men det er restore-processen, der tæller. Hvis du aldrig har udført en testrestore af din produktionsdatabase, er din backup en hypotese, ikke en kontrol.
Hvornår du ikke har brug for en MSP
Ærlighed er vigtigt her. Du har sandsynligvis ikke brug for en ekstern Azure MSP, hvis:
- Du har færre end 20 Azure-ressourcer og en kompetent platformsingeniør, der overvåger dem.
- Dine workloads er fuldstændig serverless (Azure Functions Consumption plan, Logic Apps, Cosmos DB serverless) uden compliance-forpligtelser.
- Du har et modent internt platform engineering-team med 24/7 on-call-rotation allerede bemandet.
Du har sandsynligvis brug for en, hvis:
- Dit Azure-miljø er vokset ud over, hvad dit team kan overvåge i arbejdstiden.
- Du har compliance-forpligtelser (NIS2, GDPR, SOC 2, Finanstilsynets retningslinjer), der kræver dokumenterede, kontinuerlige kontroller.
- Du kører hybrid (Azure + on-premises) eller multi-cloud (Azure + AWS/GCP) og har brug for samlet drift.
- Din Azure-regning vokser hurtigere end din omsætning, og ingen ved hvorfor.
Ofte stillede spørgsmål
Hvad er Azure Managed Services?
Azure managed services dækker to distinkte ting: Microsofts egne platformsstyrede tjenester (Azure SQL Managed Instance, Managed Disks, Managed Applications), hvor Microsoft håndterer den underliggende infrastruktur, og tredjeparts managed service providers, der drifter, overvåger, sikrer og optimerer dit Azure-miljø under en kontraktuel SLA. De fleste produktionsmiljøer anvender begge lag sammen.
Hvad er de fem typer managed services?
De fem mest anerkendte typer er managed infrastructure (compute, netværk, storage), managed security (SOC, SIEM, trusselsdetektering og -respons), managed databases (SQL- og NoSQL-administration, patching, backups), managed applications (deployment pipelines, skalering, patching) og managed cloud financial operations — FinOps — der dækker omkostningsoptimering, reservationshåndtering og budgetstyring.
Hvad er forskellen mellem ASM og ARM?
ASM (Azure Service Management) var Azures oprindelige "klassiske" deploymentmodel med XML-baserede API'er og ingen understøttelse af resource groups, RBAC eller policy. ARM (Azure Resource Manager) erstattede den og er nu den eneste understøttede model med JSON/Bicep-templates, finkornet RBAC, tagging og Azure Policy-integration. Microsoft har udfaset klassiske ASM-tjenester; eventuelle resterende ASM-ressourcer bør migreres til ARM omgående.
Hvad er en managed device i Azure?
En managed device er enhver endpoint — bærbar, smartphone, tablet — der er tilmeldt Microsoft Intune (en del af Microsoft Entra-suiten). Tilmelding håndhæver conditional-access-politikker, compliance-checks (kryptering, OS-version, adgangskode) og muliggør remote wipe. Managed devices er en grundlæggende komponent i Zero Trust-arkitekturer til adgang til Azure-hostede applikationer og data.
Hvordan hjælper Azure managed services med NIS2-compliance?
NIS2 pålægger væsentlige og vigtige enheder på tværs af 18 EU-sektorer at implementere kontinuerlig risikostyring, rapportere betydelige hændelser til CSIRT'er inden for 24 timer og håndtere forsyningskædesikkerhed. En Azure MSP med 24/7 SOC-kapaciteter, dokumenterede incident-response-runbooks og revisionsklart compliance-rapportering understøtter direkte disse krav — forudsat at MSP'en er kontraktuelt bundet som en del af din forsyningskæde og kan dokumentere egne sikkerhedscertificeringer (SOC 2 Type II, ISO 27001). I Danmark bør man desuden sikre, at MSP'en kan demonstrere overholdelse af Datatilsynets vejledninger samt Finanstilsynets outsourcingkrav, hvor det er relevant.
