Помимо использования сертификата, основанного на KeyVault, Azure Managed Service Identity также представляет новый способ превращения службы Azure в сервисную службу без регистрации клиентского приложения и секретариата клиента. В настоящее время он доступен только для предварительного просмотра некоторых сервисов: Azure VM, Azure App Service, Azure Function, Azure Event Hub & Azure Service Bus. Более подробную информацию можно найти здесь https://docs.microsoft.com/en-us/azure/active-directory/msi-overview
[Update] Когда-либо Вы должны получить что-то из KeyVault, с Azure MSI вам не нужен секрет клиента. Используйте метод AzureServiceTokenProvider()
для получения доступа к токену
В реальном развертывании с автоматизацией (например, через Ansible) вы можете использовать внешний сертификат для хранения чувствительных переменных в Ansibe Vault и генерировать 256-битную цепочку для защиты такой информации. Во время развертывания автоматизации сертификат расшифровывается для доступа к этим переменным и последующего развертывания. Таким образом добавляется еще один уровень шифрования для всего развертывания Azure.