ABAC implementeren in Entra ID: stappenplan met dynamic groups

Je weet wat ABAC is en wilt het in Entra ID werkend krijgen. Dit is het stappenplan. (Nieuw met het concept? Lees eerst Wat is ABAC in Microsoft Entra ID?.) De praktische motor achter ABAC in Entra ID is de dynamic group. Dit artikel laat stap voor stap zien hoe je ABAC concreet maakt met membership rules, waar de grenzen liggen, en hoe je een werkend model opbouwt zonder je bestaande structuur om te gooien.

TL;DR

• ABAC = toegang op basis van attributen zoals afdeling, functie, locatie en contracttype.
• In Entra ID implementeer je ABAC met dynamic groups en hun membership rules.
• Dynamic groups vereisen Microsoft Entra ID P1.
• De regels zijn krachtig, maar er zijn grenzen: geen geneste groepen voor licenties, en attribuutkwaliteit bepaalt alles.
• Begin met drie tot vijf regels en breid uit, niet andersom.

Wat ABAC praktisch betekent

Bij RBAC zet je iemand handmatig in een groep. Bij ABAC schrijf je een regel die zegt wie in de groep hoort, en Entra ID vult de groep zelf. Wijzigt een attribuut, dan past het lidmaatschap zich aan.

Een voorbeeld. In plaats van elke nieuwe controller met de hand in de Finance-Reporting-groep te zetten, schrijf je:

user.department -eq "Finance" and user.jobTitle -contains "Controller"

Iedereen die nu of straks aan die regel voldoet, zit in de groep. Verandert iemands functie, dan verdwijnt of verschijnt het lidmaatschap vanzelf. Geen ticket, geen handwerk.

De bouwstenen in Entra ID

Entra ID geeft je drie mechanismen om attribuut-gebaseerde toegang te bouwen:

Mechanisme	Waarvoor
Dynamic groups	Automatisch lidmaatschap op basis van membership rules. De ruggengraat van ABAC in Entra.
Conditional access	Runtime-beslissingen: alleen toegang als het apparaat compliant is en de locatie klopt.
Custom claims	Applicatie-specifieke logica die attributen meegeeft aan een app bij aanmelding.

Voor het automatiseren van toegang en lidmaatschap is de dynamic group het belangrijkste. Conditional access en custom claims komen erbovenop voor respectievelijk runtime-controle en app-integratie.

Veelgebruikte membership rules

De membership rule is een expressie over user-attributen. Een paar patronen die je vaak nodig hebt:

# Iedereen op één afdeling
user.department -eq "Sales"

# Op afdeling en functie
user.department -eq "IT" and user.jobTitle -contains "Engineer"

# Op locatie
user.city -eq "Enschede"

# Op contracttype, vaste medewerkers
user.employeeType -eq "Employee"

# Alle accounts uitsluiten zonder afdeling
user.department -ne null

De operators die je het vaakst gebruikt zijn -eq, -ne, -contains, -startsWith en de combinaties met and en or. Houd de regels zo eenvoudig mogelijk. Een regel die je over een jaar niet meer begrijpt, is een risico.

Waar ABAC in Entra zijn grenzen heeft

ABAC in Entra is sterk, maar het is geen toverstaf. Drie grenzen om vooraf te kennen:

1. Dynamic groups vereisen P1. Zonder Microsoft Entra ID P1 zijn dynamic membership rules niet beschikbaar. Reken dit mee in je business case.
2. Geen geneste groepen bij group-based licensing. Wijs je licenties toe via een groep, dan tellen leden van een geneste groep niet mee. De licentie geldt alleen voor directe leden. Dit verrast veel beheerders.
3. Attribuutkwaliteit bepaalt alles. Inconsistente functietitels (Developer, Dev, Software Engineer) breken je regels stil. Een gebruiker valt buiten de groep zonder dat iemand het merkt. Ruim je attributen op voordat je regels uitrolt.

Hoe je begint

Niet alles in één keer. Een werkbare aanpak:

1. Kies drie tot vijf groepen die nu het meeste handwerk kosten (vaak afdelingsbrede toegang).
2. Controleer de onderliggende attributen op die populatie. Kloppen afdeling en functie?
3. Schrijf de membership rules en zet ze eerst naast je bestaande handmatige groepen, niet in plaats van.
4. Vergelijk een paar weken wie de regel oppakt versus wie er handmatig in zat.
5. Pas verschillen aan en breid daarna uit naar meer groepen.

Je bestaande handmatige groepen blijven gewoon werken. ABAC is een laag erbovenop, geen vervanging in één klap.

FAQ

Werkt ABAC ook voor mijn on-prem Active Directory? Via Entra Connect synchroniseer je attributen van AD naar Entra ID. ServiceChanger past de juiste set groepen en rollen toe op zowel Entra ID als on-prem AD, zodat een hybride omgeving onder één model valt.

Hoeveel dynamic groups kan ik aanmaken? De praktische limiet ligt rond 15.000 dynamic groups per tenant. Voor vrijwel elke organisatie is dat ruim voldoende.

Hoe los ik tegenstrijdige regels op? Twee regels die dezelfde gebruiker verschillend raken, los je op door regels specifieker te maken of door ze te testen op een kleine testgroep voordat je ze breder uitrolt. Eén bron van waarheid per soort toegang houdt het overzichtelijk.

Wat doet ServiceChanger hier precies? ServiceChanger bouwt en onderhoudt het ABAC-model: het beheert lidmaatschappen van groepen en rollen in Entra ID en on-prem AD op basis van de attributen van je gebruikers. Standaard reageert het op de attributen die al in je directory staan. Wil je je HR-systeem koppelen voor onboarding en offboarding, dan bouwen we dat als maatwerk met automation accounts en runbooks in Azure.

Verder lezen

• Wat is ABAC in Microsoft Entra ID? voor de basis van het model.
• RBAC vs ABAC: wanneer kies je wat? voor het beslispunt tussen beide.
• Dynamic groups vs statische groepen voor de motor onder ABAC.
• Entra ID groepen automatiseren met attributen voor een concreet stappenplan.
• Entra ID vs Active Directory in 2026 voor hoe dit in een hybride omgeving werkt.

Volgende stap

Wil je ABAC uitrollen zonder elke membership met de hand te tekenen? ServiceChanger bouwt en onderhoudt je ABAC-model op Entra ID en on-prem AD. Plan een demo of lees de ABAC-documentatie.