Dynamic groups vs statische groepen in Entra ID: wanneer regels winnen
Statische groepen vul je met de hand, dynamic groups vullen zichzelf met een regel. Dit is de beslisgids: wanneer kies je wat, plus de grenzen die Microsoft niet groot adverteert.
In Entra ID heb je twee soorten groepen: statische groepen die je handmatig vult, en dynamic groups die zichzelf vullen op basis van een regel. De keuze lijkt simpel, maar er zitten grenzen aan dynamic groups die pas opvallen als je er tegenaan loopt. Dit artikel geeft het beslispunt en de valkuilen.
TL;DR
- Statische groep: jij voegt leden toe en verwijdert ze met de hand.
- Dynamic group: een membership rule bepaalt het lidmaatschap automatisch.
- Dynamic groups vereisen Microsoft Entra ID P1.
- Kies statisch voor kleine, stabiele of uitzonderlijke groepen.
- Kies dynamic zodra een groep groot is, vaak wisselt, of een duidelijk attribuutpatroon volgt.
- Let op: group-based licensing telt geen leden uit geneste groepen.
Het verschil in één alinea
Bij een statische groep is het lidmaatschap een lijst die jij beheert. Iemand erbij? Je voegt ze toe. Iemand weg? Je haalt ze eruit. Bij een dynamic group schrijf je een regel zoals user.department -eq "Sales", en Entra ID bepaalt zelf wie erin zit. Verandert een attribuut, dan past het lidmaatschap zich aan zonder dat je iets doet.
De beslisgids
| Situatie | Kies statisch | Kies dynamic |
|---|---|---|
| Kleine groep (< 10 leden) | Ja | Overkill |
| Groot en wisselend | Nee | Ja |
| Volgt een attribuut (afdeling, functie) | Nee | Ja |
| Willekeurige verzameling zonder patroon | Ja | Lastig |
| Uitzonderingen (directie, speciale contracten) | Ja | Nee |
| Geen P1-licentie | Verplicht | Niet beschikbaar |
Wanneer statisch genoeg is
Statische groepen zijn niet ouderwets. Ze zijn de juiste keuze als:
- De groep klein en stabiel is, zoals een vast projectteam.
- Het lidmaatschap geen logisch attribuutpatroon volgt.
- Het om uitzonderingen gaat die je bewust met de hand wilt controleren, zoals admin-rechten of directietoegang.
Wanneer dynamic wint
Dynamic groups verdienen zichzelf terug zodra:
- De groep tientallen of honderden leden heeft.
- Er regelmatig mensen in- en uitstromen.
- Het lidmaatschap netjes een attribuut volgt, zoals afdeling, functie, locatie of contracttype.
De grenzen die je vooraf moet kennen
Dynamic groups klinken als de winnaar, maar er zijn drie grenzen die Microsoft niet groot adverteert.
- Ze vereisen P1. Zonder Microsoft Entra ID P1 kun je geen dynamic membership rules maken. Voor sommige tenants is dat de enige reden om statisch te blijven.
- Geen geneste groepen bij group-based licensing. Wijs je licenties toe via een groep, dan tellen leden van een geneste groep niet mee. Alleen directe leden krijgen de licentie. Een dynamic group die andere groepen omvat lost dat niet op.
- Een dynamic group kan niet handmatig worden aangevuld. Je kunt geen losse uitzondering toevoegen aan een dynamic group; het lidmaatschap komt volledig uit de regel. Heb je uitzonderingen nodig, dan combineer je een dynamic group met een aparte statische groep.
Verwerkingstijd en herrekening
Een wijziging in een attribuut leidt niet direct tot een nieuw lidmaatschap. Entra ID herberekent dynamic group membership periodiek. Bij grote tenants met veel groepen kan dat enige tijd duren. Voor toegang die op de seconde moet kloppen, is een dynamic group dus niet altijd de juiste keuze; voor de meeste afdelings- en functietoegang is de vertraging prima te overzien.
FAQ
Kan ik een statische groep omzetten naar dynamic? Niet rechtstreeks met behoud van leden. Je maakt een dynamic group met de juiste regel, controleert dat dezelfde mensen erin komen, en vervangt daarna de statische groep. Doe dit in stappen, niet in één keer.
Werken dynamic groups ook voor on-prem AD? Dynamic membership rules zijn een Entra ID-functie. Voor on-prem AD-groepen heb je een ander mechanisme nodig. ServiceChanger past regels toe op zowel Entra ID als on-prem AD, zodat een hybride omgeving onder één regelmodel valt.
Hoeveel dynamic groups kan ik hebben? De praktische limiet ligt rond 15.000 dynamic groups per tenant.
Hoe combineer ik regels met uitzonderingen? Houd de regel voor de standaardpopulatie in een dynamic group en zet uitzonderingen in een losse statische groep. Twee groepen, twee verantwoordelijkheden, geen verrassingen.
Dynamic groups zijn de motor onder attribuut-gebaseerde toegang. Hoe je daar een compleet model van maakt, lees je in ABAC in Entra ID.
Volgende stap
Wil je dynamic group rules opzetten en de uitzonderingen netjes apart houden, ook over Entra ID en on-prem AD heen? ServiceChanger beheert beide vanuit één regelmodel. Plan een demo of lees de ABAC-documentatie.
Ook interessant
Group mining: begin niet bij nul met je ABAC-model
Je tenant zit vol groepen die ooit met de hand zijn gemaakt. Group mining leest die patronen en stelt voor welke groep bij welk attribuut hoort, zodat je niet maandenlang zelf hoeft uit te zoeken waar je begint.
Dynamic groups, een IGA-platform of ServiceChanger: wanneer kies je wat?
Toegang in Microsoft regelen kan met native Entra dynamic groups, een volwaardig IGA-platform of een regellaag als ServiceChanger. Dit zijn de drie aanpakken, hun grenzen, en wanneer welke past.
RBAC vs ABAC: wanneer kies je wat?
RBAC is simpel en werkt tot een bepaalde grootte. ABAC schaalt beter maar heeft meer setup nodig. Dit is het praktische beslispunt: wanneer ga je van RBAC naar ABAC?