Alle artikelen
Entra IDABACDynamic groupsIAM

Dynamic groups, een IGA-platform of ServiceChanger: wanneer kies je wat?

Ruben van der Graaf··3 min lezen

Toegang in Microsoft regelen kan met native Entra dynamic groups, een volwaardig IGA-platform of een regellaag als ServiceChanger. Dit zijn de drie aanpakken, hun grenzen, en wanneer welke past.

Toegang toekennen in een Microsoft-omgeving kan op drie manieren die je vaak door elkaar ziet lopen: met de native dynamic groups in Entra ID, met een volwaardig IGA-platform, of met een regellaag bovenop je bestaande structuur zoals ServiceChanger. Ze lossen niet allemaal hetzelfde probleem op. Dit artikel zet de drie aanpakken naast elkaar: wat ze goed doen, waar ze ophouden, en wanneer je welke kiest.

Aanpak 1: native Entra dynamic groups

Een dynamic group is een groep in Entra ID met een membership rule. Je schrijft één regel, bijvoorbeeld op afdeling of functietitel, en Entra vult de groep automatisch. Het is ingebouwd, je hebt er Microsoft Entra ID P1 voor nodig, en voor één afgebakende groep werkt het prima.

De grenzen merk je zodra je het breder inzet:

  • Eén regel per groep. Tien groepen betekent tien losse regels, zonder centraal overzicht van welk attribuut welke toegang oplevert.
  • Cloud-only. Dynamic groups beheren je Entra-groepen, niet je on-prem Active Directory-groepen. In een hybride omgeving valt je AD-kant buiten beeld.
  • Een groep is óf dynamisch óf handmatig. Je kunt niet in dezelfde groep deels automatiseren en deels met de hand toewijzen.
  • Geen historie. Je ziet de huidige staat, niet wie wanneer en waarom toegang kreeg.
Voor een paar groepen is het genoeg. Zodra regelbeheer je hoofdtaak wordt, loop je tegen het plafond aan. Het onderscheid tussen vaste en dynamische groepen werken we verder uit in Dynamic groups vs statische groepen in Entra ID.

Aanpak 2: een volwaardig IGA-platform

IGA staat voor Identity Governance and Administration. Een IGA-platform is gebouwd voor governance op schaal: access reviews en hercertificering, attestatie, koppelingen met tientallen bronsystemen en een complete audittrail. Voor grote, gereguleerde organisaties met veel verschillende applicaties is dat precies wat je nodig hebt.

De keerzijde is gewicht. Een IGA-traject is doorgaans een groot project: connectoren inrichten, rollen modelleren, een implementatiepartner inschakelen, en een prijskaartje dat bij enterprise past. Voor een Microsoft-gerichte IT-organisatie in het MKB of de middelgrote markt is dat vaak meer dan nodig. Je betaalt dan voor governance-diepte en connectoren die je niet gebruikt.

Aanpak 3: een regellaag zoals ServiceChanger

ServiceChanger zit tussen die twee in. Het is geen vervanger van Entra en geen zwaar IGA-platform, maar een regellaag die toegang aanstuurt vanuit de attributen van je gebruikers, over Entra ID én je on-prem Active Directory, vanuit één regelset.

Wat dat in de praktijk oplevert:

  • Eén plek waar je ziet welk attribuut welke set groepen en rollen oplevert, met historie.
  • Cloud én on-prem in hetzelfde model. Een PowerShell-runbook past de wijzigingen toe in AD, die via je bestaande Entra Connect terugsyncen.
  • Regels in plaats van scripts. Je beheert beleid, niet losse PowerShell.
  • Geen schaduwstructuur. Alles wordt direct in jouw tenant toegepast. Zet je het uit, dan blijft alles staan zoals het op dat moment is.
Waar het bewust ophoudt: ServiceChanger is geen volledige governance-suite met certificeringscampagnes, en koppelt standaard niet met je HR-systeem voor onboarding en offboarding. Dat laatste kan wel als maatwerk, gebouwd met automation accounts en runbooks in Azure. Het onderliggende keuzemodel, regels op rollen versus regels op attributen, lees je in RBAC vs ABAC.

Wanneer kies je wat?

  • Een handvol groepen, alleen cloud, geen behoefte aan overzicht of historie: native dynamic groups zijn genoeg.
  • Een grote, gereguleerde organisatie met veel verschillende bronsystemen en formele hercertificering: een IGA-platform.
  • Een Microsoft-gerichte IT-organisatie die toegang attribuut-gedreven wil regelen over cloud én on-prem, met overzicht en zonder een zwaar IGA-traject: een regellaag zoals ServiceChanger.
De drie sluiten elkaar niet uit. Veel organisaties beginnen met een paar dynamic groups, lopen tegen de grenzen aan, en kiezen dan een regellaag voordat een volledig IGA-platform in beeld komt. De vraag is niet welke aanpak de beste is, maar welke past bij de schaal en het type beheer dat je vandaag hebt.

Ook interessant

RBAC vs ABAC: wanneer kies je wat?

RBAC is simpel en werkt tot een bepaalde grootte. ABAC schaalt beter maar heeft meer setup nodig. Dit is het praktische beslispunt: wanneer ga je van RBAC naar ABAC?

Entra ID groepen automatiseren met attributen

Hoe je Entra ID group membership automatisch laat volgen uit HR-attributen zoals functie, afdeling en locatie. Van concept naar werkende dynamic groups.

Wat is ABAC in Microsoft Entra ID?

ABAC (Attribute-Based Access Control) bepaalt toegang op basis van attributen zoals functie, afdeling of locatie. Zo werkt het in Entra ID, waar het verschilt van RBAC, en wanneer je het gebruikt.