Alle artikelen
Entra IDABACMicrosoftIAM

Entra ID groepen automatiseren met attributen

Ruben van der Graaf··3 min lezen

Hoe je Entra ID group membership automatisch laat volgen uit HR-attributen zoals functie, afdeling en locatie. Van concept naar werkende dynamic groups.

Entra ID groepen handmatig vullen is een van de grootste tijdverspillers op de servicedesk. Dit artikel laat zien hoe je dat volledig automatiseert met dynamic groups en attribuut-regels, en waar je op moet letten.

TL;DR

  • Dynamic groups in Entra ID lossen handmatige memberships op
  • Membership rules lezen user-attributen zoals jobTitle, department, officeLocation
  • Werkt voor M365-groepen, security-groepen en distribution lists
  • Maximaal ongeveer 15.000 dynamic groups per tenant, meer dan genoeg
  • Test elke regel eerst op een kleine subset voor je live gaat

Het probleem

Elke keer als er iemand in- of uitstroomt, moet iemand op de servicedesk: de juiste Teams bijvoegen, SharePoint-rechten toekennen, een distribution list bijwerken, een Intune-groep synchroniseren. Bij bijvoorbeeld 500 medewerkers en 10 onboardings per maand loopt dat al snel op tot uren werk per week. En er gaan stappen mis omdat iemand er een vergeet.

Hoe het werkt

Een dynamic group heeft een membership rule. Entra ID draait die rule continu en vult de groep automatisch met gebruikers die matchen.

Voorbeeld: alle engineers op kantoor Lichtenvoorde automatisch in de Engineering-Lichtenvoorde groep.

(user.jobTitle -contains "Engineer") and (user.officeLocation -eq "Lichtenvoorde")

Worden de attributen van een nieuwe engineer in Entra ID gezet? Die zit automatisch in de groep, inclusief Teams-toegang, SharePoint-site en distributie-mailadres. In kleine directories gebeurt dat binnen een paar minuten; in grote tenants kan de herrekening langer duren (zie de FAQ).

Welke attributen werken goed

De betrouwbaarste ABAC-attributen in Entra ID zijn die direct uit HR komen:

  • jobTitle
  • department
  • officeLocation
  • companyName
  • employeeId
  • extensionAttribute1 tot en met extensionAttribute15 (voor custom velden)
Vermijd attributen die medewerkers zelf kunnen wijzigen in hun profiel, zoals displayName of mobilePhone. Die zijn te makkelijk te misbruiken als access-basis.

Werkt met M365, security en distribution

Dynamic membership werkt voor drie group types:

TypeGebruikVoorbeeld
Microsoft 365Teams, SharePoint, Outlook distributieAlle marketing-medewerkers in Marketing-team
SecurityApp-toegang, Conditional AccessAlle contractors krijgen 2FA-verplicht
Mail-enabled securityShared mailbox + accessFinance-groep met eigen mailbox
Eén regel, één groep, meerdere doelen.

Stappenplan

  1. Begin met een Data Cleaner-pass. Inconsistente job titles maken dynamic rules onbetrouwbaar.
  2. Schrijf een eerste regel voor één afgebakende groep, bijvoorbeeld "Engineering-Lichtenvoorde".
  3. Test de regel eerst op een kleine testgroep van een paar users voor je hem breder toepast.
  4. Controleer welke users matchen. Te veel? Te weinig? Stel de regel bij.
  5. Ga live.
  6. Herhaal voor de volgende groep.
Niet alle groepen tegelijk. Begin met drie tot vijf belangrijkste, meet het effect, bouw vanaf daar uit.

Pitfalls

  1. Stale attributen. Als HR een functie pas na drie weken bijwerkt, staat iemand drie weken in de verkeerde groepen. Sync dagelijks.
  2. Inclusion vs exclusion. Je kunt users uitsluiten met and user.mail -ne "[email protected]". Makkelijk te vergeten.
  3. Gebruik nooit displayName. Mensen wijzigen dat soms zelf en je access-model springt erdoor uit elkaar.

FAQ

Hoe snel verwerkt Entra ID een attribuut-wijziging? Microsoft documenteert dat dynamic membership-wijzigingen meestal binnen een paar uur worden verwerkt, maar het kan oplopen tot 24 uur, afhankelijk van het aantal groepen, het volume aan wijzigingen en de complexiteit van de regels. Bij kritieke access-veranderingen (bijvoorbeeld offboarding) niet vertrouwen op dynamic group eval alleen, combineer met een expliciete license- en group-cleanup.

Kan een gebruiker in meerdere dynamic groups zitten? Ja, net als bij handmatige groepen. Overlappende memberships zijn geen probleem zolang de regels elkaar niet tegenspreken.

Werkt dit voor gasten (guest users)? Ja, maar guest-attributen zijn vaak sparse. Leg expliciete regels neer voor gasten, bijvoorbeeld userType -eq "Guest".

Wil je het volledige model achter deze regels? Lees ABAC in Entra ID voor de membership rules en de grenzen in de praktijk.

Volgende stap

ServiceChanger bouwt dynamic groups en bijbehorende ABAC-regels in jouw tenant op basis van de attributen die al in je Entra ID staan. Plan een demo of lees de documentatie over Automated Group Assignment.

Ook interessant

Wat is ABAC in Microsoft Entra ID?

ABAC (Attribute-Based Access Control) bepaalt toegang op basis van attributen zoals functie, afdeling of locatie. Zo werkt het in Entra ID, waar het verschilt van RBAC, en wanneer je het gebruikt.

Dynamic groups, een IGA-platform of ServiceChanger: wanneer kies je wat?

Toegang in Microsoft regelen kan met native Entra dynamic groups, een volwaardig IGA-platform of een regellaag als ServiceChanger. Dit zijn de drie aanpakken, hun grenzen, en wanneer welke past.

Entra ID vs Active Directory in 2026

Active Directory draait nog altijd op veel plekken terwijl Entra ID de standaard wordt. Dit is de stand van zaken in 2026: wat doe je met je AD, wanneer stap je over, wat houd je hybride?