Joiner-Mover-Leaver met je HR-systeem: standaard of maatwerk?

Ruben van der Graaf·1 juni 2026·5 min lezen

JML automatiseren vanuit je HR-systeem klinkt als één knop, maar het zit op twee niveaus. Wat ServiceChanger standaard doet op groep- en rolniveau, en wat account aanmaken en verwijderen vanuit HR als maatwerk is.

Joiner-Mover-Leaver (JML) is de cyclus van een medewerker die binnenkomt, van rol wisselt en weer vertrekt. "Koppel je HR-systeem en regel JML automatisch" klinkt als één knop, maar het zit op twee niveaus. Het ene niveau is standaard, het andere is maatwerk. Dit artikel legt het verschil uit, zodat je weet wat je mag verwachten.

TL;DR

JML speelt op twee niveaus: lidmaatschap van groepen en rollen, en het aanmaken en verwijderen van accounts.
Het lidmaatschapsniveau is standaard: attributen bepalen groepen en rollen, en joiner, mover en leaver volgen vanzelf.
Account aanmaken en verwijderen vanuit je HR-systeem is maatwerk, geen standaard knop.
Dat maatwerk bouwen we met PowerShell in Azure Automation, runbooks op hybrid workers, die de API van je HR-systeem lezen.
De reden dat het maatwerk is: elk HR-systeem heeft andere velden en regels, een one-size-fits-all zou niemand passen.

De twee niveaus van JML

Veel verwarring over onboarding en offboarding komt doordat twee dingen op één hoop gaan:

Het lidmaatschapsniveau. Welke groepen en rollen hoort iemand te hebben, gegeven wie diegene is. Dit gaat over toegang.
Het accountniveau. Bestaat het account überhaupt, en wordt het op het juiste moment aangemaakt, uitgeschakeld of verwijderd. Dit gaat over het bestaan van het account zelf.

Een goed JML-proces dekt beide. Het verschil is dat het lidmaatschapsniveau zich laat vangen in regels, en het accountniveau afhangt van jouw specifieke HR-systeem.

Wat standaard kan: het lidmaatschapsniveau

Op het lidmaatschapsniveau is JML gewoon een gevolg van je attributen. ServiceChanger houdt groep- en rollidmaatschappen kloppend op basis van de attributen die al in je directory staan (het bucket-model).

Joiner. Zodra het account de juiste attributen heeft (afdeling, functie, locatie), pakken de regels de standaardtoegang op. Geen ticket nodig.
Mover. Verandert iemands afdeling of functie, dan verandert het lidmaatschap mee. Wat niet meer past, valt weg.
Leaver. Vallen de attributen weg of wisselt de status, dan trekken de regels de toegang terug.

Dit is standaardgedrag. Je legt de logica één keer vast en het lidmaatschap blijft kloppen, ook als mensen bewegen.

Wat maatwerk is: accounts vanuit HR

Het account aanmaken en verwijderen op basis van je HR-systeem, dus echte onboarding en offboarding, is geen standaard productknop. De standaard Access-module maakt of verwijdert geen accounts vanuit een HR-bron. Wil je dat wel, dan bouwen we het als maatwerk bovenop hetzelfde platform.

In de praktijk:

PowerShell-scripts draaien in Azure Automation, in een runbook op hybrid workers.
De scripts lezen de API van jouw HR-systeem.
Op basis daarvan voeren ze acties uit op de lokale Active Directory en/of Entra ID: accounts aanmaken, uitschakelen of verwijderen, attributen zetten, enzovoort.

Dit gebruikt dezelfde hybride architectuur als de rest van ServiceChanger (runbooks op hybrid workers), dus het staat náást je Microsoft-omgeving, niet ertussen.

Hoe het maatwerk technisch werkt

Het patroon is steeds hetzelfde: lees de bron, bepaal de actie, voer hem uit, en laat het lidmaatschap daarna automatisch volgen.

# Runbook op een hybrid worker, draait op een schema
1. Haal nieuwe en gewijzigde medewerkers op uit de HR-API
2. Joiner  -> maak account in AD/Entra ID, zet afdeling/functie/locatie
3. Mover   -> werk attributen bij (de regels passen het lidmaatschap aan)
4. Leaver  -> schakel account uit op de einddatum, verwijder na de retentie

Stap 2 tot en met 4 raken alleen het account en zijn attributen. De groepen en rollen zelf laat je over aan de standaard ABAC-regels: zodra de attributen kloppen, klopt de toegang. Zo houd je het maatwerk klein en de rest standaard.

Waarom dit maatwerk is en geen standaardfeature

Er valt op accountniveau weinig zinnigs te standaardiseren. Elk bedrijf heeft een ander HR-systeem, andere velden, andere regels en andere wensen voor wat er moet gebeuren bij een joiner, mover of leaver. Wanneer mag een account vooruit worden aangemaakt? Hoe lang blijft het na vertrek staan? Welk veld is leidend voor de afdeling? Een one-size-fits-all-feature zou niemand goed passen. Daarom leveren we het als werk op maat, op een platform dat de rest al standaard doet.

Wat je wel en niet moet verwachten

Scenario	Standaard (lidmaatschap)	Maatwerk (account)
Nieuwe medewerker	Regels geven de standaardtoegang	Account aanmaken vanuit HR
Afdelingswissel	Lidmaatschap volgt het nieuwe attribuut	Attribuut bijwerken vanuit HR
Vertrek	Toegang valt weg als attributen wegvallen	Account uitschakelen op einddatum
Bron van waarheid	Attributen in je directory	API van je HR-systeem

De linkerkolom is standaard. De rechterkolom bouwen we als maatwerk wanneer je het accountniveau ook vanuit HR wilt sturen.

Hoe ServiceChanger hierin past

ServiceChanger past lidmaatschappen van groepen en rollen in Entra ID en on-prem AD toe op basis van attributen (ABAC). Dat is de standaardlaag onder het lidmaatschapsniveau van JML: je legt de logica vast, en het lidmaatschap klopt en blijft kloppen.

Standaard reageert ServiceChanger op de attributen die al in je directory staan; het maakt of verwijdert zelf geen accounts vanuit een HR-bron. Wil je je HR-systeem koppelen voor echte onboarding en offboarding, dan bouwen we dat als maatwerk met automation accounts en runbooks in Azure. De License-module houdt licentiegebruik bij op basis van Entra-aanmeldactiviteit; het toewijzen van licenties zelf blijft bij Microsoft. Voor het AI-gedreven afhandelen van tickets is er ITSM Autopilot, ons zusterproduct.

FAQ

Doet ServiceChanger standaard onboarding en offboarding vanuit mijn HR-systeem? Niet uit de doos. Het lidmaatschapsniveau (groepen en rollen) is standaard. Accounts aanmaken en verwijderen vanuit HR bouwen we als maatwerk met runbooks.

Waarom is dat maatwerk en geen knop? Omdat elk HR-systeem andere velden en regels heeft. Er is geen zinnige standaard die voor iedereen klopt, dus we leveren het op maat.

Werkt dit ook voor on-prem Active Directory? Ja. De runbooks draaien op hybrid workers en kunnen acties uitvoeren op zowel on-prem AD als Entra ID, zodat een hybride omgeving onder één aanpak valt.

Wat blijft er handmatig? Beslissingen die om oordeel vragen, zoals gevoelige toegang met goedkeuring en uitzonderingen die niet in het patroon passen. Die horen bij de servicedesk thuis.

Verder lezen

IT offboarding checklist: wat je kunt automatiseren voor de stappen van een volledige offboarding.
Hybride Active Directory automatiseren met een PowerShell-runbook voor de runbook-aanpak in detail.
Wat is ABAC in Entra ID voor het lidmaatschapsniveau onder JML.

Volgende stap

Wil je het lidmaatschapsniveau van JML standaard laten lopen en het accountniveau eventueel als maatwerk erbij? ServiceChanger automatiseert groep- en rollidmaatschap in Entra ID op basis van attributen. Plan een demo of lees de ABAC-documentatie.

Ook interessant

IT offboarding checklist: wat je kunt automatiseren

De 15 stappen van een volledige IT-offboarding in Microsoft Entra ID. Welke je moet automatiseren, welke je handmatig laat, en waarom de volgorde ertoe doet.

Group mining: begin niet bij nul met je ABAC-model

Je tenant zit vol groepen die ooit met de hand zijn gemaakt. Group mining leest die patronen en stelt voor welke groep bij welk attribuut hoort, zodat je niet maandenlang zelf hoeft uit te zoeken waar je begint.

Dynamic groups, een IGA-platform of ServiceChanger: wanneer kies je wat?

Toegang in Microsoft regelen kan met native Entra dynamic groups, een volwaardig IGA-platform of een regellaag als ServiceChanger. Dit zijn de drie aanpakken, hun grenzen, en wanneer welke past.