Ongebruikte Microsoft 365-licenties terugwinnen met Entra aanmeldactiviteit

Ruben van der Graaf·13 mei 2026·5 min lezen

Toegewezen licenties zeggen niets over gebruik. Met de echte aanmeldactiviteit uit Entra ID vind je licenties die niemand gebruikt. Zo bouw je er een 90-dagen-beleid en een business case omheen.

De meeste organisaties betalen voor meer Microsoft 365-licenties dan ze gebruiken. Niet omdat ze slordig zijn, maar omdat niemand kijkt naar het verschil tussen een toegewezen licentie en een gebruikte licentie. Dat verschil staat in Entra ID, in een veld dat de meeste beheerders nooit openen: signInActivity.

TL;DR

Een toegewezen licentie is niet hetzelfde als een gebruikte licentie.
Entra ID houdt per gebruiker de laatste aanmelding bij in het veld signInActivity.
Gebruik die datum om accounts te vinden die al 90 dagen niet zijn ingelogd.
Een 90-dagen-beleid is een goed startpunt: lang genoeg voor verlof, kort genoeg om geld te besparen.
Voor 500 gebruikers met 12 procent ongebruikte E3-licenties praat je over circa 25.000 euro per jaar.
ServiceChanger leest de echte aanmeldactiviteit en rapporteert welke licenties je kunt terugwinnen. Microsoft doet de daadwerkelijke intrekking.

Het verschil tussen toegewezen en gebruikt

In het Microsoft 365 admin center zie je hoeveel licenties je hebt gekocht en hoeveel er zijn toegewezen. Wat je daar niet ziet, is of die toegewezen licenties ook echt gebruikt worden.

Een account kan een E3-licentie hebben en al vier maanden niet zijn ingelogd. De licentie telt mee in je verbruik. Je betaalt ervoor. Maar er gebeurt niets mee.

Brancheonderzoeken naar SaaS-gebruik schatten ongebruikte of onderbenutte licenties consequent op ergens tussen een derde en de helft van de seats, waarbij sommige studies bijna de helft 90 dagen of langer ongebruikt vinden. Zelfs als jouw cijfer aan de lage kant ligt, is de kans groot dat je voor een flink deel van je seats voor niets betaalt.

Wat signInActivity precies is

Entra ID houdt per gebruiker bij wanneer die voor het laatst is ingelogd. Dat staat in de signInActivity-eigenschap, opvraagbaar via Microsoft Graph. Binnen die eigenschap zijn drie velden relevant:

Veld	Wat het betekent
lastSignInDateTime	Laatste interactieve aanmelding (gebruiker typt wachtwoord, MFA, enzovoort)
lastNonInteractiveSignInDateTime	Laatste aanmelding namens de gebruiker, bijvoorbeeld een client die een token vernieuwt
lastSuccessfulSignInDateTime	Laatste geslaagde aanmelding, los van of de sessie verder voltooide

Voor licentie-opschoning wil je meestal kijken naar de meest recente van deze drie. Een account dat interactief niet inlogt maar wel non-interactief actief is, gebruikt waarschijnlijk nog een dienst (denk aan een mailclient die op de achtergrond synct).

Twee dingen om vooraf te weten

Voordat je hierop bouwt, twee feiten die mensen vaak verrassen.

Ten eerste: de signInActivity-eigenschap vereist een Microsoft Entra ID P1-licentie (of hoger) in je tenant. Zonder P1 geeft Graph dit veld niet terug. P1 zit standaard in veel Microsoft 365-pakketten, maar controleer het voor je begint.

Ten tweede: de data is niet realtime. Microsoft documenteert een vertraging tot ongeveer 24 uur voordat een aanmelding in dit veld verschijnt. Voor een 90-dagen-beleid maakt een dag niets uit, maar reken er niet op dat je vanmorgen ziet wie er vijf minuten geleden inlogde.

Een 90-dagen-beleid opzetten

Een vast aantal dagen maakt het beleid uitlegbaar en herhaalbaar. 90 dagen werkt voor de meeste organisaties:

Het overbrugt langdurig verlof, ziekteperiodes en sabbaticals.
Het is kort genoeg om binnen een kwartaal geld te besparen.
Het is een grens die je aan een auditor kunt uitleggen.

De stappen:

Haal alle gebruikers met een betaalde licentie op via Graph, inclusief signInActivity.
Filter op accounts waarvan de laatste aanmelding ouder is dan 90 dagen.
Sluit serviceaccounts en bewust slapende accounts uit (zet ze op een uitzonderingslijst).
Bekijk de overgebleven lijst met de teamleider of HR-contactpersoon.
Trek de licentie in voor accounts die echt niet meer nodig zijn, of zet ze op een goedkoper plan.

Stap 5 doe je in Microsoft. ServiceChanger levert de lijst, de onderbouwing en het advies; de daadwerkelijke wijziging van de licentie blijft een actie in het Microsoft-beheervlak.

De rekensom

Ter illustratie: stel 500 gebruikers, allemaal op E3. Een Microsoft 365 E3-licentie kost grofweg 35 euro per gebruiker per maand tegen de huidige lijstprijs, dus zo'n 420 euro per jaar. De scenario's hieronder zijn illustratief, geen gegarandeerd resultaat.

Scenario	Ongebruikt	Vrijgemaakte licenties	Besparing per jaar
Conservatief	6 procent	30	12.600 euro
Realistisch	12 procent	60	25.200 euro
Veel verloop	20 procent	100	42.000 euro

Zelfs het conservatieve scenario betaalt zichzelf ruim terug. En dit is alleen de directe besparing op seats, nog los van de tijd die je servicedesk kwijt is aan handmatige license-audits.

Wat je met de vrijgemaakte licenties doet

Een ingetrokken licentie hoeft niet meteen opgezegd te worden. Drie opties:

Hergebruiken. Houd een centrale pool aan en wijs vrijgekomen licenties toe aan nieuwe medewerkers. Je koopt pas bij als de pool leeg is.
Downgraden. Iemand die alleen mail en Teams gebruikt heeft geen E5 nodig. Zet ze op E3 of Business Standard.
Niet verlengen. Bij je volgende contractmoment koop je minder seats in. Dit is waar de echte structurele besparing zit.

FAQ

Betekent een oude laatste-aanmelding altijd dat de licentie weg kan? Nee. Controleer altijd handmatig of leg het voor aan de leidinggevende. Een directielid dat drie maanden op sabbatical was, wil je niet de toegang afnemen. De lijst is een startpunt, geen automatische opzeggingsknop.

Heb ik P1 echt nodig? Voor de signInActivity-eigenschap via Graph wel. Veel organisaties hebben P1 al via hun Microsoft 365-abonnement zonder het te beseffen. Check je licentie-overzicht voordat je dit afschrijft.

Trekt ServiceChanger de licenties automatisch in? Nee. ServiceChanger leest de echte aanmeldactiviteit, vergelijkt die met je toegewezen seats en je contracten, en rapporteert wat je kunt terugwinnen. De daadwerkelijke toewijzing en intrekking van licentie-SKU's gebeurt in Microsoft. Wij meten en adviseren, jij houdt de controle.

Hoe vaak moet ik dit draaien? Maandelijks rapporteren, per kwartaal opschonen. Zo blijf je dicht bij je werkelijke verbruik zonder elke week handmatig te kijken.

Verder lezen

Inactieve gebruikers in Entra vinden voor het opsporen van stille accounts via aanmeldactiviteit.
Microsoft 365-licenties beheren voor het bredere licentiebeheer.

Volgende stap

Wil je weten hoeveel ongebruikte licenties er in jouw tenant zitten? De licentiemodule van ServiceChanger leest de echte aanmeldactiviteit uit Entra ID en laat zien wat je kunt terugwinnen. Plan een demo of lees de licentie-documentatie.

Ook interessant

Inactieve gebruikers in Entra vinden op laatste aanmelding (en wat het oplevert)

Met het signInActivity-veld in Entra ID vind je accounts die al maanden niet zijn ingelogd. Zo werkt de query, waar je op moet letten (P1, 24 uur vertraging) en wat het oplevert aan licenties.

Group mining: begin niet bij nul met je ABAC-model

Je tenant zit vol groepen die ooit met de hand zijn gemaakt. Group mining leest die patronen en stelt voor welke groep bij welk attribuut hoort, zodat je niet maandenlang zelf hoeft uit te zoeken waar je begint.

Joiner-Mover-Leaver met je HR-systeem: standaard of maatwerk?

JML automatiseren vanuit je HR-systeem klinkt als één knop, maar het zit op twee niveaus. Wat ServiceChanger standaard doet op groep- en rolniveau, en wat account aanmaken en verwijderen vanuit HR als maatwerk is.