Servicedesk automatiseren: stop met handmatige toegangsverzoeken

Een groot deel van wat een servicedesk dagelijks doet, is toegang regelen. Iemand wil bij een gedeelde map, een nieuwe medewerker heeft de standaardapps nodig, iemand wisselt van afdeling. Stuk voor stuk een ticket, stuk voor stuk handwerk. Het meeste daarvan hoeft niet door mensen te worden gedaan. Dit artikel laat zien wat je als eerste automatiseert en hoe.

TL;DR

• Toegangsverzoeken zijn vaak een kwart tot de helft van het ticketvolume en bijna allemaal handwerk.
• Het grootste deel volgt een patroon: afdeling, functie of locatie bepaalt de toegang.
• Koppel elke afdeling, functie of locatie aan een bucket met groepen, zodat lidmaatschap automatisch klopt.
• Begin met de standaardtoegang die bij elke afdeling of functie hoort.
• Houd uitzonderingen en gevoelige rechten bewust bij de mens.

Waarom toegangsverzoeken zo veel tijd kosten

Een toegangsverzoek lijkt klein, maar de werkelijke kosten zitten in de keten eromheen: het ticket lezen, beoordelen of het mag, de juiste groep vinden, de wijziging doorvoeren, terugkoppelen, en bij twijfel iemand om akkoord vragen. Reken op 10 tot 20 minuten per verzoek, en dat keer tientallen per week.

Erger nog is wat er niet gebeurt: rechten die blijven staan nadat iemand van rol wisselt. Niemand opent een ticket om toegang weg te halen. Zo groeit de stille stapel aan rechten die mensen hebben en niet meer horen te hebben.

Het patroon achter de meeste verzoeken

Kijk je naar een week toegangsverzoeken, dan zie je dat het merendeel een patroon volgt. Iemand bij Sales wil de Sales-tools. Een nieuwe engineer wil de standaard engineering-toegang. Iemand verhuist naar de vestiging in Enschede en heeft de lokale rechten nodig.

In al deze gevallen bepaalt één attribuut de toegang: afdeling, functie of locatie. En bij zo'n attribuut hoort meestal niet één groep, maar een hele set. Afdeling Sales heeft bijvoorbeeld de Sales-CRM, de gedeelde Sales-schijf, de VPN en de M365-licentiegroep nodig. Zie een attribuutwaarde dus als een bucket: één label dat een vaste set groepen bij elkaar houdt.

Wat je als eerste automatiseert

Niet alles tegelijk. Begin bij de toegang met het hoogste volume en het laagste risico:

Type toegang	Automatiseren?	Waarom
Standaard afdelingstoegang	Ja, eerst	Hoog volume, duidelijk attribuutpatroon
Functiegebonden apps en groepen	Ja	Voorspelbaar, volgt de functietitel
Locatiegebonden rechten	Ja	Volgt de stad of vestiging
Tijdelijke projecttoegang	Deels	Kan via een aparte regel of statische groep
Admin- en directierechten	Nee	Gevoelig, bewust handmatig houden

De eerste drie rijen zijn waar de meeste tijd wegloopt en waar regels het werk overnemen.

Eén attribuut, een bucket met groepen

De omslag is conceptueel klein maar in de praktijk groot. In plaats van per persoon losse groepen aan te vinken, koppel je elke afdeling, functie of locatie één keer aan de bucket met groepen die erbij hoort:

Afdeling = Sales    ->  Sales-CRM, Sales-Drive, VPN, M365-Sales
Afdeling = IT       ->  IT-Admin, Servicedesk, VPN, M365-IT
Functie  = Manager  ->  Goedkeurders, Rapportage, Management-Dashboard

Zet je bij een medewerker de afdeling op Sales, dan krijgt hij in één keer de hele Sales-bucket. Wisselt hij naar IT, dan vervalt de Sales-bucket en komt de IT-bucket ervoor in de plaats, inclusief het opruimen van de groepen die niet meer kloppen. Nieuwe medewerkers vallen er meteen onder: zet het attribuut, en de juiste toegang volgt. Het ticket dat je voorheen kreeg om toegang weg te halen, hoeft niemand meer te openen.

Wat je bewust bij de mens houdt

Automatiseren betekent niet alles automatiseren. Twee categorieen wil je expres handmatig houden:

• Gevoelige rechten. Admin-toegang, directiebestanden, financiele systemen. Hier wil je een mens die bewust akkoord geeft.
• Echte uitzonderingen. Een contractor met een bijzondere afspraak, een tijdelijke uitbreiding. Zet die in een aparte statische groep, los van je regels.

Zo automatiseer je het saaie volume en houd je controle waar het ertoe doet.

Wat ServiceChanger hier doet

ServiceChanger automatiseert lidmaatschappen van groepen en rollen in Entra ID en on-prem AD. Concreet betekent dat: je koppelt elke afdeling, functie of locatie aan een bucket met groepen, en ServiceChanger zorgt dat het lidmaatschap klopt en blijft kloppen.

Standaard reageert ServiceChanger op de attributen die al in je directory staan, binnen Microsoft en Azure. Wil je je HR-systeem koppelen voor onboarding en offboarding, dan bouwen we dat als maatwerk met automation accounts en runbooks in Azure. De daadwerkelijke toewijzing van licenties blijft bij Microsoft; ServiceChanger beheert de toegang en rapporteert over licentiegebruik.

FAQ

Vervangt dit mijn servicedesktool? Nee. Het haalt het meest repetitieve toegangswerk uit de ticketstroom, zodat je supportteam overhoudt waar mensen echt nodig zijn.

Hoe weet ik zeker dat de regels kloppen voordat ze live gaan? Zet de regels eerst naast je huidige situatie en vergelijk wie de regel oppakt versus wie er nu in zit. Pas verschillen aan, zet daarna live.

Werkt dit ook voor mijn on-prem Active Directory? Ja. ServiceChanger past regels toe op zowel Entra ID als on-prem AD, zodat een hybride omgeving onder één model valt.

Wat met toegang die niemand meer nodig heeft? Dat is juist de winst. Omdat lidmaatschap aan de regel hangt, verdwijnt toegang automatisch als het attribuut verandert. Geen stille stapel aan rechten meer.

Verder lezen

• Self-service portaal voor toegang voor het laten aanvragen van toegang met approval-flow.
• IT offboarding checklist voor wat er met toegang gebeurt als iemand vertrekt.

Volgende stap

Wil je het handmatige toegangswerk uit je servicedesk halen? ServiceChanger automatiseert groeps- en rollidmaatschap in je Microsoft-omgeving op basis van regels. Plan een demo of lees de ABAC-documentatie.