Dynamic groups versus ABAC

Wat dynamic groups zijn

Dynamic groups zijn een functie van Entra ID. Eén groep krijgt een membership-rule en Entra vult die groep automatisch op basis van attributen. Het is een prima oplossing voor losse groepen, maar je beheert elke rule apart, per groep, in de Entra-portal.

Wat ServiceChanger anders doet

ABAC in ServiceChanger werkt op tenant-niveau over meerdere groepen tegelijk. In plaats van per groep een losse rule te onderhouden, leg je centraal vast welk attribuut welke groepen oplevert. Dat geeft je:

• Eén overzicht van welk attribuut welke toegang geeft, over je hele tenant.
• Historie en audit van wijzigingen, zodat je kunt terugkijken waarom iemand ergens in zat.
• On-prem bereik: dezelfde regel kan ook on-prem AD-groepen vullen, via het runbook en Entra Connect. Native dynamic groups doen alleen cloud.
• Veilig uitrollen: test een nieuwe regel eerst op een kleine testgroep voordat je hem breder toepast.

Wanneer dynamic groups genoeg zijn

Heb je een handvol cloud-only groepen met simpele attribuut-regels en geen on-prem AD, dan kun je prima native dynamic groups gebruiken. ServiceChanger raakt bestaande dynamic groups niet aan tenzij je er actief een regel op zet.

Wanneer ServiceChanger past

ServiceChanger is bedoeld voor omgevingen waar:

• toegang over veel groepen en attributen verspreid zit,
• je zowel Entra ID als on-prem AD beheert,
• je wilt kunnen valideren en terugkijken voordat en nadat je wijzigt,
• je groepen wilt opruimen en consolideren in plaats van steeds nieuwe rules bij te bouwen.

Group-based licensing

Group-based licensing is een aparte, native Entra-functie waarmee Microsoft licenties koppelt aan groepslidmaatschap. ServiceChanger doet dat niet zelf. Het vult de groepen volgens je regels en volgt apart het gebruik van de licenties. Het daadwerkelijk koppelen van een SKU aan een groep blijft bij Microsoft. Zie License tracking.

Gerelateerd

• ABAC en attributen
• Group mining
• Hybride en on-prem AD