Documentatie/Aan de slag

Je eerste ABAC-regel in 10 minuten

Van nul naar een werkende ABAC-regel in je Entra-tenant. Deze handleiding loopt stap voor stap mee.

Wat je gaat bouwen

Een regel die alle medewerkers met jobTitle die "Engineer" bevat in de groep Engineering-All zet. Binnen tien minuten, en eerst veilig getest op een kleine testgroep.

Wat je nodig hebt

  • Toegang tot je Entra-tenant met de rol Global Administrator (voor de eerste koppeling) of User Administrator.
  • Een ServiceChanger-account.
  • Tenminste een paar medewerkers met jobTitle gevuld.
Heb je je tenant nog niet gekoppeld? Volg eerst Microsoft Entra ID koppelen.

Stap 1. Controleer je attribuut-data

Ga naar Users. ServiceChanger toont per user welke attributen gevuld zijn. Kijk naar jobTitle. Hoeveel users hebben het ingevuld, hoeveel niet? Lege attributen leveren straks geen match op, dus vul belangrijke gaten eerst aan in Entra. ServiceChanger schrijft attributen niet voor je, dat doe je in Entra of je eigen sync.

Stap 2. Maak de groep aan

Wil je naar een nieuwe groep schrijven, maak die dan aan in Entra ID (Groups > New group). Bestaat de groep al, dan kun je die direct gebruiken. Voor een on-prem gesynchroniseerde groep loopt de wijziging via je hybrid worker; zie Hybride en on-prem AD.

Stap 3. Maak de regel

Ga naar de regels in ServiceChanger en maak een nieuwe aan:

  • Attribuut: jobTitle contains "Engineer"
  • Doelgroep: Engineering-All
Opslaan.

Stap 4. Test op een kleine testgroep

Begin klein. Beperk de regel eerst tot een kleine testgroep van een paar users, bijvoorbeeld een handvol engineers die je kent. Zo controleer je het resultaat op een beperkte groep voordat je de regel op iedereen toepast.

Stap 5. Verifieer

Bekijk wie de regel in je testgroep raakt. Alle users met "Engineer" in hun jobTitle horen erbij, inclusief varianten als "Principal Engineer" en "Staff Engineer", want contains pakt die mee. Klopt de lijst? Te breed of te smal? Pas het attribuut aan of gebruik een samengesteld attribuut.

Stap 6. Rol breder uit

Klopt het beeld op je testgroep? Verbreed de regel naar de volledige scope en zet hem op Active. ServiceChanger past de membership binnen een paar minuten aan. Voor cloud-only groepen via Microsoft Graph, voor on-prem groepen via het runbook en Entra Connect.

Controleer het resultaat in Entra ID: Groups > Engineering-All > Members.

Gerelateerd