钉钉如何设置仅允许公司WiFi打卡?
钉钉7.7.0版WiFi白名单打卡设置全流程,含MAC绑定、例外规则与故障排查,兼顾安全与成本。
功能定位:为什么只让公司WiFi打卡
“仅允许公司WiFi打卡”是钉钉考勤地理围栏+网络白名单双因子校验的一种低成本落地方式。与GPS围栏相比,它不受楼宇信号漂移影响;与人脸识别相比,无需额外硬件。经验性观察:200人以下行政网络稳定的企业,可把代打卡率从月均1.3%降至近0,且不会增加流量费用——考勤流量包仅验证阶段消耗约2 KB/次。
但边界也明显:① 若公司使用多楼层、多SSID,需全部纳入白名单;② 员工手机若随机MAC,首次需手动关闭“私有地址”;③ 漫游网络(AP间无缝切换)可能因网关变更被误判为外部网络。理解这些取舍后,再进入配置环节,可避免“今天生效、明天全员打不上卡”的尴尬。
前置检查:信息收集与权限确认
1. 收集公司WiFi的“双要素”
钉钉后台只认SSID+MAC地址。建议由IT部门在路由器管理界面→无线设置→AP列表导出全部2.4 GHz/5 GHz射频的BSSID(即MAC),并标注对应楼层或车间。示例:某连锁门店用3台H3C AP,每台双频,共6条BSSID,需一次性录入,否则员工在仓库就能打卡,前台却提示“不在WiFi范围”。
2. 确认管理员角色
路径:手机钉钉→工作台→考勤打卡→设置→权限管理,仅“主管理员”与被授予考勤权限的子管理员可编辑WiFi白名单。若由HR发起,需先让主管理员在管理后台(oa.dingtalk.com)→权限管理→功能权限→考勤里勾选“可管理考勤组”。
配置流程:分平台最短路径
手机端(Android & iOS)
- 工作台→考勤打卡→右下角“设置”→考勤组→选中目标组→打卡方式→WiFi打卡→添加WiFi。
- 在“SSID”栏输入公司WiFi名称,务必与路由器大小写一致;在“MAC地址”栏填入BSSID,用英文冒号分隔。
- 若存在多条BSSID,点击“继续添加”直至录完;完成后打开“仅允许列表内WiFi打卡”开关。
- 返回最底部点“保存”,系统会提示“立即生效”或“次日0点生效”,按业务需求选择。
PC管理后台(推荐批量)
- 浏览器登录oa.dingtalk.com→工作台→考勤打卡→考勤组管理→编辑对应组。
- 左侧菜单选“打卡方式”→WiFi打卡→下载模板→按示例把多行BSSID粘进去→上传。
- 上传成功后会回显有效条目数,确认无误后勾选“禁止非列表WiFi打卡”→保存。
提示:若公司启用访客网络且与办公网共用同一个BSSID,但VLAN不同,钉钉无法识别二层隔离,仍会被视为“公司WiFi”。此时建议把访客SSID改名或单独建立考勤组,避免访客误打卡。
例外规则:高管外勤、多场地、工厂轮班
1. 设置“外勤打卡”作为溢出通道
在考勤组→更多设置→外勤规则里,打开“允许外勤打卡”并勾选“需审批”。这样员工若因停电、WiFi故障无法连接,可提交外勤申请,系统会自动跳过WiFi校验。经验性观察:把审批人设为部门主管+IT双重节点,可将“假装外勤”比例压到0.2%以下。
2. 多场地共用一套考勤
连锁企业可将所有门店AP的BSSID录进同一个考勤组,再配“地理位置”辅助校验(GPS围栏半径200 m)。两者是“与”关系,员工必须同时满足“在公司WiFi”+“在门店坐标”才算合格。这样可规避员工在宿舍连公司WiFi代打卡。
3. 轮班制工厂夜间维护
若夜班期间IT需重启AC(无线控制器),可在考勤组→高级→免打卡时段里设置“03:00-03:30”不计迟到;同时用“补卡”功能留痕。免打卡时段≠不计工时,薪资模块仍按实际排班计算,避免合规风险。
兼容性与常见坑:随机MAC、企业证书、Mesh
1. iOS/Android默认“私有地址”
2026年起主流系统均默认开启随机MAC,首次连接公司WiFi时会生成伪MAC,导致钉钉识别失败。解决:① 在员工入职手册里写明关闭路径(iOS:设置→WiFi→点击SSID右侧i→关闭私有地址;Android:各厂商名称不同,如小米叫“隐私→连接随机化”)。② 用MDM(移动设备管理)统一下发配置文件,一键关闭。
2. 企业级证书网络
若公司使用802.1x+证书认证,部分Android机型在证书未授信前会显示“已连接但无法上网”,此时钉钉无法完成握手,会被判为不在白名单。解决:提前把根证书打包进钉盘,员工手动安装一次即可。
3. Mesh与AC漫游
Mesh网络通常由一台主AC统一发BSSID,理论上只需录一条。但经验性观察:个别厂商(如TP-Link商云)在节点切换时会刷新BSSID尾段,导致打卡失败。若出现批量“不在WiFi范围”告警,可在AC→射频设置→关闭“智能优化”,保持BSSID固化。
故障排查:四步定位法
| 现象 | 可能原因 | 验证动作 | 处置 |
|---|---|---|---|
| 打卡提示“不在公司WiFi” | BSSID录错/大小写 | 手机长按WiFi名→查看MAC,与后台比对 | 修正后保存,5分钟同步 |
| 连接公司WiFi仍失败 | 随机MAC开启 | 设置→关于手机→状态信息→WiFi MAC,与路由器DHCP表比对 | 关闭私有地址,重新连接 |
| 仅个别员工失败 | 绑定旧SSID | 让员工分享失败截图,看SSID是否带“_5G”后缀 | 把双频SSID全部录入 |
| 全员突然失败 | AC重启后BSSID刷新 | 登录AC→系统日志→查看BSSID变更记录 | 关闭智能优化,重新录入 |
成本与性能权衡:什么时候不该用
WiFi白名单虽省钱,但以下场景建议改用蓝牙考勤机或人脸识别闸机:
- 员工>1000人且并发打卡集中在5分钟内,AC认证压力大,可能出现数十秒排队;
- 车间禁止携带手机,需用物理工牌;
- 公司搬迁频繁,每次变更BSSID都要全员重新关闭随机MAC,沟通成本高。
经验性结论:当“IT部门每次维护导致的补卡次数”>“月打卡总量×0.5%”时,即达到切换阈值。可先用钉钉内置考勤报表→异常统计拉取30天数据,再决定是否升级硬件。
最佳实践清单:上线前对照表
- 已导出全部AP的2.4G/5G BSSID,并去重;
- 已在测试考勤组里用5台不同品牌手机完成打卡验证;
- 已把“关闭私有地址”截图写进入职手册;
- 已设置外勤溢出+免打卡时段,并配双重审批;
- 已在公告栏发布“WiFi打卡上线通知”,预留3天过���期;
- 已在管理后台打开操作日志,方便回滚。
警告:若公司后续把办公网与访客网做SSID合并(如统一叫“iCompany”),务必提前把访客VLAN的BSSID也录入,否则访客一旦拿到密码即可打卡。更安全的做法是维持“办公/访客”双SSID,后者不录入白名单。
FAQ:WiFi白名单打卡热点疑问
员工用手机热点伪装SSID能否绕过?
不能。钉钉不仅校验SSID,还校验BSSID(即路由器无线MAC)。手机热点MAC与真实AP不同,系统会直接拒绝。
开启WPA3或隐藏SSID会影响吗?
只要员工能正常连接,钉钉就能读到BSSID,加密方式无影响;隐藏SSID需确保员工手动输入网络名,首次连接成功率会降低,建议保留广播。
搬家后如何批量更新?
在PC后台下载“WiFi列表”模板,清空旧数据→导入新BSSID→保存即可。系统会实时同步,无需停用考勤组。
iOS升级后无法打卡怎么办?
先检查“私有地址”是否被系统更新重新打开;若确认关闭仍失败,在设置→通用→传输或还原iPhone→还原→还原网络设置,重新连接即可。
能否只限制上班WiFi,不限制下班?
目前同一考勤组的WiFi校验是双向的,无法区分上/下班。可用“弹性时间+免打卡”折中:把下班时间设为弹性24:00,实际员工可在外勤打卡下班。
总结与下一步行动
WiFi白名单是钉钉7.7.0版考勤里“花小钱办大事”的典型功能:零硬件、十分钟上线,就能把代打卡风险压到最低。但它对网络拓扑、手机系统策略高度敏感,必须提前做全AP盘点+随机MAC关闭+外勤溢出三重准备。
建议你按本文“最佳实践清单”先跑一个50人试点,观察7天异常率;若补卡次数<0.3%,再全量推广。期间把“操作日志”与“异常报表”加入管理员周报,任何一次全员失效都能在30分钟内定位回滚。这样,既享受WiFi打卡的低成本,又守住混合办公时代的合规底线。
未来版本若支持“分时段WiFi校验”或“BSSID模糊匹配”,可进一步降低维护量;现阶段先按本文流程落地,已足够覆盖九成场景。