钉钉如何关闭离职员工自动登录企业微应用权限？

功能定位：为什么必须“手动关”而非“自动掉”

在钉钉的权限体系里，离职员工自动登录企业微应用权限默认不会随人事状态同步失效。经验性观察：若管理员未显式关闭，员工仍可在30 天缓存窗口内通过浏览器书签或本地缓存的 token 直接进入微应用后台，造成数据泄露或操作审计缺口。2026 年 2 月 7.7.0 版本后，钉钉在「智能人事」模块增加了“一键清权”入口，但仍需管理员主动触发，系统不会强制回收。

决策树：先判断“能不能关”

1. 员工是否已完成「智能人事-离职交接」？若未走完，系统会阻断清权按钮，提示“存在未结流程”。
2. 微应用是否属于第三方 ISV？部分 ISV 采用自研 SSO，钉钉侧仅能回收「钉钉免登 code」，无法回收 ISV 内部会话，需要对方管理员同步禁用。
3. 是否开启「上下游协同」？如果离职人员曾经加入互联群，清权后其在供应商组织的映射账号仍可能存活，需额外在「外部联系人-权限映射」里手动解绑。

只有同时满足“人事流程已结束 + 微应用为钉钉原生或已对接统一回收接口”时，下述步骤才可 100% 生效。

最短操作路径（分平台）

桌面端（Win / macOS 7.7.0 及以上）

1. 管理员账号登录钉钉桌面端 → 点击左下角「工作台」→ 右上角「管理后台」。
2. 在浏览器打开的新标签页中，依次进入「安全与权限-权限管理-微应用权限」。
3. 搜索目标员工姓名 → 点击「查看权限」→ 勾选「自动登录」类权限 → 右上角「批量回收」→ 二次确认。
4. 同一页面顶部点「同步日志」→ 状态显示“成功”即完成；若出现“部分失败”，点击「详情」可下载 CSV 清单，按提示联系 ISV。

移动端（Android / iOS 7.7.0 及以上）

移动端仅支持单用户回收，路径：工作台 → 管理后台 → 微应用权限 → 输入姓名 → 滑到最底部「回收自动登录」→ 指纹验证 → 完成。批量操作仍需回到桌面端。

回退方案

若误回收，可在30 天内通过「安全与权限-操作日志-回收记录」→ 点击「恢复」；超过 30 天需重新授权，原 token 已强制过期。

例外与取舍：哪些场景不建议“一刀切”

• 董事会高管账号：经验性观察，部分上市公司需保留 90 天只读权限以备内审，建议改用「仅数据查看」角色而非直接回收。
• 财务月结期间：若离职员工为报销单发起人，回收权限会导致单据无法重新提交，可等「财务月结-锁定日」后再清权。
• ISV 未接入统一回收接口：此时钉钉侧回收仅清除入口，用户仍可用用户名密码登录 ISV 后台，需额外发邮件要求 ISV 禁用账号。

与机器人/第三方的协同：最小权限原则

如果微应用通过「钉钉机器人」推送消息，回收自动登录权限不会停用机器人 webhook，但员工仍可能通过旧 webhook URL 调用接口。经验性验证：在「安全与权限-API 调用日志」里筛选该 userId，若 24 小时内仍有调用，需重置机器人 secret并重新下发给合法用户。

故障排查：清权后仍能登录？

现象	最可能原因	验证步骤	处置
浏览器刷新后仍显示头像	本地缓存的 access_token 未过期	无痕窗口重新打开微应用	提示 401 即正常；若仍 200，检查 ISV 是否缓存 token
安卓端钉钉小程序可进入	小程序本地 storage 未同步失效	在另一台未登录过的设备测试	强制退出账号并清除缓存，或等待 token 自然过期（默认 24h）
PC 端提示“无权访问”但秒跳回首页	微应用前端路由未正确处理 403	浏览器 Network 查看返回码	联系开发者增加 403 拦截页，避免“假跳转”造成审计误会

适用/不适用场景清单

最佳实践速查表

1. 离职流程触发器：在「智能人事-自动化规则」里新增“人事状态=已离职 → 调用回收接口”，实现 2 小时内自动清权。
2. 双重确认：回收后 24 小时内，由审计员在「安全与权限-操作日志」抽检 10% 记录，发现异常立即开工单。
3. ISV 白名单：维护一张《未接入统一回收接口清单》，每月发邮件催办，直至全部接入。
4. 回退演练：每季度抽 1 名已离职账号做恢复测试，确保 30 天窗口内可逆。

FAQ（结构化数据）

收尾：下一步行动清单

读完本文，你只需做三件事：① 打开桌面端管理后台，按路径验证是否存在 30 天前已离职但仍拥有自动登录权限的账号；② 把「清权失败 CSV」里出现的 ISV 列入白名单并发出整改邮件；③ 在「智能人事-自动化规则」里启用“已离职 → 回收微应用权限”，让 2026 年第二季度的审计报告不再出现“离职人员越权访问”红线。

完成以上，组织即可在钉钉 7.7.0 环境下实现可审计、可回退、可自动化的离职清权闭环。