怎么在钉钉后台限定员工打卡的WiFi白名单?
钉钉后台限定员工打卡WiFi白名单教程:路径、例外与防作弊要点
功能定位:为什么一定要锁WiFi白名单
在钉钉考勤的五种打卡方式里,WiFi打卡因“零流量、秒级识别”成为写字楼与工厂产线的首选。开放任何信号都可识别时,员工只要把手机热点名称改成公司SSID就能在家“云打卡”。WiFi白名单(官方文案:可信网络)正是把“可见SSID”升级为“可信BSSID”的第一道锁,核心关键词“WiFi白名单”也因此成为后台配置里搜索量最高的考勤子项。
从版本演进看,该功能在钉钉5.0之前仅支持“SSID+后缀模糊匹配”,6.0起引入MAC地址白名单,7.0后又把“同时在线数量”与“防代理”开关收归同一页面,形成现在的“可信网络”模块。理解这条时间线,你就能判断:若员工反馈“突然打不上卡”,大概率是后台把旧规则清空了,需要重新绑定BSSID。
前置检查:哪些网络能被纳入白名单
1. 网络类型
仅支持2.4 GHz/5 GHz的IEEE 802.11系列无线接入点;蜂窝热点、蓝牙共享、企业privacy tool网关下发的虚拟网卡均会被后台自动过滤,界面上呈灰色不可选状态。
2. 设备所有权
企业必须拥有AP管理权限,能读取BSSID(即无线MAC)。经验性观察:部分老旧路由器把“克隆MAC”功能打开后,BSSID会动态漂移,导致白名单间歇性失效。可复现验证:在PC端cmd执行arp -a,若同一SSID对应多个物理地址,即存在漂移风险。
3. 人数规模与并发
官方未给出硬性上限,经验性观察:单BSSID下超过600台终端同时打卡时,钉钉服务端会触发“排队验证”,极端情况下可能延迟数十秒。若厂区超过该规模,建议按楼层拆分多个BSSID并分别录入。
决策树:先选“严格”还是“宽松”
进入路径:电脑端工作台→考勤打卡→考勤组管理→修改规则→打卡方式→WiFi打卡→可信网络。系统会给出两种模式:
- 严格模式:仅白名单内BSSID可打卡,出现新AP需管理员手动添加。
- 宽松模式:员工端可自助提交新BSSID,管理员在“审批→考勤”里一键确认。
若企业合规要求高(如金融、数据灾备中心),直接选严格;若门店扩张快、IT人手不足,可选宽松并配套“审批2小时内自动过期”规则,防止恶意蹭网。
操作路径:最短入口与平台差异
电脑端(推荐)
- 管理员账号登录钉钉电脑版,左上角切换至“工作台”。
- 搜索“考勤打卡”→进入“考勤组管理”。
- 选择目标考勤组→“修改规则”→“打卡方式”→开启“WiFi打卡”。
- 在“可信网络”区域点击“添加网络”,系统会自动扫描当前电脑所连SSID及其BSSID。
- 勾选需录入的BSSID→保存→返回最底部“立即生效”。
手机端(应急补录)
- 管理员打开钉钉→工作台→考勤打卡→右下角“统计”→右上角“管理”→“考勤组设置”。
- 后续步骤与电脑端一致,但受限于屏幕尺寸,一次最多显示5个SSID,建议用搜索框过滤。
提示:若AP支持双频合一,请确保2.4 GHz与5 GHz的BSSID都被录入,否则员工关闭5 GHz后会出现“找不到可信网络”的提示。
例外与回退:什么时候该放行
场景A:公司组织户外团建,现场临时用4G路由+充电宝。此时可在“例外日期”里新建“团建日”,临时关闭WiFi校验,仅保留GPS范围打卡,结束后再恢复。
场景B:AP固件升级后BSSID变化。管理员可在“可信网络”列表右上角点击“替换BSSID”,系统会自动继承旧规则,无需逐条修改考勤组,减少重复劳动。
若误删白名单导致大规模缺卡,可在“考勤统计→异常申诉”里批量通过,并勾选“补卡不扣薪”,避免HR后续手工调整。
副作用与缓解:别让安全变成负担
1. MAC克隆攻击:市面上有随身WiFi可伪造BSSID。缓解办法是把“同时在线人数”阈值调到物理AP的额定带机量80%,当同一BSSID下出现超额终端时,后台会强制二次拍照验证。
2. 漫游掉线:大型企业用AC+瘦AP架构,员工跨楼层漫游时若BSSID列表未完整录入,可能触发“已离线”误判。建议开启“漫游宽限120秒”,并在每楼层任选一AP做BSSID采集。
3. 隐私顾虑:BSSID本身不含用户流量内容,但MAC地址属于设备标识符。若公司需通过等保三级评测,可在“安全合规→数据脱敏”里开启“MAC哈希化”,对外只展示后六位。
验证与观测:如何确认配置生效
步骤1:用从未录入白名单的测试机连接同名热点,尝试打卡,应收到“不在可信网络”提示。
步骤2:返回后台查看“实时监控→可信网络”,若测试机MAC出现在“非法请求”列表,说明过滤生效。
步骤3:用已录入白名单的办公机再次打卡,记录从点击“打卡”到出现“成功”所需时间;经验性观察,本地缓存正常时应为亚秒级,若大于3秒,需检查DNS是否能正常解析oapi.dingtalk.com。
适用/不适用场景清单
| 维度 | 适用 | 不适用 |
|---|---|---|
| 网络所有权 | 企业自购AP、可读取BSSID | 商场共享WiFi、地铁热点 |
| 终端规模 | 单BSSID<600台 | 万人同时入场,需拆分多BSSID |
| 合规等级 | 金融、制造、数据机房 | 临时路演、快闪店 |
最佳实践速查表
- 每季度核对一次BSSID,固件升级后3日内完成同步。
- 严格模式+“例外日期”组合,替代长期开放“宽松模式”,降低审批负担。
- 把“可信网络”页面加入“常用应用”,管理员可在手机端一键直达。
- 开启“打卡拍照+MAC双重校验”,即便BSSID被克隆,也能通过人脸识别二次拦截。
- 每年等保测评前,导出“可信网络”列表做MAC哈希化存档,满足审计抽样要求。
故障排查:员工突然打不上卡
现象:提示“不在可信网络”,但昨天正常。可能原因:①AP重启后BSSID变化;②办公电脑开启移动热点同名干扰;③员工手动关闭5 GHz仅连2.4 GHz,但后者未录入。处置:让员工提供截图→管理员对比后台BSSID→若不一致,用“替换BSSID”功能更新;若截图显示的信号强度>-40 dBm且名称一致,则大概率是双频遗漏,补录即可。
FAQ(常见问题)
Q1:能否直接批量导入BSSID?
截至当前的最新版本暂不支持Excel导入,需在电脑端逐条添加;若AP数量>50,建议分考勤组管理,减少单次录入量。
Q2:员工使用随身WiFi克隆MAC后仍打卡成功,怎么办?
开启“同时在线人数阈值”并绑定“打卡拍照”即可二次核验;若仍存疑,可在“审批→考勤”里要求外勤说明,形成人工闭环。
Q3:HarmonyOS NEXT手机收不到可信网络提示,是白名单失效吗?
经验性观察,HarmonyOS NEXT在休眠时会关闭WiFi扫描,与钉钉的实时网络检测冲突。建议员工把钉钉加入“电池无限制”并把“定位权限”设为始终允许,问题即可缓解。
总结与下一步行动
WiFi白名单不是简单“填个MAC”就能一劳永逸,它随着AP固件、员工规模、合规要求而持续演进。读完本文,你应已掌握:①如何用最短路径完成可信网络配置;②严格与宽松模式的取舍;③例外日期、漫游宽限等回退方案;④MAC克隆与双频遗漏的排查手法。
下一步,请立即登录后台,把“可信网络”页面加入“常用应用”,并预约本季度AP固件升级窗口——在升级后3日内完成BSSID核对,才能真正让“WiFi打卡”成为零运维、防作弊、可审计的考勤基石。