IT 经理优化入职和离职管理指南

完成员工入职和离职，是 IT 经理最重要的任务之一，但由于混合办公、远程办公、自带设备 (BYOD) 以及员工大量使用 SaaS 应用（包括未经授权的影子 IT）等因素，这项工作变得越来越复杂。

作为 IT 经理，你知道高效、安全的入职和离职管理，对企业稳健运营至关重要，原因有很多：

• 生产力取决于新员工能否快速访问各类系统和技术工具

• 安全性和合规性依赖于对离职员工的严密权限清理

• 业务连续性需要保存和传输文件和电子邮件收件箱等资产

为了应对这些风险并减少 IT 工作量，成长型企业需要尽可能实现入职和离职流程的自动化。

管理入职/离职目前的主流解决方案是单点登录 (SSO)，但它无法管理每个应用，且未必能注销用户在每个应用中的使用许可证。这就导致 IT 经理仍需手动处理大量繁琐工作。

那么，如何才能突破 SSO 的局限，实现真正全面、自动化的入职和离职流程呢？本指南将帮助您的团队识别公司入职和离职流程中的短板，并评估 1Password SaaS Manager 这类工具能带来的实际价值。

1. 入职管理：帮助员工快速上手

新员工的入职体验应当高效、顺畅，且全程安全。而这项工作的很多责任落在 IT 经理的肩上。IT 部门提供履行工作职责所需的平台和工具、管理员工生命周期、开展培训、执行政策，并守护数据安全。（在职员工同样依赖 IT 部门支持，以便使用批准的应用以及自动化审批流程。）

IT 部门的目标，应该是让新员工入职第一天即可一键启用各项权限，避免入职相关问题堆积成大量待处理工单。完整全面的入职清单包括：

• 配置基础访问权限

• 提供对自助式的、经企业批准的应用目录的访问权限

• 字段访问请求

• 对员工进行安全和合规政策方面的培训

• 分配和跟踪资产（公司发放的电脑等）

如何才能让新员工入职流程无缝衔接？关键是要大力推进标准化和自动化。SaaS 管理平台就能为此提供助力。

SSO、ITSM 和 SaaS 管理平台如何协同，以实现自动化入职

每个工具在入职流程中各司其职：

SSO

• 为用户分配已纳入管控的应用

• 管理已授权应用的访问权限

• 当有新员工时，向 IT 部门发送提醒

ITSM

• 接收访问权限申请工单

SaaS 管理平台

• 为用户分配应用，无论 SSO 状态

• 发现未经授权的应用

• 分配许可证

2. 离职管理：保护组织

从理论上讲，离职管理应该像按下开关一样简单：收回离职员工对公司系统、帐户和数据的访问权限。

但在实际工作中，受系统相互独立、影子 IT、个人设备和远程员工等因素影响，离职流程变得更加复杂。如果没有解决方案来追踪影子 IT 以及管控已批准的应用，通常很难查清离职员工究竟拥有哪些访问权限。

流程缺乏标准化和自动化，很容易遗漏离职环节，导致不必要的风险。

撤销 SSO 访问权限还远远不够。完全的离职管理，还需要删除或移交相关帐户，以避免云端持续存在，产生僵尸帐户，导致资源浪费。对于 IT 部门不了解的 SaaS 应用来说，权限清理工作几乎无从开展。

完整的离职管理清单需系统化完成以下操作：

• 立即撤销各类帐户的访问权限

• 恢复和重新分配软件许可证

• 移交数据，注销帐户

• 锁定设备/擦除数据/回收设备

离职管理的 IT 最佳实践

• 集成来自人力资源和 IT 平台的触发因素，例如员工离职/终止关系日期

• 离职全流程自动化，而非仅撤销访问权限

  • 这涵盖文件与数据回收、收件箱邮件转发/存档、许可证回收等

• 与管理人员沟通，确认离职日期和文件移交等事项

• 创建清晰的审计日志以确保合规

• 权限撤销任务失败时自动推送提醒，杜绝遗漏

实现比 SSO 更精细的离职权限管控

每种管理方式在离职时覆盖的保障层级各有差异： 手动流程

• 从各应用中逐一注销帐户，通常需与员工的经理对接

SSO

• 确保离职员工无法登录受保护的应用

SaaS 管理平台

• 确保数据、电子邮件、文件和许可证得到妥善处理，且自动完成

3. 自动化：IT 经理的得力帮手

不可否认，手动开展入职和离职管理不仅程序繁琐，还容易出错，长期来看并不可行。将全流程（尤其是风险高、复杂度不断提升的离职流程）实现自动化，既能确保合规，也能让 IT 经理抽身处理更具战略意义和紧迫性的工作。

哪些可以自动化？远比您想象的要多

根据您的平台，1Password SaaS Manager 可以自动执行以下操作：

Google Workspace

• 为应用和组分配合适的访问权限级别

• 登出用户，自动收回访问令牌

• 清空用户的恢复电子邮件

• 转发电子邮件，导出收件箱邮件

• 移交 Google Drive 文件

• 重新分配、存档许可证

• 向负责人发送通知

• 注销帐户，收回许可证

Microsoft 365

• 将用户添加到群组，SharePoint 和 Teams

• 登出用户，自动收回访问令牌

• 移交 OneDrive 文件

• 转发邮件，留存用户收件箱内容

• 向负责人发送通知

• 注销帐户，收回许可证

自动排查影子 IT，实现全面离职管控

显然，对于 IT 部门未登记的应用，无法完成权限的入职配置与离职注销。而且由于员工经常在工作中使用未经授权的应用，这导致了僵尸帐户和未经授权应用中数据暴露的问题。随着高权限的 AI 工具的兴起，这一威胁还在持续加剧。

因此，全面的离职流程要求 IT 部门持续自动排查影子 IT 应用，以便对其进行屏蔽或纳入集中管理。

为 SSO 之外的应用自动启停权限

SSO 提供商为组织带来了诸多价值，包括移除用户对联盟应用的访问权限。

然而，无论您的 SSO 环境多么强大，总有一些应用未接入其中。这些应用大多是合法的、企业级应用，但未接入 SSO 的原因通常包括：SaaS 供应商不支持，集成流程太耗时或复杂、组织没有为企业版许可付费。

1Password SaaS Manager 可作为 SSO 的补充工具，将管控范围延伸至各业务部门自主管理、以及完全无管控的 SaaS 应用。

方法如下：

• SaaS 发现：1Password SaaS Manager 可帮助你发现组织中在用的所有应用，无论是否经过 IT 登记。这确保员工离职时，IT 部门准确知道需要撤销哪些应用的访问权限。

• 集成广度：1Password SaaS Manager 支持 350 多款应用集成，可连接企业每天使用的工具。这个生态系统意味着客户可以无需手动工作流程，即可将管控与安全策略扩展到各业务部门自主管理的应用和完全无管控的应用。

• 统一的应用清单：1Password SaaS Manager 的应用库包含超过 40,000 个预设的配置文件。这使得构建统一的应用清单变得更容易，IT 和业务领导者可以清晰掌握组织内的应用使用情况、分类、所有者，以及许可证使用量。

• 许可证管理：1Password SaaS Manager 提供工作流程，自动识别实际在用的许可证，判断是否需要收回或重新分配。这包括通过 Slack 和 Microsoft Teams 自动和员工沟通，询问是否还需要特定的应用许可证。

冗余应用清理：除清理僵尸帐户外，1Password SaaS Manager 还可以帮助 IT 和财务团队识别冗余应用，优化即将到来的续订方案。这使团队能够削减浪费，做出更明智的 SaaS 投资。

4. 构建面向未来的流程

要成功实现入职和离职流程自动化，需要 IT、人力资源和财务部门协调一致。SaaS 管理平台通过几个关键组件帮助协调各种功能：

• 对接人力资源系统（Workday、BambooHR 等），同步人员信息，自动触发入职、离职流程

• 将 SSO（Okta、Entra ID、Google Workspace） 和 ITSM（Jira）与 SaaS Manager（1Password SaaS Manager）集成

• 建立衡量成功的指标，如权限配置耗时、许可证利用率、权限注销效率等

IT 经理行动计划

为了帮助你开始实现入职/离职自动化，这里有一些后续步骤供你考虑。

• 短期：梳理当前的入职/离职流程

• 中期：实现基础操作自动化（触发权限配置与注销）

• 长期：从基于工单的被动式 IT 转向主动式员工生命周期管理，提前预判需求、风险，并完成流程优化