哪些企业需要管外网权限?
需要外网作业的企业
员工出差、居家办公、客户现场沟通较多,需要在外网保持联系,但又不能让内部文件随意流出。
资料比较敏感的企业
合同、报价、图纸、客户资料、项目文档较多,外网下载、接收文件和长期留存都需要更清晰的权限边界。
人员类型复杂的企业
高管、普通员工、销售、外包、驻场人员同时使用 IM,不同角色在外网下需要不同的访问权限。
为什么外网权限不能一刀切?
如果完全封闭内网
看上去更安全,但会直接影响出差、客户现场沟通和移动审批,很多正常业务根本跑不起来。
业务受阻风险
员工为了把工作做下去,往往会转去微信、网盘或个人邮箱协作。结果不是更安全,而是让数据离开企业自己的管理体系。
如果完全开放外网
使用确实更方便,但员工在任意网络环境下都可能接收、下载和留存内部文档,权限边界会被快速放大。
数据失控风险
一旦设备丢失、账号被盗或文件被转发,内部资料就可能从一个账号扩散到多个外部场景,企业很难判断数据是否仍然可控。
如果一刀切
高管、销售、普通员工、外包人员的工作边界明明不同,却被套用同一套权限,既不符合真实业务,也不利于安全治理。
安全与效率双失控风险
该放开的放不开,该限制的限制不住,最后容易出现一部分人用不了,另一部分人又权限过大,安全和效率同时失控。
真正要管的,是外网环境下的数据操作边界
企业真正要防的不是“员工在外网发一句消息”,而是外网环境下的文件接收、文档下载、图片传输、敏感资料留存和账号异常访问。只把登录关掉,业务会受影响;完全放开登录和文件权限,数据又会失控。
因此,小天互连采用“人员 + 终端 + 网络环境 + 操作类型”的组合控制方式:同一个人,在内网和外网可以有不同权限;同一个账号,在 PC 端和 APP 端可以有不同权限;同一种外网访问,也可以区分发送消息、发送图片、接收文件、接收文档等具体操作。
这种方式更适合私有化即时通讯场景:数据仍然在企业自有服务器上,外网访问只是受控访问,不会因为员工出差、居家或客户现场沟通,就把内部资料完整暴露到外部环境。
哪些场景需要外网访问?
普通员工外网办公
外网只发不收:可发送消息、图片;可发送工作汇报;禁止接收文件;禁止接收敏感资料。信息单向流出,数据不向外泄露。
销售团队外网沟通
外网可发必要资料:客户现场需要及时沟通,但内部文档不能无限制流出。可按团队策略控制发送、接收和文件类型。
管理层 / 高管
外网全权限不受限:外网收发消息、文件,外网全功能使用,不影响决策和管理。不同级别的人,外网权限不同,一套系统覆盖多个角色。
外包 / 驻场人员
外网环境禁止登录:最高风险人员,最严格的访问策略,离开内网环境即失去访问资格。内网也可配置有限访问。
内外网访问控制要建立在私有化部署和数据自主管控基础上
飞书、钉钉等 SaaS 产品因数据存储在厂商云端,无法实现真正意义上的内外网权限分离。小天互连私有化部署,数据始终在企业自有服务器,内外网控制的是访问路径和操作权限,而非数据位置。
了解私有化部署优势 →先定策略,再分配人员
第一层:策略定义
先把外网访问边界定义清楚,再决定哪些人员使用哪套策略。这样企业不用在“全部开放”和“全部禁止”之间二选一。
策略配置截图
先定规则
第二层:人员分配
策略定义完成后,再按人员、部门或角色挂载对应策略。权限调整时只需要调整策略或人员归属,策略变更即可按新的边界生效。
人员分配截图
再挂人员
权限能控制到多细?
典型访问策略示例
延伸阅读
相关能力页
常见问题
员工出差或在家办公,能用公司的即时通讯软件吗?
可以,但权限可以和内网不同。小天互连支持为外网用户单独配置策略,允许登录但限制文件下载等高风险操作,做到既能正常沟通,又不带来数据泄露风险。
外网只发不收,具体是什么意思?
员工在外网环境下可以向公司内部发送消息或工作汇报,但无法接收文件、文档、图片等可能包含敏感数据的内容。这样既能保持沟通,又能避免内部资料被带到外网设备。
不同员工的外网权限能不一样吗?高管和普通员工能区分开?
可以。采用策略 + 人员两层配置模式:先定义多个内外网控制策略,再按人员分配对应策略。高管可以有更宽松的外网权限,普通员工可以只发不收,外包人员可以禁止外网登录。
PC 端和手机 APP 的外网权限能分开配置吗?
可以。PC 客户端和 APP 客户端支持分别配置。例如 PC 外网禁止收发文件,但手机端允许发送图片;也可以反过来,根据企业实际风险场景单独设定。
策略变更后需要员工重新登录吗?
通常不需要。管理员在后台调整策略后,策略会即时生效。高风险操作会按最新策略拦截,必要时也可以强制用户重新登录。
这个功能和内外网协同是一回事吗?
不是一回事。内外网访问控制解决的是同一名员工在内网和外网下权限不同的问题;内外网协同解决的是内部员工和外部供应商、客户如何在同一个 IM 平台协作的问题。