有个案例：某公司销售主管离职半年后，原来的同事发现他还在用公司WiFi，查了一下后台才发现账号一直没用回收——人事系统跟IT系统没有打通，离职流程走完了，但网络账号还在。

这类问题听起来是管理流程的问题，但实际上跟网络认证系统的设计也有很大关系。

问题一：认证系统和人事系统不联动是根本原因

如果网络认证系统的账号是独立管理的，和HR系统、OA系统、门禁系统都没有对接，那每来一个新人、每走一个老人，IT部门都要手动在多个系统里操作一遍。

这种模式下，漏操作是大概率事件。

我见过一个最夸张的案例：某公司IT和HR用了两套独立的系统，HR用一套OA做人员管理，IT用另一套做网络账号管理，两个系统之间没有任何联动。有一天HR查人员名册，发现IT后台的在线账号数量比在职人数多了三十多个——都是离职超过三个月但网络账号还在的。

所以选型认证系统的时候，有没有标准的人事账号同步接口非常重要。主流的HR系统都有标准的API或者文件导入方式，认证系统如果不支持对接，后期运维会很痛苦。建议在选型阶段就让供应商演示一下账号同步的操作流程，看看能不能做到：员工入职，自动创建网络账号；员工离职，自动禁用网络账号。

问题二：访客账号的有效期管理容易被忽视

相比员工账号，访客账号的管理更乱。

访客接入通常是发临时密码或者短信验证码，但这些账号用完之后有没有自动回收？有效期是多久？谁能审批访客接入？这些流程如果没有明确规定，访客账号会越积越多，而且谁在用、用多久都是一笔糊涂账。

我见过一个写字楼的案例：物业给每个访客发临时账号，但这些账号没有设置自动过期，结果三年下来，访客账号积累了三千多个，其中有一千多个还在活跃状态——都是已经离开的访客的账号还在被使用，风险很大。

建议在认证系统里启用访客账号的自动过期机制。比如临时账号72小时后自动失效，不需要人工清理。另外要设置访客账号的数量上限，防止恶意注册。

问题三：离职流程里必须有网络账号回收这个节点

很多企业的离职流程是：HR发起、部门确认、IT回收设备、禁用邮箱。这个流程里往往会漏掉"禁用网络账号"这一步。

我之前帮一个客户做安全审计，查完发现他们有七十多个离职超过半年的员工，网络账号仍然活跃。这些账号如果被原员工或者他人利用，可以接入公司内网访问敏感资源，风险不小。

建议把网络账号回收做成标准化的checklist，并且最好能跟HR系统联动实现自动触发。一旦员工状态变为"离职"，网络账号自动进入禁用状态，不需要人工干预。

问题四：定期做一次账号审计

即使系统有自动回收机制，也建议每季度做一次账号审计：导出所有活跃账号，跟在职人员名单对比，看有没有异常。

这件事成本不高，但能发现很多潜在的安全隐患。比如有些企业审计后发现，有大量"在职员工"的账号，但实际上人已经离职半年了——说明系统对接还是有漏洞。

账号审计有几个重点要查：

一是长期不活跃但仍未禁用的账号。比如超过三十天没有在线，但账号状态仍是活跃的，这些要么是设备被废弃了，要么是离职未处理。

二是同一时间段内频繁注册和注销的账号。这可能是有人在批量注册账号做其他用途，要查。

三是权限配置异常的账号。比如一个普通员工的账号被赋予了管理员权限，或者一个访客账号拥有访问内部资源的权限。

问题五：设备绑定和账号绑定的区别要搞清楚

有的企业为了管控严格，会给每个账号绑定固定数量的设备，超过就不让接入。这种策略的初衰是好的，但如果实现方式不对，会带来很大的运维负担。

比如某公司给每个员工账号绑定了两台设备，但员工电脑更换了新设备，或者公司发了新手机，都要IT手动解绑旧设备、绑定新设备。每个月工单里有将近三分之一是这类操作。

建议把设备绑定策略设置得灵活一些：比如支持三到五台设备绑定、或者采用设备类型区分（办公设备自动放行、个人设备需要申请）等方式，减少日常运维的工作量。

网络认证系统的账号回收这件事做好了，实际上是给企业筑起一道安全防线。做得不好，就是一个随时可能爆雷的风险点。