用户运营

本文档用于统一说明租户内用户新增、邀请、导入、停用、解锁、密码重置和 MFA 治理的常见任务与边界。

适用场景

当前租户需要新增或纳入用户
用户离职、锁定、密码重置或 MFA 处置
需要区分“全局用户主体”和“当前租户 membership”治理边界

负责角色

租户管理员
客户成功
实施支持
具备租户协作职责的系统管理员

核心边界

用户主体是全局用户，租户侧日常治理重点是当前租户范围内的可见性、状态和 membership
普通租户管理员通常只处理当前租户内的用户关系和安全处置
跨租户补 membership、全局搜索不到用户等问题，可能需要系统管理员协作

用户运营的四类动作

1. 纳入用户

在当前租户下创建新用户
把系统内已有用户纳入当前租户
批量导入或外部同步带来的用户治理

2. 维护用户

调整显示名、邮箱、组织、来源标签等基础资料
确认默认租户、租户状态和可见范围是否正确
识别本地用户、联邦用户和 Provisioned 用户的差异

3. 安全处置

停用、解锁、重置密码
启用、重置或禁用 MFA
判断是否需要回收当前租户访问或保留关系

4. 离场与回收

用户离职或岗位变更后的访问回收
默认租户调整
应用访问、角色或组织关系清理

常见任务

新建本地用户或邀请已有用户进入当前租户
处理停用、解锁、密码重置和默认租户调整
检查 MFA 是否已完成绑定，是否需要禁用或重置
定位“看不到用户”“用户无法登录”“用户状态异常”等问题

推荐治理顺序

先确认该用户是否已经是系统内全局用户
再确认其是否具备当前租户 membership
再看当前状态是“用户主体问题”“租户关系问题”还是“安全策略问题”
如果涉及联邦或供给来源，再确认外部系统是否会覆盖本地修改

常见判断口径

看不到用户：优先看当前租户是否已有有效 membership
能看到但不能登录：优先看 isActive、锁定状态、密码状态、MFA 要求和租户状态
联邦用户修改不生效：优先看来源类型和外部同步覆盖口径
默认租户不对：优先看 membership 的默认租户设置，而不是只看用户基础资料

用户来源类型提醒

本地创建用户通常可由当前租户管理员直接维护基础信息和安全处置
联邦来源用户通常要留意外部登录绑定、映射规则和回填字段
Provisioned 用户通常受同步来源约束，某些字段改动可能被下一次同步覆盖

成功治理标准

用户处于正确租户且状态清晰
登录、默认租户和访问范围符合预期
若做了安全处置，处理动作和原因可追溯
若涉及联邦 / 同步来源，已确认不会被下一次同步意外覆盖

相关 SOP

延伸阅读

返回租户运营配置文档