沒有 IT 團隊,如何在 12 個 SaaS 工具上完成員工離職交接
給新創創辦人的實用指南:員工離職時,如何在沒有 IT 部門的情況下逐一撤銷所有 SaaS 工具的存取權限。
沒有 IT 團隊,如何在 12 個 SaaS 工具上完成員工離職交接
當一位員工離開你 20 人規模的新創公司,你沒有 IT 團隊來處理系統撤銷工作。你只有一位創辦人、一位營運負責人,以及一個開著無數後台分頁的瀏覽器。一般新創員工會接觸 20 至 30 個 SaaS 工具。手動撤銷存取權限通常需要 3 至 5 個小時——還要你知道該去哪裡找。本指南提供一套實用的操作順序,讓你第一次就做對,不遺漏任何關鍵環節。
為什麼這是創辦人必須自己解決的問題
大型企業會把多 SaaS 離職作業交給 IT 團隊,搭配工單系統與串接身份識別供應商的自動化撤銷流程。你沒有這些配備。你面對的現實是:一位已離職的員工,仍在 Notion、Slack、Figma、GitHub、你的 HubSpot、AWS 控制台,以及設計團隊共用的 Canva Pro 帳號上保有活躍的工作階段。
這之所以重要,是因為存取權限不會自動過期。一位 Slack 帳號被停用、但 Figma 訪客邀請仍有效的前員工,六個月後依然能開啟客戶檔案。一位 HubSpot 座位被移除、但個人 Google 帳號透過 OAuth 連接到 CRM 的業務,仍然可以匯出聯絡人名單。這不是假設性的風險——它就是「我們停用了他的電子郵件」與「我們真的撤銷了所有權限」之間的那個缺口。
關於 HR 軟體與 IT 工具各自解決半邊問題的深度分析,請參閱離職交接的缺口。
第一步:在任何人離職之前,建立工具清單
創辦人最常犯的錯誤,是試圖在員工離職當天才去回想他們用過哪些工具。記憶會失靈。建立工具清單的最佳時機,是現在,在沒有任何壓力的時候。
從三個來源著手:
1. 你的帳單記錄。 登入所有的信用卡帳戶和銀行對帳單,搜尋 SaaS 費用。每一筆費用都對應到某個人負責的工具。列出工具名稱、帳號負責人以及管理員登入資訊。
2. 你的 SSO 供應商(如果有的話)。 如果你使用 Google Workspace 或 Microsoft 365 作為身份識別層,所有透過 OAuth 或 SAML 整合的應用程式都會顯示在管理員控制台中。匯出這份清單。
3. 直接問你的團隊。 在 Slack 上發送一則訊息:「有哪些工作上使用的工具,沒有存放在公司的密碼管理工具裡?」你會得到 5 至 10 個沒人想到要記錄的答案。
將所有資訊整理到共享的試算表中:工具名稱 | 分類 | 管理員負責人 | 存取方式 | 座位類型(個人 vs 共用)。每次新進人員報到時更新它——把工具開通列為入職流程中的必核項目。
若需要系統性的盤點方法,存取權限審查指南有詳細的操作說明。
第二步:依風險等級排序的四層離職操作流程
並非所有工具的存取權限都同等重要。一個殘留的 Loom 座位令人頭疼;但一個殘留的 AWS IAM 使用者,則是等待爆發的資安事件。員工離職當天,請按照以下順序逐層處理。
第一層——立即撤銷(一小時內):
- 電子郵件帳號(停用後,所有透過 Google/Microsoft SSO 連接的工具都會失效)
- SSO / 身份識別供應商(Google Workspace、Okta、Microsoft Entra)
- 程式碼儲存庫(GitHub、GitLab——從組織移除、撤銷所有 token)
- 雲端基礎設施(AWS IAM 使用者、GCP 服務帳號、Vercel、Netlify)
- 密碼管理工具(1Password、Bitwarden——從團隊保險庫移除)
第二層——當天處理(8 小時內):
- 專案管理工具(Linear、Jira、Asana、Notion)
- 設計工具(Figma、Canva——從團隊移除,同時撤銷他們建立的訪客連結)
- 溝通工具(Slack——停用帳號,不能只是退出頻道)
- CRM(HubSpot、Salesforce——停用座位,檢查他們可能建立的 API 金鑰)
- 財務工具(Brex、Ramp、QuickBooks——移除刷卡權限與審批授權)
第三層——48 小時內:
- 數據分析工具(Mixpanel、Amplitude、Google Analytics——移除使用者)
- 行銷工具(Mailchimp、Apollo、LinkedIn Sales Nav)
- 客服工具(Intercom、Zendesk)
- 錄影與會議工具(Loom、Zoom——停用或降級座位)
第四層——一週內(這些容易被遺忘):
- 外部承包商平台(Upwork、Deel)——移除付款授權
- 他們有存取權限的社群媒體帳號
- 網域registrar、DNS 供應商、SSL 憑證管理
- 任何電子簽署工具(DocuSign、HelloSign)
第三步:創辦人最容易踩坑的三個盲點
以上四層涵蓋的是直接存取。有三類間接存取是最常被遺漏的。
OAuth 授權。 當員工用「以 Google 登入」連接個人應用程式至公司工具,或授予某個整合功能權限時,就會建立一個 OAuth token。這個 token 獨立於使用者帳號之外持續存在。停用他們的電子郵件並不會撤銷它。查找方式:在 Google Workspace 管理員後台,前往「安全性 → API 控制 → 管理第三方應用程式存取」,移除與其帳號相關的所有 OAuth 授權。其他有「整合」或「已連接應用程式」功能的工具也要比照辦理。
共用帳號。 很多新創公司會讓 3 至 5 人共用同一個 Figma 座位、同一個 HubSpot 行銷登入,或同一個 Canva Pro 帳號。當其中一人離職,你無法直接從一個用共用密碼登入的帳號「移除」他。正確做法:立即更換共用憑證並更新密碼管理工具,再重新為剩餘的團隊成員設定存取。這個流程只會痛苦一次——做對之後,你自然會把共用憑證與個人帳號分開管理。
管理員與帳單座位。 如果離職員工是任何工具的管理員,即使他們的一般使用者帳號已被移除,他們仍然可以登入並建立新的憑證。重點檢查:你的 Stripe、網域 registrar、雲端主機服務以及帳單電子郵件,誰是管理員。如果他們的個人電子郵件在任何地方被列為備援管理員,立即移除。
SaaS 存取蔓延指南詳細說明這些隱藏的存取授權如何在典型的 20 人新創公司中隨時間累積。
第四步:手動處理完一次後,建立可重複執行的系統
手動做一次需要 3 至 5 小時。一間 25 人公司每年離職 3 至 5 人,意味著每年花費 15 至 25 小時的創辦人時間——加上每次都有非零機率遺漏某個關鍵環節。
解方不是購買企業級 IAM 軟體(BetterCloud 和 Torii 起價每座位 $8 至 $12 美元/月,是為管理 500 個以上座位的 IT 團隊設計的)。解方是建立一套與 HR 離職流程綁定的可重複流程。
20 人新創公司的輕量系統長這樣:
在 HR 工具中設定離職觸發器。 當你在人力平台上將某人標記為即將離職,系統自動觸發離職清單。清單中的每個項目對應一個工具類別。
工具清單與職位角色連結。 不是每位員工都使用相同的工具。設計師的離職清單應自動包含 Figma、Canva 和 Adobe;工程師的應包含 GitHub、AWS 和 CI/CD 平台。一次完成職位與工具的對應,之後每次離職時清單就自動預填。
完成追蹤。 每個撤銷步驟由執行者勾選(通常是工具負責人——那位營運人員,或工程主管負責程式碼儲存庫)。最終你會得到一份審計記錄:誰在何時撤銷了什麼。
定期更換共用憑證。 對共用帳號設定日曆提醒,在每次離職後 24 小時內更換共用密碼。沒有例外。
Optserv 正是以這個模式為核心設計的——將 HR 生命週期事件(離職)與存取撤銷清單相連接,讓沒有 IT 團隊的創辦人不必再靠記憶管理。免費試用 Optserv——離職模組將你的工具清單與人員資料串接,讓撤銷作業成為清單,而非記憶測試。
手動 vs. 系統化:規模化後的差異
| 手動(試算表 + 記憶) | 系統化(流程 + 工具) | |
|---|---|---|
| 每次離職所需時間 | 3–5 小時 | 30–45 分鐘 |
| 遺漏存取的風險 | 高——依賴記憶 | 低——清單驅動 |
| OAuth 授權是否被發現 | 很少 | 一致性地發現 |
| 共用帳號處理 | 臨時應對 | 定期更換 |
| 審計記錄 | 無 | 完整的時間戳記錄 |
| 適用於 5 人以下 | 是 | 是 |
| 適用於 30 人以上 | 否——會出現漏洞 | 是 |
| 成本 | 創辦人時間 | HR 工具 + 明確流程 |
轉折點通常在 10 至 15 人左右。低於這個規模,只要按照上述四層順序仔細執行,手動流程是可行的。超過這個規模,遺漏存取的累積風險加上時間成本,讓建立系統化方法變得值得投入。
常見問題
沒有 IT 團隊,SaaS 離職交接實際上要花多長時間?
對於接觸過 20 至 30 個工具的典型 20 人新創員工,徹底的手動離職交接預計需要 3 至 5 小時。差異主要來自 OAuth 授權(容易遺漏、審查耗時)和共用帳號(需要與剩餘團隊成員協調)。系統化的清單方法可以將時間壓縮至 30 至 45 分鐘。
如果我在離職交接時遺漏了某個工具,會怎樣?
那個存取權限會一直有效,直到有人注意到,或下一個計費週期觸發座位審查才會被發現。實際上,這意味著前員工可能無限期地保留對敏感資料的讀取權限——客戶名單、尚未發布的產品規格、薪資資訊。更高風險的情況是,在程式碼儲存庫或 CRM 等工具中擁有寫入權限的前員工,可能主動造成損害。
我需要 SSO 供應商才能完成乾淨的離職交接嗎?
SSO(Google Workspace、Okta、Microsoft Entra)能大幅加快離職交接速度,因為停用一個帳號就能連鎖影響所有 SSO 整合的應用程式。但它只對整合了 SSO 的工具有效——而這通常不包含所有工具。Figma 訪客連結、OAuth 授權和共用帳號都存在於 SSO 之外,你仍然需要手動清單來處理這些部分。
我應該立即停用員工的電子郵件,還是等一等?
立即停用帳號(移除其登入權限)。但在此之前,先將電子郵件轉寄給其主管——面向客戶的員工會有進行中的郵件往來需要延續。保持轉寄 30 至 90 天,然後關閉信箱。不要讓前員工的憑證繼續在共用收件匣中存在;那是一扇敞開的門。
從 Optserv 開始
Optserv 將 HR 生命週期——入職、職位調整、離職——與你的團隊使用的所有工具的存取管理相連接。當有人離職,離職清單會自動觸發,並預填其職位對應的所有工具。不需要 IT 團隊。
在 app.optserv.ai 免費開始——在 20 分鐘內設定好你的第一個離職清單。
資料來源
- BetterCloud SaaS Statistics 2026:平均每間公司使用 106 個 SaaS 應用程式;平均每位員工擁有 31 個帳號 — bettercloud.com
- Nudge Security IT 離職清單 2026 — nudgesecurity.com
- Torii IT 離職清單 2026 — toriihq.com
Run your entire team from one place.
Optserv handles hiring, onboarding, access management, and offboarding — built for startups that want to operate like grown-ups without the enterprise overhead.
Try Optserv free