功能定位：为什么需要“只读+自动回收”

SafeW Teams 的审计日志里，外部协作者权限超期已连续三个季度位列高频风险 Top3。安全域（Secure Domain）把“只读权限”与“到期自动回收”合并成一条策略，一次性解决两类高频痛点：第三方会计、律所只需查看凭证，却常被默认赋予编辑钥；项目结束后人工删账号，又总被业务排期挤掉。把“最小权限”与“TTL（Time-To-Live）”写进同一条规则，管理员可在“授权—审计—回收”闭环里完成 80% 事后工单清零（经验性观察，样本为 30 家 beta 企业）。

前置检查：哪些对象能被纳入安全域

并非所有账号都能被“只读”限制。邀请前，先确认受邀方同时满足三点：邮箱域名与主域不一致，系统将其识别为 External Collaborator；客户端版本 ≥ 6.4.0（Android/iOS/桌面端同号）；已开启 FIDO2 或 TOTP 2FA，否则邀请会被直接阻断。若对方仅是“Guest Viewer”（匿名分享链接），则不受 TTL 控制，需先升级为正式外部账号才能继续配置。

决策树：何时用“只读”而不是“编辑”

安全域提供 Owner、Admin、Edit、View 四级粒度。对第三方而言，View 足以覆盖 90% 场景：查看密码条目、导出只读报表、验证链上地址。只有遇到两类任务才需要上浮到 Edit：在线修改条目状态（如把密钥标记为“已轮换”）；使用 MPC 共管钱包时必须提交签名分片。即便上浮，TTL 依旧生效，回收前需确保对方已退出未完成的签名流程，否则交易悬停会影响后续进度。

操作路径：三步完成“只读+到期回收”

1. 发送邀请并限定角色

桌面端：Teams Console → Domain Settings → External Access → Invite by Email → Role 下拉选“View Only”。移动端：Me → Teams → ⋮ → Invite Member → 切换“仅查看”滑块。系统会一次性写入默认 TTL=30 天，可手动覆盖。

2. 设定 TTL 与提醒

在同一面板展开 Advanced → Access Duration，输入 7–365 整数天。若勾“提前 48h 提醒”，对方与管理员将同时收到系统邮件与 SafeW 站内信，避免到期即断联。

3. 提交并验证

点击 Save 后，回到 External Access 列表，可看到状态图标变为“👁 只读+时钟”。点击时钟可实时修改 TTL，但剩余时长 <24h 时不允许再次延长，需先回收后重发，防止“无限续期”漏洞。

平台差异与回退方案

Android 与 iOS 的滑块开关在 6.4.2 后统一为“角色选择器”，桌面端仍保留经典下拉框。若对方已离线，系统将在到期时刻自动吊销本地缓存密钥；若对方正在线，会收到 5 分钟倒计时横幅并强制退出。管理员可在 Teams Console → Audit → Real-time Sessions 手动踢人，实现“秒级回退”。

常见分支：延长、转编辑、提前回收

到期前 48h 内，管理员可进入同一面板点击 Extend，输入新增天数即可；系统会记录“延长原因”文本框，方便后续审计。若项目扩容需把对方升为 Edit，则原 TTL 继续生效，不会重新计时，避免“升级即续命”的滥用。提前回收（Revoke Now）会立即删除对方设备上的域密钥，但不会影响其个人保险库数据。

与 MPC 钱包协同：只读仍可观签

外部审计师常被要求“看但不签”。SafeW 的 View 角色允许读取待签名哈希与交易明细，系统会在 UI 水印标注“Read-Only Auditor”。若对方尝试点击签名，会弹出权限阻断页，并自动生成一条审计事件 type=wallet.sign.deny，方便对接 Splunk 或 ELK。

边界与副作用：误删与索引延迟

经验性观察：当一次回收超过 200 名外部协作者时，Teams Console 的搜索索引可能出现 3–5 分钟延迟，表现为“已删除账号仍显示”。缓解：在顶部搜索框输入 exact email 强制刷新，或退出控制台重新进入即可。该现象不会导致权限实际泄漏。

适用/不适用场景清单

场景	人数上限	是否推荐
季度审计—律所只读	≤50	✅ 推荐
大型外包—300+ 开发	300	⚠️ 需分批，防索引延迟
遗产继承—家庭成员	5	❌ 建议用 Time-Lock+，而非 TTL

故障排查：回收失败四类根因

对方客户端离线 >7 天，本地密钥已自动进入冷缓存，需联网触发吊销；
管理员误把“域白名单”设为强制推送，导致本地缓存被重新下发；
邀请邮箱与最终注册邮箱大小写不一致，系统识别为两个账号；
外部账号尚未完成 2FA，状态停留在 pending，TTL 不会开始计时。

验证：在 Audit 日志筛选 event=external.ttl.expire，若状态=skipped，则对应以上四类。

最佳实践 6 条（可直接打印当检查表）

① 邀请前先确认对方邮箱域名不在主域的“曾用拼写”列表，防止绕过 External 标记。
② 统一把 TTL 设为项目结束日+7 天，留缓冲做导出。
③ 对同一项目建“组”再授权，避免单账号多次续期造成日志碎片化。
④ 重要条目加“防导出”标签，View 角色也无法批量导出 CSV。
⑤ 每季度用 Report → External Access Review 生成 PDF，供 SOC2 审计员抽样。
⑥ 若需延长，坚持“先写原因后点 Extend”，否则复核时无法追溯业务理由。

FAQ（结构化数据，利于富结果展现）

到期当天对方还在线会被强制踢出吗？

会。系统先弹 5 分钟倒计时，随后强制退出并清除本地域密钥，未保存的只读缓存不会回写服务器。

可以针对单个保险库条目设 TTL 吗？

不能。TTL 仅作用于“域成员身份”，最小粒度是账号。如需条目级过期，请用“Time-Lock+”或“标签+手动清理”。

回收后对方本地日志还会保留吗？

只读缓存会被清空，但客户端操作系统层面的 audit.db 仍保留只读访问记录，符合 GDPR 审计要求，不会自动擦除。

能否把 TTL 设成永久？

界面允许输入 9999 天，但安全域合规模板会标记为“高风险”，建议最多 365 天并配合年度评审流程。

批量导入外部成员时能否一次性设 TTL？

可以。使用 Teams Console → Bulk Invite → CSV 模板，在列 G 填写 TTL 天数即可，系统会逐行校验。

收尾：下一步行动建议

SafeW 安全域的“只读+到期自动回收”把最小权限原则从口号变成可量化、可审计的默认流程。读完本文，你可以：

立即在 Teams Console 检查现有外部成员，把无编辑需求的账号降为 View Only；
为每个外部项目建独立组，统一设 TTL=项目截止+7 天；
打开“提前 48h 提醒”，把到期压力前移，减少事后救火。

完成后，回到 Audit 面板导出 External Access Review 报告，作为下次合规审计的免谈材料。权限最小化并不难，难的是把“回收”变成自动习惯——SafeW 已经给出开关，现在轮到你按下 Save。