SaaS账号权限审计怎么做，别只看管理员名单

做 SaaS 权限审计时，只看谁是管理员不够。很多风险不是超级管理员，而是那些多年没人管的项目 owner、共享账号、外包邮箱、还有已经离职但还挂在群组里的账号。 我做过一次整理，第一轮先把每个系统的用户列表、角色、最近登录时间拉出来，再跟 HR 离职名单和部门名单对一遍。真正麻烦的是权限继承，很多人表面只是普通成员，但通过某个 group 拿到了导出数据或创建 token 的权限。 后面我会要求每个业务 owner 认领自己系统的权限，不认领的账号先降权到只读或暂停。审计报告别只写"发现多少风险"，要把处理动作写清楚：删除、降权、保留原因、复查日期。否则下一次审计还是同一批账号。