员工笔记本丢失后，设备擦除和账号检查怎么做

上周有同事把公司笔记本落在机场，信息安全处理不能只让他改密码。设备上有浏览器会话、本地同步文件和 VPN 配置，流程要快，也要留记录。 我的做法是先在 MDM 里把设备标记 lost mode，确认最近一次在线时间和 FileVault 状态；如果设备还能连网，就下发 remote wipe。第二步查 IdP 登录记录，重点看丢失时间后的异常登录、地理位置变化和 MFA 结果。第三步让 IT 轮换本机证书和 VPN profile，避免旧设备重新连回内网。整个过程把工单、时间点和处理人写清楚，方便后面审计。 经验是，设备丢失不是单纯硬件报废。建议同行提前把 MDM、磁盘加密、会话失效和账号检查写成清单，真的发生时照步骤做，别在群里临时讨论。