這大概是我最近碰到最值得探討的案例之一,客戶的 IT 為了省錢,用「自己 Microsoft 365 帳號」的 Power Automate 設計了一系列的流程,由於是百分之百客製化,沒事的時候當然用得順順的,沒什麼人在意到「自己 Microsoft 365 帳號」可能的問題。
天有不測風雲,才說萬一,這個萬一就出現了 ... 這位 IT 離職了,然後,沒人敢動這個帳號,因為一堆動作都是透過這個帳號觸發的,Connection 一斷,服務就斷了。如果今天這個 IT 想搞小動作,重設密碼對這個帳號的離職處理完全沒有意義,OAuth 留的資料一樣都不能動,隨時帳號重設就進來了,如果這個人邪惡一點,一樣可以進公司內網看資料(這個時候一定是講『零信任』)。
客戶的相關單位來求救時,我花了時間進去檢查,看到一堆 Power Automate 裡的 Connection 是用這位 IT 的帳號時,其實挺無語的,離職的人帳號是是不是要砍?是,但 ... 綁一堆服務在這個人的帳號上面,怎麼砍?新的 IT 要來,用本帳號改名是最快的選擇,但 ... Authenticator 要不要重置?不重設,驗證碼是要寄給「前任」嗎?
這個時候,又再次的感受到 IT「良心」的重要,整間公司只有一個人懂 IT,這個人做些什麼事,對公司平時的運作真的會有很大的影響。IT 這個職務,對企業主來說,的確是個有點難以決斷的選擇,這個職務可以便宜,也可以很貴,要如何把握尺度,真的需要老闆或相關主管好好思索的問題。
P.S. 幸好客戶的新 IT 要出現了,不然,看到這種狀況,真的是講也不是,不講也不是 ...
0 留言