關於企業微信自建應用安全性升級的說明

1.1 問題描述

企業微信官方通知：自建及代開發應用安全性升級

時間：企業微信將針對自建及代開發應用進行安全性升級。升級於 2022 年 6 月 20 日開始灰階，2022 年 6 月 28 日全量發佈。

1.2 問題影響

企業微信發佈的 自建及代開發應用安全性升級 公告中有3點說明，但是對我們微信整合插件（屬於企業微信自建應用）有影響的只有前兩點，且 只有建立立的自建應用 才受到影響（歷史已建立的不受影響）。

通知說明：建立立的自建應用需要配置企業可信IP，才能呼叫企業微信的API。

產生的影響：

對於建立立的自建應用，如果沒有配置企業可信IP，在企業微信整合插件上會新增不上應用。錯誤碼為：11205017，如下圖所示：

API報錯：60020，存取IP不在白名單之中。

解決方案：

登入企業微信後台，選擇「應用管理」，選擇對應的應用，設定「企業可信IP」。

如果客戶遇到新增IP，提示是第三方服務商IP（實際不是），需要找企業微信客服驗證一下企業可信IP，如下圖所示：

：

獲取企業可信IP方式如下：

• 已配置代理伺服器：代理伺服器的IP

• 未配置代理伺服器：報表伺服器的IP

如何透過域名找到 IP ?

Windows 環境：

1）遠端客戶的「報表環境所在伺服器」，在瀏覽器中（推薦使用Chrome）輸入以下地址：

https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=微信應用ID&corpsecret=微信應用secret

2）獲取到 accesstoken 後，存取地址：

https://qyapi.weixin.qq.com/cgi-bin/department/list?access_token=剛剛獲取的token

，會看到 errcode 為 60020 ，後面的 IP 即為需要新增的工程可信 IP。

Linux 環境：若客戶伺服器為 Linux ，可以 curl 一下，URL 都一樣。

注：linux curl 時的 & 符號需要加 \ 轉義。

通知說明：

除通訊錄同步和歷史已建立的自建應用外，透過客戶聯絡、微信客服、打卡、審批等企業微信基礎secret存取成員資訊相關API時，將不再傳回員工個人敏感資訊，包括：頭像、性別、手機號碼、信箱、企業信箱、地址和員工企業微信QRCODE。

產生的影響：

對於建立立的自建應用，存取單點連結，會單點失敗，也就是出現登入介面。

原因：企業微信在userId換取使用者資訊的API中，不傳回手機號碼碼了。無法透過手機號碼匹配完成單點登入了。

解決方案：更新最新版微信管理插件：微信管理

• 11.0版本號：11.0.66.2

• 10.0版本號：10.5.15.2

最終效果：

建立立的自建應用，成員敏感資訊需要成員在登入應用時自主授權。如下圖所示：

2022-06-20之後建立的應用，由於微信API不傳回手機號碼，同步通訊錄的地方不能同步手機號碼。

單點功能：微信單點的時候可以授權手機號碼，仍然可以單點登入。手機號碼匹配，可能導致排程管理不能推播微信。

總結：建立的應用不推薦使用手機號碼匹配的功能，可以使用微信號匹配等其他匹配方式的功能。老的應用不受影響。