怎么在钉钉后台限定外部联系人仅查看指定审批单？

功能定位：为什么只能“部分开放”

钉钉 7.7.2 把「跨组织审批」做成了“好友式”互联：双方管理员先加“外部协作”关系，再互相把指定审批单丢进白名单。好处是客户、供应商、监理方都能在自己的钉钉里直接审你的单，坏处是默认可见范围=全部，敏感字段容易裸奔。于是后台必须再套一层“表单级可见范围”，让外部联系人只能看到被指定的单，其余单据对其隐身。

前置检查：三件事必须一次到位

1. 双方企业都已全量开通「跨组织流程互联」——在「管理后台-安全策略-外部协作」里打开“允许审批数据出境”并互加企业 ID 到白名单。
2. 你是“审批模板管理员”角色，否则看不到“可见范围”页签。
3. 模板内不能开启“含有工资、股权、身份证”等红色敏感字段，否则系统会强制整单不可对外，即便做了白名单也打不开。

操作路径（桌面端最短）：六步完成隔离

以 Windows 客户端为例，Mac 入口同名，仅图标位置左右互换。

1. 工作台 → 审批 → 右上角“管理后台” → 进入“表单设计”。
2. 选中目标模板 → 右侧“高级设置” → 可见范围 → 从“全员”改为“自定义”。
3. 在弹出的“外部联系人”页签，点击“添加企业”，输入对方企业 ID（可在对方管理员名片里复制）。
4. 添加后，右侧会出现“可见单据范围”下拉框，选择“仅指定实例”——这一步就是核心隔离。
5. 回到表单设计页，把需要外部查看的字段拖到“外部可见”区域；其余字段留在“内部区域”。
6. 保存并发布，系统会提示“外部可见策略已更新”，点击“立即同步”即可。

移动端应急：30 秒把单条实例共享出去

出差在外电脑不在身边，可直接在手机上把“单条审批”临时共享给外部联系人，而不改模板级策略。

• 打开审批单 → 右上角“···” → 共享 → 选择“外部联系人” → 设定“仅可查看”或“可评论” → 发送。
• 共享链接 24h 内有效，过期自动失效；同一单据最多同时存在 5 条外部共享链接，超限需手动清理。

例外与取舍：这三类场景建议别用“指定可见”

场景	风险点	替代方案
含薪酬、股权、银行账号字段	系统强制整单不可外发，即便做了白名单也会 403	拆分为“外部可见摘要单”+“内部薪酬单”两条流程
外部伙伴超过 50 家	白名单企业数过多时，下拉框加载明显变慢，且易误操作	用“角色-外部供应商”做批量授权，而非逐家添加
单据需频繁追加字段	每次改表单都要重新同步可见策略，版本多易遗漏	把可变字段放到“附件”由内部上传，外部只读固定摘要

与机器人协同：最小权限原则

部分公司用自建“归档机器人”把审批单同步到客户 ERP。钉钉官方未提供此类机器人，若你自行开发，请单独创建一个“外部机器人”角色，只授予“只读指定实例”权限，并在「管理后台-安全策略-机器人」里关闭“批量导出”（Bulk Export）开关，防止一次性拖走全表数据。

故障排查：外部联系人报“看不到单据”怎么办

1. 先确认链接是否过期（临时共享 24h）。
2. 检查对方企业 ID 是否仍在白名单——被误删后系统不会主动提醒。
3. 查看单据是否含有红色敏感字段，若有则整单对外不可见，只能走“内部转 PDF 再邮件”旁路。
4. 若对方使用旧版客户端（7.6 以前），可能出现空白页，经验性观察：升级到截至当前的最新版本后可恢复。

适用/不适用清单：一张表判断要不要上

准入条件	建议
外部伙伴 ≤10 家且字段固定	直接启用“指定可见”，维护成本低
单据含薪酬、身份证、股权	不要启用跨组织，内部闭环+脱敏摘要
对方要求 API 回写	需额外申请“外部回写”权限，目前仅对阿里云金翼客户开放
审批单需法律归档 10 年	外部可见策略不影响归档，但需确认对方导出副本也符合留存规范

最佳实践：四步检查表落地

1. 脱敏先行：把“姓名、金额、账号”做成星号字段，再决定要不要开放。
2. 先小范围灰度：挑 1 家外部伙伴跑 5 张单，观察 48h 无异常再全量。
3. 每月审计：在「管理后台-日志-外部访问」导出 CSV，筛选“查看时间>30 天”的僵尸权限并清理。
4. 版本同步：每次钉钉发版后，复查“可见范围”页签是否有新提示，避免因合规策略收紧导致突然 403。

FAQ：外部联系人权限五问五答

收尾：下一步行动

限权不是一锤子买卖，而是“灰度-审计-迭代”的循环。今天先按检查表把最敏感的一张审批单隔离出去，跑通后把经验写成内部 SOP，30 天后再回来审计一次，你就能在合规与效率之间找到最适合自己组织的平衡点。