最稳妥的方式是先在企业微信管理后台的「我的企业→安全与保密」中完成可信 IP 登记，如果暂时没有备案域名，可以通过配置「接收消息服务器 URL」来完成验证后再添加 IP。

快速处理思路

这个配置没有命令行可执行，需要在企业微信后台操作。核心流程是：登录管理后台→找到可信 IP 设置入口→完成前置验证→添加 IP→保存。

如果看到灰色禁用无法填写，说明还没完成前置验证（可信域名或接收消息服务器 URL），需要先走验证流程。

为什么会这样

企业微信设置可信 IP 机制是出于安全考虑，防止未授权的服务器调用企业通讯录、消息推送等敏感接口。你的服务器 IP 不在白名单里，无论代码和凭证多正确，请求都会被拦截。

这里有个关键限制：配置可信 IP 之前，必须先完成二选一的前置验证——要么有备案且主体匹配的可信域名，要么完成接收消息服务器 URL 的回调验证。很多开发者卡在这里，以为买个域名就行，实际上域名备案主体还要和企业微信认证主体一致。

公开资料中没有看到可靠的量化数据说明两种验证方式的成功率差异，但从实际操作来看，接收消息服务器 URL 验证不需要备案，适合测试和内部系统快速打通。

分步处理

步骤 1：登录企业微信管理后台

用超级管理员账号扫码登录 https://work.weixin.qq.com/，普通成员账号没有权限修改安全配置。

步骤 2：找到可信 IP 配置入口

路径可能有两种，不同版本界面略有差异：

• 方式一：我的企业→安全与保密→API 调用 IP 白名单
• 方式二：应用管理→自建应用→具体应用→开发者配置→企业可信 IP

如果入口是灰色禁用状态，说明需要先完成前置验证。

步骤 3：完成前置验证（二选一）

方案 A：可信域名验证

• 准备一个已备案的域名，备案主体需与企业微信认证主体一致或存在股权关联
• 在应用管理→网页授权及 JS-SDK→设置可信域名中填写
• 下载验证文件上传到域名服务器根目录
• 等待验证通过

方案 B：接收消息服务器 URL 验证（无需备案域名）

• 准备一台有公网 IP 的服务器
• 搭建一个能响应企业微信验证请求的 HTTP 服务
• 在应用配置中填写接收消息服务器 URL
• 企业微信会发送验证请求，5 秒内正确响应即通过

方案 B 适合测试环境或内部系统，不需要折腾域名备案。

步骤 4：添加可信 IP

前置验证通过后，可信 IP 输入框变为可编辑状态。填写你调用 API 的服务器外网 IP，多个 IP 用分号隔开。保存后只有这些 IP 能调用企业微信 API。

步骤 5：注意两个配置位置

企业微信有两处可信 IP 配置：

• 通讯录同步相关的可信 IP
• 自建应用相关的可信 IP

根据你的 API 调用类型，可能需要两处都配置。如果只配置了一处，调用另一类接口时仍会被拦截。

怎么验证是否生效

配置完成后，用以下方法验证：

• 用 curl 或代码调用一个需要可信 IP 的接口（如消息发送接口）
• 检查返回码，不再出现 60020 或 IP 拦截类错误即表示生效
• 查看企业微信后台可信 IP 列表，确认 IP 已保存且状态正常

如果仍然报错，检查服务器出口 IP 是否与配置的 IP 一致。云服务器一般固定，但家用宽带或某些网络环境可能是动态 IP。

常见坑

• 域名主体不匹配：域名备案主体与企业微信认证主体不一致，验证会失败。公开资料中没有看到可靠的量化数据说明关联股权的认定标准，建议提前咨询企业微信客服。
• 动态 IP 问题：如果服务器 IP 会变化，配置后可能失效。建议使用云服务器固定 IP，或设置 IP 范围，或建立 IP 变更时的更新流程。
• 只配了一处：通讯录和自建应用的可信 IP 是分开管理的，调用通讯录接口需要在通讯录同步配置里添加 IP。
• 验证服务响应超时：接收消息服务器 URL 验证要求 5 秒内响应，本地开发环境通常无法直接使用，需要公网可访问的服务器。
• IP 变更后未更新：服务器迁移或网络调整后，IP 可能变化，需要及时在企业微信后台更新配置。

参考来源

• 企业微信官方文档，企业微信 API 调用 IP 白名单配置说明，https://work.weixin.qq.com/
• 企业微信消息推送 API 实战：5 分钟搞定可信 IP 与域名配置 (含避坑指南)
• Java 新手也能搞定：企业微信 API 可信 IP 设置全流程 (Spring Boot 版)
• 企业微信 API 自建应用配置企业可信 IP 详解
• 企业微信通讯录同步 API 报错 60020 排查指南：可信 IP 配置全解析
• 公司管理系统对接企业微信 API 自建应用配置企业可信 IP 绕过可信域名的方法